Bloquea el acceso a cuentas personales

Como administrador, es posible que desees impedir que los usuarios accedan a los servicios de Google con cuentas que no sean las que les proporcionaste. Por ejemplo, es posible que no quieras que los usuarios de tu red corporativa usen sus cuentas personales de Gmail o una Cuenta de Google administrada de otro dominio.

Nota: Cuando bloqueas el acceso a las cuentas de consumidor, es posible que los usuarios vean el siguiente mensaje de error: “Esta cuenta no puede acceder a esta red”.

Permitir el acceso solo desde dominios específicos

Disponible para dispositivos ChromeOS.

Para permitir que los usuarios accedan a los servicios de Google usando una cuenta solo de una lista de dominios de Google Workspace especificados, haz lo siguiente:

Antes de comenzar: Si necesitas establecer un departamento o equipo para este parámetro de configuración, consulta Cómo agregar una unidad organizativa.

  1. Ve a Menú y luego Dispositivos > Chrome > Configuración

    Requiere tener el privilegio de administrador de la Administración de dispositivos móviles.

  2. (Opcional) Para aplicar el parámetro de configuración a un departamento o equipo, en el costado, selecciona una unidad organizativa.
  3. Ve a Experiencia del usuario y luego Acceder a las cuentas secundarias.
  4. Selecciona Permitir que los usuarios solo accedan a la siguiente configuración de dominios de Google Workspace.
  5. Ingresa los dominios de tu organización. (Si no lo haces, es posible que los usuarios no tengan acceso a los servicios de Google). Nota: gserviceaccounts.com se incluye y es fundamental para las cuentas de servicio autenticadas.
  6. (Opcional) Para incluir Cuentas de Google personales, como las que terminan en @gmail.com y @googlemail.com, ingresa consumer_accounts en la lista.
    1. (Opcional) Para incluir Cuentas de Google de visitantes sin incluir Cuentas de Google personales, ingresa visitor_accounts en la lista y no ingreses consumer_accounts.
  7. Haz clic en Guardar.

Por lo general, la configuración se aplica en minutos. Sin embargo, podrían demorar hasta una hora en aplicarse para todos los usuarios.

Próximos pasos

  • En la configuración de Usuarios y navegadores, también puedes impedir que los usuarios naveguen en modo Incógnito. Ve a Modo de navegación incógnito y luego No permitir modo incógnito y haz clic en Guardar. Para obtener más información, consulta Modo Incógnito.
  • Establece una restricción de acceso para que solo los usuarios de tu organización puedan acceder a los dispositivos con ChromeOS. Para obtener más detalles, consulta Restricción de acceso.
  • Desactiva la navegación como invitado en los dispositivos. Para obtener más información, consulta Modo de invitado.

Cómo usar un servidor proxy web para bloquear cuentas

Paso 1: Elige un servidor proxy web

Para permitir que solo los usuarios de tu red accedan a los servicios de Google con Cuentas de Google específicas de tu dominio, necesitas un servidor proxy web que pueda hacer lo siguiente:

  • Agrega un encabezado a todo el tráfico dirigido a *.google.com: El encabezado identifica los dominios desde los que los usuarios pueden acceder a los servicios de Google.
  • Admite la interceptación de SSL: Dado que la mayor parte del tráfico a través de tu servicio de Google está encriptado, tu servidor proxy también debe admitir la interceptación de SSL.

Lee las instrucciones específicas para bloquear los servicios de Google de los siguientes proveedores de servicios de proxy y selecciona un servidor que satisfaga tus necesidades.

Paso 2: Configura la red para bloquear ciertas cuentas

Para evitar que los usuarios accedan a los servicios de Google con Cuentas de Google que no sean las que especificaste de forma explícita, haz lo siguiente:

  1. Enruta todo el tráfico saliente a *.google.com a través de tus servidores proxy web.
  2. Habilita la interceptación de SSL en el servidor proxy.
  3. Configura cada dispositivo cliente para que confíe en tu proxy SSL:
    1. Implementa la autoridad certificadora raíz interna que usa el proxy.
    2. Marcarlo como de confianza
  4. Para cada solicitud de *.google.com, haz lo siguiente:
    1. Intercepta la solicitud.
    2. Agrega el encabezado HTTP X-GoogApps-Allowed-Domains: seguido de una lista separada por comas con los nombres de los dominios permitidos.
      Asegúrate de que la lista incluya el dominio que registraste con Google Workspace y los dominios secundarios que agregaste.
      Ejemplo: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. Para permitir que los usuarios accedan a cuentas específicas, agrega los siguientes valores al encabezado:
    • domain_name para cuentas en dominios específicos, como altostrat.com y tenorstrat.com para cuentas que terminan en @altostrat.com y tenorstrat.com
    • consumer_accounts para Cuentas de Google personales, como @gmail.com y @googlemail.com
    • visitor_accounts para las Cuentas de Google de visitantes
      Para permitir que los usuarios accedan a las cuentas de visitantes y bloquear las cuentas personales, agrega visitor_accounts al encabezado y excluye consumer_accounts.
    • gserviceaccounts.com para cuentas de servicio autenticadas
  6. (Opcional) Crea una política de proxy para evitar que los usuarios inserten sus propios encabezados.

Nota:

  • Este enfoque bloquea el acceso para iniciar sesión en los servicios para consumidores de Google, excepto en la Búsqueda de Google, pero no necesariamente prohíbe el acceso anónimo.
  • Cuando agregues el encabezado HTTP X-GoogApps-Allowed-Domains, los usuarios verán errores al acceder a los buzones delegados desde un dominio que no esté en el encabezado.

Preguntas frecuentes

¿Qué sucede si cuentas no autorizadas intentan acceder a los servicios?

Si un usuario intenta acceder a los servicios de Google desde una cuenta no autorizada, verá una página web que cumple con las siguientes condiciones:

  • Describe el servicio no disponible
  • Muestra la cuenta no autorizada que está usando.
  • Enumera los dominios en los que está disponible el servicio
  • Sugerir que se comunique con un administrador de red para obtener más información, que cierre la sesión de su cuenta no autorizada y que acceda con una cuenta autorizada

¿Qué sucede con los servicios que no necesitan autenticación?

Google no mantiene una lista de servicios bloqueados. Si un servicio en particular requiere acceso, se bloqueará el acceso. No se bloquearán los servicios que no requieran autenticación, como la Búsqueda de Google y YouTube.

¿Por qué no puedo simplemente filtrar el tráfico?

Un medio común para bloquear el acceso a los servicios web es usar un servidor proxy web para filtrar el tráfico dirigido a URLs específicas. Este enfoque no funcionará en este caso porque el tráfico legítimo de una Cuenta de Google administrada del usuario va a la misma URL que el tráfico que deseas bloquear.


Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.