Bloquea el acceso a cuentas personales

Como administrador, es posible que quieras impedir que los usuarios accedan a los servicios de Google con cuentas que no sean las que les proporcionaste. Por ejemplo, es posible que no quieras que los usuarios de tu red corporativa usen sus cuentas personales de Gmail o una Cuenta de Google administrada de otro dominio.

Nota: Cuando bloqueas el acceso a las cuentas personales, es posible que los usuarios vean el siguiente mensaje de error: "No se permite acceder a esta cuenta en esta red".

Permite el acceso solo desde dominios específicos

Disponible para dispositivos ChromeOS.

Para permitir que los usuarios accedan a los servicios de Google usando una cuenta solo de una lista de dominios de Google Workspace especificados, haz lo siguiente:

Antes de comenzar: Si necesitas establecer un departamento o equipo para este parámetro de configuración, consulta Cómo agregar una unidad organizativa.

  1. Ve a Menú y luego Dispositivos > Chrome > Configuración.

    Requiere tener el privilegio de administrador para la Administración de dispositivos móviles.

  2. (Opcional) Para aplicar el parámetro de configuración a un departamento o equipo, en el costado, selecciona una unidad organizativa.
  3. Ve a Experiencia del usuario y luego Acceder a las cuentas secundarias.
  4. Selecciona Permitir que los usuarios solo accedan a la siguiente configuración de dominios de Google Workspace.
  5. Ingresa los dominios de tu organización. (Si no lo haces, es posible que los usuarios no tengan acceso a los servicios de Google). Nota: gserviceaccounts.com está incluido y es fundamental para las cuentas de servicio autenticadas.
  6. (Opcional) Para incluir Cuentas de Google personales, como las que terminan en @gmail.com y @googlemail.com, ingresa consumer_accounts en la lista.
    1. (Opcional) Para incluir Cuentas de Google de visitantes sin incluir Cuentas de Google personales, ingresa visitor_accounts en la lista y no ingreses consumer_accounts.
  7. Haz clic en Guardar.

Los cambios de configuración suelen aplicarse en minutos, aunque podrían demorar hasta una hora en implementarse para todos los usuarios.

Próximos pasos

  • En la configuración de Usuarios y navegadores, también puedes evitar que los usuarios naveguen en modo Incógnito. Ve a Modo Incógnito y luego No permitir modo incógnito y haz clic en Guardar. Para obtener más información, consulta Modo Incógnito.
  • Establece una restricción de acceso para que solo los usuarios de tu organización puedan ingresar a sus cuentas en dispositivos con ChromeOS. Para conocer mas detalles, consulta Restricción de acceso.
  • Desactiva la navegación como invitado en los dispositivos. Para obtener detalles, consulta Modo de invitado.

Usa un servidor proxy web para bloquear cuentas

Paso 1: Elige un servidor proxy web

Para permitir que solo los usuarios de tu red accedan a los servicios de Google con Cuentas de Google específicas de tu dominio, necesitas un servidor proxy web que pueda hacer lo siguiente:

  • Agregar un encabezado a todo el tráfico dirigido a *.google.com: El encabezado identifica los dominios desde los que los usuarios pueden acceder a los servicios de Google.
  • Admitir la intercepción de SSL: Dado que la mayor parte del tráfico a través de tu servicio de Google está encriptado, tu servidor proxy también debe admitir la intercepción de SSL.

Lee las instrucciones específicas para bloquear los servicios de Google de los siguientes proveedores de servicios proxy y selecciona un servidor que satisfaga tus necesidades.

Paso 2: Configura la red para bloquear ciertas cuentas

Para impedir que los usuarios accedan a los servicios de Google con Cuentas de Google que no sean las que especificaste de forma explícita, haz lo siguiente:

  1. Enruta todo el tráfico saliente a *.google.com a través de tus servidores proxy web.
  2. Habilita la intercepción de SSL en el servidor proxy.
  3. Configura cada dispositivo cliente para que confíe en tu proxy SSL:
    1. Implementa la autoridad de certificación raíz interna que usa el proxy.
    2. Márcala como de confianza.
  4. Para cada solicitud *.google.com, haz lo siguiente:
    1. Intercepta la solicitud.
    2. Agrega el encabezado HTTP X-GoogApps-Allowed-Domains: seguido de una lista separada por comas con los nombres de dominio permitidos.
      Asegúrate de que la lista incluya el dominio que registraste en Google Workspace y los dominios secundarios que agregaste.
      Ejemplo: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. Para permitir que los usuarios accedan a cuentas específicas, agrega los siguientes valores al encabezado:
    • domain_name para cuentas en dominios específicos, como altostrat.com y tenorstrat.com para cuentas que terminan en @altostrat.com y tenorstrat.com
    • consumer_accounts para Cuentas de Google personales, como @gmail.com y @googlemail.com
    • visitor_accounts para Cuentas de Google de visitantes
      Para permitir que los usuarios accedan a cuentas de visitantes mientras bloqueas las cuentas personales, agrega visitor_accounts al encabezado y excluye consumer_accounts.
    • gserviceaccounts.com para cuentas de servicio autenticadas
  6. (Opcional) Crea una política de proxy para evitar que los usuarios inserten sus propios encabezados.

Nota:

  • Este método bloquea el acceso a los servicios personales de Google que no sean la Búsqueda de Google, pero no necesariamente prohíbe el acceso anónimo.
  • Cuando agregues el encabezado HTTP X-GoogApps-Allowed-Domains, los usuarios verán errores al acceder a los buzones delegados desde un dominio que no esté en el encabezado.

Preguntas frecuentes

¿Qué sucede si las cuentas no autorizadas intentan acceder a los servicios?

Si un usuario intenta acceder a los servicios de Google desde una cuenta no autorizada, verá una página web que incluye lo siguiente:

  • Describe el servicio no disponible.
  • Muestra la cuenta no autorizada que está usando.
  • Indica los dominios en los que está disponible el servicio.
  • Sugiere que se comunique con un administrador de red para obtener más información, que salga de su cuenta no autorizada y que acceda con una cuenta autorizada.

¿Qué sucede con los servicios que no necesitan autenticación?

Google no mantiene una lista de servicios bloqueados. Si un servicio en particular requiere acceso, se bloquea el acceso. Los servicios que no requieren autenticación, como la Búsqueda de Google y YouTube, no se bloquearán.

¿Por qué no puedo filtrar el tráfico?

Una forma común de bloquear el acceso a los servicios web es usar un servidor proxy web para filtrar el tráfico dirigido a URLs específicas. Este método no funcionará en este caso porque el tráfico legítimo de la Cuenta de Google administrada de un usuario va a la misma URL que el tráfico que deseas bloquear.


Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.