חסימת הגישה לחשבונות פרטיים

אדמינים יכולים למנוע ממשתמשים להיכנס לשירותי Google באמצעות חשבונות אחרים שלא הקצו להם. לדוגמה, יכול להיות שלא תרצו שמשתמשים ברשת הארגונית שלכם ישתמשו בחשבונות Gmail האישיים שלהם או בחשבון Google מנוהל מדומיין אחר.

הערה: כשחוסמים את הגישה לחשבונות פרטיים, יכול להיות שהמשתמשים יראו את הודעת השגיאה הבאה: "החשבון הזה לא מורשה להיכנס לרשת הזו".

אישור גישה רק מדומיינים ספציפיים

זמין במכשירי ChromeOS.

כדי לאפשר למשתמשים לגשת לשירותי Google רק עם חשבון שמופיע ברשימה של דומיינים ספציפיים של Google Workspace:

לפני שמתחילים: אם צריכים להגדיר מחלקה או צוות עבור ההגדרה הזו, עוברים אל הוספת יחידה ארגונית.

  1. פותחים את התפריט ואז מכשירים > Chrome > הגדרות.

    כדי לעשות את זה צריך הרשאת אדמין לניהול מכשירים ניידים.

  2. (אופציונלי) כדי להחיל את ההגדרה רק על מחלקה או על צוות, בצד, בוחרים יחידה ארגונית.
  3. עוברים אל חוויית משתמש ואז כניסה לחשבונות משניים.
  4. בוחרים באפשרות המשתמשים יכולים להיכנס רק לדומיינים ב-Google Workspace שמפורטים בהמשך.
  5. מזינים את הדומיינים של הארגון. (אם לא עושים זאת, יכול להיות שלא תהיה למשתמשים גישה לשירותי Google). הערה: gserviceaccounts.com נכלל ברשימה והוא חיוני לחשבונות שירות מאומתים.
  6. (אופציונלי) כדי לאפשר לחשבונות gmail.com ולחשבונות פרטיים עם כתובות עסקיות להיכנס לדומיינים של Workspace שרשמתם, מוסיפים את הערך consumer_accounts.
  7. (אופציונלי) כדי לאפשר לכתובות אימייל שלא משויכות לחשבון Google לשתף פעולה בקבצים ובתיקיות ב-Drive, בוחרים באחת מהאפשרויות:

  8. לוחצים על שמירה.

בדרך כלל השינויים נכנסים לתוקף בתוך כמה דקות. אבל יכול להיות שיחלפו עד שעה עד שהשינויים יחולו על כולם.

השלבים הבאים

  • בהגדרות של משתמשים ודפדפנים, אפשר גם למנוע מהמשתמשים לגלוש במצב פרטי. עוברים אל מצב פרטי ואז איסור שימוש במצב פרטי ולוחצים על שמירה. פרטים נוספים מופיעים במאמר בנושא מצב פרטי.
  • להגדיר הגבלה על הכניסה, כדי שרק משתמשים בארגון יוכלו להיכנס למכשירים עם ChromeOS. פרטים נוספים זמינים במאמר בנושא הגבלת כניסה.
  • להשבית את האפשרות לגלישה כאורחים במכשירים. פרטים נוספים מופיעים במאמר בנושא מצב אורח.

שימוש בשרת proxy באינטרנט לחסימת חשבונות

שלב 1: בחירה של שרת Proxy לאינטרנט

כדי לאפשר רק למשתמשים ברשת שלכם לגשת לשירותי Google באמצעות חשבונות Google ספציפיים מהדומיין שלכם, אתם צריכים שרת proxy לאינטרנט שיכול:

  • הוספת כותרת לכל התנועה שמופנית אל ‎ *.google.com – הכותרת מזהה את הדומיינים שמהם המשתמשים יכולים לגשת לשירותי Google.
  • תמיכה ביירוט SSL – מכיוון שרוב התנועה דרך שירות Google מוצפנת, שרת ה-Proxy צריך לתמוך גם ביירוט SSL.

כדאי לקרוא את ההוראות הספציפיות לחסימת שירותי Google מספקי שירותי ה-proxy הבאים, ולבחור שרת שמתאים לצרכים שלכם.

שלב 2: הגדרת הרשת לחסימת חשבונות מסוימים

כדי למנוע ממשתמשים להיכנס לשירותי Google באמצעות חשבונות Google שאינם אלה שציינתם במפורש:

  1. מנתבים את כל התנועה היוצאת אל ‎ *.google.com דרך שרתי ה-proxy של האינטרנט.
  2. מפעילים חסימה של SSL בשרת הפרוקסי.
  3. מגדירים כל מכשיר לקוח כך שיסמוך על ה-Proxy ל-SSL:
    1. פריסת רשות אישורים פנימית שמשמשת את ה-proxy.
    2. מסמנים אותו כפריט מהימן.
  4. לכל בקשה של ‎ *.google.com:
    1. ליירט את הבקשה.
    2. מוסיפים את כותרת ה-HTTP‏ X-GoogApps-Allowed-Domains:‎ ואחריה רשימה מופרדת בפסיקים של שמות דומיינים מותרים.
      מוודאים שהרשימה כוללת את הדומיין שרשמתם ב-Google Workspace וכל דומיין משני שהוספתם.
      דוגמה: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. כדי לאפשר למשתמשים להיכנס לחשבונות ספציפיים, מוסיפים את הערכים הבאים לכותרת:
    • domain_name לחשבונות בדומיינים ספציפיים, כמו altostrat.com ו-tenorstrat.com לחשבונות שמסתיימים ב-‎@altostrat.com וב-‎@tenorstrat.com
    • consumer_accounts לחשבונות Google פרטיים, כמו ‎ @gmail.com ו-‎ @googlemail.com
    • visitor_accounts לחשבונות אורח ב-Google
      כדי לאפשר למשתמשים להיכנס לחשבונות אורח ולחסום חשבונות פרטיים, מוסיפים visitor_accounts לכותרת ומוציאים את consumer_accounts
    • gserviceaccounts.com לחשבונות שירות מאומתים
  6. (אופציונלי) יוצרים מדיניות לשרת proxy כדי למנוע ממשתמשים להוסיף כותרות משלהם.

הערה:

  • הגישה הזו חוסמת את הגישה לשירותים לצרכנים של Google מלבד חיפוש Google, אבל לא בהכרח אוסרת על גישה אנונימית.
  • כשמוסיפים את כותרת ה-HTTP‏ X-GoogApps-Allowed-Domains, המשתמשים יראו שגיאות בגישה לתיבות דואר שהוקצו להן הרשאות מדומיין שלא מופיע בכותרת.

שאלות נפוצות

מה קורה אם חשבונות לא מורשים מנסים לגשת לשירותים?

אם משתמש מנסה לגשת לשירותי Google מחשבון לא מורשה, מוצג לו דף אינטרנט שבו:

  • תיאור השירות שלא זמין
  • הצגת החשבון הלא מורשה שבו הם משתמשים
  • רשימת הדומיינים שבהם השירות זמין
  • מציעה להם לפנות לאדמין של הרשת לקבלת מידע נוסף, לצאת מהחשבון הלא מורשה ולהיכנס לחשבון מורשה

מה קורה עם שירותים שלא נדרש עבורם אימות?

‫Google לא מחזיקה ברשימה של שירותים חסומים. אם שירות מסוים דורש כניסה לחשבון, הגישה אליו נחסמת. שירותים שלא נדרש בהם אימות, כמו חיפוש Google ו-YouTube, לא ייחסמו.

למה אי אפשר פשוט לסנן את התנועה?

אחת הדרכים הנפוצות לחסימת הגישה לשירותי אינטרנט היא שימוש בשרת פרוקסי לאינטרנט כדי לסנן תנועה שמכוונת לכתובות URL מסוימות. הגישה הזו לא תעבוד במקרה הזה כי תנועה לגיטימית מחשבון Google מנוהל של משתמש מגיעה לאותה כתובת URL כמו התנועה שרוצים לחסום.


Google‏, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.