חסימת הגישה לחשבונות פרטיים

אדמינים יכולים למנוע ממשתמשים להיכנס לשירותי Google באמצעות חשבונות אחרים שלא הקצו להם. לדוגמה, יכול להיות שלא תרצו שמשתמשים ברשת הארגונית שלכם ישתמשו בחשבונות Gmail אישיים או בחשבון Google מנוהל מדומיין אחר.

הערה: כשחוסמים גישה לחשבונות לשימוש אישי, יכול להיות שהמשתמשים יראו את הודעת השגיאה הבאה: "לחשבון הזה אין אישור להיכנס בתוך הרשת הזו".

אישור גישה רק מדומיינים ספציפיים

זמין במכשירי ChromeOS.

כדי לאפשר למשתמשים לגשת לשירותי Google רק עם חשבון שמופיע ברשימה של דומיינים ספציפיים של Google Workspace:

לפני שמתחילים: אם צריכים להגדיר מחלקה או צוות עבור ההגדרה הזו, עוברים אל הוספת יחידה ארגונית.

  1. עוברים אל תפריט ואז מכשירים > Chrome > הגדרות

    כדי לעשות את זה צריך הרשאת אדמין לניהול מכשירים ניידים.

  2. (אופציונלי) כדי להחיל את ההגדרה רק על מחלקה או על צוות, בצד, בוחרים יחידה ארגונית.
  3. עוברים אל חוויית משתמשואזכניסה לחשבונות משניים.
  4. בוחרים באפשרות המשתמשים יכולים להיכנס רק לדומיינים ב-Google Workspace שמפורטים בהמשך.
  5. מזינים את הדומיינים של הארגון. (אם לא עושים זאת, יכול להיות שלא תהיה למשתמשים גישה לשירותי Google). הערה: gserviceaccounts.com נכלל ברשימה והוא חיוני לחשבונות שירות מאומתים.
  6. (אופציונלי) כדי לכלול חשבונות Google פרטיים, כמו חשבונות שמסתיימים ב-‎ @gmail.com וב-‎ @googlemail.com, מוסיפים consumer_accounts לרשימה.
    1. (אופציונלי) כדי לכלול חשבונות Google של מבקרים בלי לכלול חשבונות Google פרטיים, מוסיפים לרשימה visitor_accounts ולא מוסיפים consumer_accounts.
  7. לוחצים על שמירה.

בדרך כלל השינויים נכנסים לתוקף בתוך כמה דקות. אבל יכול להיות שיחלפו עד שעה עד שהן יחולו על כולם.

השלבים הבאים

  • בהגדרות של משתמשים ודפדפנים, אפשר גם למנוע מהמשתמשים לגלוש במצב פרטי. עוברים אל המצב הפרטיואזאיסור שימוש במצב הפרטי ולוחצים על שמירה. פרטים נוספים מופיעים במאמר בנושא מצב פרטי.
  • להגדיר הגבלה על הכניסה, כדי שרק משתמשים בארגון יוכלו להיכנס למכשירים עם ChromeOS. מידע נוסף זמין במאמר בנושא הגבלת כניסה.
  • להשבית את האפשרות לגלישה כאורחים במכשירים. פרטים נוספים מופיעים במאמר בנושא מצב אורח.

שימוש בשרת Proxy באינטרנט לחסימת חשבונות

שלב 1: בחירת שרת Proxy לאינטרנט

כדי לאפשר רק למשתמשים ברשת שלכם לגשת לשירותי Google באמצעות חשבונות Google ספציפיים מהדומיין שלכם, אתם צריכים שרת פרוקסי לאינטרנט שיכול:

  • הוספת כותרת לכל התנועה שמופנית אל ‎*.google.com – הכותרת מזהה את הדומיינים שמהם המשתמשים יכולים לגשת לשירותי Google.
  • תמיכה ביירוט SSL – מכיוון שרוב התנועה דרך שירות Google מוצפנת, שרת ה-Proxy צריך לתמוך גם ביירוט SSL.

כדאי לקרוא את ההוראות הספציפיות לחסימת שירותי Google מספקי שירותי ה-proxy הבאים, ולבחור שרת שמתאים לצרכים שלכם.

שלב 2: הגדרת הרשת לחסימת חשבונות מסוימים

כדי למנוע ממשתמשים להיכנס לשירותי Google באמצעות חשבונות Google אחרים מלבד אלה שציינתם במפורש:

  1. מנתבים את כל התנועה היוצאת אל ‎*.google.com דרך שרתי ה-proxy של האינטרנט.
  2. מפעילים את חסימת ה-SSL בשרת הפרוקסי.
  3. מגדירים כל מכשיר לקוח כך שיסמוך על ה-Proxy של SSL:
    1. פריסת רשות אישורים פנימית שמשמשת את ה-proxy.
    2. מסמנים אותו כפריט מהימן.
  4. לכל בקשה של ‎*.google.com:
    1. ליירט את הבקשה.
    2. מוסיפים את כותרת ה-HTTP‏ X-GoogApps-Allowed-Domains: ואחריה רשימה מופרדת בפסיקים של שמות דומיינים מותרים.
      מוודאים שהרשימה כוללת את הדומיין שרשמתם ב-Google Workspace ואת כל הדומיינים המשניים שהוספתם.
      דוגמה: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. כדי לאפשר למשתמשים להיכנס לחשבונות ספציפיים, מוסיפים את הערכים הבאים לכותרת:
    • domain_name לחשבונות בדומיינים ספציפיים, כמו altostrat.com ו-tenorstrat.com לחשבונות שמסתיימים ב-‎@altostrat.com וב-‎@tenorstrat.com
    • consumer_accounts לחשבונות Google פרטיים, כמו ‎ @gmail.com ו-‎ @googlemail.com
    • visitor_accounts לחשבונות Google של מבקרים
      כדי לאפשר למשתמשים להיכנס לחשבונות של מבקרים ולחסום חשבונות פרטיים, מוסיפים את הערך visitor_accounts לכותרת ומוציאים את הערך consumer_accounts
    • gserviceaccounts.com לחשבונות שירות מאומתים
  6. (אופציונלי) יוצרים מדיניות לשרת proxy כדי למנוע ממשתמשים להוסיף כותרות משלהם.

הערה:

  • הגישה הזו חוסמת את הגישה לשירותים לצרכנים של Google מלבד חיפוש Google, אבל לא בהכרח אוסרת על גישה אנונימית.
  • כשמוסיפים את כותרת ה-HTTP‏ X-GoogApps-Allowed-Domains, המשתמשים יראו שגיאות בגישה לתיבות דואר שהוקצו להן הרשאות מדומיין שלא מופיע בכותרת.

שאלות נפוצות

מה קורה אם חשבונות לא מורשים מנסים לגשת לשירותים?

אם משתמש מנסה לגשת לשירותי Google מחשבון לא מורשה, מוצג לו דף אינטרנט שבו:

  • תיאור השירות שלא זמין
  • הצגת החשבון הלא מורשה שבו הם משתמשים
  • רשימת הדומיינים שבהם השירות זמין
  • מציעה להם לפנות לאדמין ברשת לקבלת מידע נוסף, לצאת מהחשבון הלא מורשה ולהיכנס לחשבון מורשה

מה קורה עם שירותים שלא נדרש עבורם אימות?

‫Google לא מחזיקה ברשימה של שירותים חסומים. אם שירות מסוים דורש כניסה לחשבון, הגישה אליו נחסמת. שירותים שלא נדרש אימות כדי להשתמש בהם, כמו חיפוש Google ו-YouTube, לא ייחסמו.

למה אי אפשר פשוט לסנן את התנועה?

אחת הדרכים הנפוצות לחסימת הגישה לשירותי אינטרנט היא שימוש בשרת פרוקסי לאינטרנט כדי לסנן תנועה שמכוונת לכתובות URL מסוימות. הגישה הזו לא תעבוד במקרה הזה כי תנועה לגיטימית מחשבון Google מנוהל של משתמש מגיעה לאותה כתובת URL כמו התנועה שרוצים לחסום.


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.