Memblokir akses ke akun konsumen

Sebagai administrator, Anda mungkin ingin mencegah pengguna login ke layanan Google menggunakan akun apa pun selain akun yang Anda berikan kepada mereka. Misalnya, Anda mungkin tidak ingin pengguna dalam jaringan perusahaan menggunakan akun Gmail pribadi atau Akun Google terkelola dari domain lain.

Catatan: Saat Anda memblokir akses ke akun konsumen, pengguna mungkin melihat pesan error berikut: "Akun ini tidak diizinkan untuk login dalam jaringan ini".

Mengizinkan akses hanya dari domain tertentu

Tersedia untuk perangkat ChromeOS.

Untuk mengizinkan pengguna mengakses layanan Google hanya dengan akun yang tercantum di daftar domain Google Workspace yang ditentukan:

Sebelum memulai: Jika Anda perlu menyiapkan departemen atau tim untuk setelan ini, buka Menambahkan unit organisasi.

  1. Buka Menu lalu Perangkat > Chrome > Setelan

    Anda harus memiliki hak istimewa administrator Pengelolaan Perangkat Seluler.

  2. (Opsional) Untuk menerapkan setelan ke departemen atau tim, di bagian samping, pilih unit organisasi.
  3. Buka Pengalaman penggunalaluLogin ke akun sekunder.
  4. Pilih Hanya izinkan pengguna untuk login ke domain Google Workspace yang ditetapkan di bawah.
  5. Masukkan domain organisasi Anda. (Jika tidak, pengguna Anda mungkin tidak dapat mengakses layanan Google.) Catatan: gserviceaccounts.com sudah termasuk dalam daftar dan sangat penting untuk akun layanan terautentikasi.
  6. (Opsional) Untuk menyertakan Akun Google konsumen, seperti yang berakhiran @gmail.com dan @googlemail.com, masukkan consumer_accounts ke dalam daftar.
    1. (Opsional) Untuk menyertakan Akun Google pengunjung tanpa menyertakan Akun Google konsumen, masukkan visitor_accounts dalam daftar dan jangan masukkan consumer_accounts.
  7. Klik Simpan.

Biasanya setelan akan diterapkan dalam beberapa menit. Namun, mungkin diperlukan waktu hingga satu jam agar setelan dapat diterapkan bagi semua pengguna.

Langkah berikutnya

  • Dari setelan Pengguna & browser, Anda juga dapat mencegah pengguna menjelajah dalam mode Samaran. Buka Mode samaranlaluLarang mode samaran, lalu klik Simpan. Untuk mengetahui detailnya, buka Mode samaran.
  • Menetapkan batasan login sehingga hanya pengguna di organisasi Anda yang dapat login ke perangkat yang menjalankan ChromeOS. Untuk mengetahui detailnya, buka Pembatasan login.
  • Menonaktifkan penjelajahan tanpa login di perangkat. Untuk mengetahui detailnya, buka Mode tamu.

Menggunakan server proxy web untuk memblokir akun

Langkah 1: Pilih server proxy web

Agar pengguna di jaringan Anda hanya dapat mengakses layanan Google menggunakan Akun Google tertentu dari domain Anda, Anda memerlukan server proxy web yang dapat:

  • Menambahkan header ke semua traffic yang diarahkan ke *.google.com—Header mengidentifikasi domain yang dapat digunakan pengguna untuk mengakses layanan Google.
  • Mendukung intersepsi SSL—Karena sebagian besar traffic melalui layanan Google dienkripsi, server proxy Anda juga perlu mendukung intersepsi SSL.

Baca petunjuk spesifik tentang cara memblokir layanan Google dari penyedia layanan proxy berikut, dengan memilih server yang sesuai dengan kebutuhan Anda.

Langkah 2: Konfigurasikan jaringan untuk memblokir akun tertentu

Untuk mencegah pengguna login ke layanan Google menggunakan Akun Google selain yang sudah ditentukan secara eksplisit:

  1. Rutekan semua traffic keluar ke *.google.com melalui server proxy web Anda.
  2. Aktifkan intersepsi SSL pada server proxy.
  3. Konfigurasikan setiap perangkat klien agar memercayai proxy SSL Anda:
    1. Lakukan deploy Internal Root Certificate Authority yang digunakan oleh proxy.
    2. Tandai sebagai tepercaya.
  4. Untuk setiap permintaan *.google.com:
    1. Lakukan intersepsi permintaan.
    2. Tambahkan header HTTP X-GoogApps-Allowed-Domains: diikuti daftar yang dipisahkan koma berisi nama domain yang diizinkan.
      Pastikan daftar tersebut menyertakan domain yang Anda daftarkan dengan Google Workspace dan domain sekunder apa pun yang ditambahkan.
      Contoh: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. Untuk mengizinkan pengguna login ke akun tertentu, tambahkan nilai berikut pada header:
    • nama_domain untuk akun di domain tertentu, seperti altostrat.com dan tenorstrat.com untuk akun yang berakhiran @altostrat.com dan tenorstrat.com
    • consumer_accounts untuk Akun Google konsumen, seperti @gmail.com dan @googlemail.com
    • visitor_accounts untuk Akun Google pengunjung
      Untuk mengizinkan pengguna login ke akun pengunjung sekaligus memblokir akun konsumen, tambahkan visitor_accounts ke header dan kecualikan consumer_accounts
    • gserviceaccounts.com untuk akun layanan terautentikasi
  6. (Opsional) Buat kebijakan proxy untuk mencegah pengguna memasukkan header mereka sendiri.

Catatan:

  • Pendekatan ini akan memblokir akses login ke layanan konsumen Google selain Google Penelusuran, tetapi tidak berarti melarang akses anonim.
  • Saat menambahkan header HTTP X-GoogApps-Allowed-Domains, pengguna akan melihat pesan error saat mengakses kotak surat delegasi dari domain yang tidak terdapat di header.

Pertanyaan umum

Apa yang akan terjadi jika akun yang tidak diotorisasi mencoba mengakses layanan?

Jika pengguna mencoba mengakses layanan Google dari akun yang tidak diotorisasi, akan muncul halaman web yang:

  • Menjelaskan layanan yang tidak tersedia
  • Menunjukkan akun yang tidak diotorisasi yang mereka gunakan
  • Mencantumkan domain tempat layanan tersedia
  • Menyarankan agar mereka menghubungi administrator jaringan untuk mendapatkan informasi selengkapnya, serta logout dari akun mereka yang tidak diotorisasi dan login menggunakan akun resmi

Apa yang akan terjadi dengan layanan yang tidak memerlukan autentikasi?

Google tidak menyimpan daftar layanan yang diblokir. Jika layanan tertentu mengharuskan login, akses akan diblokir. Layanan yang tidak memerlukan autentikasi, seperti Google Penelusuran dan YouTube, tidak akan diblokir.

Mengapa saya tidak dapat memfilter traffic saja?

Cara umum untuk memblokir akses ke layanan web adalah menggunakan server proxy web untuk memfilter traffic yang diarahkan ke URL tertentu. Dalam kasus ini, pendekatan tersebut tidak akan berfungsi karena traffic sah dari Akun Google terkelola milik pengguna membuka URL yang sama dengan traffic yang ingin Anda blokir.


Google, Google Workspace, serta merek dan logo terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang dari masing-masing perusahaan yang bersangkutan.