Bloccare l'accesso agli account consumer

In qualità di amministratore, puoi impedire agli utenti di accedere ai servizi Google utilizzando account diversi da quelli forniti da te. Ad esempio, potrebbe essere opportuno impedire agli utenti della rete aziendale di utilizzare i propri account Gmail personali o un Account Google gestito che appartiene a un altro dominio.

Nota: quando blocchi l'accesso agli account consumer, gli utenti potrebbero visualizzare il seguente messaggio di errore: "Questo account non è autorizzato ad accedere in questa rete".

Consentire l'accesso solo da domini specifici

Disponibile per i dispositivi ChromeOS.

Per consentire agli utenti di accedere ai servizi Google utilizzando solo gli account di un elenco di domini di Google Workspace specificati:

Prima di iniziare:se devi configurare un reparto o un team per questa impostazione, vedi Aggiungere un'unità organizzativa.

  1. Vai a Menu e poi Dispositivi > Chrome > Impostazioni

    È necessario disporre del privilegio di amministratore Gestione dei dispositivi mobili.

  2. (Facoltativo) Per applicare l'impostazione a un reparto o a un team, seleziona un'unità organizzativa a lato.
  3. Vai a Esperienza utentee poiAccesso agli account secondari.
  4. Seleziona Consenti agli utenti di accedere solo ai domini di Google Workspace indicati di seguito.
  5. Inserisci i domini della tua organizzazione. In caso contrario, gli utenti potrebbero non avere accesso ai servizi Google. Nota: gserviceaccounts.com è incluso e fondamentale per i service account autenticati.
  6. (Facoltativo) Per includere gli Account Google di tipo consumer, ad esempio quelli che terminano con @gmail.com e @googlemail.com, inserisci consumer_accounts nell'elenco.
    1. (Facoltativo) Per includere gli Account Google visitatore senza includere gli Account Google consumer, inserisci visitor_accounts nell'elenco e non inserire consumer_accounts.
  7. Fai clic su Salva.

In genere le impostazioni diventano effettive entro pochi minuti. Tuttavia, l'applicazione delle impostazioni a tutti gli utenti potrebbe richiedere fino a un'ora.

Passaggi successivi

  • Dalla pagina Impostazioni utenti e browser puoi anche impedire agli utenti di utilizzare la modalità di navigazione in incognito. Vai a Modalità di navigazione in incognitoe poiNon consentire modalità di navigazione in incognito e fai clic su Salva. Per maggiori dettagli, vedi Modalità di navigazione in incognito.
  • Imposta una limitazione di accesso in modo tale che solo gli utenti nella tua organizzazione possano accedere ai dispositivi che eseguono ChromeOS. Per maggiori dettagli, vai a Limitazioni di accesso.
  • Disattiva la navigazione come ospite sui dispositivi. Per maggiori dettagli, vai a Modalità ospite.

Utilizzare un server proxy web per bloccare gli account

Passaggio 1: scegli un server proxy web

Per consentire agli utenti nella tua rete di accedere ai servizi Google solo utilizzando Account Google specifici dal tuo dominio, è necessario un server proxy web che sia in grado di:

  • Aggiungere un'intestazione a tutto il traffico diretto a *.google.com: questa intestazione identifica i domini da cui gli utenti possono accedere ai servizi Google.
  • Supportare l'intercettazione del traffico su SSL: poiché la maggior parte del traffico indirizzato ai servizi Google è criptato, il server proxy deve anche supportare l'intercettazione del traffico su SSL.

Leggi le istruzioni specifiche su come bloccare i servizi Google dai seguenti fornitori di servizi proxy, selezionando un server che risponda alle tue esigenze.

Passaggio 2: configura la rete per bloccare determinati account

Per impedire che gli utenti accedano ai servizi Google utilizzando Account Google diversi da quelli che hai specificato in modo esplicito:

  1. Indirizza tutto il traffico in uscita a *.google.com mediante i tuoi server proxy web.
  2. Attiva l'intercettazione SSL sul server proxy.
  3. Configura ogni dispositivo client in modo che ritenga affidabile il proxy SSL:
    1. Esegui il deployment dell'autorità di certificazione radice interna utilizzata dal proxy.
    2. Contrassegnala come attendibile.
  4. Per ciascuna richiesta su *.google.com:
    1. Intercetta la richiesta.
    2. Aggiungi l'intestazione HTTP X-GoogApps-Allowed-Domains:, seguita da un elenco di valori separati da virgole con i nomi dei domini consentiti.
      Assicurati che l'elenco includa il dominio registrato con Google Workspace e gli eventuali domini secondari che hai aggiunto.
      Esempio: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. Per consentire agli utenti di accedere ad account specifici, aggiungi all'intestazione i seguenti valori:
    • nome_dominio per account su domini specifici, ad esempio altostrat.com e tenorstrat.com per gli account che terminano in @altostrat.com e tenorstrat.com
    • consumer_accounts per gli Account Google di tipo consumer, come @gmail.com e @googlemail.com
    • visitor_accounts per gli Account Google visitatore
      Per consentire agli utenti di accedere agli account visitatore bloccando gli account consumer, aggiungi visitor_accounts all'intestazione ed escludi consumer_accounts.
    • gserviceaccounts.com per gli account di servizio autenticati
  6. (Facoltativo) Crea un criterio del proxy per impedire agli utenti di inserire le proprie intestazioni.

Nota:

  • Questo metodo consente di bloccare l'accesso ai servizi consumer Google diversi da Ricerca Google, ma non impedisce necessariamente l'accesso anonimo.
  • Quando aggiungi l'intestazione HTTP X-GoogApps-Allowed-Domains, verranno visualizzati messaggi di errore quando gli utenti accedono alle cassette postali delegate da un dominio non incluso nell'intestazione.

Domande comuni

Cosa succede in caso di tentativi di accesso ai servizi da parte di account non autorizzati?

Se un utente tenta di accedere ai servizi Google da un account non autorizzato, viene visualizzata una pagina web che:

  • Descrive il servizio non disponibile.
  • Mostra l'account non autorizzato utilizzato dall'utente.
  • Elenca i domini in cui il servizio è disponibile
  • Suggerisce di contattare un amministratore di rete per maggiori informazioni e invita l'utente a disconnettersi dall'account non autorizzato e ad accedere con un account autorizzato.

Cosa succede con i servizi che non richiedono l'autenticazione?

Google non gestisce un elenco di servizi bloccati. Se un particolare servizio richiede di effettuare l'accesso, l'accesso viene bloccato. I servizi che non richiedono l'autenticazione, come Ricerca Google e YouTube, non verranno bloccati.

Perché non posso semplicemente filtrare il traffico?

Un metodo comunemente utilizzato per bloccare l'accesso ai servizi web consiste nel ricorrere a un server proxy web per filtrare il traffico indirizzato a determinati URL. In questo caso, tuttavia, il metodo non funziona, perché il traffico legittimo proveniente dagli Account Google gestiti degli utenti viene indirizzato allo stesso URL del traffico da bloccare.


Google, Google Workspace e i marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.