一般ユーザー向けアカウントからのサービス利用を防ぐ

管理者は、組織内のユーザーが Google サービスへのログインに使用するアカウントを、自身が提供したものに限定できます。たとえば、企業ネットワーク内のユーザーが個人用の Gmail アカウントや別ドメインで管理対象の Google アカウントを使用することを禁止できます。

: 一般ユーザー向けアカウントの使用をブロックすると、ユーザーには [このネットワーク内では、このアカウントではログインできません] というエラー メッセージが表示されることがあります。

特定のドメインからのアクセスのみを許可する

ChromeOS デバイスで利用できます。

Google サービスへのアクセスに使用するアカウントを、指定した Google Workspace ドメインのリストに登録されているものに限定するには:

始める前に: この設定に対する部門やチームを設定する必要がある場合は、組織部門を追加するをご覧ください。

  1. メニュー アイコン 次に [デバイス] > [Chrome] > [設定] に移動します。 

    アクセスするには、モバイル デバイス管理の管理者権限が必要です。

  2. (省略可)設定を部門やチームに適用するには、横で組織部門を選択します。
  3. [ユーザー エクスペリエンス] 次に [予備のアカウントにログインする] に移動します。
  4. [ユーザーに以下の Google Workspace ドメインへのログインのみを許可する] を選択します。
  5. 組織のドメインを入力します。(入力しない場合、ユーザーが Google サービスを利用できない可能性があります)。: gserviceaccounts.com は、認証されたサービス アカウント用の必須のドメインとして含まれています。
  6. (省略可)一般ユーザー向け Google アカウント(末尾が @gmail.com や @googlemail.com など)を含めるには、リストに「consumer_accounts」と入力します。
    1. (省略可)一般ユーザー向け Google アカウントを含めずにゲスト用 Google アカウントを含めるには、リストに「visitor_accounts」と入力し、「consumer_accounts」は入力しないでください。
  7. [保存] をクリックします。

通常、設定は数分ほどで有効になりますが、全員に適用されるまでには 1 時間ほどかかる場合があります。

次のステップ

  • [ユーザーとブラウザ] の設定で、ユーザーがシークレット モードでブラウジングできないようにすることもできます。[シークレット モード] 次に [シークレット モードを無効にする] に移動し、[保存] をクリックします。詳しくは、シークレット モードをご覧ください。
  • 組織内のユーザーだけが ChromeOS デバイスにログインできるように、ログイン制限を設定します。詳しくは、ログインの制限をご覧ください。
  • デバイスでゲスト ブラウジングを無効にします。詳しくは、ゲストモードをご覧ください。

ウェブ プロキシ サーバーを使用してアカウントをブロックする

ステップ 1: ウェブ プロキシ サーバーを選択する

ネットワーク上のユーザーが組織のドメインの特定の Google アカウントを使用している場合にだけ Google サービスの利用を許可するには、以下のことができるウェブ プロキシ サーバーが必要です。

  • *.google.com に送られるすべてのトラフィックにヘッダーを追加 - このヘッダーにより、Google サービスの利用を許可するユーザーのドメインを特定できます。
  • SSL インターセプト機能が備わっている - Google サービスのトラフィックは大部分が暗号化されているため、プロキシ サーバーには SSL インターセプト機能も備わっている必要があります。

以下のプロキシ サービス プロバイダで Google サービスをブロックする具体的な手順について説明していますので、ニーズに応じたサーバーをお選びください。

ステップ 2: 特定のアカウントをブロックするようにネットワークを設定する

管理者が明示的に指定した Google アカウントだけに Google サービスへのログインを許可するには:

  1. *.google.com 宛てのすべての送信トラフィックがウェブ プロキシ サーバーを経由するようにします。
  2. プロキシ サーバーで SSL インターセプトを有効にします。
  3. SSL プロキシを信頼するよう、すべてのクライアント デバイスを設定します。
    1. プロキシで使用される内部ルート認証局を導入します。
    2. 信頼できる認証局として設定します。
  4. *.google.com の各リクエストに対して次の処理を行います。
    1. リクエストをインターセプトします。
    2. X-GoogApps-Allowed-Domains:」という HTTP ヘッダーを追加し、許可されるドメイン名のカンマ区切りのリストを続けて指定します。
      Google Workspace に登録したドメインと追加したセカンダリ ドメインを必ずリストに含めるようにしてください。
      例: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. ユーザーが特定のアカウントにログインできるように、ヘッダーに次の値を追加します。
    • 特定のドメインのアカウントの場合(例: @altostrat.com の「altostrat.com」、@tenorstrat.com の「tenorstrat.com」)は「domain_name
    • 一般ユーザー向け Google アカウント(例: @gmail.com、@googlemail.com)の場合は「consumer_accounts
    • ビジター Google アカウントの(visitor_accounts)の場合
      一般ユーザー向けアカウントをブロックしながら、ユーザーがゲスト用アカウントにログインできるようにするには、ヘッダーに visitor_accounts を追加し、consumer_accounts を除外します。
    • 認証されたサービス アカウントの場合は「gserviceaccounts.com
  6. (省略可)ユーザーが独自のヘッダーを挿入しないようにプロキシ ポリシーを作成します。

:

  • この設定により Google 検索を除く Google の一般ユーザー向けサービスへのログインを防ぐことができますが、必ずしも匿名アクセスを禁止するものではありません。
  • X-GoogApps-Allowed-Domains HTTP ヘッダーを追加すると、委任されたメールボックスにヘッダーに含まれないドメインからアクセスするユーザーに対してエラーが表示されます。

よくある質問

許可されていないアカウントからサービスを利用しようとすると、どうなりますか?

許可されていないアカウントから Google サービスを利用しようとすると、次の内容がウェブページに表示されます。

  • サービスを利用できないことについての説明
  • ユーザーが現在使用している、許可されていないアカウント名
  • サービスを利用できるドメインのリスト
  • ネットワーク管理者に詳細を問い合わせ、許可されていないアカウントからログアウトし、許可されているアカウントでログインし直す旨のアドバイス

認証を必要としないサービスを使おうとした場合はどうなりますか?

ブロックされたサービスのリストを Google で保持してはいないため、ログインが必要なサービスでは利用がブロックされる一方で、認証を必要としないサービス(Google 検索、YouTube など)のご利用は制限されません。

トラフィックを除外してサービスをブロックできないのはなぜですか?

ウェブサービスの利用をブロックする一般的な方法は、特定の URL に送信されるトラフィックをウェブ プロキシ サーバーを使ってフィルタすることですが、上記のケースではこの方法が使えません。管理対象の Google アカウントからの正当なトラフィックが、ブロックしたいトラフィックと同じ URL に送られるためです。


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。