Blokkeer de toegang tot consumentenaccounts

Als beheerder wilt u wellicht voorkomen dat gebruikers zich aanmelden bij Google-services met andere accounts dan die u hen hebt verstrekt. U wilt bijvoorbeeld misschien niet dat gebruikers binnen uw bedrijfsnetwerk hun persoonlijke Gmail-accounts of een beheerd Google-account van een ander domein gebruiken.

Let op : wanneer u de toegang tot consumentenaccounts blokkeert, kunnen gebruikers de volgende foutmelding zien: "Dit account heeft geen toestemming om in te loggen binnen dit netwerk".

Sta alleen toegang toe vanaf specifieke domeinen.

Beschikbaar voor ChromeOS-apparaten.

Om gebruikers toegang te geven tot Google-services met een account dat alleen afkomstig is van een lijst met specifieke Google Workspace-domeinen:

Voordat u begint: Als u een afdeling of team voor deze instelling wilt aanmaken, gaat u naar Een organisatie-eenheid toevoegen .

  1. Ga naar het menu en danApparaten > Chrome > Instellingen .

    Hiervoor is beheerdersrechten voor mobiel apparaatbeheer vereist.

  2. (Optioneel) Om de instelling op een afdeling of team toe te passen, selecteert u aan de zijkant een organisatie-eenheid .
  3. Ga naar Gebruikerservaring en dan Aanmelden bij secundaire accounts .
  4. Selecteer ' Gebruikers alleen toestaan ​​zich aan te melden bij de onderstaande Google Workspace-domeinen' .
  5. Voer de domeinen van uw organisatie in. (Als u dit niet doet, hebben uw gebruikers mogelijk geen toegang tot Google-services.) Opmerking : gserviceaccounts.com is inbegrepen en essentieel voor geauthenticeerde serviceaccounts.
  6. (Optioneel) Om consumenten-Google-accounts, zoals accounts die eindigen op @gmail.com en @googlemail.com, toe te voegen, voert u consumer_accounts in de lijst in.
    1. (Optioneel) Om Google-accounts van bezoekers wel, maar die van consumenten niet mee te nemen, voer je visitor_accounts in de lijst in en laat je consumer_accounts weg.
  7. Klik op Opslaan .

Instellingen worden doorgaans binnen enkele minuten van kracht. Het kan echter tot een uur duren voordat ze voor iedereen zijn doorgevoerd.

Volgende stappen

  • Via de instellingen voor gebruikers en browsers kunt u gebruikers ook beletten om in de incognitomodus te browsen. Ga naar de incognitomodus. en dan Schakel de incognitomodus uit en klik op Opslaan . Ga naar Incognitomodus voor meer informatie.
  • Stel een aanmeldingsbeperking in zodat alleen gebruikers binnen uw organisatie zich kunnen aanmelden bij apparaten met ChromeOS. Zie Aanmeldingsbeperking voor meer informatie.
  • Schakel gastbrowsen op apparaten uit. Ga naar Gastmodus voor meer informatie.

Gebruik een webproxyserver om accounts te blokkeren.

Stap 1: Kies een webproxyserver

Om alleen gebruikers op uw netwerk toegang te geven tot Google-services via specifieke Google-accounts vanaf uw domein, hebt u een webproxyserver nodig die het volgende kan:

  • Voeg een header toe aan al het verkeer dat naar *.google.com wordt doorgestuurd . Deze header identificeert de domeinen van waaruit gebruikers toegang hebben tot Google-services.
  • Ondersteuning voor SSL-onderschepping — Aangezien het meeste verkeer via uw Google-service versleuteld is, moet uw proxyserver ook SSL-onderschepping ondersteunen.

Lees de specifieke instructies van de volgende proxyproviders over het blokkeren van Google-services en kies een server die aan uw behoeften voldoet.

Stap 2: Configureer het netwerk om bepaalde accounts te blokkeren.

Om te voorkomen dat gebruikers zich aanmelden bij Google-services met andere Google-accounts dan die u expliciet opgeeft:

  1. Leid al het uitgaande verkeer naar *.google.com via uw webproxyservers.
  2. Schakel SSL-onderschepping in op de proxyserver.
  3. Configureer elk clientapparaat om uw SSL-proxy te vertrouwen:
    1. Implementeer de interne rootcertificaatinstantie die door de proxy wordt gebruikt.
    2. Markeer het als vertrouwd.
  4. Voor elk verzoek aan *.google.com:
    1. Onderschep het verzoek.
    2. Voeg de HTTP-header X-GoogApps-Allowed-Domains: toe, gevolgd door een door komma's gescheiden lijst met toegestane domeinnamen.
      Zorg ervoor dat de lijst het domein bevat dat u bij Google Workspace hebt geregistreerd, evenals alle secundaire domeinen die u hebt toegevoegd.
      Voorbeeld: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. Om gebruikers toegang te geven tot specifieke accounts, voegt u de volgende waarden toe aan de header:
    • domain_name voor accounts op specifieke domeinen, zoals altostrat.com en tenorstrat.com , en voor accounts die eindigen op @altostrat.com en tenorstrat.com.
    • consumer_accounts voor Google-accounts van consumenten, zoals @gmail.com en @googlemail.com
    • visitor_accounts voor Google-accounts van bezoekers
      Om gebruikers toegang te geven tot bezoekersaccounts en tegelijkertijd consumentenaccounts te blokkeren, voegt u visitor_accounts toe aan de header en sluit u consumer_accounts uit.
    • gserviceaccounts.com voor geauthenticeerde serviceaccounts
  6. (Optioneel) Maak een proxybeleid aan om te voorkomen dat gebruikers hun eigen headers invoegen.

Opmerking :

  • Deze aanpak blokkeert de toegang tot Google-consumentendiensten anders dan Google Zoeken via een aanmeldingsformulier, maar verbiedt niet per se anonieme toegang.
  • Wanneer u de HTTP-header X-GoogApps-Allowed-Domains toevoegt, zullen gebruikers fouten zien bij het openen van gedelegeerde mailboxen vanuit een domein dat niet in de header is opgenomen.

Veelgestelde vragen

Wat gebeurt er als onbevoegde accounts proberen toegang te krijgen tot de diensten?

Als een gebruiker probeert toegang te krijgen tot Google-services vanaf een ongeautoriseerd account, krijgt hij of zij een webpagina te zien die het volgende weergeeft:

  • Beschrijft de niet-beschikbare dienst.
  • Toont het ongeautoriseerde account dat ze gebruiken
  • Geeft een overzicht van de domeinen waar de service beschikbaar is.
  • Er wordt gesuggereerd dat ze contact opnemen met een netwerkbeheerder voor meer informatie, zich afmelden bij hun ongeautoriseerde account en zich aanmelden met een geautoriseerd account.

Wat gebeurt er met diensten die geen authenticatie vereisen?

Google houdt geen lijst bij van geblokkeerde diensten. Als een bepaalde dienst een aanmelding vereist, wordt de toegang geblokkeerd. Diensten die geen authenticatie vereisen, zoals Google Zoeken en YouTube, worden niet geblokkeerd.

Waarom kan ik het verkeer niet gewoon filteren?

Een veelgebruikte methode om de toegang tot webdiensten te blokkeren, is het gebruik van een webproxyserver om verkeer naar specifieke URL's te filteren. Deze aanpak werkt in dit geval echter niet, omdat legitiem verkeer afkomstig van een beheerd Google-account van een gebruiker naar dezelfde URL gaat als het verkeer dat u wilt blokkeren.


Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.