Заблокировать доступ к учетным записям потребителей.

Как администратор, вы можете захотеть запретить пользователям входить в сервисы Google, используя какие-либо учетные записи, кроме тех, которые вы им предоставили. Например, вы можете не хотеть, чтобы пользователи в вашей корпоративной сети использовали свои личные учетные записи Gmail или управляемую учетную запись Google из другого домена.

Примечание : При блокировке доступа к учетным записям пользователей может появиться следующее сообщение об ошибке: «Этой учетной записи запрещено входить в систему в данной сети».

Разрешить доступ только с определенных доменов.

Доступно для устройств ChromeOS.

Чтобы разрешить пользователям доступ к сервисам Google, используя учетную запись только из списка указанных доменов Google Workspace:

Перед началом работы: Если вам необходимо создать отдел или команду для этих настроек, перейдите в раздел «Добавить организационное подразделение» .

  1. Перейти к Меню а потом Устройства > Chrome > Настройки .

    Для этого требуются права администратора системы управления мобильными устройствами .

  2. (Необязательно) Чтобы применить настройку к отделу или команде, выберите организационное подразделение сбоку.
  3. Перейдите в раздел «Пользовательский опыт». а потом Войдите в дополнительные учетные записи .
  4. Выберите пункт «Разрешить пользователям входить в систему только в домены Google Workspace, указанные ниже» .
  5. Укажите домены вашей организации. (В противном случае ваши пользователи могут не иметь доступа к сервисам Google.) Примечание : gserviceaccounts.com включен и имеет решающее значение для аутентифицированных учетных записей служб.
  6. (Необязательно) Чтобы включить в список учетные записи Google для частных пользователей, например, с адресами, заканчивающимися на @gmail.com и @googlemail.com, введите consumer_accounts .
    1. (Необязательно) Чтобы включить в список учетные записи Google посетителей , не включая учетные записи Google обычных пользователей, введите visitor_accounts и не вводите consumer_accounts .
  7. Нажмите « Сохранить ».

Как правило, изменения вступают в силу за несколько минут. Но для всех пользователей может потребоваться до часа, чтобы они применились.

Следующие шаги

  • В настройках «Пользователи и браузеры» вы также можете запретить пользователям просматривать сайт в режиме инкогнито. Перейдите в раздел «Режим инкогнито». а потом Отключите режим инкогнито и нажмите «Сохранить» . Подробности см. в разделе «Режим инкогнито» .
  • Установите ограничение на вход в систему, чтобы только пользователи вашей организации могли входить в систему на устройствах под управлением ChromeOS. Подробности см. в разделе «Ограничение на вход в систему» .
  • Отключите гостевой доступ к веб-страницам на устройствах. Подробности см. в разделе «Гостевой режим» .

Используйте веб-прокси-сервер для блокировки учетных записей.

Шаг 1: Выберите веб-прокси-сервер

Чтобы разрешить доступ к сервисам Google только пользователям вашей сети, использующим определенные учетные записи Google из вашего домена, вам необходим веб-прокси-сервер, который может:

  • Добавьте заголовок ко всему трафику, направляемому на *.google.com — этот заголовок определяет домены, с которых пользователи могут получить доступ к сервисам Google.
  • Поддержка перехвата SSL-трафика — Поскольку большая часть трафика через ваш сервис Google зашифрована, ваш прокси-сервер также должен поддерживать перехват SSL-трафика.

Ознакомьтесь с подробными инструкциями по блокировке сервисов Google у следующих поставщиков прокси-серверов, выбрав сервер, соответствующий вашим потребностям.

Шаг 2: Настройте сеть для блокировки определенных учетных записей.

Чтобы запретить пользователям входить в сервисы Google, используя учетные записи Google, отличные от тех, которые вы явно указали:

  1. Направляйте весь исходящий трафик на *.google.com через ваши веб-прокси-серверы.
  2. Включите перехват SSL-сообщений на прокси-сервере.
  3. Настройте каждое клиентское устройство так, чтобы оно доверяло вашему SSL-прокси:
    1. Разверните внутренний корневой центр сертификации, используемый прокси-сервером.
    2. Отметьте как доверенное.
  4. Для каждого запроса *.google.com:
    1. Перехватите запрос.
    2. Добавьте HTTP-заголовок X-GoogApps-Allowed-Domains:, за которым следует список разрешенных доменных имен, разделенных запятыми.
      Убедитесь, что в список включен домен, зарегистрированный вами в Google Workspace, а также все дополнительные домены, которые вы добавили.
      Пример: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. Чтобы разрешить пользователям входить в систему под определенными учетными записями, добавьте в заголовок следующие значения:
    • domain_name используется для учетных записей на определенных доменах, например, altostrat.com и tenorstrat.com для учетных записей, заканчивающихся на @altostrat.com и tenorstrat.com.
    • consumer_accounts — это пользовательские учетные записи Google, например, @gmail.com и @googlemail.com.
    • visitor_accounts для гостевых учетных записей Google
      Чтобы разрешить пользователям входить в гостевые учетные записи, заблокировав при этом учетные записи обычных пользователей, добавьте в заголовок строку visitor_accounts и исключите из списка consumer_accounts.
    • gserviceaccounts.com — для авторизованных учетных записей служб.
  6. (Необязательно) Создайте политику прокси-сервера, чтобы запретить пользователям вставлять собственные заголовки.

Примечание :

  • Этот подход блокирует вход в личные кабинеты в потребительские сервисы Google, за исключением Google Поиска, но не обязательно запрещает анонимный доступ.
  • При добавлении HTTP-заголовка X-GoogApps-Allowed-Domains пользователи будут видеть ошибки при доступе к делегированным почтовым ящикам из домена, который не указан в этом заголовке.

Часто задаваемые вопросы

Что произойдет, если неавторизованные учетные записи попытаются получить доступ к сервисам?

Если пользователь попытается получить доступ к сервисам Google с неавторизованной учетной записи, он увидит веб-страницу, которая:

  • Описывает недоступную услугу.
  • Отображает несанкционированный аккаунт, который они используют.
  • Список доменов, на которых доступна данная услуга.
  • Предлагается обратиться к сетевому администратору за дополнительной информацией, выйти из неавторизованной учетной записи и войти в систему с авторизованной учетной записью.

Что происходит с сервисами, которые не требуют аутентификации?

Google не ведет список заблокированных сервисов. Если для доступа к определенному сервису требуется авторизация, доступ блокируется. Сервисы, не требующие аутентификации, такие как Google Поиск и YouTube, блокироваться не будут.

Почему я не могу просто отфильтровать трафик?

Распространенный способ блокировки доступа к веб-сервисам — использование веб-прокси-сервера для фильтрации трафика, направленного на определенные URL-адреса. Однако в данном случае этот подход не сработает, поскольку легитимный трафик из управляемого аккаунта Google пользователя направляется на тот же URL-адрес, что и трафик, который вы хотите заблокировать.


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.