Chặn quyền truy cập vào tài khoản người dùng cá nhân

Là quản trị viên, bạn có thể muốn ngăn người dùng đăng nhập vào các dịch vụ của Google bằng bất kỳ tài khoản nào khác ngoài những tài khoản mà bạn cung cấp cho họ. Ví dụ: bạn có thể không muốn người dùng trong mạng công ty sử dụng tài khoản Gmail cá nhân hoặc Tài khoản Google được quản lý thuộc một miền khác.

Lưu ý: Khi bạn chặn quyền truy cập vào tài khoản người dùng cá nhân, người dùng có thể thấy thông báo lỗi sau: "Tài khoản này không được phép đăng nhập trong mạng này".

Chỉ cho phép truy cập từ các miền cụ thể

Dùng được trên thiết bị ChromeOS.

Cách chỉ cho phép người dùng truy cập vào các dịch vụ của Google bằng tài khoản có trong danh sách miền Google Workspace được chỉ định:

Trước khi bắt đầu: Nếu bạn cần thiết lập một bộ phận hoặc nhóm cho chế độ cài đặt này, hãy tham khảo bài viết Thêm một đơn vị tổ chức.

  1. Chuyển đến Trình đơn sau đó Thiết bị > Chrome > Cài đặt.

    Bạn phải có đặc quyền Quản lý thiết bị di động dành cho quản trị viên.

  2. (Không bắt buộc) Để áp dụng chế độ cài đặt này cho một bộ phận hoặc một nhóm, hãy chọn một đơn vị tổ chức trên trình đơn bên.
  3. Chuyển đến Trải nghiệm người dùng sau đó Đăng nhập vào tài khoản phụ.
  4. Chọn Chỉ cho phép người dùng đăng nhập vào các miền Google Workspace đã chỉ định bên dưới.
  5. Nhập miền của tổ chức bạn. (Nếu không, có thể người dùng sẽ không có quyền truy cập vào các dịch vụ của Google.) Lưu ý: gserviceaccounts.com được đưa vào và rất quan trọng đối với các tài khoản dịch vụ đã xác thực.
  6. (Không bắt buộc) Để thêm những Tài khoản Google cho người dùng cá nhân, chẳng hạn như những tài khoản có đuôi @gmail.com và @googlemail.com, hãy nhập consumer_accounts vào danh sách.
    1. (Không bắt buộc) Để thêm Tài khoản Google của khách truy cập mà không thêm Tài khoản Google cho người dùng cá nhân, hãy nhập visitor_accounts vào danh sách và không nhập consumer_accounts.
  7. Nhấp vào Lưu.

Các chế độ cài đặt thường có hiệu lực trong vòng vài phút. Tuy nhiên, có thể mất đến một giờ để áp dụng cho tất cả mọi người.

Các bước tiếp theo

  • Trong phần Cài đặt người dùng và trình duyệt, bạn cũng có thể ngăn người dùng duyệt web ở Chế độ ẩn danh. Chuyển đến Chế độ ẩn danh sau đó Không cho phép sử dụng chế độ ẩn danh rồi nhấp vào Lưu. Để biết thông tin chi tiết, hãy chuyển đến phần Chế độ ẩn danh.
  • Thiết lập chế độ hạn chế đăng nhập để chỉ người dùng trong tổ chức của bạn mới có thể đăng nhập vào các thiết bị chạy ChromeOS. Để biết thông tin chi tiết, hãy chuyển đến phần Hạn chế đăng nhập.
  • Tắt tính năng duyệt với tư cách khách trên các thiết bị. Để biết thông tin chi tiết, hãy chuyển đến phần Chế độ khách.

Sử dụng máy chủ proxy web để chặn tài khoản

Bước 1: Chọn máy chủ proxy web

Để chỉ cho phép người dùng trên mạng của bạn truy cập vào các dịch vụ của Google bằng những Tài khoản Google cụ thể thuộc miền của bạn, bạn cần một máy chủ proxy web có thể:

  • Thêm tiêu đề vào tất cả lưu lượng truy cập được chuyển đến *.google.com—Tiêu đề này xác định các miền mà người dùng có thể truy cập vào các dịch vụ của Google.
  • Hỗ trợ chặn SSL—Vì hầu hết lưu lượng truy cập thông qua dịch vụ của Google đều được mã hoá, nên máy chủ proxy của bạn cũng cần hỗ trợ chặn SSL.

Đọc hướng dẫn cụ thể về cách chặn các dịch vụ của Google từ những nhà cung cấp dịch vụ proxy sau đây, chọn một máy chủ đáp ứng nhu cầu của bạn.

Bước 2: Định cấu hình mạng để chặn một số tài khoản

Cách ngăn người dùng đăng nhập vào các dịch vụ của Google bằng những Tài khoản Google khác ngoài những tài khoản mà bạn chỉ định rõ ràng:

  1. Định tuyến tất cả lưu lượng truy cập đi đến *.google.com thông qua máy chủ proxy web.
  2. Bật tính năng chặn SSL trên máy chủ proxy.
  3. Định cấu hình mọi thiết bị máy khách để tin cậy proxy SSL của bạn:
    1. Triển khai Cơ quan cấp chứng chỉ gốc nội bộ do proxy sử dụng.
    2. Đánh dấu là đáng tin cậy.
  4. Đối với mỗi yêu cầu *.google.com:
    1. Chặn yêu cầu.
    2. Thêm tiêu đề HTTP X-GoogApps-Allowed-Domains: , tiếp theo là danh sách tên miền được phân tách bằng dấu phẩy.
      Đảm bảo rằng danh sách này bao gồm miền mà bạn đã đăng ký với Google Workspace và mọi miền phụ mà bạn đã thêm.
      Ví dụ: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. Để cho phép người dùng đăng nhập vào các tài khoản cụ thể, hãy thêm các giá trị sau vào tiêu đề:
    • domain_name cho các tài khoản trên các miền cụ thể, chẳng hạn như altostrat.comtenorstrat.com cho các tài khoản có đuôi @altostrat.com và tenorstrat.com
    • consumer_accounts cho Tài khoản Google cho người dùng cá nhân, chẳng hạn như @gmail.com và @googlemail.com
    • visitor_accounts cho Tài khoản Google của khách truy cập
      Để cho phép người dùng đăng nhập vào tài khoản khách truy cập trong khi chặn tài khoản người dùng cá nhân, hãy thêm visitor_accounts vào tiêu đề và loại trừ consumer_accounts
    • gserviceaccounts.com cho các tài khoản dịch vụ đã xác thực
  6. (Không bắt buộc) Tạo chính sách proxy để ngăn người dùng chèn tiêu đề của riêng họ.

Lưu ý:

  • Phương pháp này chặn quyền truy cập đăng nhập vào các dịch vụ của Google cho người dùng cá nhân khác ngoài Google Tìm kiếm, nhưng không nhất thiết cấm quyền truy cập ẩn danh.
  • Khi bạn thêm tiêu đề HTTP X-GoogApps-Allowed-Domains, người dùng sẽ thấy lỗi khi truy cập vào hộp thư được uỷ quyền từ một miền không có trong tiêu đề.

Câu hỏi thường gặp

Điều gì sẽ xảy ra nếu các tài khoản trái phép cố gắng truy cập vào các dịch vụ?

Nếu người dùng cố gắng truy cập vào các dịch vụ của Google bằng một tài khoản trái phép, họ sẽ thấy một trang web:

  • Mô tả dịch vụ không dùng được
  • Hiển thị tài khoản trái phép mà họ đang sử dụng
  • Liệt kê các miền mà dịch vụ này dùng được
  • Đề xuất rằng họ liên hệ với quản trị viên mạng để biết thêm thông tin, đăng xuất khỏi tài khoản trái phép và đăng nhập bằng một tài khoản được uỷ quyền

Điều gì sẽ xảy ra với các dịch vụ không cần xác thực?

Google không duy trì danh sách các dịch vụ bị chặn. Nếu một dịch vụ cụ thể yêu cầu đăng nhập, thì quyền truy cập sẽ bị chặn. Các dịch vụ không yêu cầu xác thực, chẳng hạn như Google Tìm kiếm và YouTube, sẽ không bị chặn.

Tại sao tôi không thể chỉ lọc lưu lượng truy cập?

Một phương pháp phổ biến để chặn quyền truy cập vào các dịch vụ web là sử dụng máy chủ proxy web để lọc lưu lượng truy cập được chuyển đến các URL cụ thể. Phương pháp này sẽ không hoạt động trong trường hợp này vì lưu lượng truy cập hợp lệ từ Tài khoản Google được quản lý của người dùng sẽ chuyển đến cùng một URL với lưu lượng truy cập mà bạn muốn chặn.


Google, Google Workspace và những nhãn hiệu cũng như biểu tượng có liên quan là nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.