Chặn quyền truy cập vào tài khoản người dùng cá nhân

Là quản trị viên, bạn nên ngăn người dùng đăng nhập vào các dịch vụ của Google bằng những tài khoản mà bạn không cung cấp cho họ. Ví dụ: bạn có thể không muốn người dùng trong mạng công ty sử dụng tài khoản Gmail cá nhân hoặc Tài khoản Google được quản lý từ một miền khác.

Lưu ý: Khi bạn chặn quyền truy cập vào tài khoản người tiêu dùng, người dùng có thể thấy thông báo lỗi sau: "Tài khoản này không được phép đăng nhập trong mạng này".

Chỉ cho phép truy cập từ các miền cụ thể

Dùng được trên thiết bị ChromeOS.

Để chỉ cho phép người dùng truy cập vào các dịch vụ của Google bằng tài khoản có trong danh sách miền Google Workspace được chỉ định:

Trước khi bắt đầu: Nếu bạn cần thiết lập một bộ phận hoặc nhóm cho chế độ cài đặt này, hãy tham khảo bài viết Thêm một đơn vị tổ chức.

  1. Chuyển đến phần Trình đơn sau đó Thiết bị > Chrome > Cài đặt

    Bạn phải có đặc quyền Quản lý thiết bị di động dành cho quản trị viên.

  2. (Không bắt buộc) Để áp dụng chế độ cài đặt này cho một bộ phận hoặc một nhóm, hãy chọn một đơn vị tổ chức trên trình đơn bên.
  3. Chuyển đến phần Trải nghiệm người dùngsau đóĐăng nhập vào tài khoản phụ.
  4. Chọn Chỉ cho phép người dùng đăng nhập vào các miền Google Workspace đã chỉ định bên dưới.
  5. Nhập các miền của tổ chức bạn. (Nếu không, có thể người dùng sẽ không có quyền truy cập vào các dịch vụ của Google.) Lưu ý: gserviceaccounts.com được đưa vào và rất quan trọng đối với các tài khoản dịch vụ đã xác thực.
  6. (Không bắt buộc) Để thêm những Tài khoản Google cho người dùng cá nhân, chẳng hạn như tài khoản có đuôi @gmail.com và @googlemail.com, hãy nhập consumer_accounts vào danh sách.
    1. (Không bắt buộc) Để thêm Tài khoản Google của khách truy cập mà không thêm Tài khoản Google cá nhân, hãy nhập visitor_accounts vào danh sách và không nhập consumer_accounts.
  7. Nhấp vào Lưu.

Các chế độ cài đặt thường có hiệu lực trong vòng vài phút. Tuy nhiên, có thể mất đến một giờ thì các thay đổi mới có hiệu lực đối với tất cả mọi người.

Các bước tiếp theo

  • Trong phần Chế độ cài đặt cho người dùng và trình duyệt, bạn cũng có thể ngăn người dùng duyệt web ở Chế độ ẩn danh. Chuyển đến Chế độ ẩn danhsau đóKhông cho phép chế độ ẩn danh rồi nhấp vào Lưu. Để biết thông tin chi tiết, hãy xem bài viết Chế độ ẩn danh.
  • Thiết lập chế độ hạn chế đăng nhập để chỉ người dùng trong tổ chức của bạn mới có thể đăng nhập vào các thiết bị chạy ChromeOS. Để biết thông tin chi tiết, hãy chuyển đến phần Hạn chế đăng nhập.
  • Tắt tính năng duyệt với tư cách khách trên các thiết bị. Để biết thông tin chi tiết, hãy xem phần Chế độ khách.

Sử dụng máy chủ proxy web để chặn tài khoản

Bước 1: Chọn một máy chủ proxy web

Để chỉ cho phép người dùng trên mạng của bạn truy cập vào các dịch vụ của Google bằng Tài khoản Google cụ thể thuộc miền của bạn, bạn cần có một máy chủ proxy web có thể:

  • Thêm tiêu đề vào tất cả lưu lượng truy cập được chuyển hướng đến *.google.com – Tiêu đề này xác định những miền mà người dùng có thể truy cập vào các dịch vụ của Google.
  • Hỗ trợ chặn SSL – Vì hầu hết lưu lượng truy cập thông qua dịch vụ của Google đều được mã hoá, nên máy chủ proxy của bạn cũng cần hỗ trợ chặn SSL.

Đọc hướng dẫn cụ thể về cách chặn các dịch vụ của Google từ những nhà cung cấp dịch vụ proxy sau đây, chọn một máy chủ đáp ứng nhu cầu của bạn.

Bước 2: Định cấu hình mạng để chặn một số tài khoản

Để ngăn người dùng đăng nhập vào các dịch vụ của Google bằng Tài khoản Google không phải là tài khoản mà bạn chỉ định rõ ràng, hãy làm như sau:

  1. Định tuyến tất cả lưu lượng truy cập đi đến *.google.com thông qua máy chủ proxy web của bạn.
  2. Bật tính năng chặn SSL trên máy chủ proxy.
  3. Định cấu hình mọi thiết bị máy khách để tin tưởng proxy SSL của bạn:
    1. Triển khai Tổ chức phát hành chứng chỉ gốc nội bộ mà proxy sử dụng.
    2. Đánh dấu là đáng tin cậy.
  4. Đối với mỗi yêu cầu *.google.com:
    1. Chặn yêu cầu.
    2. Thêm tiêu đề HTTP X-GoogApps-Allowed-Domains:, sau đó thêm danh sách tên miền được phép phân tách bằng dấu phẩy.
      Đảm bảo rằng danh sách này có miền bạn đã đăng ký với Google Workspace và mọi miền phụ mà bạn đã thêm.
      Ví dụ: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. Để cho phép người dùng đăng nhập vào các tài khoản cụ thể, hãy thêm các giá trị sau vào tiêu đề:
    • domain_name cho các tài khoản trên miền cụ thể, chẳng hạn như altostrat.comtenorstrat.com cho các tài khoản có đuôi @altostrat.com và tenorstrat.com
    • consumer_accounts cho Tài khoản Google của người dùng cá nhân, chẳng hạn như @gmail.com và @googlemail.com
    • visitor_accounts cho Tài khoản Google của khách truy cập
      Để cho phép người dùng đăng nhập vào tài khoản của khách truy cập trong khi chặn tài khoản người tiêu dùng, hãy thêm visitor_accounts vào tiêu đề và loại trừ consumer_accounts
    • gserviceaccounts.com cho tài khoản dịch vụ đã xác thực
  6. (Không bắt buộc) Tạo một chính sách proxy để ngăn người dùng chèn tiêu đề của riêng họ.

Lưu ý:

  • Phương pháp này chặn quyền truy cập để đăng nhập vào các dịch vụ tiêu dùng của Google (ngoại trừ Google Tìm kiếm), nhưng không nhất thiết phải cấm quyền truy cập ẩn danh.
  • Khi bạn thêm tiêu đề HTTP X-GoogApps-Allowed-Domains, người dùng sẽ thấy lỗi khi truy cập vào hộp thư được uỷ quyền từ một miền không có trong tiêu đề.

Câu hỏi thường gặp

Điều gì sẽ xảy ra nếu các tài khoản không được uỷ quyền cố gắng truy cập vào các dịch vụ?

Nếu người dùng cố gắng truy cập vào các dịch vụ của Google bằng một tài khoản không được phép, họ sẽ thấy một trang web:

  • Mô tả dịch vụ không có sẵn
  • Cho biết tài khoản trái phép mà họ đang sử dụng
  • Liệt kê các miền mà dịch vụ này có mặt
  • Đề xuất họ liên hệ với quản trị viên mạng để biết thêm thông tin, đồng thời đăng xuất khỏi tài khoản không được uỷ quyền và đăng nhập bằng tài khoản được uỷ quyền

Điều gì sẽ xảy ra với những dịch vụ không cần xác thực?

Google không duy trì danh sách các dịch vụ bị chặn. Nếu một dịch vụ cụ thể yêu cầu đăng nhập, thì quyền truy cập sẽ bị chặn. Các dịch vụ không yêu cầu xác thực, chẳng hạn như Google Tìm kiếm và YouTube, sẽ không bị chặn.

Tại sao tôi không thể chỉ lọc lưu lượng truy cập?

Một phương thức phổ biến để chặn quyền truy cập vào các dịch vụ web là sử dụng máy chủ proxy web để lọc lưu lượng truy cập được chuyển đến các URL cụ thể. Phương pháp này sẽ không hiệu quả trong trường hợp này vì lưu lượng truy cập hợp lệ từ Tài khoản Google được quản lý của người dùng sẽ chuyển đến cùng một URL với lưu lượng truy cập mà bạn muốn chặn.


Google, Google Workspace cũng như các nhãn hiệu và biểu trưng có liên quan là các nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.