禁止访问个人用户账号

作为管理员,您可能想要禁止用户使用您为其提供的账号以外的其他账号登录 Google 服务。例如,您可能不希望公司网络内的用户使用个人 Gmail 账号或其他网域的受管理 Google 账号。

注意:您禁止访问个人用户账号后,用户可能会看到以下错误消息:“此账号不能在此网络中登录”。

仅允许特定网域的访问权限

适用于 ChromeOS 设备。

如要仅允许用户使用一系列指定 Google Workspace 网域中的账号访问 Google 服务,请执行以下操作:

准备工作:如果您需要为此设置设定部门或团队,请参阅添加组织部门

  1. 依次点击“菜单”图标 然后 设备 > Chrome > 设置。 

    需要拥有移动设备管理管理员权限。

  2. (可选)如要将设置应用于某个部门或团队,请在侧边选择一个组织部门
  3. 依次前往用户体验然后登录辅助账号
  4. 选择仅允许用户登录下方设置的 Google Workspace 网域
  5. 输入贵组织的域名。 (否则您的用户可能会无法访问 Google 服务。) 注意:为确保通过了身份验证的服务账号能够正常访问,gserviceaccounts.com 也应包含在其中。
  6. (可选)如要添加个人用户 Google 账号(例如以 @gmail.com 和 @googlemail.com 结尾的账号),请在列表中输入 consumer_accounts
    1. (可选)如需添加访问者 Google 账号,但不添加个人用户 Google 账号,请在列表中输入 visitor_accounts,而不要输入 consumer_accounts
  7. 点击保存

设置通常会在几分钟后生效,但最长也可能需要 1 小时才能应用到所有用户。

后续步骤

  • 在“用户和浏览器”设置中,您还可以禁止用户在无痕模式下浏览内容。前往无痕模式然后不允许使用无痕模式,然后点击保存。如需了解详情,请参阅无痕模式
  • 设置登录限制,仅允许贵组织中的用户登录运行 ChromeOS 的设备。有关详情,请参阅登录限制
  • 关闭设备上的访客浏览功能。如需了解详情,请参阅访客模式

使用网络代理服务器屏蔽账号

第 1 步:选择网络代理服务器

如要仅允许您网络中的用户使用您网域的特定 Google 账号访问 Google 服务,您需要拥有具备以下功能的网络代理服务器:

  • 可为定向至 *.google.com 的所有流量添加标头 - 标头的作用是识别可访问 Google 服务的用户所属的网域。
  • 支持 SSL 拦截 - 由于大多数 Google 服务流量已经过加密,所以您的代理服务器也需要支持 SSL 拦截。

请参阅具体说明,了解如何从下列代理服务提供商中屏蔽 Google 服务(请选择符合您需求的服务器)。

第 2 步:配置网络以屏蔽特定账号

要防止用户使用除了您明确指定的账号以外的其他 Google 账号登录 Google 服务,请执行以下操作:

  1. 通过网络代理服务器将所有出站流量转送至 *.google.com。
  2. 在代理服务器上启用 SSL 拦截。
  3. 将每一台客户端设备都配置为信任您的 SSL 代理:
    1. 部署代理使用的内部根证书颁发机构。
    2. 将其标记为受信任。
  4. 针对每一个 *.google.com 请求,请执行以下操作:
    1. 拦截请求。
    2. 添加 HTTP 标头 X-GoogApps-Allowed-Domains:,并在后面加上已获得允许的域名的列表(以英文逗号分隔)。
      请确保该列表包含您注册 Google Workspace 时使用的域名,以及您添加的所有辅助域名。
      示例:X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. 如要允许用户登录特定账号,请在标头中添加以下值:
    • domain_name:如要允许用户登录特定网域的账号,例如以“@altostrat.com”和“tenorstrat.com”结尾的账号,请输入 altostrat.comtenorstrat.com
    • consumer_accounts:如要允许用户登录个人 Google 账号(例如 @gmail.com 和 @googlemail.com 账号),请输入“consumer_accounts”
    • 针对访客 Google 账号的 visitor_accounts
      如需允许用户登录访客账号,同时禁止用户登录个人账号,请在标头中添加 visitor_accounts 并排除 consumer_accounts
    • gserviceaccounts.com:如要允许用户登录通过身份验证的服务账号,请输入“gserviceaccounts.com”
  6. (可选)创建代理政策,禁止用户自行插入标头。

注意

  • 通过这种方式可禁止用户登录除 Google 搜索以外的 Google 个人用户服务,但不一定能禁止匿名访问。
  • 如果您添加了 X-GoogApps-Allowed-Domains HTTP 标头,则用户通过标头中未包含的网域访问委托的邮箱时会看到错误提示。

常见问题

如果未经授权的账号尝试访问服务会怎么样?

如果用户尝试通过未经授权的账号访问 Google 服务,则会看到显示以下内容的网页:

  • 对不可用的服务的说明
  • 用户使用的未经授权的账号
  • 可使用相应服务的网域列表
  • 给用户的建议:让用户与网络管理员联系以了解详情,同时请他们先退出未经授权的账号,然后再使用已获得授权的账号登录

不需要身份验证的服务会怎么样?

Google 不会保留已屏蔽的服务的列表。如果有特定服务需要登录,用户将无法访问。不需要身份验证的服务(例如 Google 搜索和 YouTube)不会遭到屏蔽。

为什么不能直接过滤流量?

禁止访问网络服务的一种常见方法就是使用网络代理服务器过滤定向到特定网址的流量,但这种方法不适合上述情况,因为来自用户受管理的 Google 账号的合法流量会与您想要禁止的流量转到同一个网址。


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。