封鎖個人帳戶的存取權

管理員可能會想禁止使用者透過非指定的帳戶登入 Google 服務。例如,您可能不希望貴公司網路內的使用者使用個人 Gmail 帳戶或其他網域的受管理 Google 帳戶。

注意:如果您封鎖個人帳戶的存取權,使用者可能會看到「這個帳戶無法在這個網路內登入」的錯誤訊息。

僅允許特定網域的存取權

適用於 ChromeOS 裝置。

如要讓使用者只能使用指定 Google Workspace 網域清單中的帳戶存取 Google 服務,請按照下列步驟操作:

事前準備:如要為部門或團隊套用這項設定,請參閱「新增機構單位」。

  1. 依序點選「選單」圖示 接下來「裝置」>「Chrome」>「設定」。 

    必須具備行動裝置管理管理員權限。

  2. (選用) 如要為特定部門或團隊套用設定,請選取側邊的「機構單位」
  3. 依序點選「使用者體驗」接下來「登入次要帳戶」
  4. 選取「僅允許使用者登入下方設定的 Google Workspace 網域」
  5. 輸入貴機構的網域。 (如果不提供這項資訊,使用者可能無法存取 Google 服務)。 注意:gserviceaccounts.com 是通過驗證的服務帳戶必須加入的網域。
  6. (選用) 如要加入 Google 個人帳戶 (例如結尾是 @gmail.com 和 @googlemail.com 的帳戶),請在清單中輸入「consumer_accounts」consumer_accounts
    1. (選用) 如要納入訪客 Google 帳戶,但排除個人 Google 帳戶,請在清單中輸入 visitor_accounts,不要輸入 consumer_accounts
  7. 按一下 [儲存]

設定通常會在幾分鐘內生效,但也可能需要經過一小時才會套用到所有使用者的裝置上。

後續步驟

  • 您也可以透過「使用者和瀏覽器」設定,禁止使用者以無痕模式瀏覽網頁,方法是依序前往「無痕模式」接下來「不允許無痕模式」,然後按一下「儲存」。詳情請參閱「無痕模式」。
  • 設定登入限制,只允許貴機構的使用者登入搭載 ChromeOS 的裝置。詳情請參閱「登入限制」。
  • 關閉裝置上的訪客瀏覽功能。詳情請參閱「訪客模式」。

使用網路 Proxy 伺服器封鎖帳戶

步驟 1:選擇網路 Proxy 伺服器

如果要限制您網路上的使用者必須使用網域提供的專屬 Google 帳戶才能存取 Google 服務,您的網路 Proxy 伺服器必須具有下列功能:

  • 為所有導向 *.google.com 的流量加上標頭:標頭的作用是指出哪些網域的使用者可以存取 Google 服務。
  • 支援 SSL 攔截:由於大多數經過您 Google 服務的流量已受到加密保護,因此您的 Proxy 伺服器也必須支援 SSL 攔截。

您可以參考下列 Proxy 服務供應商提供的專屬操作說明,瞭解如何封鎖 Google 服務 (請選取符合您需求的伺服器)。

步驟 2:配置封鎖特定帳戶的網路設定

如要限制使用者只能使用您明確指定的 Google 帳戶登入 Google 服務,而無法使用任何其他帳戶登入,請採取下列步驟:

  1. 將所有外傳到 *.google.com 的流量導向您的網路 Proxy 伺服器。
  2. 在 Proxy 伺服器上啟用 SSL 攔截。
  3. 將每部用戶端裝置設為信任您的 SSL Proxy:
    1. 部署 Proxy 所使用的「內部根憑證授權單位」。
    2. 將「內部根憑證授權單位」標示為可信任。
  4. 針對每個 *.google.com 要求:
    1. 攔截要求。
    2. 加上 HTTP 標頭「X-GoogApps-Allowed-Domains:」X-GoogApps-Allowed-Domains:,接著在後面輸入許可的網域名稱清單,並以半形逗號分隔各個項目。
      這份清單必須包含您註冊 Google Workspace 時使用的網域,以及過去新增的所有次要網域。
      範例:X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. 如要允許使用者登入特定帳戶,請在標頭中加入下列的值:
    • 如為特定網域的帳戶,請加入 domain_name。舉例來說,如果是 @altostrat.com 和 @tenorstrat.com 結尾的帳戶,請加入 altostrat.comtenorstrat.com
    • 如為 Google 個人帳戶 (例如 @gmail.com 和 @googlemail.com),則需加入 consumer_accounts
    • 訪客 Google 帳戶的 visitor_accounts
      如要允許使用者登入訪客帳戶,但禁止登入個人帳戶,請在標頭中加入 visitor_accounts,並排除 consumer_accounts
    • 如為通過驗證的服務帳戶,請加入 gserviceaccounts.com
  6. (選用) 建立 Proxy 政策,避免使用者自行插入標頭。

注意

  • 這個方法可以封鎖 Google 個人服務的登入存取權 (Google 搜尋除外),但不一定能禁止匿名存取。
  • 如果您新增 X-GoogApps-Allowed-Domains HTTP 標頭,則使用者透過不在標頭中的網域存取委派信箱時,會看到錯誤訊息。

常見問題

如有未經授權的帳戶試圖存取服務,會發生什麼情況?

如果使用者嘗試透過未經授權的帳戶存取 Google 服務,他們會看到如下方所述的網頁:

  • 列出無法存取的服務
  • 顯示使用者所登入的未經授權帳戶
  • 列出可使用該服務的網域
  • 建議使用者與網路管理員聯絡以便瞭解詳情,同時請使用者登出未經授權的帳戶,再重新透過授權帳戶登入。

如果服務不必經過驗證,會怎麼樣?

Google 不會保留已封鎖的服務清單。凡是需要登入才能使用的服務都會遭到封鎖,無須經過驗證的服務 (例如 Google 搜尋和 YouTube) 則不會遭到封鎖。

為什麼不能直接過濾流量?

封鎖網路服務存取權的常見方法,是使用網路 Proxy 伺服器來過濾導向特定網址的流量。但這種方法不適用於上述的情況,因為來自使用者受管理 Google 帳戶的合法流量會與您要封鎖的流量使用相同網址。


Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。