Zugriff auf Privatnutzerkonten blockieren

Als Administrator möchten Sie Nutzer vielleicht daran hindern, sich über ein Konto in Google-Diensten anzumelden, das nicht von Ihnen zur Verfügung gestellt wurde. Wenn z. B. Nutzer in Ihrem Unternehmensnetzwerk ihre privaten Gmail-Konten oder ein verwaltetes Google-Konto aus einer anderen Domain nicht verwenden sollen.

Hinweis: Wenn Sie den Zugriff auf Privatnutzerkonten blockieren, erhalten Nutzer möglicherweise die folgende Fehlermeldung: „In diesem Netzwerk ist eine Anmeldung mit diesem Konto nicht möglich“.

Zugriff nur von bestimmten Domains zulassen

Für ChromeOS-Geräte verfügbar.

So ermöglichen Sie Nutzern, nur über ein Konto aus einer Liste bestimmter Google Workspace-Domains auf Google-Dienste zuzugreifen:

Hinweis:Wenn Sie für diese Einstellung eine Abteilung oder ein Team einrichten möchten, lesen Sie den Hilfeartikel Organisationseinheit hinzufügen.

  1. Öffnen Sie das Dreistrich-Menü  und dann Geräte > Chrome > Einstellungen

    Hierfür ist die Administratorberechtigung Mobilgeräteverwaltung erforderlich.

  2. Optional: Wenn Sie die Einstellung auf eine Abteilung oder ein Team anwenden möchten, wählen Sie an der Seite eine Organisationseinheit aus.
  3. Gehen Sie zu Nutzererfahrung und dann In sekundären Konten anmelden.
  4. Wählen Sie die Option Nutzer dürfen sich nur in den unten festgelegten Google Workspace-Domains anmelden aus.
  5. Geben Sie die Domains Ihrer Organisation ein. Andernfalls haben Ihre Nutzer möglicherweise keinen Zugriff auf Google-Dienste. Hinweis: gserviceaccounts.com ist enthalten und für authentifizierte Dienstkonten entscheidend.
  6. Optional: Wenn Sie Privatnutzerkonten einschließen möchten, z. B. solche, die auf @gmail.com oder @googlemail.com enden, geben Sie consumer_accounts in die Liste ein.
    1. Optional: Wenn Sie Besucher-Google-Konten einbeziehen möchten, ohne private Google-Konten einzubeziehen, geben Sie visitor_accounts in die Liste ein und nicht consumer_accounts.
  7. Klicken Sie auf Speichern.

Neue Einstellungen werden normalerweise innerhalb weniger Minuten übernommen. Es kann jedoch bis zu einer Stunde dauern, bis die Einstellung auf alle Nutzer angewendet wird.

Nächste Schritte

  • In den Einstellungen für Nutzer und Browser können Sie verhindern, dass Nutzer im Inkognitomodus surfen. Gehen Sie zu Inkognitomodus und dann Inkognitomodus nicht zulassen und klicken Sie auf Speichern. Weitere Informationen finden Sie im Hilfeartikel Inkognitomodus.
  • Legen Sie eine Anmeldebeschränkung fest, damit sich nur Nutzer in Ihrer Organisation auf Geräten mit ChromeOS anmelden können. Weitere Informationen
  • Deaktivieren Sie den Gastmodus auf den Geräten. Weitere Informationen zum Gastmodus

Konten mithilfe eines Webproxyservers blockieren

Schritt 1: Webproxyserver auswählen

Damit Nutzer in Ihrem Netzwerk nur über bestimmte Google-Konten Ihrer Domain auf Google-Dienste zugreifen können, benötigen Sie einen Webproxyserver, der Folgendes kann:

  • Jeglichem an *.google.com gerichteten Traffic einen Header hinzufügen. Der Header gibt die Domains an, von denen Nutzer auf Google-Dienste zugreifen können.
  • SSL abfangen: Da der Großteil des durch den Google-Dienst verarbeiteten Traffics verschlüsselt ist, muss Ihr Proxyserver auch in der Lage sein, SSL abzufangen.

Lesen Sie am besten die Anleitung zum Blockieren von Google-Diensten für die folgenden Proxydienstanbieter und wählen Sie einen Server aus, der Ihren Anforderungen entspricht.

Schritt 2: Netzwerk zum Blockieren bestimmter Konten konfigurieren

So hindern Sie Nutzer daran, sich bei Google-Diensten mit anderen Konten als den explizit von Ihnen angegebenen anzumelden:

  1. Leiten Sie jeglichen zu *.google.com ausgehenden Traffic über Ihre Webproxyserver.
  2. Aktivieren Sie das Abfangen von SSL auf dem Proxyserver.
  3. Konfigurieren Sie jedes Clientgerät so, dass es Ihren SSL-Proxy als vertrauenswürdig anerkennt:
    1. Stellen Sie die interne Stammzertifizierungsstelle bereit, die vom Proxy verwendet wird.
    2. Kennzeichnen Sie sie als vertrauenswürdig.
  4. Bei jeder Anfrage für *.google.com:
    1. Fangen Sie die Anfrage ab.
    2. Fügen Sie den HTTP-Header X-GoogApps-Allowed-Domains: gefolgt von einer durch Kommas getrennten Liste mit zugelassenen Domainnamen hinzu.
       Die Liste muss die bei Google Workspace registrierte Domain sowie alle sekundären Domains enthalten, die Sie möglicherweise angegeben haben.
      Beispiel: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. Damit Nutzer sich in bestimmten Konten anmelden können, fügen Sie dem Header die folgenden Werte hinzu:
    • domain_name (für Konten in bestimmten Domains, z. B. altostrat.com oder tenorstrat.com für Konten, die auf @altostrat.com bzw. @tenorstrat.com enden)
    • consumer_accounts (für private Google-Konten, z. B. @gmail.com oder @googlemail.com)
    • visitor_accounts für Google-Gastkonten
      Wenn Sie zulassen möchten, dass Nutzer sich in Gastkonten anmelden, private Konten aber blockieren möchten, fügen Sie visitor_accounts in den Header ein und schließen Sie consumer_accounts aus.
    • gserviceaccounts.com (für authentifizierte Dienstkonten)
  6. Optional: Erstellen Sie eine Proxyrichtlinie, damit Nutzer nicht ihre eigenen Header einfügen.

Hinweis:

  • Mit dieser Vorgehensweise ist der Anmeldezugriff auf alle Nutzerdienste von Google mit Ausnahme der Google Suche blockiert. Der anonyme Zugriff wird jedoch nicht unbedingt verhindert.
  • Wenn Sie den HTTP-Header X-GoogApps-Allowed-Domains hinzufügen, werden Nutzern beim Zugriff auf delegierte Postfächer von einer Domain, die nicht im Header enthalten ist, Fehler angezeigt.

Häufig gestellte Fragen

Was geschieht, wenn versucht wird, über nicht autorisierte Konten auf Dienste zuzugreifen?

Wenn ein Nutzer versucht, von einem nicht autorisierten Konto auf Google-Dienste zuzugreifen, wird eine Webseite angezeigt, auf die Folgendes zutrifft:

  • Der nicht verfügbare Dienst wird beschrieben.
  • Angaben zum nicht autorisierten Konto
  • Eine Liste der Domains, in denen der Dienst verfügbar ist
  • Die Empfehlung, sich an einen Netzwerkadministrator zu wenden sowie sich aus dem nicht autorisierten Konto abzumelden und sich anschließend im autorisierten Konto neu anzumelden

Was geschieht mit Diensten, für die keine Authentifizierung erforderlich ist?

Google führt keine Liste mit blockierten Diensten. Falls zur Nutzung eines bestimmten Dienstes eine Anmeldung erforderlich ist, wird der Zugriff blockiert. Dienste, für die keine Nutzerauthentifizierung erforderlich ist, z. B. die Google Suche oder YouTube, werden nicht blockiert.

Warum kann ich nicht einfach den Traffic filtern?

Der Zugriff auf Webdienste wird üblicherweise mithilfe eines Webproxyservers blockiert, der den an bestimmte URLs gerichteten Traffic filtert. In diesem Fall funktioniert dieser Ansatz jedoch nicht, da der zulässige Traffic vom verwalteten Google-Konto eines Nutzers dieselbe URL adressiert wie derjenige, den Sie blockieren möchten.


Google, Google Workspace und zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.