חסימת הגישה לחשבונות פרטיים

אדמינים יכולים למנוע ממשתמשים להיכנס לשירותי Google באמצעות חשבונות אחרים שלא הקצו להם. לדוגמה, יכול להיות שלא תרצו שמשתמשים ברשת הארגונית שלכם ישתמשו בחשבונות Gmail האישיים שלהם או בחשבון Google מנוהל מדומיין אחר.

הערה: כשחוסמים גישה לחשבונות לשימוש אישי, יכול להיות שהמשתמשים יראו את הודעת השגיאה הבאה: "לחשבון הזה אין הרשאה להיכנס לרשת הזו".

אישור גישה רק מדומיינים ספציפיים

זמין במכשירי ChromeOS.

כדי לאפשר למשתמשים לגשת לשירותי Google רק עם חשבון המופיע ברשימה של דומיינים ספציפיים של Google Workspace:

לפני שמתחילים: אם צריכים להגדיר מחלקה או צוות עבור ההגדרה הזו, עוברים אל הוספת יחידה ארגונית.

  1. עוברים לתפריט ואז מכשירים > Chrome > הגדרות

    כדי לעשות את זה צריך הרשאת אדמין לניהול מכשירים ניידים.

  2. (אופציונלי) כדי להחיל את ההגדרה רק על מחלקה או על צוות, בצד, בוחרים יחידה ארגונית.
  3. עוברים אל חוויית משתמש ואז כניסה לחשבונות משניים.
  4. בוחרים באפשרות המשתמשים יכולים להיכנס רק לדומיינים ב-Google Workspace שמפורטים בהמשך.
  5. מזינים את הדומיינים של הארגון. (אם לא תעשו זאת, יכול להיות שלא תהיה למשתמשים גישה לשירותי Google). הערה: gserviceaccounts.com נכלל ברשימה והוא חיוני לחשבונות שירות מאומתים.
  6. (אופציונלי) כדי לכלול חשבונות Google פרטיים, כמו חשבונות שמסתיימים ב-‎@gmail.com וב-‎ @googlemail.com, מוסיפים consumer_accounts לרשימה.
    1. (אופציונלי) כדי לכלול חשבונות Google של מבקרים בלי לכלול חשבונות Google פרטיים, מוסיפים לרשימה visitor_accounts ולא מוסיפים consumer_accounts.
  7. לוחצים על שמירה.

בדרך כלל השינויים נכנסים לתוקף בתוך כמה דקות. אבל יכול להיות שיחלפו עד שעה עד שהשינויים יחולו על כולם.

השלבים הבאים

  • בהגדרות של משתמשים ודפדפנים, אפשר גם למנוע מהמשתמשים לגלוש במצב פרטי. עוברים אל מצב פרטי ואז איסור שימוש במצב פרטי ולוחצים על שמירה. פרטים נוספים מופיעים במאמר בנושא מצב פרטי.
  • להגדיר הגבלה על הכניסה, כדי שרק משתמשים בארגון יוכלו להיכנס למכשירים עם ChromeOS. פרטים נוספים זמינים במאמר בנושא הגבלת כניסה.
  • להשבית את האפשרות לגלישה כאורחים במכשירים. פרטים נוספים זמינים במאמר בנושא מצב אורח.

שימוש בשרת proxy באינטרנט לחסימת חשבונות

שלב 1: בחירת שרת Proxy לאינטרנט

כדי לאפשר רק למשתמשים ברשת שלכם לגשת לשירותי Google באמצעות חשבונות Google ספציפיים מהדומיין שלכם, אתם צריכים שרת פרוקסי לאינטרנט שיכול:

  • הוספת כותרת לכל התנועה שמופנית אל ‎*.google.com – הכותרת מזהה את הדומיינים שמהם המשתמשים יכולים לגשת לשירותי Google.
  • תמיכה ביירוט SSL – מכיוון שרוב תעבורת הנתונים דרך שירות Google מוצפנת, שרת ה-Proxy צריך לתמוך גם ביירוט SSL.

כדאי לקרוא את ההוראות הספציפיות לחסימת שירותי Google מספקי שירותי ה-proxy הבאים, ולבחור שרת שמתאים לצרכים שלכם.

שלב 2: הגדרת הרשת לחסימת חשבונות מסוימים

כדי למנוע ממשתמשים להיכנס לשירותי Google באמצעות חשבונות Google שאינם אלה שציינתם במפורש:

  1. מנתבים את כל התנועה היוצאת אל ‎*.google.com דרך שרתי ה-proxy של האינטרנט.
  2. מפעילים את חסימת ה-SSL בשרת הפרוקסי.
  3. מגדירים בכל מכשיר לקוח את האפשרות לתת אמון ב-SSL proxy:
    1. פריסת רשות אישורי בסיס פנימית שמשמשת את ה-proxy.
    2. מסמנים אותו כפריט מהימן.
  4. לכל בקשה של ‎ *.google.com:
    1. ליירט את הבקשה.
    2. מוסיפים את כותרת ה-HTTP‏ X-GoogApps-Allowed-Domains:‎ ואחריה רשימה מופרדת בפסיקים של שמות דומיינים מותרים.
      מוודאים שהרשימה כוללת את הדומיין שרשמתם ב-Google Workspace ואת כל הדומיינים המשניים שהוספתם.
      דוגמה: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. כדי לאפשר למשתמשים להיכנס לחשבונות ספציפיים, מוסיפים את הערכים הבאים לכותרת:
    • domain_name לחשבונות בדומיינים ספציפיים, כמו altostrat.com ו-tenorstrat.com לחשבונות שמסתיימים ב-‎@altostrat.com וב-‎@tenorstrat.com
    • consumer_accounts לחשבונות Google פרטיים, כמו ‎ @gmail.com ו-‎ @googlemail.com
    • visitor_accounts לחשבונות אורח ב-Google
      כדי לאפשר למשתמשים להיכנס לחשבונות אורח ולחסום חשבונות פרטיים, מוסיפים visitor_accounts לכותרת ומוציאים את consumer_accounts
    • gserviceaccounts.com לחשבונות שירות מאומתים
  6. (אופציונלי) יוצרים מדיניות לשרת proxy כדי למנוע ממשתמשים להוסיף כותרות משלהם.

הערה:

  • הגישה הזו חוסמת את הגישה לשירותים לצרכנים של Google מלבד חיפוש Google, אבל לא בהכרח אוסרת על גישה אנונימית.
  • כשמוסיפים את כותרת ה-HTTP‏ X-GoogApps-Allowed-Domains, המשתמשים יראו שגיאות בגישה לתיבות דואר שהוקצו להן הרשאות מדומיין שלא מופיע בכותרת.

שאלות נפוצות

מה קורה אם חשבונות לא מורשים מנסים לגשת לשירותים?

אם משתמש מנסה לגשת לשירותי Google מחשבון לא מורשה, מוצג לו דף אינטרנט שבו:

  • תיאור השירות שלא זמין
  • הצגת החשבון הלא מורשה שבו הם משתמשים
  • רשימת הדומיינים שבהם השירות זמין
  • מציעה להם לפנות לאדמין של הרשת לקבלת מידע נוסף, לצאת מהחשבון הלא מורשה ולהיכנס לחשבון מורשה

מה קורה עם שירותים שלא נדרש עבורם אימות?

‫Google לא מחזיקה ברשימה של שירותים חסומים. אם שירות מסוים דורש כניסה לחשבון, הגישה אליו נחסמת. שירותים שלא נדרש אימות כדי להשתמש בהם, כמו חיפוש Google ו-YouTube, לא ייחסמו.

למה אי אפשר פשוט לסנן את התנועה?

אחת הדרכים הנפוצות לחסימת הגישה לשירותי אינטרנט היא שימוש בשרת proxy לאינטרנט כדי לסנן תעבורת נתונים שמכוונת לכתובות URL מסוימות. הגישה הזו לא תעבוד במקרה הזה, כי תעבורת נתונים לגיטימית מחשבון Google מנוהל של משתמש מגיעה לאותה כתובת URL כמו תעבורת הנתונים שרוצים לחסום.


Google‏, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.