如果您尚未使用 Cloud Identity 或 Google Workspace,您的组织的员工可能一直在使用消费者账号访问 Google 服务。其中一些消费者账号可能会使用公司电子邮件地址(例如 alice@example.com)作为主电子邮件地址或备用邮箱。
本文档介绍了如何通过从这类消费者账号中移除公司电子邮件地址来逐出或清除这些账号。尽管消费者账号将仍然存在,但移除公司电子邮件地址有助于降低社会工程学风险,只要消费者账号具有看似可信的电子邮件地址(如 alice@example.com),该账号的所有者就可能说服在职员工或业务合作伙伴向他们授予对其本不应访问的资源的访问权限。
或者,您也可以通过迁移消费者账号保留这些账号并将其转换为受管理的账号。但是,不建议迁移某些账号,例如以下账号:
- 离职员工使用的消费者账号。
- 不应访问 Google 服务的员工使用的消费者账号。
- 您无法识别其所有者的消费者账号。
准备工作
要逐出违规消费者账号,必须满足以下前提条件:
- 您已确定合适的初始配置方案,并且已满足整合现有用户账号的所有前提条件。
- 您已创建 Cloud Identity 或 Google Workspace 账号。
消费者账号的主电子邮件地址或备用电子邮件地址必须与您已添加到 Cloud Identity 或 Google Workspace 账号的域名之一相对应。主域名和辅助域名都符合条件,但不支持别名域名。
流程
逐出不需要的消费者账号的工作原理与迁移消费者账号类似,但前者基于“有针对性地创建有冲突的账号”这一理念。下图演示了该流程。管理员一侧的方框表示 Cloud Identity 或 Google Workspace 管理员执行的操作;用户账号所有者一侧的矩形框表示只有消费者账号的所有者才能执行的操作。
查找非受管用户账号
您可以使用非受管用户转移工具,查找使用与 Cloud Identity 或 Google Workspace 账号经过验证的域名之一匹配的主电子邮件地址的消费者账号。
创建有冲突的账号
当您确定要逐出的消费者账号后,请执行以下操作:
在 Cloud Identity 或 Google Workspace 中创建一个与您要逐出的账号具有相同公司电子邮件地址的用户账号。
如果消费者账号将公司电子邮件地址用作主电子邮件地址,则管理控制台会向您发出即将发生冲突的警告。由于您是有意创建有冲突的账号,因此请选择创建新用户。
由于您不希望受管理的用户账号被使用,因此请指定一个随机密码。
删除刚刚创建的用户账号。
通过创建有冲突的账号并立即删除该账号,您可以让所有者必须对该用户账号进行重命名。但您应避免向所有者显示用于提示他们在受管理的账号和消费者账号之间进行选择的投票屏幕。
重命名用户账号
对于已逐出的用户账号的所有者,他们下次登录时会看到以下消息:
如屏幕截图所示,他们有三种选择:
- 将用户账号转换为 Gmail 账号。
- 将其他电子邮件地址与该账号相关联。
- 推迟重命名。这会导致用户账号在此期间使用临时的
gtempaccount.com电子邮件地址。
使用此消费者账号创建的所有配置和数据均不受重命名操作的影响。
最佳做法
我们建议您在逐出不需要的消费者账号时遵循以下最佳做法:
- 确保受影响的用户无法再通过其(以前的)公司电子邮件地址接收电子邮件。否则,用户可能会撤消重命名操作,并将主电子邮件地址切换回公司电子邮件地址。
- 主动将用户账号预配到 Cloud Identity 或 Google Workspace,防止其他用户注册新的消费者账号。
后续步骤
- 查看如何评估现有用户账号。
- 了解如何从 Gmail 账号中移除公司电子邮件地址。