Se você não usa o
Cloud Identity
ou o
Google Workspace,
é possível que os funcionários da sua organização estejam usando contas pessoais
para acessar os serviços do Google. Algumas contas pessoais podem usar um
endereço de e-mail corporativo, como alice@example.com
, como endereço de e-mail
principal ou alternativo.
Neste documento, descrevemos como remover ou se livrar desses tipos de
contas pessoais removendo o endereço de e-mail corporativo delas. Mesmo que
as contas pessoais ainda existam, remover o endereço de e-mail corporativo
ajuda a diminuir um risco de engenharia social. Isso porque, desde que uma conta pessoal tenha
um endereço de e-mail confiável, como alice@example.com
, o proprietário da
conta pode convencer funcionários ou parceiros de negócios a
conceder acesso a recursos aos quais essa pessoa não deveria ter acesso.
Como alternativa, ao migrar contas pessoais, é possível manter essas contas e transformá-las em contas gerenciadas. No entanto, pode haver algumas contas que você não quer migrar, como as seguintes:
- Contas pessoais usadas por ex-funcionários.
- Contas pessoais usadas por funcionários que não podem acessar os serviços do Google.
- Contas pessoais para as quais você não reconhece o proprietário.
Antes de começar
Para remover contas pessoais ofensivas, você precisa atender aos seguintes pré-requisitos:
- Você identificou um plano de integração adequado e atendeu a todos os pré-requisitos para consolidar as contas de usuário atuais.
- Você criou uma conta do Cloud Identity ou do Google Workspace.
O endereço de e-mail principal ou alternativo da conta pessoal precisa corresponder a um dos domínios adicionados à sua conta do Cloud Identity ou do Google Workspace. Os domínios principal e secundário são qualificados, mas os domínios de alias não são compatíveis.
Processo
A remoção de contas pessoais indesejadas funciona de maneira semelhante à migração de contas pessoais, mas é baseada na criação de uma conta conflitante. No diagrama a seguir, ilustramos o processo. As caixas no lado do Administrador indicam ações realizadas por um administrador do Cloud Identity ou do Google Workspace. As caixas retangulares no lado Proprietário da conta de usuário indicam ações que apenas o proprietário de uma conta pessoal pode realizar.
Encontrar contas de usuário não gerenciadas
Use a ferramenta de transferência de usuários não gerenciados para encontrar contas pessoais que usam um endereço de e-mail principal que corresponda a um dos domínios verificados da conta do Cloud Identity ou do Google Workspace.
Criar uma conta conflitante
Quando você identificar uma conta pessoal que quer remover, faça o seguinte:
Crie uma conta de usuário no Cloud Identity ou no Google Workspace que tenha o mesmo endereço de e-mail corporativo da conta que você quer remover.
Se a conta pessoal usar o endereço de e-mail corporativo como endereço de e-mail principal, o Admin Console avisará você sobre um conflito iminente. Como você está criando a conta conflitante intencionalmente, selecione Criar novo usuário.
Como você não quer que a conta de usuário gerenciada seja usada, atribua uma senha aleatória.
Exclua a conta de usuário que você acabou de criar.
Ao criar uma conta conflitante e excluí-la imediatamente, você força o proprietário a renomear essa conta de usuário. No entanto, você evita que o proprietário veja uma tela de votação que solicita que ele escolha entre a conta gerenciada e a de consumidor.
Renomear a conta de usuário
Para o proprietário da conta de usuário removida, na próxima vez que ele fizer login, ele verá a seguinte mensagem:
Como a captura de tela sugere, eles têm três opções para continuar:
- converter a conta de usuário em uma conta do Gmail;
- associar um endereço de e-mail diferente à conta;
- adie a renomeação. Isso faz com que a conta de usuário use um endereço
de e-mail
gtempaccount.com
temporário.
Todas as configurações e dados criados usando essa conta pessoal não são afetados pela renomeação.
Práticas recomendadas
Recomendamos as seguintes práticas recomendadas ao remover contas pessoais indesejadas:
- Verifique se os usuários afetados não podem mais receber e-mails no endereço de e-mail corporativo (antigo). Caso contrário, um usuário poderá desfazer a renomeação e alterar o endereço de e-mail principal para o endereço de e-mail corporativo.
- Impeça que outros usuários se inscrevam em novas contas pessoais provisionando proativamente as contas de usuário no Cloud Identity ou no Google Workspace.
A seguir
- Revise como é possível avaliar as contas de usuário atuais.
- Saiba como remover um endereço de e-mail corporativo de uma conta do Gmail.