Si no usas Cloud Identity o el Google Workspace, es posible que los empleados de tu organización hayan estado usando la consumidor cuentas para acceder a los servicios de Google Algunas de estas cuentas personales pueden usar una dirección de correo electrónico corporativa, por ejemplo alice@example.com, como dirección de correo electrónico principal o alternativa.
En este documento, se describe cómo puedes expulsar o deshacerte de estos tipos de cuentas personales si les quitas la dirección de correo electrónico corporativa. Aunque las cuentas personales seguirán existiendo, quitar la dirección de correo electrónico corporativa te ayudará a mitigar un riesgo de ingeniería social. Siempre que una cuenta personal tenga una dirección de correo electrónico que parezca confiable como alice@example.com, el propietario de la cuenta podría convencer a los empleados o a los socios comerciales actuales de otorgarles acceso a recursos a los que no deberían tener.
Como alternativa, si se migran cuentas personales, se pueden conservar estas cuentas y convertirlas en cuentas administradas. Sin embargo, es posible que haya algunas cuentas que no quieras migrar, como las siguientes:
- Cuentas personales que usan los empleados anteriores
- Cuentas personales que usan empleados que no deberían acceder a los servicios de Google
- Cuentas personales cuyo propietario no puedes reconocer
Antes de comenzar
Para expulsar las cuentas personales ofensivas, debes cumplir con los siguientes requisitos:
- Identificar un plan de integración adecuado y completar todos los requisitos para consolidar tus cuentas de usuario existentes
- Creaste una cuenta de Cloud Identity o de Google Workspace.
La dirección de correo electrónico principal o alternativa de la cuenta personal debe corresponder a uno de los dominios que agregaste a tu cuenta de Cloud Identity o Google Workspace. Los dominios principal y secundario son aptos, pero no se admiten los dominios de alias.
Procesamiento
La expulsión de cuentas de consumidores no deseadas funciona de manera similar a la migración de cuentas personales, pero se basa en crear una cuenta en conflicto. En el siguiente diagrama, se ilustra el proceso. Los cuadros del lado Administrador indican acciones que realiza un administrador de Cloud Identity o Google Workspace; los cuadros rectangulares en el lado de Propietario de la cuenta de usuario indican solo las acciones propietario de una cuenta personal.
Encuentra cuentas de usuario no administradas
Puedes usar la herramienta de transferencia para usuarios no administrados con el fin de buscar cuentas de consumidor que usen una dirección de correo electrónico principal que coincida con uno de los dominios verificados de tu dominio de la cuenta de Cloud Identity o Google Workspace.
Crea una cuenta en conflicto
Cuando identifiques una cuenta personal que desees expulsar, sigue estos pasos:
Crea una cuenta de usuario en Cloud Identity o Google Workspace que tenga la misma dirección de correo electrónico empresarial que la cuenta que deseas expulsar.
Si la cuenta personal usa la dirección de correo electrónico corporativa como la dirección de correo electrónico principal, la Consola del administrador te advertirá sobre un conflicto inminente. Debido a que creas la cuenta en conflicto de forma intencional, selecciona Create new user.
Como no deseas que se use la cuenta de usuario administrada, asigna una contraseña aleatoria.
Borra la cuenta de usuario que acabas de crear.
Cuando creas una cuenta en conflicto y la borras de inmediato, obligas al propietario a cambiarle el nombre a esa cuenta de usuario. Sin embargo, evitas que el propietario vea una pantalla de selección que le solicite elegir entre la cuenta administrada y la personal.
Cambia el nombre de la cuenta de usuario
La próxima vez que el propietario de la cuenta de usuario expulsada acceda, verá el siguiente mensaje:
Como sugiere la captura de pantalla, tiene tres opciones para continuar:
- Convertir la cuenta de usuario en una cuenta de Gmail
- Asociar una dirección de correo electrónico diferente a la cuenta
- Posponer el cambio de nombre. Esto hace que la cuenta de usuario use una dirección de correo electrónico temporal
gtempaccount.commientras tanto
Toda la configuración y los datos que se crearon mediante esta cuenta personal no se ven afectados por el cambio de nombre.
Prácticas recomendadas
Recomendamos las siguientes prácticas para expulsar cuentas personales no deseadas:
- Asegúrate de que los usuarios afectados ya no puedan recibir correos electrónicos en la dirección de correo electrónico corporativa (anterior). De lo contrario, un usuario podría deshacer el cambio de nombre y cambiar la dirección de correo electrónico principal a la corporativa.
- Evita que otros usuarios se registren para obtener cuentas personales nuevas mediante el aprovisionamiento proactivo de cuentas de usuario en Cloud Identity o G Suite.
¿Qué sigue?
- Revisa cómo puedes evaluar las cuentas de usuario existentes.
- Obtén información sobre cómo quitar una dirección de correo electrónico corporativa de una cuenta de Gmail.