Expulsa cuentas personales

Si no usaste Cloud Identity o G Suite, es posible que los empleados de la organización usaran cuentas personales para acceder a los servicios de Google. Algunas de estas cuentas personales pueden usar una dirección de correo electrónico corporativa, por ejemplo alice@example.com, como dirección de correo electrónico principal o alternativa.

En este documento, se describe cómo puedes expulsar o deshacerte de estos tipos de cuentas personales si les quitas la dirección de correo electrónico corporativa. Aunque las cuentas personales seguirán existiendo, quitar la dirección de correo electrónico corporativa te ayudará a mitigar un riesgo de ingeniería social. Siempre que una cuenta personal tenga una dirección de correo electrónico que parezca confiable como alice@example.com, el propietario de la cuenta podría convencer a los empleados o a los socios comerciales actuales de otorgarles acceso a recursos a los que no deberían tener.

Como alternativa, si se migran cuentas personales, se pueden conservar estas cuentas y convertirlas en cuentas administradas. Sin embargo, es posible que haya algunas cuentas que no quieras migrar, como las siguientes:

  • Cuentas personales que usan los empleados anteriores
  • Cuentas personales que usan empleados que no deberían acceder a los servicios de Google
  • Cuentas personales cuyo propietario no puedes reconocer

Antes de comenzar

Para expulsar las cuentas personales ofensivas, debes cumplir con los siguientes requisitos:

La dirección de correo electrónico principal o alternativa de la cuenta de consumidor debe corresponder a uno de los dominios que agregaste a la cuenta de Cloud Identity o G Suite. Los dominios principal y secundario son aptos, pero no se admiten los dominios de alias.

Proceso

La expulsión de cuentas de consumidores no deseadas funciona de manera similar a la migración de cuentas personales, pero se basa en crear una cuenta en conflicto. En el siguiente diagrama, se ilustra el proceso. Los cuadros en el lado del Administrador denotan las acciones que realiza un administrador de Cloud Identity o G Suite. Los cuadros rectangulares del lado del propietario de la cuenta de usuario indican las acciones que solo puede realizar el propietario de una cuenta personal.

Proceso para expulsar cuentas personales no deseadas.

Encuentra cuentas de usuario no administradas

Puedes usar la herramienta para transferir usuarios no administrados a fin de encontrar cuentas personales que usen una dirección de correo electrónico principal que coincida con uno de los dominios verificados de la cuenta de Cloud Identity o G Suite.

Crea una cuenta en conflicto

Cuando identifiques una cuenta personal que desees expulsar, sigue estos pasos:

  1. Crea una cuenta de usuario en Cloud Identity o G Suite que tenga la misma dirección de correo electrónico corporativa que la cuenta que deseas expulsar.

    Si la cuenta personal usa la dirección de correo electrónico corporativa como la dirección de correo electrónico principal, la Consola del administrador te advertirá sobre un conflicto inminente. Debido a que creas la cuenta en conflicto de forma intencional, selecciona Create new user.

    Advertencia de que el usuario ya existe.

    Como no deseas que se use la cuenta de usuario administrada, asigna una contraseña aleatoria.

  2. Borra la cuenta de usuario que acabas de crear.

Cuando creas una cuenta en conflicto y la borras de inmediato, obligas al propietario a cambiarle el nombre a esa cuenta de usuario. Sin embargo, evitas que el propietario vea una pantalla de selección que le solicite elegir entre la cuenta administrada y la personal.

Cambia el nombre de la cuenta de usuario

La próxima vez que el propietario de la cuenta de usuario expulsada acceda, verá el siguiente mensaje:

El propietario expulsado ve el mensaje que indica que su cuenta cambió.

Como sugiere la captura de pantalla, tiene tres opciones para continuar:

  • Convertir la cuenta de usuario en una cuenta de Gmail
  • Asociar una dirección de correo electrónico diferente a la cuenta
  • Posponer el cambio de nombre. Esto hace que la cuenta de usuario use una dirección de correo electrónico temporal gtempaccount.com mientras tanto

Toda la configuración y los datos que se crearon mediante esta cuenta personal no se ven afectados por el cambio de nombre.

Prácticas recomendadas

Recomendamos las siguientes prácticas para expulsar cuentas personales no deseadas:

  • Asegúrate de que los usuarios afectados ya no puedan recibir correos electrónicos en la dirección de correo electrónico corporativa (anterior). De lo contrario, un usuario podría deshacer el cambio de nombre y cambiar la dirección de correo electrónico principal a la corporativa.
  • Evita que otros usuarios se registren para obtener cuentas personales nuevas mediante el aprovisionamiento proactivo de cuentas de usuario en Cloud Identity o G Suite.

Próximos pasos