Évincer des comptes personnels

Si vous n'utilisez pas Cloud Identity ou G Suite, il est possible que les employés de votre organisation utilisent des comptes personnels pour accéder aux services Google. Certains de ces comptes personnels peuvent utiliser une adresse e-mail d'entreprise telle que alice@example.com comme adresse e-mail principale ou secondaire.

Ce document explique comment évincer ou supprimer ces types de comptes personnels en supprimant l'adresse e-mail d'entreprise. Bien que les comptes personnels existent toujours, la suppression de l'adresse e-mail d'entreprise permet de limiter les risques d'ingénierie sociale : tant que le compte personnel possède une adresse e-mail apparemment fiable telle que alice@example.com, le propriétaire du compte peut convaincre les employés ou les partenaires commerciaux de lui accorder l'accès à des ressources auxquelles il ne devrait pas avoir accès.

Vous pouvez également migrer des comptes personnels pour les conserver et les transformer en comptes gérés. Toutefois, vous ne souhaiterez peut-être pas migrer certains comptes, tels que les suivants :

  • Comptes personnels utilisés par d'anciens employés
  • Comptes personnels utilisés par des employés qui ne sont pas censés accéder aux services Google
  • Comptes personnels dont vous ne reconnaissez pas le propriétaire

Avant de commencer

Pour évincer des comptes personnels, vous devez remplir les conditions préalables suivantes :

L'adresse e-mail principale ou secondaire du compte personnel doit correspondre à l'un des domaines que vous avez ajoutés à votre compte Cloud Identity ou G Suite. Le domaine principal et le domaine secondaire sont éligibles, mais pas les domaines d'alias.

Processus

L'éviction des comptes personnels indésirables fonctionne de la même manière que la migration des comptes personnels, mais elle repose sur la création d'un compte en conflit. Le schéma suivant illustre le processus. Les cases du côté Administrateur indiquent les actions effectuées par un administrateur Cloud Identity ou G Suite. Les cases rectangulaires du côté Propriétaire du compte utilisateur indiquent les actions que seul le propriétaire d'un compte personnel peut effectuer.

Processus d'éviction des comptes personnels indésirables

Rechercher des comptes utilisateur non gérés

Vous pouvez utiliser l'outil de transfert pour les utilisateurs non gérés pour rechercher des comptes personnels qui utilisent une adresse e-mail principale correspondant à l'un des domaines validés de votre compte Cloud Identity ou G Suite.

Créer un compte en conflit

Lorsque vous avez identifié un compte personnel que vous souhaitez évincer, procédez comme suit :

  1. Créez un compte utilisateur dans Cloud Identity ou G Suite avec la même adresse e-mail d'entreprise que celle du compte que vous souhaitez évincer.

    Si le compte personnel utilise l'adresse e-mail d'entreprise comme adresse e-mail principale, la console d'administration vous avertit d'un conflit imminent. Étant donné que vous créez intentionnellement le compte en conflit, sélectionnez Créer un utilisateur.

    Avertissement que l'utilisateur existe déjà.

    Étant donné que vous ne souhaitez pas que le compte utilisateur géré soit utilisé, attribuez un mot de passe aléatoire.

  2. Supprimez le compte utilisateur que vous venez de créer.

En créant un compte en conflit et en le supprimant immédiatement, vous obligez le propriétaire à renommer ce compte utilisateur. Cependant, vous évitez que ce propriétaire ne reçoive un écran de sélection l'invitant à choisir entre le compte géré et le compte personnel.

Renommer le compte utilisateur

La prochaine fois que le propriétaire du compte utilisateur évincé se connecte, il voit le message suivant :

Le propriétaire évincé voit le message indiquant que son compte a été modifié.

Comme le suggère la capture d'écran, trois options s'offrent à lui :

  • Convertir le compte utilisateur en compte Gmail
  • Associer une autre adresse e-mail au compte
  • Reporter le changement de nom En attendant, le compte utilisateur utilise une adresse e-mail gtempaccount.com temporaire.

Le changement de nom n'a aucune incidence sur la configuration et les données créées avec ce compte utilisateur.

Bonnes pratiques

Nous vous recommandons de respecter les bonnes pratiques suivantes lorsque vous évincez des comptes personnels indésirables :

  • Assurez-vous que les utilisateurs concernés ne peuvent plus recevoir d'e-mails avec leur (ancienne) adresse e-mail d'entreprise. Sinon, un utilisateur peut annuler le changement de nom et remplacer à nouveau l'adresse e-mail principale par l'adresse e-mail d'entreprise.
  • Empêchez les autres utilisateurs de créer des comptes personnels en gérant de manière proactive les comptes utilisateur dans Cloud Identity ou G Suite.

Étapes suivantes