逐出消费者帐号

如果您尚未使用过 Cloud IdentityGoogle Workspace,则贵组织的员工可能一直在使用消费者帐号来访问这些 Google 服务。其中一些消费者帐号可能会使用公司电子邮件地址(例如 alice@example.com)作为主电子邮件地址或辅助电子邮件地址。

本文档介绍了如何通过从这类消费者帐号中移除公司电子邮件地址来逐出或清除这些帐号。尽管消费者帐号将仍然存在,但移除公司电子邮件地址有助于降低社会工程学风险,只要消费者帐号具有看似可信的电子邮件地址(如 alice@example.com),该帐号的所有者就可能说服在职员工或业务合作伙伴向他们授予对其本不应访问的资源的访问权限。

或者,您也可以通过迁移消费者帐号保留这些帐号并将其转换为受管理的帐号。但是,不建议迁移某些帐号,例如以下帐号:

  • 离职员工使用的消费者帐号。
  • 不应访问 Google 服务的员工使用的消费者帐号。
  • 您无法识别其所有者的消费者帐号。

准备工作

要逐出违规消费者帐号,必须满足以下前提条件:

消费者帐号的主电子邮件地址或备用电子邮件地址必须与您已添加到 Cloud Identity 或 Google Workspace 帐号的域名之一相对应。主域名和辅助域名都符合条件,但不支持别名域名。

流程

逐出不需要的消费者帐号的工作原理与迁移消费者帐号类似,但前者基于“有针对性地创建有冲突的帐号”这一理念。下图演示了该流程。管理员一侧的方框表示 Cloud Identity 或 Google Workspace 管理员执行的操作;用户帐号所有者一侧的矩形框表示只有消费者帐号的所有者才能执行的操作。

逐出不需要的消费者帐号的流程。

查找不受管理的用户帐号

您可以使用非代管式用户转移工具,查找使用与 Cloud Identity 或 Google Workspace 帐号经过验证的域名之一匹配的主电子邮件地址的消费者帐号。

创建有冲突的帐号

当您确定要逐出的消费者帐号后,请执行以下操作:

  1. 在 Cloud Identity 或 Google Workspace 中创建一个与您要逐出的帐号具有相同公司电子邮件地址的用户帐号。

    如果消费者帐号将公司电子邮件地址用作主电子邮件地址,则管理控制台会向您发出即将发生冲突的警告。由于您是有意创建有冲突的帐号,因此请选择创建新用户

    警告该用户已存在。

    由于您不希望受管理的用户帐号被使用,因此请指定一个随机密码。

  2. 删除刚刚创建的用户帐号。

通过创建有冲突的帐号并立即删除该帐号,您可以让所有者必须对该用户帐号进行重命名。但您应避免向所有者显示用于提示他们在受管理的帐号和消费者帐号之间进行选择的投票屏幕。

重命名用户帐号

对于已逐出的用户帐号的所有者,他们下次登录时会看到以下消息:

已逐出的所有者会看到其帐号已发生更改的消息。

如屏幕截图所示,他们有三种选择:

  • 将用户帐号转换为 Gmail 帐号。
  • 将其他电子邮件地址与该帐号相关联。
  • 推迟重命名。这会导致用户帐号在此期间使用临时的 gtempaccount.com 电子邮件地址。

使用此消费者帐号创建的所有配置和数据均不受重命名操作的影响。

最佳做法

我们建议您在逐出不需要的消费者帐号时遵循以下最佳做法:

  • 确保受影响的用户无法再通过其(以前的)公司电子邮件地址接收电子邮件。否则,用户可能会撤消重命名操作,并将主电子邮件地址切换回公司电子邮件地址。
  • 主动将用户帐号预配到 Cloud Identity 或 Google Workspace,防止其他用户注册新的消费者帐号。

后续步骤