本文介绍了如何清理现有 Gmail 账号,即有针对性地移除其中的所有公司电子邮件地址。如果您的公司尚未使用 Cloud Identity 或 Google Workspace,您的一些员工可能一直在使用 Gmail 账号访问 Google 服务。其中一些 Gmail 账号可能会将公司电子邮件地址(如 alice@example.com)作为备用邮箱。
如果出现以下任一情况,请考虑清理 Gmail 账号:
- 您希望 Gmail 账号的所有者改用受管理的用户账号。
- 您希望 Gmail 账号停止将公司电子邮件地址作为辅助地址。这可能是因为该账号属于离职员工,或者您不认识该账号的所有者。
从 Gmail 账号中移除公司电子邮件地址可以降低社会工程学:如果 Gmail 账号使用看似可信的电子邮件地址(如 alice@example.com)作为辅助地址,该账号的所有者或许能够说服员工或企业合作伙伴向他们授予对其本不应访问的资源的访问权限。
准备工作
为清理 Gmail 账号,您必须满足以下所有前提条件:
- 您已确定合适的初始配置方案,并且已完成方案中定义为整合现有用户账号所需前提条件的所有活动。
- 您已创建 Cloud Identity 或 Google Workspace 账号。
您计划进行清理的每个 Gmail 账号都必须满足以下条件:
- Gmail 账号的备用邮箱之一与您已添加到 Cloud Identity 或 Google Workspace 账号中的域名之一相对应。主域名和辅助域名都符合条件,但不支持别名域名。
流程
清理 Gmail 账号的工作原理与迁移消费者账号类似,但前者基于“您有针对性地创建有冲突的账号”这一理念。
下图演示了该流程。管理员一侧的矩形框表示 Cloud Identity 或 Google Workspace 管理员执行的操作;用户账号所有者一侧的矩形框表示只有消费者账号的所有者才能执行的操作。
步骤顺序会略有不同,具体取决于您是希望 Gmail 账号的所有者改用受管理的用户账号,还是只是希望该账号放弃其公司电子邮件地址。
建议改用受管理的账号
如果您希望用户切换到代管式账号,请在 Cloud Identity 或 Google Workspace 中为该用户创建用户账号。对于主电子邮件地址,请使用相应 Gmail 账号用作备用邮箱的电子邮件地址。例如,如果 Gmail 用户 bob@gmail.com 已将 bob@example.com 指定为备用邮箱,请使用 bob@example.com 作为 Cloud Identity 或 Google Workspace 用户的主电子邮件地址。
受影响账号的所有者可以通过两种方式登录,即使用 Gmail 地址或使用公司电子邮件地址。如果所有者使用 Gmail 地址登录,他们会看到以下消息,表明公司电子邮件地址已与该用户账号取消关联:
账号所有者只会看到此消息一次。如果所有者改用公司电子邮件地址登录,他们会看到投票屏幕:
如果他们选择组织 Google Workspace 账号,则必须使用 Cloud Identity 或 Google Workspace 中新创建的用户账号的凭据进行身份验证。如果他们使用外部 IdP,则此流程会涉及单点登录。由于 Cloud Identity 或 Google Workspace 中的用户账号是新的,因此未转移 Gmail 账号的任何数据。
如果他们选择个人 Google 账号,则可以继续使用自己的 Gmail 账号,但系统会显示以下消息,表明公司电子邮件地址已与该用户账号取消关联:
确认后,他们会看到另一条消息:
强制账号放弃其公司电子邮件地址
您可以强制要求某个账号放弃其公司电子邮件地址,如下所述:
- 在 Cloud Identity 或 Google Workspace 中创建具有相应公司电子邮件地址的用户账号。由于您不希望受管理的用户账号被使用,因此请指定一个随机密码。
- 删除刚刚创建的用户账号。
通过创建有冲突的账号并立即删除受管理的账号,您可以让消费者账号处于所有者必须对账号重命名的状态。
受影响账号的所有者可以通过两种方式登录,即使用 Gmail 地址或使用公司电子邮件地址:
如果所有者使用 Gmail 地址登录,他们会看到以下消息,表明公司电子邮件地址已与该用户账号取消关联:
如果他们改用公司电子邮件地址登录,则会看到以下消息:
确认后,他们会看到另一条消息:
使用此消费者账号创建的所有配置和数据均不受重命名过程的影响。不过,如果后续尝试登录,用户必须使用 Gmail 地址,因为该公司地址已不再与此用户账号关联。
最佳做法
我们建议您在清理 Gmail 账号时采用以下最佳做法:
- 通过主动将用户账号预配到 Cloud Identity 或 Google Workspace,阻止其他用户向其 Gmail 账号分配公司电子邮件地址。
通过使用组织政策按网域限制身份,阻止新的 Gmail 账号获得对 Google Cloud 资源的访问权限。
通过使用按网域限制分享的政策,阻止 Gmail 账号获得对 Google Marketing Platform 的访问权限。
后续步骤
- 查看如何评估现有用户账号。
- 了解如何逐出不需要的消费者账号。