Gmail アカウントのサニタイズ

Last reviewed 2023-02-27 UTC

このドキュメントでは、既存の Gmail アカウントから企業のメールアドレスを意図的に削除することによってそのアカウントをサニタイズする方法について説明します。企業が Cloud IdentityGoogle Workspace を使用していない場合、一部の従業員は Gmail アカウントを使用して Google サービスにアクセスしている可能性があります。こうした Gmail アカウントによっては、予備のメールアドレスとして alice@example.com などの会社のメールアドレスを使用していることがあります。

次のいずれかに該当する場合は、Gmail アカウントのサニタイズを検討してください。

  • Gmail アカウントの所有者をマネージド ユーザー アカウントに切り替えたい場合。
  • Gmail アカウントで会社のメールアドレスを予備のアドレスとして使用することを停止したい場合。これは、アカウントが元従業員に属している、またはアカウントの所有者を認識できないことによるものです。

Gmail アカウントから企業のメールアドレスを削除すると、ソーシャル エンジニアリングのリスクを軽減できます。つまり、Gmail アカウントで alice@example.com のような信頼できそうに見えるメールアドレスを予備のアドレスとして使用している場合に、アカウントの所有者が従業員やビジネス パートナーを説得して、アクセスが許されていないリソースへのアクセス権を付与できるようにする可能性を軽減できます。

始める前に

Gmail アカウントをサニタイズするには、次に挙げる前提条件をすべて満たしている必要があります。

サニタイズする Gmail アカウントは次の条件を満たす必要があります。

  • Gmail アカウントの予備のメールアドレスの 1 つが、Cloud Identity または Google Workspace アカウントに追加したドメインのいずれかに対応している。プライマリ ドメインとセカンダリ ドメインの両方が対象ですが、エイリアス ドメインはサポートされていません。

プロセス

Gmail アカウントのサニタイズは一般ユーザー向けアカウントの移行と似ていますが、競合するアカウントを意図的に作成するという考えに基づいています。

次の図は、このプロセスを表しています。管理者側の長方形のボックスには、Cloud Identity または Google Workspace 管理者が行う操作が示され、ユーザー アカウント所有者側の長方形のボックスには、一般ユーザー向けアカウントの所有者のみが行える操作が示されています。

サニタイズ プロセス。

手順の流れは、Gmail アカウントの所有者をマネージド ユーザー アカウントに切り替えるか、アカウントに会社のメールアドレスを放棄させるかによって若干異なります。

マネージド アカウントへの切り替えを促す

ユーザーをマネージド アカウントに切り替える場合は、Cloud Identity または Google Workspace でそのユーザー用のユーザー アカウントを作成します。メインのメールアドレスには、Gmail アカウントで予備のメールアドレスとして使用されているメールアドレスを使用します。たとえば、Gmail ユーザー bob@gmail.com が予備のメールアドレスとして bob@example.com を指定している場合は、Cloud Identity または Google Workspace ユーザーのメインのメールアドレスとして bob@example.com を使用します。

その対象となったアカウントの所有者は、Gmail アドレスを使用するか、会社のメールアドレスを使用するかの 2 通りの方法でログインできます。所有者が Gmail アドレスを使用してログインすると、次のメッセージが表示され、企業のメールアドレスとユーザー アカウントの関連付けが解除されたことを示します。

アカウントの変更を知らせるメッセージ。

このメッセージはアカウント所有者に 1 回だけ表示されます。所有者が会社のメールアドレスを使用してログインすると、次の選択画面が表示されます。

選択画面。

[Organizational Google Workspace account] を選択した場合は、Cloud Identity または Google Workspace で新しく作成されたユーザー アカウントの認証情報を使用して認証を行う必要があります。外部 IdP を使用する場合、このプロセスにはシングル サインオンが必要です。Cloud Identity または Google Workspace のユーザー アカウントは新しいため、Gmail アカウントのデータは転送されません。

[Individual Google account] を選択した場合、Gmail アカウントは引き続き使用されますが、企業アカウントのメールアドレスとユーザー アカウントの関連付けは解除されます。

アドレスの関連付けが解除されます。

確認すると、別のメッセージが表示されます。

メインのアドレスが変更されたことを示すメッセージ。

アカウントの会社のメールアドレスを強制的に放棄させる

次のようにして、アカウントに会社のメールアドレスを強制的に放棄させることができます。

  1. Cloud Identity または Google Workspace で、対応する企業のメールアドレスを持つユーザー アカウントを作成します。マネージド ユーザー アカウントが使用されないようにするため、ランダムなパスワードを割り当てます。
  2. 作成したユーザー アカウントを削除します。

競合するアカウントを作成し、すぐにマネージド アカウントを削除することにより、一般ユーザー向けアカウントの所有者がアカウントの名前を変更する必要がある状態にします。

その対象となったアカウントの所有者は、Gmail アドレスを使用するか、会社のメールアドレスを使用するかの 2 通りの方法でログインできます。

  • 所有者が Gmail アドレスを使用してログインすると、次のメッセージが表示され、企業のメールアドレスとユーザー アカウントの関連付けが解除されたことを示します。

    会社のメールアドレスとユーザー アカウントの関連付けが解除されました。

  • 会社のメールアドレスを使用してログインすると、次のメッセージが表示されます。

    会社のメールアドレスでログインした後のメッセージ。

    確認すると、別のメッセージが表示されます。

    新しいメインのアドレス。

    この一般ユーザー向けアカウントを使用して作成されたすべての構成とデータは、名前変更プロセスの影響を受けません。ただし、企業アカウントのアドレスはユーザー アカウントに関連付けられていないため、以降のログインには、Gmail アドレスを使用する必要があります。

ベスト プラクティス

Gmail アカウントをサニタイズする場合は、次のベスト プラクティスをおすすめします。

次のステップ