清理 Gmail 帐号

本文介绍了如何清理现有 Gmail 帐号,即有针对性地移除其中的所有公司电子邮件地址。如果您的公司尚未使用 Cloud IdentityG Suite,您的部分员工可能一直在使用 Gmail 帐号访问 Google 服务。其中一些 Gmail 帐号可能会将公司电子邮件地址(如 alice@example.com)作为辅助电子邮件地址

如果出现以下任一情况,请考虑清理 Gmail 帐号:

  • 您希望 Gmail 帐号的所有者改用受管理的用户帐号
  • 您希望 Gmail 帐号停止将公司电子邮件地址作为辅助地址。这可能是因为该帐号属于离职员工,或者您不认识该帐号的所有者。

从 Gmail 帐号中移除公司电子邮件地址可以降低社会工程学:如果 Gmail 帐号使用看似可信的电子邮件地址(如 alice@example.com)作为辅助地址,该帐号的所有者或许能够说服员工或企业合作伙伴向他们授予对其本不应访问的资源的访问权限。

准备工作

为清理 Gmail 帐号,您必须满足以下所有前提条件:

您计划进行清理的每个 Gmail 帐号都必须满足以下条件:

  • Gmail 帐号的一个辅助电子邮件地址与您添加到 Cloud Identity 或 G Suite 帐号的域名之一相对应。主域名和辅助域名都符合条件,但不支持别名域名。

流程

清理 Gmail 帐号的工作原理与迁移消费者帐号类似,但前者基于“您有针对性地创建有冲突的帐号”这一理念。

下图演示了该流程。管理员一侧的矩形框表示 Cloud Identity 或 G Suite 管理员执行的操作;用户帐号所有者一侧的矩形框表示只有消费者帐号的所有者才能执行的操作。

清理流程。

步骤顺序会略有不同,具体取决于您是希望 Gmail 帐号的所有者改用受管理的用户帐号,还是只是希望该帐号放弃其公司电子邮件地址。

鼓励改用受管理的帐号

如果您希望用户改用受管理的帐号,请在 Cloud Identity 或 G Suite 中为该用户创建一个用户帐号。对于主电子邮件地址,请使用相应 Gmail 帐号用作辅助电子邮件地址的电子邮件地址。例如,如果 Gmail 用户 bob@gmail.com 已将 bob@example.com 指定为辅助电子邮件地址,请使用 bob@example.com 作为 Cloud Identity 或 G Suite 用户的主电子邮件地址。

受影响帐号的所有者可以通过两种方式登录,即使用 Gmail 地址或使用公司电子邮件地址。如果所有者使用 Gmail 地址登录,他们会看到以下消息,表明公司电子邮件地址已与该用户帐号取消关联:

表明您的帐号已更改的消息。

帐号所有者只会看到此消息一次。如果所有者改用公司电子邮件地址登录,他们会看到投票屏幕:

投票屏幕。

如果他们选择组织 G Suite 帐号,则必须使用 Cloud Identity 或 G Suite 中新创建的用户帐号的凭据进行身份验证。如果他们使用外部 IdP,则此流程会涉及单点登录。由于 Cloud Identity 或 G Suite 中的用户帐号是新帐号,因此 Gmail 帐号的数据不会转移。

如果他们选择个人 Google 帐号,则可以继续使用自己的 Gmail 帐号,但系统会显示以下消息,表明公司电子邮件地址已与该用户帐号取消关联:

地址已取消关联。

确认后,他们会看到另一条消息:

显示主地址已更改的消息。

强制帐号放弃其公司电子邮件地址

您可以强制要求某个帐号放弃其公司电子邮件地址,如下所述:

  1. 在 Cloud Identity 或 G Suite 中创建一个具有相应公司电子邮件地址的用户帐号。由于您不希望受管理的用户帐号被使用,因此请指定一个随机密码。
  2. 删除刚刚创建的用户帐号。

通过创建有冲突的帐号并立即删除受管理的帐号,您可以让消费者帐号处于所有者必须对帐号重命名的状态。

受影响帐号的所有者可以通过两种方式登录,即使用 Gmail 地址或使用公司电子邮件地址:

  • 如果所有者使用 Gmail 地址登录,他们会看到以下消息,表明公司电子邮件地址已与该用户帐号取消关联:

    公司电子邮件地址已与该用户帐号取消关联。

  • 如果他们改用公司电子邮件地址登录,则会看到以下消息:

    使用公司电子邮件地址登录后的消息。

    确认后,他们会看到另一条消息:

    新的主地址。

    使用此消费者帐号创建的所有配置和数据均不受重命名过程的影响。不过,如果后续尝试登录,用户必须使用 Gmail 地址,因为该公司地址已不再与此用户帐号关联。

最佳做法

我们建议您在清理 Gmail 帐号时采用以下最佳做法:

后续步骤