Google unterstützt zwei Arten von Nutzerkonten: verwaltete Nutzerkonten und Privatnutzerkonten. Verwaltete Nutzerkonten werden vollständig von einem Cloud Identity- oder Google Workspace-Administrator gesteuert. Im Gegensatz dazu sind Privatnutzerkonten vollständig im Besitz der Nutzer, die sie erstellt haben, von denen sie auch verwaltet werden.
Ein zentrales Prinzip der Identitätsverwaltung ist die zentrale Verwaltung von Identitäten in Ihrer Organisation:
Wenn Sie Google als Identitätsanbieter (Identity Provider, IdP) verwenden, sollten Sie Cloud Identity oder Google Workspace als zentrale Stelle zum Verwalten von Identitäten nutzen. Mitarbeiter sollten ausschließlich Nutzerkonten verwenden, die Sie in Cloud Identity oder Google Workspace verwalten.
Wenn Sie einen externen IdP verwenden, sollten diese Anbieter Identitäten zentral verwalten. Der externe IdP muss Nutzerkonten in Cloud Identity oder Google Workspace bereitstellen und verwalten. Mitarbeiter sollten für Google-Dienste ausschließlich diese verwalteten Nutzerkonten verwenden.
Wenn Mitarbeiter Privatnutzerkonten verwenden, ist die zentrale Verwaltung von Identitäten an einer Stelle nicht mehr gewährleistet. Privatnutzerkonten werden nicht von Cloud Identity, von Google Workspace oder von Ihrem externen IdP verwaltet. Deshalb müssen Sie die Privatnutzerkonten ermitteln, die in verwaltete Konten umgewandelt werden sollen, wie unter Übersicht über die Identitätsverwaltung von Google gezeigt.
Sie benötigen eine Cloud Identity- oder Google Workspace-Identität mit einer Super Admin-Rolle, um Privatnutzerkonten mit dem Übertragungstool in verwaltete Konten umzuwandeln, wie weiter unten in diesem Dokument beschrieben.
In diesem Dokument wird Folgendes erläutert:
- Welche vorhandenen Nutzerkonten die Mitarbeiter Ihrer Organisation möglicherweise verwenden und wie diese Konten identifiziert werden.
- Welche Risiken mit diesen vorhandenen Nutzerkonten verbunden sein können.
Beispielszenario
Zur Veranschaulichung der verschiedenen Gruppen von Nutzerkonten, die Mitarbeiter möglicherweise verwenden, wird in diesem Dokument ein Beispielszenario für ein Unternehmen mit dem Namen Beispielorganisation verwendet. Die Beispielorganisation hat sechs Mitarbeiter und frühere Mitarbeiter, die alle Google-Dienste wie Google Docs und Google Ads nutzen. Die Beispielorganisation möchte nun ihre Identitätsverwaltung konsolidieren und ihren externen IdP zur zentralen Verwaltung von Identitäten einrichten. Jeder Mitarbeiter hat eine Identität beim externen IdP, die mit der E-Mail-Adresse des Mitarbeiters übereinstimmt.
Es gibt zwei Privatnutzerkonten, Carol und Chuck, die eine example.com
-E-Mail-Adresse verwenden:
- Carol hat mit ihrer geschäftlichen E-Mail-Adresse (
carol@example.com
) ein Privatnutzerkonto erstellt. - Chuck, ein früherer Mitarbeiter des Unternehmens, hat mit seiner geschäftlichen E-Mail-Adresse (
chuck@example.com
) ein Privatnutzerkonto erstellt.
Die beiden Mitarbeiter Glen und Grace haben sich für ein Gmail-Konto entschieden:
- Glen hat sich für ein Gmail-Konto (
glen@gmail.com)
) registriert, mit dem er auf private Dokumente, Unternehmensdokumente und andere Google-Dienste zugreifen kann. - Grace verwendet außerdem ein Gmail-Konto (
grace@gmail.com
), hat jedoch ihre geschäftliche E-Mail-Adresse (grace@example.com
) als alternative E-Mail-Adresse hinzugefügt.
Und schließlich verwenden zwei Mitarbeiter, Mary und Mike, bereits Cloud Identity:
- Mary hat ein Cloud Identity-Nutzerkonto (
mary@example.com
). - Mike ist der Administrator des Cloud Identity-Kontos und hat einen Nutzer (
admin@example.com
) für sich selbst erstellt.
Das folgende Diagramm veranschaulicht die verschiedenen Gruppen von Nutzerkonten:
Um den externen IdP zur zentralen Verwaltung von Identitäten festzulegen, müssen Sie die Identitäten der vorhandenen Google-Nutzerkonten mit den Identitäten im externen IdP verknüpfen. Im folgenden Diagramm wird daher eine Kontogruppe hinzugefügt, die die Identitäten beim externen IdP darstellt.
Wenn Mitarbeiter einen externen IdP zur zentralen Verwaltung von Identitäten einrichten möchten, müssen sie sich ausschließlich auf verwaltete Nutzerkonten verlassen. Der externe IdP muss diese Nutzerkonten verwalten.
In diesem Szenario erfüllt nur Mary diese Anforderungen. Sie verwendet einen Cloud Identity-Nutzer, bei dem es sich um ein verwaltetes Nutzerkonto handelt. Die Identität ihres Nutzerkontos stimmt mit ihrer Identität beim externen IdP überein. Alle anderen Mitarbeiter verwenden entweder Privatnutzerkonten oder die Identität ihrer Konten stimmt nicht mit ihrer Identität beim externen IdP überein. Die Risiken und Konsequenzen für das Nichterfüllen der Anforderungen sind für jeden dieser Nutzer unterschiedlich. Jeder Nutzer stellt eine andere Gruppe von Nutzerkonten dar, die weitere Untersuchungen erfordern.
Zu untersuchende Nutzerkonten
In den folgenden Abschnitten werden potenziell problematische Gruppen von Nutzerkonten untersucht.
Privatnutzerkonten
Diese Gruppe von Nutzerkonten besteht aus Konten, für die eine der folgenden Bedingungen zutrifft:
- Sie wurden von Mitarbeitern mithilfe des Features Registrieren erstellt, die von vielen Google-Diensten angeboten wird.
- Sie verwenden eine geschäftliche E-Mail-Adresse als Identität.
Im Beispielszenario trifft diese Beschreibung auf Carol und Chuck zu.
Ein Privatnutzerkonto, das für geschäftliche Zwecke verwendet wird und eine geschäftliche E-Mail-Adresse verwendet, kann ein Risiko für Ihr Unternehmen darstellen, z. B.:
Sie können den Lebenszyklus des Privatnutzerkontos nicht steuern. Ein Mitarbeiter, der das Unternehmen verlässt, kann das Nutzerkonto weiterhin verwenden, um auf Unternehmensressourcen zuzugreifen oder Ausgaben für das Unternehmen zu erzeugen.
Selbst wenn Sie den Zugriff auf alle Ressourcen widerrufen, kann das Konto dennoch ein Risiko für Social Engineering darstellen. Da das Nutzerkonto eine scheinbar vertrauenswürdige Identität wie
chuck@example.com
verwendet, kann der frühere Mitarbeiter möglicherweise aktuelle Mitarbeiter oder Geschäftspartner davon überzeugen, ihm wieder Zugriff auf Ressourcen zu gewähren.Ebenso kann ein ehemaliger Mitarbeiter über das Nutzerkonto Aktivitäten ausführen, die nicht den Richtlinien Ihrer Organisation entsprechen, was den Ruf Ihres Unternehmens gefährden könnte.
Sie können keine Sicherheitsrichtlinien wie MFA-Überprüfung oder Regeln für die Passwortkomplexität für das Konto erzwingen.
Sie können nicht einschränken, an welchem geografischen Standort die Daten in Google Docs und Google Drive gespeichert werden. Dies kann ein Compliance-Risiko darstellen.
Sie können nicht einschränken, auf welche Google-Dienste über dieses Nutzerkonto zugegriffen werden kann.
Wenn sich die Beispielorganisation für Google als IdP entscheidet, sollten Kundenkonten entweder zu Cloud Identity oder Google Workspace migriert oder entfernt werden. Erzwingen Sie dafür das Umbenennen des Nutzerkontos durch den Inhaber.
Wenn sich die Beispielorganisation für die Verwendung eines externen IdP entscheidet, muss zwischen folgenden Fällen unterschieden werden:
- Privatnutzerkonten mit übereinstimmender Identität beim externen IdP.
- Privatnutzerkonten ohne übereinstimmende Identität beim externen IdP.
In den folgenden beiden Abschnitten werden diese beiden abgeleiteten Klassen im Detail behandelt.
Privatnutzerkonten mit übereinstimmender Identität beim externen IdP
Diese Gruppe von Nutzerkonten besteht aus Konten, auf die Folgendes zutrifft:
- Sie wurden von Mitarbeitern erstellt.
- Sie verwenden eine geschäftliche E-Mail-Adresse als primäre E-Mail-Adresse.
- Ihre Identität stimmt mit einer Identität beim externen IdP überein.
Im Beispielszenario passt diese Beschreibung zu Carol.
Die Tatsache, dass diese Privatnutzerkonten bei Ihrem externen IdP eine übereinstimmende Identität haben, deutet darauf hin, dass diese Nutzerkonten aktuellen Mitarbeitern gehören und beibehalten werden sollten. Daher sollten Sie diese Konten zu Cloud Identity oder Google Workspace migrieren.
So können Sie Privatnutzerkonten identifizieren, deren Identität beim externen IdP übereinstimmt:
- Fügen Sie alle Domains zu Cloud Identity oder Google Workspace hinzu, die möglicherweise für die Registrierung von Privatnutzerkonten verwendet wurden. Insbesondere sollte die Liste der Domains in Cloud Identity oder Google Workspace alle Domains enthalten, die von Ihrem E-Mail-System unterstützt werden.
- Verwenden Sie das Übertragungstool für nicht verwaltete Nutzer, um Privatnutzerkonten zu ermitteln, deren E-Mail-Adresse mit einer der Domains übereinstimmt, die Sie Cloud Identity oder Google Workspace hinzugefügt haben. Außerdem können Sie die Liste der betroffenen Nutzer als CSV-Datei exportieren.
- Vergleichen Sie die Liste der Privatnutzerkonten mit den Identitäten Ihres externen IdP und finden Sie Privatnutzerkonten mit einem entsprechenden Gegenstück.
Privatnutzerkonten ohne übereinstimmende Identität beim externen IdP
Diese Gruppe von Nutzerkonten besteht aus Konten, auf die Folgendes zutrifft:
- Sie wurden von Mitarbeitern erstellt.
- Sie verwenden eine geschäftliche E-Mail-Adresse als Identität.
- Ihre Identität stimmt nicht mit einer Identität beim externen IdP überein.
Im Beispielszenario passt diese Beschreibung zu Chuck.
Es gibt mehrere Gründe für Privatnutzerkonten ohne übereinstimmende Identität beim externen IdP, darunter:
- Der Mitarbeiter, der das Konto erstellt hat, hat das Unternehmen möglicherweise verlassen. Dadurch ist die entsprechende Identität nicht mehr im externen IdP vorhanden.
Die E-Mail-Adresse, die für die Registrierung des Privatnutzerkontos verwendet wird, und die Identität, die dem externen IdP bekannt ist, stimmen möglicherweise nicht überein. Solche Abweichungen können auftreten, wenn Ihr E-Mail-System Variationen von E-Mail-Adressen wie die folgenden zulässt:
- Verwenden alternativer Domains. Zum Beispiel könnten
johndoe@example.org
undjohndoe@example.com
Aliasse für dasselbe Postfach sein, aber der Nutzer ist möglicherweise nur alsjohndoe@example.com
in Ihrem IdP bekannt. - Verwenden alternativer Handles.
johndoe@example.com
undjohn.doe@example.com
können sich beispielsweise auch auf dasselbe Postfach beziehen, aber Ihr IdP erkennt möglicherweise nur eine Schreibweise. - Verwenden von Groß- und Kleinschreibung. Beispielsweise werden die Varianten
johndoe@example.com
undJohnDoe@example.com
möglicherweise nicht als derselbe Nutzer erkannt.
- Verwenden alternativer Domains. Zum Beispiel könnten
Sie können Privatnutzerkonten, die keine übereinstimmende Identität beim externen IdP haben, so behandeln:
Sie können das Privatnutzerkonto zu Cloud Identity oder Google Workspace migrieren und dann alle Abweichungen vereinheitlichen, die durch alternative Domains, Handles oder Groß- und Kleinschreibung verursacht werden.
Wenn Sie der Meinung sind, dass das Nutzerkonto unrechtmäßig ist oder nicht mehr verwendet werden soll, können Sie das Privatnutzerkonto entfernen Zwingen Sie dafür den Inhaber, es umzubenennen.
So können Sie Privatnutzerkonten ohne entsprechende Identität beim externen IdP ermitteln:
- Fügen Sie alle Domains zu Cloud Identity oder Google Workspace hinzu, die möglicherweise für die Registrierung von Privatnutzerkonten verwendet wurden. Insbesondere sollte die Liste der Domains in Cloud Identity oder Google Workspace alle Domains enthalten, die von Ihrem E-Mail-System als Aliasse unterstützt werden.
- Verwenden Sie das Übertragungstool für nicht verwaltete Nutzer, um Privatnutzerkonten zu ermitteln, deren E-Mail-Adresse mit einer der Domains übereinstimmt, die Sie Cloud Identity oder Google Workspace hinzugefügt haben. Außerdem können Sie die Liste der betroffenen Nutzer als CSV-Datei exportieren.
- Vergleichen Sie die Liste der Privatnutzerkonten mit den Identitäten Ihres externen IdP und ermitteln Sie die Privatnutzerkonten, für die es kein Pendant gibt.
Verwaltete Konten ohne übereinstimmende Identität beim externen IdP
Diese Gruppe von Nutzerkonten besteht aus Konten, auf die Folgendes zutrifft:
- Sie wurden manuell von einem Cloud Identity- oder Google Workspace-Administrator erstellt.
- Ihre Identität stimmt mit keiner Identität beim externen IdP überein.
Im Beispielszenario entspricht diese Beschreibung Mike, der die Identität admin@example.com
für sein verwaltetes Konto verwendet hat.
Die potenziellen Gründe für verwaltete Konten ohne übereinstimmende Identität beim externen IdP ähneln denen für Privatnutzerkonten ohne übereinstimmende Identität beim externen IdP:
- Der Mitarbeiter, für den das Konto erstellt wurde, hat möglicherweise das Unternehmen verlassen, sodass die entsprechende Identität nicht mehr im externen IdP vorhanden ist.
- Die geschäftliche E-Mail-Adresse, die der Identität beim externen IdP entspricht, wurde möglicherweise als alternative E-Mail-Adresse oder als Alias und nicht als primäre E-Mail-Adresse festgelegt.
- Die E-Mail-Adresse, die für das Nutzerkonto in Cloud Identity oder Google Workspace verwendet wird, stimmt möglicherweise nicht mit der Identität beim externen IdP überein. Weder für Cloud Identity noch für Google Workspace wird geprüft, ob die als Identität verwendete E-Mail-Adresse vorhanden ist. Eine Abweichung kann daher nicht nur aufgrund alternativer Domains, alternativer Handles oder unterschiedlicher Groß- und Kleinschreibung auftreten, sondern auch aufgrund von Tippfehlern oder anderen menschlichen Fehlern.
Unabhängig von ihrem Grund stellen verwaltete Konten ohne übereinstimmende Identität beim externen IdP ein Risiko dar, da sie unbeabsichtigt wiederverwendet und besetzt werden können. Wir empfehlen Ihnen, diese Konten abzugleichen.
So können Sie Privatnutzerkonten ohne entsprechende Identität beim externen IdP ermitteln:
- Exportieren Sie mit der Admin-Konsole oder mit der Directory API die Liste der Nutzerkonten nach Cloud Identity oder Google Workspace.
- Vergleichen Sie die Liste der Konten mit den Identitäten Ihres externen IdP und ermitteln Sie Konten ohne Pendant.
Gmail-Konten für geschäftliche Zwecke
Diese Gruppe von Nutzerkonten umfasst Konten, auf die Folgendes zutrifft:
- Sie wurden von Mitarbeitern erstellt.
- Sie verwenden eine
gmail.com
-E-Mail-Adresse als Identität. - Ihre Identitäten stimmen mit keiner Identität beim externen IdP überein.
Im Beispielszenario entspricht diese Beschreibung Grace und Glen.
Gmail-Konten, die für geschäftliche Zwecke verwendet werden, unterliegen ähnlichen Risiken wie Privatnutzerkonten ohne übereinstimmende Identität beim externen IdP:
- Sie können den Lebenszyklus des Privatnutzerkontos nicht steuern. Ein Mitarbeiter, der das Unternehmen verlässt, kann das Nutzerkonto weiterhin verwenden, um auf Unternehmensressourcen zuzugreifen oder Ausgaben für das Unternehmen zu erzeugen.
- Sie können keine Sicherheitsrichtlinien wie MFA-Überprüfung oder Regeln für die Passwortkomplexität für das Konto erzwingen.
Der beste Umgang mit Gmail-Konten besteht daher darin, den Zugriff dieser Nutzerkonten auf alle Unternehmensressourcen aufzuheben und den betroffenen Mitarbeitern neue verwaltete Nutzerkonten als Ersatz zur Verfügung zu stellen.
Da Gmail-Konten gmail.com
als Domain verwenden, gibt es keine eindeutige Zugehörigkeit zu Ihrer Organisation. Das Fehlen einer eindeutigen Zugehörigkeit deutet darauf hin, dass es neben der Bereinigung vorhandener Richtlinien zur Zugriffskontrolle keine systematische Möglichkeit gibt, Gmail-Konten zu identifizieren, die für geschäftliche Zwecke verwendet wurden.
Gmail-Konten mit einer geschäftlichen E-Mail-Adresse als alternative E-Mail-Adresse
Diese Gruppe von Nutzerkonten besteht aus Konten, auf die Folgendes zutrifft:
- Sie wurden von Mitarbeitern erstellt.
- Sie verwenden eine
gmail.com
-E-Mail-Adresse als Identität. - Sie verwenden eine geschäftliche E-Mail-Adresse als alternative E-Mail-Adresse.
- Ihre Identitäten stimmen mit keiner Identität beim externen IdP überein.
Im Beispielszenario passt diese Beschreibung zu Grace.
In Bezug auf das Risiko entsprechen Gmail-Konten, die eine geschäftliche E-Mail-Adresse als alternative E-Mail-Adresse verwenden, Privatnutzerkonten ohne übereinstimmende Identität beim externen IdP. Da diese Konten eine scheinbar vertrauenswürdige Unternehmens-E-Mail-Adresse als zweite Identität verwenden, unterliegen sie dem Risiko von Social Engineering.
Wenn Sie die Zugriffsrechte und einige der für das Gmail-Konto zugeordneten Daten erhalten möchten, können Sie den Inhaber bitten, Gmail aus dem Nutzerkonto zu entfernen, sodass Sie anschließend zu Cloud Identity oder Google Arbeitsbereich migrieren können.
Gmail-Konten, die eine geschäftliche E-Mail-Adresse als alternative E-Mail-Adresse verwenden, sollten am besten bereinigt werden. Wenn Sie ein Konto bereinigen, zwingen Sie den Inhaber, die geschäftliche E-Mail-Adresse aufzugeben, indem Sie ein verwaltetes Nutzerkonto mit derselben geschäftlichen E-Mail-Adresse erstellen. Darüber hinaus empfehlen wir Ihnen, den Zugriff auf alle Unternehmensressourcen zu widerrufen und den betroffenen Mitarbeitern die neuen verwalteten Nutzerkonten als Ersatz zur Verfügung zu stellen.
Nächste Schritte
- Weitere Informationen zu den verschiedenen Arten von Nutzerkonten in Google Cloud
- Migrationsprozess für Privatnutzerkonten
- Best Practices für die Föderation von Google Cloud mit einem externen Identitätsanbieter