評估現有的使用者帳戶

Google 支援兩種使用者帳戶：受管理的使用者帳戶和消費者使用者帳戶。受管理的使用者帳戶完全受 Cloud Identity 或 Google Workspace 管理員控管。相較之下，個人帳戶是由建立者全權擁有及管理。

身分管理的核心原則是透過單一平台管理機構內的所有身分：

• 如果您使用 Google 做為識別資訊提供者 (IdP)，則應透過 Cloud Identity 或 Google Workspace 集中管理身分。員工應完全依賴您在 Cloud Identity 或 Google Workspace 中管理的使用者帳戶。

• 如果您使用外部 IdP，則應透過該提供者集中管理身分。外部 IdP 必須在 Cloud Identity 或 Google Workspace 中佈建及管理使用者帳戶，員工使用 Google 服務時，應只使用這些代管的使用者帳戶。

如果員工使用消費者使用者帳戶，在單一位置集中管理身分這個前提就不復存在：消費者帳戶並非由 Cloud Identity、Google Workspace 或外部 IdP 管理。因此，您必須找出要轉換為受管理帳戶的個人使用者帳戶，詳情請參閱驗證總覽。

如要使用轉移工具將個人帳戶轉換為受管理帳戶 (詳情請參閱本文後續內容)，您必須擁有 Cloud Identity 或 Google Workspace 身分，並具備超級管理員角色。

這份文件可協助您瞭解及評估下列事項：

• 貴機構員工可能使用的現有使用者帳戶，以及如何識別這些帳戶。
• 這些現有使用者帳戶可能有哪些風險。

範例情境

為說明員工可能使用的不同使用者帳戶組合，本文將以「Example Organization」這間公司為例。Example Organization 有六名員工和前員工，他們都使用 Google 服務，例如 Google 文件和 Google Ads。Example Organization 現在打算整合身分管理，並將外部 IdP 設為管理身分的單一平台。每位員工在外部 IdP 中都有身分，且該身分與員工的電子郵件地址相符。

有兩個消費者使用者帳戶 (Carol 和 Chuck) 使用 example.com 電子郵件地址：

• Carol 使用公司電子郵件地址 (carol@example.com) 建立個人帳戶。
• 前員工 Chuck 使用公司電子郵件地址 (chuck@example.com) 建立個人帳戶。

兩位員工 Glen 和 Grace 決定使用 Gmail 帳戶：

• Glen 註冊了 Gmail 帳戶 (glen@gmail.com))，並使用該帳戶存取私人和公司文件，以及其他 Google 服務。
• Grace 也使用 Gmail 帳戶 (grace@gmail.com)，但她已將公司電子郵件地址 grace@example.com 新增為替代電子郵件地址。

最後，有兩位員工 (Mary 和 Mike) 已經使用 Cloud Identity：

• Mary 有一個 Cloud Identity 使用者帳戶 (mary@example.com)。
• Mike 是 Cloud Identity 帳戶的管理員，並為自己建立使用者 (admin@example.com)。

下圖說明瞭不同的使用者帳戶組合：

如要將外部 IdP 設為管理身分的單一位置，您必須將現有 Google 使用者帳戶的身分連結至外部 IdP 中的身分。因此，下圖新增了帳戶集，描繪外部 IdP 中的身分。

請注意，如果員工想將外部 IdP 設為管理身分的單一位置，就必須完全依賴受管理的使用者帳戶，且外部 IdP 必須控管這些使用者帳戶。

在這個情況下，只有 Mary 符合這些條件。她使用的是 Cloud Identity 使用者 (受管理的使用者帳戶)，且使用者帳戶的身分與外部 IdP 中的身分相符。其他員工則使用消費者帳戶，或帳戶身分與外部 IdP 中的身分不符。未符合規定的風險和影響因使用者而異。每位使用者代表一組不同的使用者帳戶，可能需要進一步調查。

要調查的使用者帳戶

以下各節將探討可能出現問題的使用者帳戶組合。

個人帳戶

這組使用者帳戶包含符合下列任一條件的帳戶：

• 這些帳戶是員工使用許多 Google 服務提供的「註冊」功能建立。
• 他們使用公司電子郵件地址做為身分。

在範例情境中，這項說明適用於 Carol 和 Chuck。

如果將個人帳戶用於企業用途，並讓該帳戶使用企業電子郵件地址，可能會為貴公司帶來風險，例如：

• 您無法控管個人帳戶的生命週期。離職員工可能會繼續使用使用者帳戶存取公司資源，或造成公司開銷。

  即使您撤銷了所有資源的存取權，帳戶仍可能具有社交工程風險。由於使用者帳戶使用看似可靠的身分 (例如 chuck@example.com)，離職員工或許能因此贏得現職員工或業務合作夥伴的信賴，進而獲權再次存取資源。

  同樣地，離職員工可能會透過使用者帳戶從事違反貴機構政策的活動，進而對貴公司的信譽造成負面影響。

• 您無法對帳戶強制執行多重驗證或密碼複雜度規則等安全性政策。

• 您無法限制要將 Google 文件和 Google 雲端硬碟資料儲存在哪個地理位置，這可能帶來法規遵循上的風險。

• 您無法限制這個使用者帳戶能夠存取哪些 Google 服務。

如果 ExampleOrganization 決定使用 Google 做為 IdP，處理消費者帳戶的最佳方式是將這些帳戶遷移至 Cloud Identity 或 Google Workspace，或是強制擁有者重新命名使用者帳戶，藉此將這些帳戶逐出。

如果 ExampleOrganization 決定使用外部 IdP，則需要進一步區分下列項目：

• 在外部 IdP 中具有相符身分的消費者帳戶。
• 在外部 IdP 中沒有相符身分的個人帳戶。

以下兩節將詳細介紹這兩個子類別。

在外部 IdP 中具有相符身分的消費者帳戶

這組使用者帳戶包含符合下列所有條件的帳戶：

• 這些內容是由員工建立。
• 他們使用公司電子郵件地址做為主要電子郵件地址。
• 身分與外部 IdP 中的身分相符。

在範例情境中，這項說明適用於 Carol。

這些個人帳戶在外部 IdP 中具有相符的身分，表示這些使用者帳戶屬於現職員工，應予以保留。因此，建議您考慮將這些帳戶遷移至 Cloud Identity 或 Google Workspace。

您可以按照下列步驟，找出外部 IdP 中具有相符身分的消費者帳戶：

1. 將所有網域新增至 Cloud Identity 或 Google Workspace，這些網域可能曾用於註冊消費者帳戶。具體來說，Cloud Identity 或 Google Workspace 中的網域清單應包含電子郵件系統支援的所有網域。
2. 使用非受管使用者轉移工具，找出使用與您新增至 Cloud Identity 或 Google Workspace 的網域相符電子郵件地址的消費者帳戶。您也可以使用這項工具將受影響的使用者清單匯出為 CSV 檔案。
3. 比較消費者帳戶清單與外部 IdP 中的身分，找出有對應項目的消費者帳戶。

外部 IdP 中沒有相符身分的消費者帳戶

這組使用者帳戶包含符合下列所有條件的帳戶：

• 這些內容是由員工建立。
• 他們使用公司電子郵件地址做為身分。
• 他們的 ID 不符合外部 IdP 中的任何 ID。

在範例情境中，這項說明適用於 Chuck。

如果外部 IdP 中沒有相符的身分，可能導致個人帳戶無法登入，原因包括：

• 建立帳戶的員工可能已離職，因此外部 IdP 中不再有對應的身分。

• 消費者帳戶註冊時使用的電子郵件地址，可能與外部 IdP 中已知的身分不符。如果電子郵件系統允許電子郵件地址有不同的變化形式，例如：

  • 使用替代網域。舉例來說，johndoe@example.org 和 johndoe@example.com 可能是同一個信箱的別名，但使用者在您的 IdP 中可能只會稱為 johndoe@example.com。
  • 使用替代帳號代碼。舉例來說，johndoe@example.com 和 john.doe@example.com 可能也是指同一個信箱，但您的 IdP 可能只會辨識其中一種拼法。
  • 使用不同大小寫。舉例來說，系統可能不會將 johndoe@example.com 和 JohnDoe@example.com 視為同一位使用者。

您可以透過下列方式，處理外部 IdP 中沒有相符身分的個人帳戶：

• 您可以將消費者帳戶遷移至 Cloud Identity 或 Google Workspace，然後解決因替代網域、帳號代碼或大小寫而造成的任何不符問題。

• 如果您認為使用者帳戶不合法或不應再使用，可以強制擁有者重新命名帳戶，藉此「驅逐」個人帳戶。

您可以按照下列步驟，找出外部 IdP 中沒有相符身分的消費者帳戶：

1. 將所有網域新增至 Cloud Identity 或 Google Workspace，這些網域可能曾用於註冊消費者帳戶。具體來說，Cloud Identity 或 Google Workspace 中的網域清單應包含電子郵件系統支援的所有別名網域。
2. 使用非受管使用者轉移工具，找出使用與您新增至 Cloud Identity 或 Google Workspace 的網域相符電子郵件地址的消費者帳戶。您也可以使用這項工具將受影響的使用者清單匯出為 CSV 檔案。
3. 比較個人帳戶清單與外部 IdP 中的身分，找出缺少對應項目的個人帳戶。

外部 IdP 中沒有相符身分的受管理帳戶

這組使用者帳戶包含符合下列所有條件的帳戶：

• 由 Cloud Identity 或 Google Workspace 管理員手動建立。
• 他們的 ID 與外部 IdP 中的任何 ID 不符。

在範例情境中，這項說明適用於 Mike，他為受管理帳戶使用「身分」admin@example.com。

受管理帳戶在外部 IdP 中沒有相符身分的原因，與個人帳戶在外部 IdP 中沒有相符身分的原因類似：

• 建立帳戶的員工可能已離職，因此外部 IdP 中不再有對應的身分。
• 與外部 IdP 中的身分相符的公司電子郵件地址可能已設為備用電子郵件地址或別名，而非主要電子郵件地址。
• Cloud Identity 或 Google Workspace 中使用者帳戶所用的電子郵件地址，可能與外部 IdP 中已知的身分不符。Cloud Identity 和 Google Workspace 都不會驗證做為身分識別的電子郵件地址是否存在。因此，不相符的情況不僅可能因替代網域、替代帳號代碼或大小寫不同而發生，也可能因錯字或其他人為錯誤而發生。

無論原因為何，如果受管理帳戶在外部 IdP 中沒有相符的身分，就可能遭到無意間重複使用和搶註名稱，因此存在風險。建議您對帳。

您可以按照下列步驟，找出外部 IdP 中沒有相符身分的消費者帳戶：

1. 使用管理控制台或 Directory API，匯出 Cloud Identity 或 Google Workspace 中的使用者帳戶清單。
2. 比較帳戶清單與外部 IdP 中的身分，找出缺少對應項目的帳戶。

用於公司用途的 Gmail 帳戶

這組使用者帳戶包含符合下列條件的帳戶：

• 這些內容是由員工建立。
• 他們使用 gmail.com 電子郵件地址做為身分。
• 他們的 ID 與外部 IdP 中的任何 ID 不符。

在範例情境中，這段說明適用於 Grace 和 Glen。

用於公司用途的 Gmail 帳戶與外部 IdP 中沒有相符身分的個人帳戶一樣，都可能面臨以下風險：

• 您無法控管個人帳戶的生命週期。離職員工可能會繼續使用使用者帳戶存取公司資源，或造成公司開銷。
• 您無法對帳戶強制執行多重驗證或密碼複雜度規則等安全性政策。

因此，處理 Gmail 帳戶的最佳方式是撤銷這些使用者帳戶對所有公司資源的存取權，並為受影響的員工提供新的受管理使用者帳戶做為替代方案。

由於 Gmail 帳戶使用 gmail.com 做為網域，因此無法清楚看出與貴機構的關聯。如果沒有明確的隸屬關係，就表示除了清除現有的存取控制政策外，沒有其他系統性方法可以識別用於公司用途的 Gmail 帳戶。

以公司電子郵件地址做為替代電子郵件的 Gmail 帳戶

這組使用者帳戶包含符合下列所有條件的帳戶：

• 這些內容是由員工建立。
• 他們使用 gmail.com 電子郵件地址做為身分。
• 他們使用公司電子郵件地址做為備用電子郵件地址。
• 他們的 ID 與外部 IdP 中的任何 ID 不符。

在範例情境中，這段說明適用於 Grace。

從風險角度來看，使用公司電子郵件地址做為備用電子郵件地址的 Gmail 帳戶，等同於外部 IdP 中沒有相符身分的個人帳戶。由於這些帳戶使用看似可靠的企業電子郵件地址做為第二個身分，因此容易受到社交工程攻擊。

如要保留 Gmail 帳戶的存取權和部分相關資料，可以請擁有者從使用者帳戶中移除 Gmail，然後將使用者帳戶遷移至 Cloud Identity 或 Google Workspace。

如要處理使用公司電子郵件地址做為替代電子郵件地址的 Gmail 帳戶，最佳做法是清除這些帳戶。清除帳戶時，您會使用相同的公司電子郵件地址建立受管理的使用者帳戶，強制擁有者放棄公司電子郵件地址。此外，建議您撤銷所有公司資源的存取權，並提供新的受管理使用者帳戶給受影響的員工做為替代方案。

後續步驟

• 進一步瞭解 Google Cloud上的不同類型使用者帳戶。
• 瞭解個人帳戶的遷移程序。
• 查看連結外部身分識別提供者的最佳做法 Google Cloud 。