Si no has usado Cloud Identity ni Google Workspace, es posible que los empleados de tu organización hayan estado usando cuentas de consumidor para acceder a los servicios de Google. Es posible que algunas de estas cuentas de consumidor utilicen una dirección de correo corporativa, como alice@example.com, como dirección de correo principal o alternativa.
En este documento se describe cómo puedes eliminar este tipo de cuentas de consumidor quitando la dirección de correo corporativa de ellas. Aunque las cuentas de consumidor seguirán existiendo, eliminar la dirección de correo de empresa te ayudará a mitigar el riesgo de ingeniería social. Mientras una cuenta de consumidor tenga una dirección de correo aparentemente fiable, como alice@example.com, el propietario de la cuenta podría convencer a los empleados o partners de la empresa para que le den acceso a recursos a los que no debería tener acceso.
También puedes migrar cuentas de consumidor para conservarlas y convertirlas en cuentas gestionadas. Sin embargo, puede que haya algunas cuentas que no quieras migrar, como las siguientes:
- Cuentas de consumidor que usan antiguos empleados.
- Cuentas de consumidor que usan empleados que no deberían acceder a los servicios de Google.
- Cuentas de consumidor cuyo propietario no reconoces.
Antes de empezar
Para eliminar las cuentas de consumidor infractoras, debes cumplir los siguientes requisitos:
- Has identificado un plan de incorporación adecuado y has completado todos los requisitos previos para consolidar tus cuentas de usuario.
- Has creado una cuenta de Cloud Identity o Google Workspace.
La dirección de correo principal o alternativa de la cuenta de consumidor debe corresponderse con uno de los dominios que hayas añadido a tu cuenta de Cloud Identity o de Google Workspace. Tanto los dominios principales como los secundarios cumplen los requisitos, pero no se admiten los dominios de alias.
Proceso
El proceso para eliminar cuentas de consumidor no deseadas es similar al de migrar cuentas de consumidor, pero se basa en crear deliberadamente una cuenta en conflicto. En el siguiente diagrama se ilustra el proceso. Los recuadros del lado del administrador indican las acciones que realiza un administrador de Cloud Identity o Google Workspace, mientras que los recuadros rectangulares del lado del propietario de la cuenta de usuario indican las acciones que solo puede realizar el propietario de una cuenta de consumidor.
Buscar cuentas de usuario no gestionadas
Puedes usar la herramienta de transferencia de usuarios no gestionados para buscar cuentas de consumidor que usen una dirección de correo principal que coincida con uno de los dominios verificados de tu cuenta de Cloud Identity o Google Workspace.
Crear una cuenta en conflicto
Cuando hayas identificado una cuenta de consumidor de la que quieras expulsar a un usuario, haz lo siguiente:
Crea una cuenta de usuario en Cloud Identity o Google Workspace que tenga la misma dirección de correo corporativa que la cuenta que quieras expulsar.
Si la cuenta de consumidor usa la dirección de correo de la empresa como dirección de correo principal, la consola de administración te avisará de un conflicto inminente. Como vas a crear la cuenta en conflicto de forma intencionada, selecciona Crear usuario.
Como no quieres que se utilice nunca la cuenta de usuario gestionada, asigna una contraseña aleatoria.
Elimina la cuenta de usuario que acabas de crear.
Si creas una cuenta en conflicto y la eliminas inmediatamente, obligas al propietario a cambiar el nombre de esa cuenta de usuario. Sin embargo, evitas que se muestre a ese propietario una pantalla de votación que le pida que elija entre la cuenta gestionada y la de consumidor.
Cambiar el nombre de la cuenta de usuario
La próxima vez que el propietario de la cuenta del usuario expulsado inicie sesión, verá el siguiente mensaje:
Como se indica en la captura de pantalla, tienen tres opciones para continuar:
- Convierte la cuenta de usuario en una cuenta de Gmail.
- Asocia otra dirección de correo a la cuenta.
- Posponer el cambio de nombre. De esta forma, la cuenta de usuario usará una dirección de correo temporal
gtempaccount.com.
El cambio de nombre no afecta a la configuración ni a los datos creados con esta cuenta de consumidor.
Prácticas recomendadas
Te recomendamos que sigas estas prácticas recomendadas cuando expulses cuentas de consumidor no deseadas:
- Asegúrate de que los usuarios afectados ya no puedan recibir correos en su dirección de correo de empresa (anterior). De lo contrario, es posible que un usuario pueda deshacer el cambio de nombre y volver a cambiar la dirección de correo principal a la dirección de correo de empresa.
- Para evitar que otros usuarios creen cuentas de consumidor, aprovisiona de forma proactiva cuentas de usuario en Cloud Identity o Google Workspace.
Siguientes pasos
- Consulta cómo puedes evaluar las cuentas de usuario.
- Consulta cómo quitar una dirección de correo corporativa de una cuenta de Gmail.