如果您尚未使用 Cloud Identity 或 Google Workspace,貴機構的員工有可能已經使用個人帳戶來存取 Google 服務。部分消費者帳戶可能會使用公司電子郵件地址 (例如 alice@example.com) 做為主要或備用電子郵件地址。
本文說明如何從這類消費者帳戶中移除公司電子郵件地址,藉此「逐出」或擺脫這些帳戶。雖然個人帳戶仍會存在,但移除公司電子郵件地址有助於降低社交工程風險。只要個人帳戶有看似可靠的電子郵件地址 (例如 alice@example.com),帳戶擁有者或許就能贏得現職員工或業務合作夥伴的信賴,進而獲權存取不應存取的資源。
或者,您也可以遷移個人帳戶,將這些帳戶保留下來並轉換為代管帳戶。但您可能不想遷移某些帳戶,例如:
- 離職員工使用的個人帳戶。
- 員工使用的個人帳戶,但這些員工不應存取 Google 服務。
- 您無法辨識擁有者的個人帳戶。
事前準備
如要移除違規的個人帳戶,您必須符合下列先決條件:
- 您已找出合適的新手上路計畫,並完成整合現有使用者帳戶的所有必要條件。
- 您已建立 Cloud Identity 或 Google Workspace 帳戶。
消費者帳戶的主要或備用電子郵件地址,必須與您新增至 Cloud Identity 或 Google Workspace 帳戶的其中一個網域相符。主要和次要網域都符合資格,但系統不支援別名網域。
程序
移除不需要的個人帳戶與遷移個人帳戶的運作方式類似,但前者是根據刻意建立的衝突帳戶進行。下圖說明瞭這個程序。管理員側的方塊表示 Cloud Identity 或 Google Workspace 管理員採取的動作;使用者帳戶擁有者側的矩形方塊表示只有個人帳戶擁有者可以執行的動作。
找出非受管使用者帳戶
您可以使用非受管使用者轉移工具,找出主要電子郵件地址與 Cloud Identity 或 Google Workspace 帳戶已驗證網域相符的個人帳戶。
建立相衝突的帳戶
找出要移除的消費者帳戶後,請按照下列步驟操作:
在 Cloud Identity 或 Google Workspace 中建立使用者帳戶,並使用與要移除帳戶相同的公司電子郵件地址。
如果消費者帳戶使用公司電子郵件地址做為主要電子郵件地址,管理控制台會警告您即將發生的衝突。由於您是刻意建立衝突帳戶,請選取「建立新使用者」。
由於您不希望使用受管理的使用者帳戶,請指派隨機密碼。
刪除剛建立的使用者帳戶。
建立衝突帳戶並立即刪除,即可強制擁有者重新命名該使用者帳戶。但可避免向該擁有者顯示候選畫面,提示其選擇代管帳戶或個人帳戶。
重新命名使用者帳戶
遭移除使用者帳戶的擁有者下次登入時,會看到以下訊息:
如螢幕截圖所示,他們有三種繼續操作的方式:
- 將使用者帳戶轉換為 Gmail 帳戶。
- 將其他電子郵件地址與帳戶建立關聯。
- 延後重新命名。因此,使用者帳戶會暫時使用臨時電子郵件地址。
gtempaccount.com
使用這個個人帳戶建立的所有設定和資料都不會受到重新命名影響。
最佳做法
建議您在移除不想要的消費者帳戶時,採取下列最佳做法:
- 確認受影響的使用者無法再透過 (原) 公司電子郵件地址接收郵件。否則使用者可能會還原重新命名作業,並將主要電子郵件地址切換回公司電子郵件地址。
- 主動將使用者帳戶佈建至 Cloud Identity 或 Google Workspace,防止其他使用者註冊新的個人帳戶。
後續步驟
- 請參閱評估現有使用者帳戶一文。
- 瞭解如何從 Gmail 帳戶中移除公司電子郵件地址。