您的部分员工可能在使用非受管账号访问 Google 服务,非受管用户是指使用贵组织的某个网域自行创建了 Google 账号的用户。这种情况十分常见,但不利于您管理用户,也不利于保障用户工作数据的安全。此外,有些非受管账号会导致出现有冲突的账号名称。若尝试使用与非受管账号相同的名称来创建受管理的账号,则会出现这种冲突。
作为 Google Workspace 超级用户,您可以指定如何在用户配置期间处理有冲突的账号。您可邀请非受管用户将其账号转换为您网域中的受管理账号,单方面将有冲突的账号替换为受管理的账号,也可手动管理有冲突的账号。您还可以使用管理有冲突的账号设置,选择处理非受管账号的默认选项。所选选项会应用于使用 Admin SDK Directory API 创建的用户账号。
您可以使用非受管用户转移工具查看现有的非受管用户账号,然后邀请这些非受管用户将其账号转换为您网域中受管理的账号。用户接受该请求后,您便可在管理控制台中管理其账号和数据。您可以使用转移工具迁移非受管账号,从而解决冲突问题。
设置处理非受管用户账号的选项
注意:所选选项会应用于使用 Admin SDK Directory API(该 API 指定了 resolveConflictAccount=true 参数)创建的用户账号。
-
- 在管理控制台中,依次点击“菜单”图标
账号
账号设置
- 在“管理有冲突的账号”部分,选择一个选项:
- 自动邀请用户将有冲突的不受管理的账号转换为受管理的账号 - 默认设置
设置每天发送的跟进电子邮件的时长。如果用户在跟进时间段内拒绝或不接受邀请,请选择一个选项:- 将有冲突的账号替换为受管理的账号
- 不替换有冲突的账号
- 将有冲突的非受管账号替换成受管账号
- 不将有冲突的非受管账号替换成受管账号
- 自动邀请用户将有冲突的不受管理的账号转换为受管理的账号 - 默认设置
- 点击保存。
迁移非受管用户账号
如需了解如何查看非受管用户的状态或手动迁移这类用户,请参阅以下文章:
注意:如果个人(非受管)用户是家人群组成员,则您无法将其转移到受管理的 Google Workspace 账号。
受管理账号和非受管账号以及有冲突的账号名称
受管理用户账号
受管理用户账号是指归已验证域名的客户所有的账号。受管理用户账号完全受 Google Workspace 或 Cloud Identity 管理员控制,可通过 Google 管理控制台进行管理。
非受管用户账号
非受管用户账号完全由创建账号的个人拥有和管理。非受管用户账号不属于已验证域名的客户,并且不受 Google Workspace 或 Cloud Identity 管理员控制。您的组织无法控制这些账号的配置、安全性和生命周期。
非受管账号有时也称为个人账号或消费者账号,这是因为个人通过其电子邮件地址中的公司域名注册了 Google 个人用户服务。
有冲突的账号
如果管理员使用与现有非受管用户账号相同的账号名称创建受管理的 Google 账号,则会出现有冲突的账号。如果发生此类账号冲突问题,超级用户可以使用非受管用户转移工具来解决问题。
为什么需要转移非受管账号
如果您的员工使用非受管账号,那么在一个地方集中管理用户身份的前提就不复存在。非受管账号不受 Google Workspace 或 Cloud Identity 管理。因此,您可以使用转移工具找出要转换为受管理账号的非受管用户账号,并将非受管用户账号迁移到受管理的账号。
用于商业且使用公司电子邮件地址的非受管账号可能会给您的企业带来多种风险,其中包括:
- 您无法控制非受管用户账号的生命周期。离职员工可能继续使用非受管账号访问公司资源,或使公司产生费用。
- 即使您撤消了对所有资源的访问权限,非受管账号仍有可能带来社会工程学风险。由于用户账号使用了看似可信的身份(您公司的域名),离职员工有可能取得在职员工或业务合作伙伴的信任,从而再次获取对资源的访问权限(例如敏感的云端硬盘文件)。
- 拥有非受管账号的离职员工可能会使用该用户账号从事不符合贵组织政策的活动,给公司声誉造成负面影响。
- 您无法强制执行安全政策,例如两步验证或密码复杂度规则。
- 您无法限制要将 Google 文档和云端硬盘数据存储在哪个地理位置,这可能会带来法规遵从风险。
- 您无法限制非受管用户账号可以访问哪些 Google 服务。
