作为员工离开公司的“离职”流程的一部分,作为超级管理员,我们使用Google Apps管理员SDK目录API更改用户密码,以便他们无法再访问其帐户 . 然后我们登录进行Google导出,重置其他帐户的密码等 .
但是,我们最近决定对所有用户实施两步验证 . 所以现在当我们登录他们的帐户时,它会向他们的手机发送一个代码 .
由于SubOrg强制执行2步,因此我们甚至无法通过管理控制台将其关闭 . 所以我现在所能做的就是让API将用户移动到其中关闭2步强制设置的不同SubOrg,然后手动关闭2步 .
有没有办法以编程方式关闭帐户的两步验证?
我查看了Google Apps Admin SDK Directory API Users:update文档,但它似乎与2步没有任何关系 .
Reports API可以找出用户's enrollment status, but it'只读用于报告目的 .
2 回答
您正在做的是删除两步验证的正确方法 . 正如您所提到的,如果它是在组织单元下强制执行的,那么删除它将违反该规则,这就是为什么除非将用户移动到未强制执行此操作的另一个OU,否则您无法执行此操作 .
我无法通过编程方式找到某种方法 . 但是,您可以暂停用户 . 之后,用户将无法访问该帐户 . 该帐户仍会显示在您的管理控制台中,并且在您最终删除该帐户之前,其他Google服务中的所有信息都将保持附加到该帐户 .
当用户被暂停时,作为管理员,您可以使用服务帐户impersonate该用户 . 通过这样做,您可以充当该用户并编辑权限或将Drive中包含的文件的所有权转移到其他帐户,以便这些文件不会丢失 .
我希望这有帮助 .
最简单的方法是创建一个免除2FA的组(请参阅此处:https://support.google.com/a/answer/2370108) . 然后将用户添加到该组,然后您可以在管理控制台的用户页面上单击"Disable 2FA" . 我假设你可以通过API做同样的事情 .
唯一的缺点是,这意味着您将拥有一个组,通过该组可以免除用户的2FA强制执行选项 . 因此,这是您必须接受的风险以及您必须仔细检查的政策 .