Ich denke, den ersten Teil kannst du erreichen, indem du eine Gruppe verwendest, die so eingerichtet ist, dass sie Mitglieder hinzufügt, die sich mit einer bestimmten Domain registrieren.
Das habe ich in der Vergangenheit mit den von @Stephen beschriebenen Schritten plus einem zusätzlichen Schritt umgesetzt: Anmelden per E-Mail-Adresse und Passwort deaktivieren. (Den genauen Namen der Einstellung kann ich mir im Moment nicht mehr genau merken).
Außerdem haben wir eine Einstellung geändert, um Konten schneller zu deaktivieren, wenn jemand das Unternehmen verlässt (nicht perfekt, aber es kommt der Realität sehr nahe):
Es heißt lokale Anmeldungen aktivieren. Es ist nicht zwingend erforderlich, wenn Sie eine Domain-Whitelist verwenden, bietet aber eine Ausweichmöglichkeit, wenn Google Probleme hat. Der Google-Anmeldeknopf verschwindet zudem bei bestimmten Adblockern und Inhaltsblockern.
Ich habe mit einigen Communities zusammengearbeitet, die diese Einstellung zunächst deaktiviert hatten, bis eines der oben genannten Probleme zu Beschwerden führte.
Wenn Sie nur Google-Logins verwenden, wird der Zugriff beendet, sobald die Google-Sitzung endet. Sie können die Standard-Sitzungslänge verkürzen, um das Zeitfenster zu verkleinern, aber alle Benutzer werden häufiger zur erneuten Authentifizierung aufgefordert.