このドキュメントでは、一般ユーザー向けアカウントを Cloud Identity または Google Workspace で管理する管理対象のユーザー アカウントに移行する方法について説明します。
組織で Cloud Identity や Google Workspace を使用したことがない場合は、一部の従業員が一般ユーザー向けアカウントを使用して Google サービスにアクセスしている可能性があります。これらの一般ユーザー向けアカウントの中には、alice@example.com
などの会社のメールアドレスをメインのメールアドレスとして使用するものがあります。
一般ユーザー向けアカウントは、その作成者が所有し、管理しています。したがって、これらのアカウントの構成、セキュリティ、ライフサイクルを管理することはできません。
始める前に
一般ユーザー向けアカウントを Cloud Identity または Google Workspace に移行するには、次の前提条件を満たす必要があります。
- 適切なオンボーディング プランを特定し、既存のユーザー アカウントを統合するためのすべての前提条件を満たしている。
- 移行対象ユーザー アカウントに適切なアクセス権を付与するために、Cloud Identity アカウントまたは Google Workspace アカウントの作成とデフォルトの組織部門(OU)の準備が完了している。
移行を予定している一般ユーザー向けアカウントは、次の条件を満たす必要があります。
- Gmail アカウントは使用できません。
- Cloud Identity アカウントまたは Google Workspace アカウントのプライマリ ドメインかセカンダリ ドメインに対応するメインのメールアドレスを使用する必要があります。一般ユーザー向けアカウントの移行では、予備のメールアドレスとエイリアス ドメインは無視されます。
- アカウントのメインのメールアドレスでメールを受信できる必要があります。
一般ユーザー向けアカウントを管理対象アカウントに変換することは、一般ユーザー向けアカウントを登録したユーザーが、アカウントとそれに関連するデータの管理権限を組織に譲渡することを意味します。組織によっては、会社のメールアドレスを私的な目的で使用することを禁止するメール使用ポリシーに署名し、遵守することを義務付けている場合があります。この場合、一般ユーザー向けアカウントがビジネス目的でのみ使用されていることを前提として考えることができます。ただし、組織にこのようなポリシーがない場合や、特定の個人使用を許可するポリシーの場合、一般ユーザー向けアカウントに会社のデータや個人データが関連付けられている可能性があります。このため、一般ユーザー向けアカウントを管理対象アカウントに強制的に移行することはできません。移行を行うにはユーザーの同意が必要になります。
プロセス
一般ユーザー向けアカウントから管理対象アカウントへの移行は、複数のステップから構成されます。計画は慎重に行う必要があります。以下では、このプロセスについて詳しく説明します。
プロセスの概要
この移行作業の目標は、メールアドレスで使用されているアカウントの ID とそのアカウントに関連付けられたデータの両方を維持しながら、一般ユーザー向けアカウントを管理対象のユーザー アカウントに変換することです。
このような移行を行っている間、アカウントは次の 4 つの状態のいずれかになります。
Cloud Identity または Google Workspace にドメインを追加して検証を行うと、このドメインのメールアドレスを使用する一般ユーザー向けアカウントは管理対象外のアカウントになりますが、ユーザーへの影響はありません。通常どおりログインしてデータにアクセスできます。
Google Workspace または Cloud Identity にドメインを追加すると、このドメインと完全に一致するメールアドレスのユーザーのみが影響を受けます。たとえば、example.com
を追加する場合、アカウント johndoe@example.com
は管理対象外のアカウントとして識別されますが、corp.example.com
を Cloud Identity アカウントまたは Google Workspace アカウントに追加しない限り、johndoe@corp.example.com
は識別されません。
管理対象外のアカウントが存在することは、Cloud Identity または Google Workspace 管理者に通知されます。このようなアカウントを確認したら、自分のアカウントを管理対象アカウントに移行するようにユーザーに依頼します。
上の図では、ユーザー johndoe
が移行に同意すると、管理対象外のアカウントが管理対象アカウントに変換されます。ID は変わりませんが、Cloud Identity または Google Workspace によってアカウントとそのすべてのデータが制御されます。
ユーザー johndoe
がデータ移転に同意しない場合でも、Cloud Identity または Google Workspace で同じメールアドレスを使用してアカウントを作成すると、競合するアカウントになります。次の図に示すように、競合するアカウントは同じ ID に関連付けられた 2 つのアカウントです(1 つは一般ユーザー向け、もう 1 つはマネージド)。
競合するアカウントを使用してログインすると選択画面が表示され、管理対象アカウントか一般ユーザー向けアカウントのいずれかを選択してログイン プロセスを再開するように指示されます。
競合するアカウントの発生を避けるには、アカウントの状態をより詳しく把握する必要があります。
プロセスの詳細
次のステートマシン図は、アカウントの状態を詳細に示しています。左側の長方形のボックスは、Cloud Identity または Google Workspace 管理者が実行できる操作を示しています。右側の長方形のボックスは、一般ユーザー向けアカウントのオーナーのみが実行できる操作を示しています。
管理対象外のユーザー アカウントの検索
Cloud Identity または Google Workspace に登録するときに、ドメイン名を指定する必要があります。これにより、所有権の確認が求められます。登録プロセスが完了したら、セカンダリ ドメイン追加して検証できます。
ドメインを検証すると、このドメインがメールアドレスで使用されている一般ユーザー向けアカウントが自動的に検索されます。これらのアカウントは、約 12 時間以内に管理対象外のユーザー アカウントとして管理対象に含まれないユーザー用の移行ツールに表示されます。
一般ユーザー向けアカウントの検索で、Cloud Identity または Google Workspace に登録されているプライマリ ドメインと検証済みのセカンダリ ドメインが考慮されます。これらのドメインは、一般ユーザー向けアカウントのプライマリ メールアドレスと照合されます。対照的に、Cloud Identity または Google Workspace に登録されたエイリアス ドメインと一般ユーザー向けアカウントの予備のメールアドレスは考慮されません。
影響を受ける一般ユーザー向けアカウントのユーザーは、ドメインが検証されたことや、自分のアカウントが管理対象外のアカウントとして識別されていることを知りません。通常どおり、アカウントの使用を継続できます。
転送の開始
管理対象に含まれないユーザー用の移行ツールを使用すると、すべての管理対象外のアカウントを表示するだけでなく、アカウント移行リクエストを送信してアカウントの移行を開始できます。最初の状態では、アカウントは未招待と表示されます。これは、移行リクエストが送信されていないことを示しています。
ユーザーを選択してアカウント移行リクエストを送信すると、そのユーザーに次のようなメールが送信されます。しばらくの間、アカウントは招待済みと表示されます。
転送の承認または拒否
転送リクエストを受信したユーザーは、そのリクエストを無視し、通常どおりアカウントを使用できます。この場合、リクエストを再送して手順を繰り返します。
ユーザーがメールをフォローアップし、移行を拒否している可能性もあります。その場合は、移行ツールでユーザーが「不承認」と表示されます。誤って拒否した可能性がある場合は、リクエストを再送して手順を繰り返します。
いずれの場合も、管理対象外のアカウントの機能性は変わりません。このアカウントを使用してログインして、データにアクセスできます。ただし、ユーザーが移行リクエストを無視または拒否し続ける限り、アカウント データを Google Workspace または Cloud Identity に移行することはできません。この状況を回避するには、最初の移行リクエストを送信する前に、従業員に移行計画を説明してください。また、従業員が移行リクエストを承認または拒否する理由と影響について十分に認識していることを確認してください。
リクエストを拒否するのではなく、ユーザーがアカウントのメールアドレスを変更することもあります。Cloud Identity アカウントまたは Google Workspace アカウントで確認されていないドメインを使用するようにメインのメールアドレスを変更すると、アカウントは再び一般ユーザー向けアカウントになります。移行ツールで、ユーザーが一時的に管理対象外のアカウントとして表示されることがありますが、このように名前が変更されたアカウントにアカウントの移行を開始することはできません。
競合するアカウントの作成
管理対象外のユーザー アカウントと同じメールアドレスで Cloud Identity または Google Workspace のユーザー アカウントを作成しようとすると、管理コンソールから競合の発生を警告されます。
この警告を無視してユーザー アカウントを作成した場合、新しいアカウントと管理対象外のアカウントが競合するアカウントになります。競合するアカウントを作成すると、不要な一般ユーザー向けアカウントを削除できますが、一般ユーザー向けアカウントを Cloud Identity または Google Workspace に移行する場合は、このような操作を行わないことをおすすめします。
競合するアカウントが意図せず作成されることもあります。Cloud Identity または Google Workspace に登録した後、Azure Active Directory(AD)や Active Directory などの外部 ID プロバイダ(IdP)でシングル サインオンを設定できます。構成すると、シングル サインオンを有効にしたすべてのユーザーに対して、外部 IdP によって自動的に Cloud Identity または Google Workspace のアカウントが作成されますが、その際に競合するアカウントが意図せず作成される場合があります。
競合するアカウントの使用
競合するアカウントを使用してログインするたびに、次のような選択画面が表示されます。
最初のオプションを選択すると、競合する管理対象アカウントでログイン プロセスが継続します。管理対象アカウントに設定したパスワードを入力するように指示されます。シングル サインオンが構成されている場合は、認証用の外部 IdP にリダイレクトされます。認証後、他の管理対象アカウントと同様にアカウントを使用できます。ただし、元の一般ユーザー向けアカウントからデータが移行されていないため、事実上、新しいアカウントになります。
選択画面で 2 番目のオプションを選択すると、競合する一般ユーザー向けアカウントのメールアドレスを変更するように指示されます。
メールアドレスを変更し、管理対象アカウントと一般ユーザー向けアカウントに異なる ID を設定することで、競合を解決できます。その結果、元のデータをすべて所有する一般ユーザー向けアカウントと、元のデータにアクセスできない管理対象アカウントが存在することになります。
[後で実行する] をクリックすると、アカウント名の変更を延期できます。この操作により、アカウントは「削除済み」状態になります。この状態では、ユーザーがログインするたびに同じ選択画面が表示されます。名前が変更されるまで、アカウントには gtempaccount.com
メールアドレスが一時的に割り当てられます。
また、Cloud Identity または Google Workspace で(シングル サインオンを使用している場合は、外部 IdP で)、管理対象アカウントを削除することで競合を解決できます。この場合、そのアカウントを使用して次回ログインする際に選択画面が表示されなくなりますが、引き続きアカウントのメールアドレスを変更する必要はあります。
ユーザーがメールアドレスを個人のメールアドレスに変更した場合、アカウントは一般ユーザー向けアカウントになります。ユーザーがメールアドレスを元の会社のメールアドレスに戻すと、このアカウントは管理対象外アカウントになります。
転送の完了
ユーザーが移行を承諾すると、そのアカウントが Cloud Identity または Google Workspace に表示されます。アカウントは管理対象アカウントになり、元の一般ユーザー向けアカウントに関連付けられているすべてのデータが管理対象アカウントに移行されます。
Cloud Identity または Google Workspace でシングル サインオンに外部 IdP を使用するように設定されていない場合、ユーザーは元のパスワードでログインし、通常どおりアカウントを使用できます。
シングル サインオンを使用すると、ユーザーは既存のパスワードでログインできなくなります。ログインを試みると、外部 IdP のログインページが表示されます。続行するには、外部 IdP がユーザーを認識し、シングル サインオンを許可する必要があります。それ以外の場合、アカウントがロックされます。
ベスト プラクティス
既存の一般ユーザー向けアカウントを Cloud Identity または Google Workspace に移行する場合は、事前に移行手順を計画し、調整を行う必要があります。十分な準備を行うことで、ユーザーの混乱を避け、競合するアカウントが発生するリスクを最小限に抑えることができます。
一般ユーザー向けアカウントの移行を計画する際は、次のベスト プラクティスを検討してください。
- 外部 IdP を使用する場合は、ユーザー アカウントの移行を妨げない方法でユーザー アカウントのプロビジョニングとシングル サインオンを構成します。
移行を行う前に、影響を受けるユーザーに通知します。一般ユーザー向けアカウントを管理対象アカウントに移行するには、ユーザーの同意が必要です。ユーザーがアカウントを個人的な目的で使用している場合、ユーザー個人にも影響を及ぼす可能性があります。このため、影響を受けるユーザーに移行計画を事前に伝える必要があります。
移行を開始する前に、次の情報をユーザーに伝えます。
- アカウントを移行する理由と重要性
- 既存のアカウントに関連付けられている個人データへの影響
- ユーザーが移行リクエストを受け取る期間
- ユーザーが移行を承認または拒否する時間枠
- 移行後のログイン プロセスに予定している変更(連携を使用している場合のみ)
- 個人用アカウントに個人の Google ドキュメント ファイルの所有権を移行する手順
移行計画をメールで通知した場合、このようなメールをフィッシング詐欺と考えるユーザーがいるかもしれません。このため、別の手段で移行計画を伝えることも検討してください。
通知メールの例については、ユーザー アカウントの移行に関するお知らせをご覧ください。
転送をバッチ処理で開始します。10 ユーザー程度の小さなバッチから始め、バッチサイズを増やしていきます。
影響を受けるユーザーが転送リクエストに応答するのに十分な時間を確保します。ただし、休暇中や育児休業中の従業員はすぐに対応できません。この点にも注意してください。
転送に同意しても必要なデータや Google サービスにアクセスできることをユーザーに伝えてください。
次のステップ
- 既存のユーザー アカウントを評価する方法を確認する。
- 望ましくない一般ユーザー向けアカウントを削除する方法を確認する。