In diesem Dokument wird beschrieben, wie Sie Privatnutzerkonto in verwaltete Nutzerkonten migrieren können, die von Cloud Identity oder Google Workspace gesteuert werden.
Wenn Ihre Organisation Cloud Identity oder Google Workspace zuvor noch nicht verwendet hat, verwenden einige Ihrer Mitarbeiter möglicherweise Privatnutzerkonten für den Zugriff auf Google-Dienste. Einige dieser Privatnutzerkonten haben als primäre E-Mail-Adresse unter Umständen eine geschäftliche E-Mail-Adresse wie alice@example.com
.
Privatnutzerkonten gehören den Personen, die sie erstellt haben, und werden von ihnen verwaltet. Ihre Organisation hat daher keine Kontrolle über die Konfiguration, Sicherheit und den Lebenszyklus dieser Konten.
Hinweis
Für die Migration von Privatnutzerkonten zu Cloud Identity oder Google Workspace müssen folgende Voraussetzungen erfüllt sein:
- Sie haben einen geeigneten Onboardingplan festgelegt und alle Voraussetzungen für die Konsolidierung Ihrer bestehenden Nutzerkonten erfüllt.
- Sie haben ein Cloud Identity- oder Google Workspace-Konto erstellt und die Standardorganisationseinheit (OU) vorbereitet, um den entsprechenden Zugriff auf migrierte Nutzerkonten zu gewähren.
Jedes Nutzerkonto, das Sie migrieren möchten, muss die folgenden Kriterien erfüllen:
- Es darf sich nicht um ein Gmail-Konto handeln.
- Es muss eine primäre E-Mail-Adresse verwenden, die der primären oder einer sekundären Domain Ihres Cloud Identity- oder Google Workspace-Kontos entspricht. Bei der Migration eines Privatnutzerkontos werden alternative E-Mail-Adressen und Alias-Domains ignoriert.
- Der Inhaber muss E-Mails über die primäre E-Mail-Adresse des Kontos empfangen können.
Die Umwandlung eines Privatnutzerkontos in ein verwaltetes Konto impliziert, dass der Nutzer, der das Privatnutzerkonto registriert hat, die Kontrolle über das Konto und die zugehörigen Daten an Ihre Organisation übergibt. Möglicherweise müssen Mitarbeiter in Ihrer Organisation eine Richtlinie zur angemessenen Verwendung von E-Mails, die die Nutzung geschäftlicher E-Mail-Adressen für private Zwecke untersagt, unterzeichnen und sich an diese halten. In diesem Fall können Sie davon ausgehen, dass das Privatnutzerkonto nur zu Geschäftszwecken verwendet wurde. Wenn Ihre Organisation jedoch keine solche Richtlinie hat oder die Richtlinie unter bestimmten Bedingungen eine private Nutzung zulässt, ist das Privatnutzerkonto möglicherweise mit einer Mischung aus geschäftlichen und persönlichen Daten verknüpft. Angesichts dieser Unsicherheit können Sie die Migration eines Privatnutzerkontos zu einem verwalteten Konto nicht erzwingen. Eine Migration erfordert daher immer die Zustimmung des Nutzers.
Prozess
Die Migration von Privatnutzerkonten zu verwalteten Konten ist ein mehrstufiger Prozess, den Sie sorgfältig planen müssen. Dieser Prozess wird in den folgenden Abschnitten beschrieben.
Prozessübersicht
Ziel der Migration ist es, ein Privatnutzerkonto in ein verwaltetes Nutzerkonto umzuwandeln. Dabei sollen sowohl die Identität des Kontos, die sich in dessen E-Mail-Adresse widerspiegelt, als auch alle mit dem Konto verknüpften Daten erhalten bleiben.
Während einer solchen Migration kann ein Konto einen von vier Status haben, wie im folgenden Zustandsmaschinendiagramm gezeigt:
Wenn Sie eine Domain zu Cloud Identity oder Google Workspace hinzufügen und diese bestätigen, wird jedes Privatnutzerkonto, das eine E-Mail-Adresse mit dieser Domain nutzt, zu einem Nicht verwalteten Konto. Für den Nutzer hat dies keine Auswirkungen, er kann sich wie gewohnt anmelden und auf seine Daten zugreifen.
Das Hinzufügen einer Domain in Google Workspace oder in Cloud Identity wirkt sich nur auf Nutzer aus, deren E-Mail-Adresse genau dieser Domain entspricht. Wenn Sie beispielsweise example.com
hinzufügen, wird das Konto johndoe@example.com
als nicht verwaltetes Konto bestimmt, johndoe@corp.example.com
dagegen nur, wenn Sie corp.example.com
auch dem Cloud Identity- oder Google Workspace-Konto hinzufügen.
Wenn nicht verwaltete Konten vorhanden sind, wird Ihnen dies als Google Workspace- oder Cloud Identity-Administrator mitgeteilt. Sie können dann den Nutzer bitten, sein Konto in ein verwaltetes Konto zu übertragen.
Wenn der Nutzer johndoe
im obigen Diagramm einer Übertragung zustimmt, wird das nicht verwaltete Konto in ein verwaltetes Konto umgewandelt. Die Identität bleibt gleich, aber jetzt kontrollieren Cloud Identity oder Google Workspace das Konto, einschließlich aller seiner Daten.
Wenn der Nutzer johndoe
einer Datenübertragung nicht zustimmt, Sie aber ein Konto in Cloud Identity oder Google Workspace mit derselben E-Mail-Adresse erstellen, führt dies zu einem in Konflikt stehenden Konto. Bei einem in Konflikt stehenden Konto handelt es sich in Wirklichkeit um zwei Konten – ein Privatnutzerkonto und ein verwaltetes Konto –, die wie im folgenden Diagramm mit derselben Identität verknüpft sind.
Einem Nutzer, der sich mit einem in Konflikt stehenden Konto anmeldet, wird ein Auswahlbildschirm angezeigt. Darin muss er entweder das verwaltete Konto oder das Privatnutzerkonto auswählen, um den Anmeldevorgang fortzusetzen.
Damit keine in Konflikt stehenden Konten entstehen, ist es hilfreich, die Kontostatus besser zu verstehen.
Prozess im Detail
Das folgende Zustandsmaschinendiagramm veranschaulicht den Kontostatus im Detail. Rechteckige Felder auf der linken Seite kennzeichnen Aktionen, die ein Cloud Identity- oder Google Workspace-Administrator ausführen kann. Die rechteckigen Felder auf der rechten Seite kennzeichnen die Aktivitäten, die nur der Inhaber eines Privatnutzerkontos ausführen kann.
Nicht verwaltete Nutzerkonten finden
Wenn Sie sich für Cloud Identity oder Google Workspace registrieren, müssen Sie einen Domainnamen angeben, für den Sie dann die Inhaberschaft bestätigen müssen. Wenn Sie die Registrierung abgeschlossen haben, können Sie sekundäre Domains hinzufügen und bestätigen.
Durch die Bestätigung einer Domain initiieren Sie automatisch eine Suche nach Privatnutzerkonten, die diese Domain in ihrer E-Mail-Adresse enthalten. Innerhalb von etwa zwölf Stunden werden diese Konten im Übertragungstool für nicht verwaltete Nutzer als nicht verwaltete Nutzerkonten aufgeführt.
Bei der Suche nach Privatnutzerkonten werden die in Cloud Identity oder Google Workspace registrierte primäre Domain sowie alle bestätigten sekundären Domains berücksichtigt. Bei der Suche wird versucht, diese Domains mit der primären E-Mail-Adresse aller Privatnutzerkonten abzugleichen. Dagegen werden in Cloud Identity oder Google Workspace registrierte Aliasdomains sowie alternative E-Mail-Adressen von Privatnutzerkonten nicht berücksichtigt.
Nutzern betroffener Privatnutzerkonten wird nicht mitgeteilt, dass Sie eine Domain bestätigt oder ihr Konto als nicht verwaltetes Konto bestimmt haben. Sie können ihre Konten weiterhin wie gewohnt verwenden.
Übertragung starten
Mit dem Übertragungstool für nicht verwaltete Nutzer können Sie sich nicht nur alle nicht verwalteten Konten anzeigen lassen, sondern auch eine Kontenübertragung einleiten. Senden Sie dazu eine Kontenübertragungsanfrage. Anfänglich wird ein Konto als Noch nicht eingeladen geführt, was darauf hinweist, dass keine Übertragungsanfrage gesendet wurde.
Wenn Sie einen Nutzer auswählen und eine Kontenübertragungsanfrage senden, erhält der Nutzer eine E-Mail ähnlich der folgenden. Das Konto wird nun als Eingeladen geführt.
Übertragung annehmen oder ablehnen
Nach Erhalt der Übertragungsanfrage kann ein betroffener Nutzer die Anfrage einfach ignorieren und das Konto wie gewohnt weiterverwenden. In diesem Fall können Sie eine weitere Anfrage senden und den Vorgang wiederholen.
Oder der Nutzer reagiert auf die E-Mail, lehnt die Übertragung jedoch ab. Dadurch wird der Nutzer im Übertragungstool als Abgelehnt geführt. Wenn Sie vermuten, dass die Ablehnung unbeabsichtigt war, können Sie den Vorgang wiederholen, indem Sie eine weitere Anfrage senden.
In beiden Fällen ist die Funktionalität des nicht verwalteten Kontos unbeeinträchtigt: Die Nutzer können sich anmelden und auf ihre Daten zugreifen. Die Migration von Kontodaten zu Google Workspace oder zu Cloud Identity wird jedoch blockiert, solange ein Nutzer eine Übertragungsanfrage weiter ignoriert oder sie ablehnt. Um dies zu verhindern, teilen Sie den Mitarbeitern Ihren Migrationsplan mit, bevor Sie die ersten Übertragungsanfragen senden. Achten Sie außerdem darauf, dass die Mitarbeiter über die Gründe und Konsequenzen der Annahme oder Ablehnung einer Übertragungsanfrage vollständig informiert sind.
Anstatt die Anfrage abzulehnen, kann ein Nutzer auch die E-Mail-Adresse des Kontos ändern. Wenn der Nutzer die primäre E-Mail-Adresse so ändert, dass sie eine Domain verwendet, die nicht von einem Cloud Identity- oder Google Workspace-Konto bestätigt wurde, wird das Konto wieder zu einem Privatnutzerkonto. Zwar wird der Nutzer im Übertragungstool möglicherweise vorübergehend noch als nicht verwaltetes Konto aufgeführt, Sie können jedoch für ein solches umbenanntes Konto keine Kontenübertragung mehr initiieren.
In Konflikt stehendes Konto erstellen
Wenn Sie in Cloud Identity oder Google Workspace ein Nutzerkonto mit derselben E-Mail-Adresse wie ein nicht verwaltetes Nutzerkonto erstellen, werden Sie von der Admin-Konsole vor einem Konflikt gewarnt:
Wenn Sie diese Warnung ignorieren und trotzdem ein Nutzerkonto erstellen, wird dieses neu erstellte Konto zusammen mit dem nicht verwalteten Konto zu einem in Konflikt stehenden Konto. Ein in Konflikt stehendes Konto ist nützlich, wenn Sie ein unerwünschtes Privatnutzerkonto entfernen möchten. Es ist jedoch besser, dies zu vermeiden, wenn Sie Ihr Nutzerkonto zu Cloud Identity oder Google Workspace migrieren möchten.
Das Erstellen eines in Konflikt stehenden Kontos kann versehentlich erfolgen. Nach der Registrierung für Cloud Identity oder Google Workspace können Sie die Einmalanmeldung (SSO) bei einem externen Identitätsanbieter (IdP) wie Azure Active Directory (AD) oder Active Directory einrichten. Nach dem Konfigurieren erstellt der externe IdP unter Umständen für alle Nutzer, für die Sie die Einmalanmeldung aktiviert haben, automatisch Konten in Cloud Identity oder in Google Workspace. Dadurch entstehen unabsichtlich in Konflikt stehende Konten.
In Konflikt stehendes Konto verwenden
Jedes Mal, wenn sich ein Nutzer mit einem in Konflikt stehenden Konto anmeldet, wird ein Auswahlbildschirm wie der folgende angezeigt:
Wenn der Nutzer die erste Option wählt, wird der Anmeldevorgang mit dem verwalteten Teil des in Konflikt stehenden Kontos fortgesetzt. Der Nutzer wird aufgefordert, das Passwort anzugeben, das Sie für das verwaltete Konto festgelegt haben. Wenn Sie die Einmalanmeldung konfiguriert haben, wird er zur Authentifizierung an einen externen IdP weitergeleitet. Nach der Authentifizierung kann der Nutzer das Konto wie jedes andere verwaltete Konto verwenden. Da jedoch keine Daten aus dem ursprünglichen Privatnutzerkonto übertragen wurden, handelt es sich im Grunde um ein neues Konto.
Wenn der Nutzer die zweite Option im Auswahlbildschirm wählt, wird er aufgefordert, die E-Mail-Adresse des Privatnutzerteils des in Konflikt stehenden Kontos zu ändern:
Durch das Ändern der E-Mail-Adresse löst der Nutzer den Konflikt auf, da nun sichergestellt ist, dass das verwaltete Konto und das Privatnutzerkonto wieder unterschiedliche Identitäten haben. Es bleibt als Ergebnis, dass der Nutzer ein Privatnutzerkonto mit allen ursprünglichen Daten und ein verwaltetes Konto ohne Zugriff auf die ursprünglichen Daten hat.
Der Nutzer kann das Umbenennen des Kontos verschieben, indem er auf Do this later (Diesen Schritt später ausführen) klickt. Durch diese Aktion wird das Konto in den Status Entfernt versetzt. In diesem Status sieht der Nutzer bei jedem Anmeldevorgang denselben Auswahlbildschirm und dem Konto wird eine temporäre gtempaccount.com
-E-Mail-Adresse zugewiesen, bis eine Umbenennung erfolgt.
Eine weitere Möglichkeit zur Lösung des Konflikts besteht darin, das verwaltete Konto in Cloud Identity oder Google Workspace zu löschen oder die Einmalanmeldung (SSO) beim externen IdP zu verwenden. Dadurch wird der Auswahlbildschirm bei der nächsten Anmeldung mit dem Konto nicht angezeigt, der Nutzer muss jedoch trotzdem die E-Mail-Adresse des Kontos ändern.
Wenn der Nutzer die E-Mail-Adresse zu einer privaten E-Mail-Adresse ändert, bleibt das Konto ein Privatnutzerkonto. Wenn er sie zur ursprünglichen geschäftlichen E-Mail-Adresse zurückändert, wird das Konto wieder zu einem nicht verwalteten Konto.
Übertragung abschließen
Wenn ein Nutzer die Übertragung akzeptiert, wird das Konto in Cloud Identity oder Google Workspace angezeigt. Das Konto wird jetzt als verwaltetes Konto angesehen und alle mit dem ursprünglichen Privatnutzerkonto verknüpften Daten werden in das verwaltete Konto übertragen.
Wenn Cloud Identity oder Google Workspace nicht für die Verwendung eines externen IdP für die Einmalanmeldung eingerichtet ist, kann sich der Nutzer mit seinem ursprünglichen Passwort anmelden und das Konto wie gewohnt verwenden.
Wenn Sie die Einmalanmeldung verwenden, kann sich der Nutzer nicht mehr mit seinem vorhandenen Passwort anmelden. Stattdessen wird er beim Versuch, sich anzumelden, zur Anmeldeseite Ihres externen IdPs geleitet. Damit dies funktioniert, muss der externe IdP den Nutzer erkennen und die Einmalanmeldung zulassen. Andernfalls ist das Konto gesperrt.
Best Practices
Wenn Sie vorhandene Privatnutzerkonten zu Cloud Identity oder Google Workspace migrieren möchten, sollten Sie die Migrationsschritte im Voraus planen und koordinieren. Eine gute Planung verhindert Störungen von Nutzern und mindert das Risiko, versehentlich in Konflikt stehende Konten zu erstellen.
Beachten Sie bei der Planung zur Migration eines Privatnutzerkontos die folgenden Best Practices:
- Wenn Sie einen externen IdP verwenden, achten Sie darauf, dass Sie die Nutzerkontenbereitstellung und die Einmalanmeldung so konfigurieren, dass die Migration von Privatnutzerkonten nicht blockiert wird.
Informieren Sie die betroffenen Nutzer vorab über eine Migration. Die Migration von Privatnutzerkonten zu verwalteten Konten erfordert die Einwilligung der Nutzer und kann sich auch privat auf sie auswirken, falls sie Konten zu privaten Zwecken verwendet haben. Daher ist es wichtig, dass Sie betroffene Nutzer über Ihre Migrationspläne informieren.
Teilen Sie Nutzern Folgendes mit, bevor Sie mit der Migration beginnen:
- Grundgedanke und Bedeutung der Kontenmigration
- Auswirkungen auf persönliche Daten, die mit vorhandenen Konten verknüpft sind
- Zeitraum, in dem Nutzer mit dem Erhalt einer Übertragungsanfrage rechnen können
- Zeitfenster, in dem Nutzer eine Übertragung genehmigen oder ablehnen sollen
- Anstehende Änderungen beim Anmeldevorgang nach der Migration (gilt nur bei Verwendung einer Föderation)
- Anleitung zum Übertragen der Inhaberschaft an privaten Google Docs-Dateien auf ein persönliches Konto
Wenn Sie die Migration per E-Mail ankündigen, könnten einige Nutzer annehmen, dass es sich um einen Phishingversuch handelt. Um das zu verhindern, sollten Sie die Migration auch über ein anderes Medium ankündigen.
Ein Beispiel für eine Ankündigungs-E-Mail finden Sie unter Erweiterte Kommunikation für die Migration von Nutzerkonten.
Leiten Sie Übertragungen in Batches ein. Beginnen Sie mit einem kleinen Batch von etwa 10 Nutzern und erweitern Sie Ihre Batchgröße nach und nach.
Geben Sie den betroffenen Nutzer ausreichend Zeit, auf Übertragungsanfragen zu reagieren. Beachten Sie, dass einige Mitarbeiter im Urlaub oder in Elternzeit sein könnten und nicht schnell reagieren können.
Achten Sie darauf, dass Nutzer durch die Einwilligung zu einer Übertragung nicht den Zugriff auf Daten oder Google-Dienste verlieren, die sie benötigen.
Nächste Schritte
- Bestehende Nutzerkonten prüfen
- Weitere Informationen zum Entfernen unerwünschter Privatnutzerkonten