迁移消费者账号

Last reviewed 2023-02-27 UTC

本文档介绍了如何将消费者账号迁移到 Cloud IdentityGoogle Workspace 控制的受管理的用户账号

如果您的组织之前未使用过 Cloud Identity 或 Google Workspace,则您的某些员工可能使用消费者账号访问 Google 服务。其中一些消费者账号可能会使用公司电子邮件地址(例如 alice@example.com)作为主电子邮件地址。

消费者账号由创建账号的个人拥有和管理。因此,您的组织无法控制这些账号的配置、安全性和生命周期

准备工作

如需将消费者账号迁移到 Cloud Identity 或 Google Workspace,您必须满足以下前提条件:

您计划迁移的每个消费者账号都必须满足以下条件:

  • 该账号不能是 Gmail 账号。
  • 该账号必须使用与 Cloud Identity 或 Google Workspace 账号的主网域或辅助网域相对应的主电子邮件地址。在消费者账号迁移过程中,系统会忽略备用邮箱和别名网域。
  • 该账号的所有者必须能够通过该账号的主电子邮件地址接收电子邮件。

将消费者账号转换为受管理的账号意味着,注册该消费者账号的用户将该账号和相关数据的控制权交给了您的组织。组织可能会要求员工签署并遵守可接受的电子邮件使用方式政策,该政策不允许将公司电子邮件地址用于私人目的。在这种情况下,您可以安全地假定消费者账号仅用于业务目的。但是,如果您的组织没有此类政策或者政策允许特定的个人用途,则消费者账号可能同时与公司数据和个人数据相关联。鉴于这种不确定性,您不能强制将消费者账号迁移到受管理的账号,因此,这类迁移始终需要征得用户的同意。

过程

将消费者账号迁移到受管理的账号是一个需要仔细计划的多步骤过程。以下部分将引导您完成此过程。

过程概览

迁移的目标是将消费者账号转换为受管理的用户账号,同时保持账号的身份(由其电子邮件地址反映)以及任何与该账号关联的数据。

在这样的迁移过程中,账号可能会处于以下四种状态之一,如以下状态机图所示。

账号迁移的四种状态。

如果您在 Cloud Identity 或 Google Workspace 中添加并验证某网域,则任何使用具有该网域的电子邮件地址的消费者账号都会成为不受管理的账号。对于用户而言,这不会产生任何影响;他们可以正常登录并访问自己的数据。

在 Google Workspace 或 Cloud Identity 中添加某网域只会影响电子邮件地址与该网域准确匹配的用户。例如,如果添加 example.com,则账号 johndoe@example.com 会被标识为不受管理的账号,而 johndoe@corp.example.com 则不会,除非您也将 corp.example.com 添加到 Cloud Identity 或 Google Workspace 账号。

作为 Cloud Identity 或 Google Workspace 管理员,您可以查看是否存在不受管理的账号。然后,您可以要求用户将其账号转移到受管理的账号。

将不受管理的账号转移到受管理的账号。

在上图中,如果用户 johndoe 同意转移,则不受管理的账号会转换为受管理的账号。该账号的身份保持不变,但现在由 Cloud Identity 或 Google Workspace 控制该账号,包括其所有数据。

对受管理的账号的控制权会传递到 Cloud Identity 或 Google Workspace。

如果用户 johndoe 不同意数据转移,但您使用相同的电子邮件地址在 Cloud Identity 或 Google Workspace 中创建了账号,则会生成有冲突的账号。有冲突的账号实际上是与同一身份相关联的两个账号(一个是消费者账号,一个是受管理的账号),如下图所示。

与一个消费者账号和一个受管理的账号有冲突的账号。

使用有冲突的账号登录的用户将看到一个屏幕,该屏幕提示他们选择受管理的账号或消费者账号继续完成登录过程。

为避免最终生成有冲突的账号,更详细地了解账号状态会很有帮助。

详细的过程

以下状态机图更详细地说明了账号状态。左侧的矩形框表示 Cloud Identity 或 Google Workspace 管理员可以执行的操作;右侧的矩形框表示只有消费者账号的所有者才能执行的操作。

账号状态的状态机图。

查找不受管理的用户账号

注册 Cloud Identity 或 Google Workspace 时,必须提供域名,然后验证该域名的所有权。完成注册过程后,您可以添加和验证辅助网域

在您验证网域时,系统会自动开始搜索在其电子邮件地址中使用此网域的消费者账号。在大约 12 个小时内,这些账号将作为非受管用户账号显示在非受管用户转移工具中。

在搜索消费者账号时会考虑在 Cloud Identity 或 Google Workspace 中注册的主网域以及任何已经过验证的辅助网域。搜索过程会尝试将这些网域与任何消费者账号的主电子邮件地址进行匹配。但是,不会考虑在 Cloud Identity 或 Google Workspace 中注册的别名网域以及消费者账号的备用邮箱。

受影响的消费者账号的用户并不知晓您已验证网域,或者您已将他们的账号标识为不受管理的账号。他们可以继续照常使用其账号。

启动转移

除了向您显示所有不受管理的账号外,非受管用户转移工具还让您可以通过发送账号转移请求来启动账号转移。最初,账号的状态为未邀请,表示尚未发送任何转移请求。

列为“未发送”的账号。

如果您选择某用户并发送账号转移请求,则该用户会收到如下所示的电子邮件。同时,该账号的状态会切换为已邀请

列为“请求已发送”的账号。

接受或拒绝转移

收到转移请求后,受影响的用户可能会完全忽略该请求并继续照常使用账号。在这种情况下,您可以再发送一个请求,重复该过程。

用户也可能会查看电子邮件,但拒绝转移。这会导致用户在转移工具中被列为已拒绝。如果您怀疑拒绝是无意的,则可以再发送一个请求来重复此过程。

在这两种情况下,不受管理的账号的功能都不受影响,用户可以登录并访问其数据。但是,只要用户继续忽略或拒绝转移请求,将账号数据迁移到 Google Workspace 或 Cloud Identity 的过程就会受阻。为防止发生这种情况,请确保在发送第一个转移请求之前将迁移计划告知员工。此外,请确保员工完全了解接受或拒绝转移请求的原因和后果。

除了拒绝请求,用户还可以更改账号的电子邮件地址。如果用户将主电子邮件地址更改为使用尚未经任何 Cloud Identity 或 Google Workspace 账号验证的网域,该账号会再次成为消费者账号。虽然转移工具可能仍会暂时将该用户列为不受管理的账号,但您无法再为此类已重命名的账号启动账号转移。

创建有冲突的账号

如果您在任何时候使用不受管理的用户账号的相应电子邮件地址在 Cloud Identity 或 Google Workspace 中创建用户账号,则管理控制台会向您发出即将发生冲突的警告:

创建有冲突的账号。

如果您忽略此警告并仍然创建用户账号,则此新账号以及不受管理的账号将成为有冲突的账号。如果您想逐出不需要的消费者账号,则创建有冲突的账号很有用;但是,如果您的目标是将消费者账号迁移到 Cloud Identity 或 Google Workspace,则最好避免创建有冲突的账号。

有冲突的账号可能会在无意中创建。注册 Cloud Identity 或 Google Workspace 后,您可能会决定使用 Azure AD 或 Active Directory 等外部身份提供商 (IdP) 设置单点登录。配置完成后,外部 IdP 可能会在 Cloud Identity 或 Google Workspace 中为启用了单点登录的所有用户自动创建账号,从而无意中创建了有冲突的账号。

使用有冲突的账号

每次用户使用有冲突的账号登录时,他们都会看到如下投票屏幕。

用户尝试登录有冲突的账号时显示的投票屏幕。

当他们选择第一个选项时,登录过程随后将使用有冲突的账号的受管理的部分。系统会要求他们提供您为受管理的账号设置的密码,如果您配置了单点登录,则会将他们重定向到外部 IdP 进行身份验证。经过身份验证后,他们可以像使用任何其他受管理的账号一样使用该账号,但由于没有从原始消费者账号转移任何数据,因此它实际上是一个新账号。

选择投票屏幕中的第二个选项时,系统会提示用户更改有冲突的账号的消费者部分的电子邮件地址。

有关更改有冲突的账号的消费者部分的提示。

通过更改电子邮件地址,用户可以确保受管理的账号和消费者账号再次拥有不同的身份,从而解决冲突。结果仍然是,用户拥有一个具有所有原始数据的消费者账号和一个无法访问原始数据的受管理的账号。

用户可以通过点击以后再说来推迟重命名账号。此操作会将账号转变为“已逐出”状态。在此状态下,用户每次登录时都会看到相同的投票屏幕,并且在重命名之前,系统会为账号分配一个临时的 gtempaccount.com 电子邮件地址。

解决冲突的另一种方法是,在 Cloud Identity 或 Google Workspace 中或在外部 IdP(如果他们使用单点登录)中删除受管理的账号。这会导致在他们下次使用该账号登录时不显示投票屏幕,但用户仍需要更改该账号的电子邮件地址。

如果用户将电子邮件地址更改为私人电子邮件地址,则该账号仍为消费者账号。如果用户决定将电子邮件地址更改回原来的公司电子邮件地址,则该账号会再次成为不受管理的账号。

完成转移

如果用户接受转移,则 Cloud Identity 或 Google Workspace 中将会显示该账号。该账号现在被视为受管理的账号,与原始消费者账号关联的所有数据都会转移到此受管理的账号。

如果 Cloud Identity 或 Google Workspace 未设置为使用外部 IdP 进行单点登录,则用户可以使用其原始密码登录并继续照常使用该账号。

如果您设置单点登录,则用户将无法再使用其现有密码登录。他们在尝试登录时,会被转到您的外部 IdP 的登录页面。要成功登录,外部 IdP 必须识别该用户并允许单点登录。否则,账号将被锁定。

最佳做法

如果您打算将现有的消费者账号迁移到 Cloud Identity 或 Google Workspace,请提前计划和协调迁移步骤。妥善的计划可以避免干扰用户,并最大限度地降低无意中创建有冲突的账号的风险。

在规划消费者账号迁移时,请考虑以下最佳做法:

  • 如果您使用外部 IdP,请务必以不会妨碍消费者账号迁移的方式配置用户账号预配和单点登录。

  • 在迁移前通知受影响的用户。将消费者账号迁移到受管理的账号需要用户同意,如果他们将账号用于私人目的,则可能会对他们个人造成影响。因此,将迁移计划告知受影响的用户至关重要。

    在开始迁移之前,请向用户传达以下信息:

    • 账号迁移的原因和重要性
    • 对现有账号的相关个人数据的影响
    • 用户预计会收到转移请求的时间范围。
    • 您希望用户同意或拒绝转移的时间范围
    • 迁移后登录过程即将发生的更改(仅在使用联合时适用)
    • 如何转移私有 Google 文档文件的所有权至个人账号的相关说明

    如果您通过电子邮件宣布迁移,某些用户可能会认为这是网上诱骗邮件。为防止发生这种情况,请考虑另外通过其他媒介宣布迁移。

    如需查看通知电子邮件示例,请参阅用户账号迁移事先通知

  • 分批启动转移。从包含大约 10 位用户的小批次开始,然后逐步增加批次大小。

  • 为受影响的用户留出足够的时间来响应转移请求。请注意,某些员工可能正在休假(年假/产假/育婴假等等),无法快速作出响应。

  • 确保用户在同意转移后不会丢失对所需数据或 Google 服务的访问权限。

后续步骤