Questo documento descrive come eseguire la migrazione degli account consumer agli account utente gestiti controllati da Cloud Identity o Google Workspace.
Se la tua organizzazione non ha utilizzato Cloud Identity o
Google Workspace in precedenza, è possibile che alcuni dei tuoi dipendenti
utilizzando account consumer per accedere ai servizi Google. Alcuni di questi account consumer potrebbero utilizzare un indirizzo email aziendale come alice@example.com
come indirizzo email principale.
Gli account dei consumatori sono di proprietà e gestiti dalle persone che li hanno creati. Di conseguenza, la tua organizzazione non ha alcun controllo sulla configurazione, sulla sicurezza e sul ciclo di vita di questi account.
Prima di iniziare
Per eseguire la migrazione degli account consumer a Cloud Identity o Google Workspace, devi soddisfare i seguenti prerequisiti:
- Hai identificato un piano di onboarding adatto e hai completato tutti i prerequisiti per il consolidamento degli account dell'utente esistenti.
- Hai creato un Account Cloud Identity o Google Workspace e hanno aver preparato l'unità organizzativa (UO) predefinita per concedere l'accesso appropriato agli account utente di cui è stata eseguita la migrazione.
Ogni account consumer di cui prevedi di eseguire la migrazione deve soddisfare i seguenti criteri:
- Non può essere un account Gmail.
- Deve utilizzare un indirizzo email principale che corrisponda a quello principale o un dominio secondario di Cloud Identity o Google Workspace . Nel contesto di una migrazione dell'account consumer, gli indirizzi email alternativi e i domini degli alias vengono ignorati.
- Il proprietario deve poter ricevere i messaggi all'indirizzo email principale dell'account .
La conversione di un account consumer in un account gestito implica che l'utente che ha registrato l'account consumer trasferisca il controllo dell'account e dei relativi dati associati alla tua organizzazione. La tua organizzazione potrebbe richiedere ai dipendenti di firmare e rispettare norme sull'utilizzo accettabile delle email che non consentono l'utilizzo degli indirizzi email aziendali per scopi privati. In questo caso, possiamo tranquillamente supporre che l'account consumer sia stato utilizzato solo a scopo commerciale. Tuttavia, se le tue dell'organizzazione non ha un criterio di questo tipo oppure il criterio consente a determinate l'account consumer potrebbe essere associato a una combinazione di account dati personali. Data questa incertezza, non puoi forzare la migrazione di un dall'account consumer a un account gestito, pertanto la migrazione richiede sempre il consenso dell'utente.
Processo
La migrazione degli account consumer agli account gestiti è un processo in più passaggi che deve essere pianificato con attenzione. Le sezioni seguenti illustrano la procedura.
Panoramica della procedura
Lo scopo della migrazione è convertire un account consumer in un account utente gestito, mantenendo al contempo l'identità dell'account, come descritta dal suo indirizzo email, e tutti i dati associati all'account.
Durante una migrazione di questo tipo, un account può trovarsi in uno dei quattro stati, come mostrato nel seguente diagramma della macchina a stati.
Quando aggiungi e verifichi un dominio in Cloud Identity o Google Workspace, qualsiasi account consumer che utilizza un indirizzo email con questo dominio diventa un account non gestito. Per l'utente, questo non ha alcun impatto; puoi accedere e accedere ai tuoi dati come al solito.
L'aggiunta di un dominio in Google Workspace o Cloud Identity interessa solo gli utenti il cui indirizzo email corrisponde esattamente a questo dominio. Ad esempio, se aggiunti example.com
, l'account johndoe@example.com
viene identificato come account non gestito, mentre johndoe@corp.example.com
non lo è, a meno che non aggiungi anche corp.example.com
all'account Cloud Identity o Google Workspace.
L'esistenza di account non gestiti viene visualizzata come amministratore di Cloud Identity o Google Workspace. Dopodiché puoi chiedere L'utente deve trasferire il proprio account in un account gestito.
Nel diagramma precedente, se l'utente johndoe
acconsente a un trasferimento, il valore
un account non gestito viene convertito in un account gestito. L'identità rimane invariata, ma ora Cloud Identity o Google Workspace controlla l'account, inclusi tutti i relativi dati.
Se l'utente johndoe
non dà il consenso a un trasferimento di dati, ma crei un account in Cloud Identity o Google Workspace utilizzando lo stesso indirizzo email, il risultato è un account in conflitto. Un account in conflitto è costituito da due account, uno consumer e uno gestito, associati alla stessa identità, come nel seguente diagramma.
Un utente che accede utilizzando un account in conflitto vede una schermata che lo chiede selezionare l'account gestito o l'account consumer per riprendi la procedura di accesso.
Per evitare di ritrovarti con account in conflitto, è utile comprendere meglio gli stati degli account.
Procedura dettagliata
Il seguente diagramma di macchina a stati illustra gli stati degli account in modo più dettagliato. Le caselle rettangolari a sinistra indicano le azioni che può eseguire un amministratore di Cloud Identity o Google Workspace, mentre quelle a destra indicano le attività che può svolgere solo il proprietario di un account consumer.
Trovare account utente non gestiti
Quando ti registri a Cloud Identity o Google Workspace, devi: fornisci un nome di dominio, che ti verrà chiesto di inserire verificare la proprietà per. Al termine della procedura di registrazione, puoi aggiungere e verificare domini secondari.
Se verifichi un dominio, avvii automaticamente una ricerca degli account consumer che utilizzano questo dominio nel loro indirizzo email. Nel giro di circa 12 ore, questi account verranno visualizzati come account utente non gestiti strumento di trasferimento per gli utenti non gestiti.
La ricerca degli account dei consumatori prende in considerazione il dominio principale registrato in Cloud Identity o Google Workspace, nonché eventuali domini secondari verificati. La ricerca tenta di abbinare questi domini all'indirizzo email principale di qualsiasi account consumatore. Al contrario, i domini alias registrati in Cloud Identity o Google Workspace, nonché gli indirizzi email alternativi degli account consumer, non vengono presi in considerazione.
Gli utenti degli account consumer interessati non vengono informati del fatto che hai verificato un dominio o che hai identificato il loro account come non gestito. Possono continuano a utilizzare i propri account normalmente.
Avviare un trasferimento
Oltre a mostrare tutti gli account non gestiti, lo strumento di trasferimento per gli utenti non gestiti ti consente di avviare un trasferimento di account inviando una richiesta di trasferimento. Inizialmente, un account è indicato come Non ancora invitato, a indicare che non è stata inviata alcuna richiesta di trasferimento.
Se selezioni un utente e invii una richiesta di trasferimento dell'account, l'utente riceve un un'email simile alla seguente. Nel frattempo, l'account diventa in elenco come Invitato.
Accettare o rifiutare un trasferimento
Dopo aver ricevuto la richiesta di trasferimento, un utente interessato potrebbe semplicemente ignorarla e continuare a utilizzare l'account normalmente. In questo caso, puoi inviare un'altra richiesta ripetendo la procedura.
In alternativa, l'utente potrebbe rispondere all'email, ma rifiutare il trasferimento. In questo modo, l'utente viene indicato come Rifiutato nello strumento di trasferimento. Se sospetti che il rifiuto non sia stato intenzionale, puoi ripetere la procedura inviando un'altra richiesta.
In entrambi i casi, la funzionalità dell'account non gestito non viene compromessa: gli utenti possono accedere e accedere ai propri dati. Tuttavia, il processo di migrazione dell'account a Google Workspace o Cloud Identity è ostacolato finché un utente continua a ignorare o rifiutare una richiesta di trasferimento. Per evitare che ciò accada, assicurati di comunicare il piano di migrazione ai dipendenti prima di inviare le prime richieste di trasferimento. Assicurati inoltre che i dipendenti pienamente consapevoli dei motivi e delle conseguenze dell'accettazione o del rifiuto di un trasferimento. richiesta.
Anziché rifiutare la richiesta, un utente potrebbe anche cambiare l'indirizzo email dell'account. Se l'utente modifica l'indirizzo email principale in modo da utilizzare un dominio che non è stato verificato da nessun account Cloud Identity o Google Workspace, l'account diventa di nuovo un account consumer. Anche se lo strumento di trasferimento potrebbe comunque elencare temporaneamente l'utente In qualità di account non gestito, non puoi più avviare un trasferimento di account per un account rinominato.
Creare un account in conflitto
Se in qualsiasi momento crei un account utente in Cloud Identity o Google Workspace con lo stesso indirizzo email di un account utente non gestito, la Console di amministrazione ti avvisa in caso di conflitto imminente:
Se ignori questo avviso e crei comunque un account utente, il nuovo account insieme all'account non gestito, diventa un account in conflitto. La creazione di un account in conflitto è utile se vuoi eliminare un account consumer indesiderato, ma è meglio evitarlo se il tuo obiettivo è eseguire la migrazione di un account consumer a Cloud Identity o Google Workspace.
La creazione di un account in conflitto può essere eseguita inavvertitamente. Dopo la registrazione a Cloud Identity o Google Workspace, puoi decidere di configurare Single Sign-On con un provider di identità (IdP) esterno, come Azure Active Directory (AD) o Active Directory. Quando è configurato, l'IdP esterno creare automaticamente gli account in Cloud Identity Google Workspace per tutti gli utenti per i quali hai attivato il Single Sign-On. la creazione inavvertitamente di account in conflitto.
Utilizzare un account in conflitto
Ogni volta che l'utente accede utilizzando un account in conflitto, visualizza una scheda elettorale. come mostrato di seguito.
Se seleziona la prima opzione, la procedura di accesso continua utilizzando la parte gestita dell'account in conflitto. Gli viene chiesto di fornire la password impostata per l'account gestito oppure, se hai configurato il Single Sign-On, viene reindirizzato a un provider di identità esterno per l'autenticazione. Una volta autenticati, possono utilizzare l'account come qualsiasi altro account gestito. Tuttavia, poiché nessuno dei dati è stato trasferito dall'account consumer originale, si tratta di fatto di un nuovo account.
Quando sceglie la seconda opzione nella schermata del sondaggio, all'utente viene chiesto di cambiare l'indirizzo email della parte consumer dell'account in conflitto.
Modificando l'indirizzo email, l'utente risolve il conflitto assicurandosi che l'account gestito e l'account consumer abbiano nuovamente identità diverse. Il risultato è che l'utente ha un account consumer con tutti i suoi dati originali e un account gestito che non ha accesso ai dati originali.
L'utente può posticipare la ridenominazione dell'account facendo clic su In seguito. Questo
trasforma l'account nello stato Eliminato. In questo stato, l'utente visualizza la stessa schermata del sondaggio ogni volta che accede e all'account viene assegnato un indirizzo email gtempaccount.com
temporaneo fino alla ridenominazione.
Un altro modo per risolvere il conflitto è eliminare l'account gestito in Cloud Identity o Google Workspace oppure, se utilizzano l'accesso singolo, nell'IdP esterno. In questo modo la schermata di votazione non viene visualizzata la prossima volta accede con l'account, ma l'utente deve comunque modificare l'indirizzo email all'indirizzo email dell'account.
Se l'utente cambia l'indirizzo email in un indirizzo email privato, l'account rimane un account consumer. Se l'utente decide di ripristinare l'indirizzo email all'indirizzo email aziendale originale, l'account diventa un account di nuovo in tuo account.
Completare un trasferimento
Se un utente accetta il trasferimento, l'account viene visualizzato in Cloud Identity o Google Workspace. L'account viene ora considerato un account gestito e tutti i dati associati all'account consumer originale vengono trasferiti all'account gestito.
Se Cloud Identity o Google Workspace non sono configurati per utilizzare un per il Single Sign-On, l'utente può accedere usando il proprio password e continuare a utilizzare l'account normalmente.
Se utilizzi il Single Sign-On, l'utente non potrà accedere con il proprio password esistente. Vengono invece indirizzati alla pagina di accesso del tuo dall'IdP esterno quando tenti di accedere. Affinché questa operazione riesca, l'IdP esterno Deve riconoscere l'utente e consentire il Single Sign-On. In caso contrario, l'account viene bloccato.
Best practice
Se intendi eseguire la migrazione degli account consumer esistenti a Cloud Identity o Google Workspace, pianificare e coordinare passaggi della migrazione in anticipo. Una buona pianificazione evita di interferire con gli utenti riduce al minimo il rischio di creare inavvertitamente account in conflitto.
Prendi in considerazione le seguenti best practice quando pianifichi la migrazione degli account consumer:
- Se utilizza un IdP esterno, accertati di configurare il provisioning degli account utente e il Single Sign-On in modo da non impedire la migrazione degli account consumer.
Informa gli utenti interessati prima di una migrazione. Migrazione degli account consumer agli account gestiti richiede l'accesso il consenso e potrebbero riguardarli personalmente se hanno utilizzato gli account per scopi privati. Pertanto, è fondamentale informare gli utenti interessati sui tuoi piani di migrazione.
Comunica agli utenti le seguenti informazioni prima di iniziare la migrazione:
- Logica e importanza della migrazione dell'account
- Impatto sui dati personali associati agli account esistenti
- Periodo di tempo in cui gli utenti possono aspettarsi di ricevere una richiesta di trasferimento.
- Finestra temporale in cui prevedi che gli utenti approvino o declineranno un trasferimento
- Modifiche imminenti alla procedura di accesso dopo la migrazione (si applica solo se si utilizza la federazione)
- Istruzioni su come trasferire la proprietà di documenti Google privati file a un account personale
Se annunci la migrazione via email, alcuni utenti potrebbero presumere che si tratti di un tentativo di phishing. Per evitare che ciò accada, valuta la possibilità di annunciare la migrazione anche tramite un altro mezzo.
Per un esempio di email di annuncio, vedi Comunicazione avanzata per la migrazione degli account utente.
Avvia i trasferimenti in batch. Inizia con un piccolo batch di circa 10 utenti e aumenta le dimensioni del batch man mano che procedi.
Lasciare tempo sufficiente agli utenti interessati per rispondere alle richieste di trasferimento. Tieni presente che alcuni dipendenti potrebbero essere in vacanza o in congedo parentale e non potranno reagire rapidamente.
Assicurati che, dando il consenso a un trasferimento, gli utenti non perdano l'accesso ai dati o ai servizi Google di cui hanno bisogno.
Passaggi successivi
- Scopri come valutare gli account utente esistenti.
- Scopri come rimuovere gli account consumer indesiderati.