Esta página foi traduzida pela API Cloud Translation.

Migre contas de consumidor

Last reviewed 2024-07-11 UTC

Este documento descreve como pode migrar contas de consumidor para contas de utilizador geridas controladas pelo Cloud ID ou pelo Google Workspace.

Se a sua organização nunca usou o Cloud Identity nem o Google Workspace, é possível que alguns dos seus funcionários estejam a usar contas de consumidor para aceder aos serviços Google. Algumas destas contas de consumidor podem usar um endereço de email corporativo, como alice@example.com, como endereço de email principal.

As contas de consumidor são propriedade e geridas pelos indivíduos que as criaram. Por conseguinte, a sua organização não tem controlo sobre a configuração, a segurança e o ciclo de vida destas contas.

Antes de começar

Para migrar contas de consumidor para o Cloud ID ou o Google Workspace, tem de cumprir os seguintes pré-requisitos:

Identificou um plano de integração adequado e concluiu todos os pré-requisitos para consolidar as suas contas de utilizador existentes.
Criou uma conta do Cloud ID ou do Google Workspace e preparou a unidade organizacional (UO) predefinida para conceder o acesso adequado às contas de utilizador migradas.

Cada conta de consumidor que planeia migrar tem de cumprir os seguintes critérios:

Não pode ser uma Conta do Gmail.
Tem de usar um endereço de email principal que corresponda ao domínio principal ou a um domínio secundário da sua conta do Cloud ID ou Google Workspace. No contexto de uma migração de conta de consumidor, os endereços de email alternativos e os domínios de alias são ignorados.
O proprietário tem de conseguir receber emails no endereço de email principal da conta.

A conversão de uma conta de consumidor numa conta gerida implica que o utilizador que registou a conta de consumidor transfere o controlo da conta e dos respetivos dados associados para a sua organização. A sua organização pode exigir que os funcionários assinem e cumpram uma política de utilização aceitável de email que proíba a utilização de endereços de email corporativos para fins privados. Neste caso, pode assumir com segurança que a conta de consumidor foi usada apenas para fins empresariais. No entanto, se a sua organização não tiver uma política deste tipo ou a política permitir uma determinada utilização pessoal, a conta de consumidor pode ser associada a uma combinação de dados empresariais e pessoais. Dada esta incerteza, não pode forçar a migração de uma conta de consumidor para uma conta gerida. Por conseguinte, uma migração requer sempre o consentimento do utilizador.

Processo

A migração de contas de consumidor para contas geridas é um processo de vários passos que tem de planear cuidadosamente. As secções seguintes explicam o processo.

Vista geral do processo

O objetivo da migração é converter uma conta de consumidor numa conta de utilizador gerida, mantendo a identidade da conta, conforme refletido pelo respetivo endereço de email, e todos os dados associados à conta.

Durante uma migração como esta, uma conta pode estar num de quatro estados, conforme mostra o diagrama de máquina de estados seguinte.

Os quatro estados da migração de contas.

Quando adiciona e valida um domínio no Cloud Identity ou Google Workspace, qualquer conta de consumidor que use um endereço de email com este domínio torna-se uma conta não gerida. Para o utilizador, isto não tem impacto; pode iniciar sessão e aceder aos respetivos dados como habitualmente.

A adição de um domínio no Google Workspace ou no Cloud ID afeta apenas os utilizadores cujo endereço de email corresponda exatamente a este domínio. Por exemplo, se adicionar example.com, a conta johndoe@example.com é identificada como uma conta não gerida, enquanto johndoe@corp.example.com não é, a menos que também adicione corp.example.com à conta do Cloud ID ou do Google Workspace.

A existência de contas não geridas é apresentada ao administrador do Cloud ID ou do Google Workspace. Em seguida, pode pedir ao utilizador que transfira a respetiva conta para uma conta gerida.

Transferir contas não geridas para contas geridas.

No diagrama anterior, se o utilizador johndoe consentir numa transferência, a conta não gerida é convertida numa conta gerida. A identidade permanece a mesma, mas agora o Cloud ID ou o Google Workspace controlam a conta, incluindo todos os respetivos dados.

O controlo de uma conta gerida passa para o Cloud ID ou o Google Workspace.

Se o utilizador johndoe não consentir numa transferência de dados, mas criar uma conta no Cloud Identity ou no Google Workspace com o mesmo endereço de email, o resultado é uma conta em conflito. Uma conta em conflito é, na verdade, duas contas (uma de consumidor e outra gerida) associadas à mesma identidade, como no diagrama seguinte.

Uma conta em conflito com uma conta de consumidor e uma conta gerida.

Um utilizador que inicia sessão com uma conta em conflito vê um ecrã a pedir-lhe que selecione a conta gerida ou a conta de consumidor para retomar o processo de início de sessão.

Para evitar ter contas em conflito, é útil compreender os estados das contas mais detalhadamente.

Processar detalhadamente

O diagrama de máquina de estados seguinte ilustra os estados da conta mais detalhadamente. As caixas retangulares à esquerda indicam as ações que um administrador do Cloud Identity ou do Google Workspace pode realizar. As caixas retangulares à direita indicam as atividades que apenas o proprietário de uma conta de consumidor pode realizar.

Diagrama da máquina de estados dos estados da conta.

Encontre contas de utilizadores não geridos

Quando se inscreve no Cloud ID ou no Google Workspace, tem de indicar um nome de domínio, para o qual lhe é pedido que valide a propriedade. Quando concluir o processo de inscrição, pode adicionar e validar domínios secundários.

Ao validar um domínio, inicia automaticamente uma pesquisa de contas de consumidor que usam este domínio no respetivo endereço de email. No prazo de cerca de 12 horas, estas contas vão ser apresentadas como contas de utilizadores não geridas na ferramenta de transferência para utilizadores não geridos.

A pesquisa de contas de consumidor considera o domínio principal registado no Cloud Identity ou no Google Workspace, bem como qualquer domínio secundário que tenha sido validado. A pesquisa tenta fazer corresponder estes domínios ao endereço de email principal de quaisquer contas de consumidor. Por outro lado, os domínios de alias registados no Cloud Identity ou no Google Workspace, bem como os endereços de email alternativos das contas de consumidor, não são considerados.

Os utilizadores das contas de consumidor afetadas não são informados de que validou um domínio ou de que identificou a respetiva conta como uma conta não gerida. Podem continuar a usar as respetivas contas como habitualmente.

Inicie uma transferência

Além de lhe mostrar todas as contas não geridas, a ferramenta de transferência para utilizadores não geridos permite-lhe iniciar uma transferência de conta enviando um pedido de transferência de conta. Inicialmente, uma conta é apresentada como Ainda não convidada, o que indica que não foi enviado nenhum pedido de transferência.

A conta está listada como "Não enviado".

Se selecionar um utilizador e enviar um pedido de transferência de conta, o utilizador recebe um email semelhante ao seguinte. Entretanto, a conta passa a ser apresentada como Convidada.

A conta está listada como "Pedido enviado".

Aceite ou ignore uma transferência

Depois de receber o pedido de transferência, um utilizador afetado pode simplesmente ignorá-lo e continuar a usar a conta normalmente. Neste caso, pode enviar outro pedido repetindo o procedimento.

Até o utilizador aceitar o pedido de transferência, a funcionalidade da conta não gerida não é afetada. Os utilizadores podem iniciar sessão e aceder aos respetivos dados. No entanto, o processo de migração dos dados da conta para o Google Workspace ou o Cloud Identity é impedido enquanto um utilizador continuar a ignorar um pedido de transferência. Para evitar que isto aconteça, certifique-se de que comunica o seu plano de migração aos funcionários antes de enviar os primeiros pedidos de transferência. Certifique-se também de que os funcionários estão totalmente conscientes dos motivos e das consequências de aceitar ou ignorar um pedido de transferência.

Em vez de ignorar o pedido, um utilizador também pode alterar o endereço de email da conta. Se o utilizador alterar o endereço de email principal para usar um domínio que não tenha sido validado por nenhuma conta do Cloud ID ou do Google Workspace, a conta volta a ser uma conta de consumidor. Embora a ferramenta de transferência possa continuar a apresentar temporariamente o utilizador como uma conta não gerida, já não pode iniciar uma transferência de conta para uma conta com o nome alterado.

Crie uma conta em conflito

Se, em qualquer altura, criar uma conta de utilizador no Cloud ID ou no Google Workspace com o mesmo endereço de email de uma conta de utilizador não gerida, a consola do administrador avisa acerca de um conflito iminente:

Criar uma conta em conflito.

Se ignorar este aviso e criar uma conta de utilizador, esta nova conta, juntamente com a conta não gerida, torna-se uma conta em conflito. A criação de uma conta em conflito é útil se quiser expulsar uma conta de consumidor indesejada, mas é melhor evitá-la se o seu objetivo for migrar uma conta de consumidor para o Cloud Identity ou o Google Workspace.

A criação de uma conta em conflito pode acontecer involuntariamente. Depois de se inscrever no Cloud ID ou no Google Workspace, pode decidir configurar o início de sessão único com um fornecedor de identidade (IdP) externo, como o Microsoft Entra ID (anteriormente Azure Active Directory) ou o Active Directory. Quando configurado, o IdP externo pode criar automaticamente contas no Cloud ID ou no Google Workspace para todos os utilizadores para os quais ativou o início de sessão único, criando inadvertidamente contas em conflito.

Usar uma conta em conflito

Sempre que o utilizador inicia sessão com uma conta em conflito, vê um ecrã de votação semelhante ao seguinte.

Ecrã de votação que aparece quando um utilizador tenta iniciar sessão numa conta em conflito.

Quando selecionam a primeira opção, o processo de início de sessão continua a usar a parte gerida da conta em conflito. É pedido à criança que faculte a palavra-passe que definiu para a conta gerida ou, se configurou o Início de sessão único, a criança é redirecionada para um IdP externo para autenticação. Depois de serem autenticados, podem usar a conta como qualquer outra conta gerida. No entanto, uma vez que nenhum dos dados foi transferido da conta de consumidor original, trata-se efetivamente de uma nova conta.

Quando escolhe a segunda opção no ecrã de votação, é pedido ao utilizador que altere o endereço de email da parte de consumidor da conta em conflito.

É apresentada uma mensagem para alterar a parte de consumidor da conta em conflito.

Ao alterar o endereço de email, o utilizador resolve o conflito garantindo que a conta gerida e a conta de consumidor voltam a ter identidades diferentes. O resultado é que o utilizador tem uma conta de consumidor com todos os dados originais e uma conta gerida que não tem acesso aos dados originais.

O utilizador pode adiar a mudança do nome da conta clicando em Fazer isto mais tarde. Esta ação muda o estado da conta para Despejada. Neste estado, o utilizador vê o mesmo ecrã de votação sempre que inicia sessão, e é atribuído um endereço de email gtempaccount.com temporário à conta até que o nome seja alterado.

Outra forma de resolver o conflito é eliminar a conta gerida no Cloud Identity ou no Google Workspace ou, se usar o início de sessão único, no IdP externo. Isto faz com que o ecrã de votação não seja apresentado da próxima vez que o utilizador iniciar sessão com a conta, mas o utilizador tem de alterar o endereço de email da conta.

Se o utilizador alterar o endereço de email para um endereço de email privado, a conta permanece uma conta de consumidor. Se o utilizador decidir alterar o endereço de email novamente para o endereço de email empresarial original, a conta volta a ser uma conta não gerida.

Conclua uma transferência

Se um utilizador aceitar a transferência, a conta é apresentada no Cloud ID ou no Google Workspace. A conta passa a ser considerada uma conta gerida e todos os dados associados à conta de consumidor original são transferidos para a conta gerida.

Se o Cloud ID ou o Google Workspace não estiverem configurados para usar um IdP externo para o início de sessão único, o utilizador pode iniciar sessão com a respetiva palavra-passe original e continuar a usar a conta normalmente.

Se usar o início de sessão único, o utilizador já não pode iniciar sessão com a respetiva palavra-passe existente. Em alternativa, são direcionados para a página de início de sessão do seu IdP externo quando tentam iniciar sessão. Para que isto seja bem-sucedido, o IdP externo tem de reconhecer o utilizador e permitir o início de sessão único. Caso contrário, a conta fica bloqueada.

Práticas recomendadas

Se pretender migrar contas de consumidor existentes para o Cloud Identity ou o Google Workspace, planeie e coordene os passos de migração antecipadamente. Um bom planeamento evita a interrupção da experiência dos utilizadores e minimiza o risco de criar inadvertidamente contas em conflito.

Considere as seguintes práticas recomendadas ao planear uma migração de conta de consumidor:

Se usar um IdP externo, certifique-se de que configura o aprovisionamento de contas de utilizador e o início de sessão único de forma a não impedir a migração de contas de consumidor.
Informe os utilizadores afetados antes de uma migração. A migração de contas de consumidor para contas geridas requer o consentimento dos utilizadores e também pode afetá-los pessoalmente se tiverem usado as contas para fins privados. Por conseguinte, é fundamental que informe os utilizadores afetados acerca dos seus planos de migração.

Transmita as seguintes informações aos utilizadores antes de iniciar a migração:
- Fundamento e importância da migração da conta.
- Impacto nos dados pessoais associados a contas existentes.
- Prazo no qual os utilizadores podem esperar receber um pedido de transferência.
- Período durante o qual espera que os utilizadores aprovem uma transferência.
- Alterações futuras ao processo de início de sessão após a migração (apenas se aplica quando usa federação).
- Instruções sobre como transferir a propriedade de ficheiros privados do Google Docs para uma conta pessoal.
Se anunciar a migração por email, alguns utilizadores podem assumir que se trata de uma tentativa de phishing. Para evitar que tal aconteça, pondere anunciar a migração também através de outro meio.

Para ver um exemplo de um email de anúncio, consulte o artigo Comunicação antecipada para a migração de contas de utilizador.
Inicie transferências em lotes. Comece com um pequeno lote de aproximadamente 10 utilizadores e aumente o tamanho do lote à medida que avança.
Permita tempo suficiente para que os utilizadores afetados reajam aos pedidos de transferência. Tenha em atenção que alguns funcionários podem estar de férias ou em licença parental e não vão poder reagir rapidamente.
Certifique-se de que, ao consentirem uma transferência, os utilizadores não perdem o acesso aos dados nem aos serviços Google de que precisam.

O que se segue?

Reveja como pode avaliar as contas de utilizador existentes.
Saiba como expulsar contas de consumidor indesejadas.