Migra cuentas personales

Last reviewed 2023-02-27 UTC

En este documento, se describe cómo puedes migrar. cuentas personales a cuentas de usuario administradas controlado por Cloud Identity o Google Workspace.

Si en tu organización no se usó Cloud Identity o Google Workspace antes, es posible que algunos de tus empleados usen cuentas personales para acceder a los servicios de Google. Algunas de estas cuentas personales pueden usar una dirección de correo electrónico corporativa, como alice@example.com, como la dirección de correo electrónico principal.

Las cuentas personales son propiedad de las personas que las crearon y las administran. Por lo tanto, la organización no tiene control sobre la configuración, la seguridad ni el ciclo de vida de estas cuentas.

Antes de comenzar

Para migrar cuentas personales a Cloud Identity o Google Workspace, debes cumplir con los siguientes requisitos previos:

Identificar un plan de integración adecuado y completar todos los requisitos para consolidar tus cuentas de usuario existentes
Creaste una cuenta de Cloud Identity o Google Workspace y preparaste la unidad organizacional (UO) predeterminada para otorgar el acceso adecuado a las cuentas de usuario migradas.

Cada cuenta personal que planeas migrar debe cumplir con los siguientes requisitos:

No puede ser una cuenta de Gmail.
Debe usar una dirección de correo electrónico principal que corresponda al dominio principal o secundario de tu cuenta de Cloud Identity o Google Workspace. En el contexto de una migración de cuenta personal, se ignoran las direcciones de correo electrónico alternativas y los dominios de alias.
El propietario debe poder recibir correos electrónicos en la dirección de correo electrónico principal de la cuenta.

La conversión de una cuenta personal a una cuenta administrada implica que el usuario que registró la cuenta personal pasa el control de la cuenta y los datos asociados a tu organización. Es posible que la organización exija que los empleados firmen y cumplan con una política de uso aceptable del correo electrónico que prohíba el uso de direcciones de correo electrónico corporativas con fines privados. En este caso, puedes suponer con seguridad que la cuenta personal se usó solo con fines comerciales. Sin embargo, si la organización no cuenta con una política de este tipo o si la política permite cierto uso personal, la cuenta personal puede estar asociada a una combinación de datos personales y corporativos. Dada esta incertidumbre, no puedes forzar la migración de una cuenta personal a una cuenta administrada. Por lo tanto, una migración siempre requiere el consentimiento del usuario.

El proceso

La migración de cuentas personales a cuentas administradas es un proceso de varios pasos que debes planificar con cuidado. En las siguientes secciones, se te guiará a través del proceso.

Descripción general del proceso

El objetivo de la migración es convertir una cuenta personal en una cuenta de usuario administrada y, al mismo tiempo, mantener la identidad de la cuenta como se refleja en la dirección de correo electrónico y cualquier dato asociado con la cuenta.

Durante una migración como esta, la cuenta puede estar en uno de los cuatro estados que se muestran en el siguiente diagrama de estado.

Los cuatro estados de la migración de la cuenta

Cuando agregas y verificas un dominio en Cloud Identity o Google Workspace, cualquier cuenta personal que use una dirección de correo electrónico con este dominio se convierte en una cuenta no administrada. Para el usuario, esto no tiene impacto; puede acceder a los datos con normalidad.

Agregar un dominio en Google Workspace o Cloud Identity afecta solo a los usuarios cuya dirección de correo electrónico coincide con este dominio. Por ejemplo, si agregas example.com, la cuenta johndoe@example.com se identifica como una cuenta sin administrar, mientras que johndoe@corp.example.com no, a menos que también agregues corp.example.com a la cuenta de Cloud Identity o Google Workspace.

La existencia de cuentas no administradas se le muestra como administrador de Cloud Identity o Google Workspace. Puedes pedirle al usuario que transfiera su cuenta a una cuenta administrada.

Transferencia de cuentas no administradas a cuentas administradas.

En el diagrama anterior, si el usuario johndoe da su consentimiento para una transferencia, la cuenta no administrada se convierte en una cuenta administrada. La identidad sigue siendo la misma, pero ahora Cloud Identity o Google Workspace controlan la cuenta, incluidos todos los datos.

El control de una cuenta administrada se pasa a Cloud Identity o Google Workspace.

Si el usuario johndoe no cuenta con la transferencia a una transferencia de datos, pero creas una cuenta en Cloud Identity o Google Workspace con la misma dirección de correo electrónico, el resultado es un cuenta en conflicto. Una cuenta en conflicto se trata, en realidad, de dos cuentas (una personal y una administrada) que están asociadas con la misma identidad, como se muestra en el siguiente diagrama.

Una cuenta en conflicto con una cuenta personal y una cuenta administrada

Un usuario que accede a través de una cuenta en conflicto ve una pantalla que le solicita que seleccione la cuenta administrada o la cuenta personal para reanudar el proceso de acceso.

Para evitar tener cuentas en conflicto, es útil comprender los estados de la cuenta con más detalle.

El proceso en detalle

En el siguiente diagrama de estado, se ilustran los estados de la cuenta con más detalle. Los cuadros rectangulares de la izquierda indican acciones que un administrador de Cloud Identity o de Google Workspace pueden realizar. Los cuadros rectangulares de la derecha indican las actividades que solo puede realizar el propietario de una cuenta personal.

Diagrama de estado de los estados de la cuenta

Encuentra cuentas de usuario no administradas

Cuando te registras en Cloud Identity o Google Workspace, debes proporcionar un nombre de dominio y, luego, se te pedirá que verifiques la propiedad de este dominio. Cuando completes el proceso de registro, podrás agregar y verificar dominios secundarios.

Cuando verificas un dominio, inicias automáticamente una búsqueda de cuentas personales que usan este dominio en su dirección de correo electrónico. En unas 12 horas, estas cuentas aparecerán como cuentas de usuario no administradas en la Herramienta para transferir usuarios no administrados.

La búsqueda de cuentas personales considera el dominio principal registrado en Cloud Identity o Google Workspace, así como cualquier dominio secundario que se haya verificado. La búsqueda intenta hacer coincidir estos dominios con la dirección de correo electrónico principal de cualquier cuenta personal. Por el contrario, no se consideran los alias de alias registrados en Cloud Identity o Google Workspace, así como las direcciones de correo electrónico alternativas de las cuentas personales.

Los usuarios de las cuentas personales afectadas no saben que verificaste un dominio o que identificaste su cuenta como no administrada. Pueden seguir usando sus cuentas con normalidad.

Inicio de una transferencia

Además de mostrar todas las cuentas no administradas, la herramienta para transferir usuarios no administrados te permite iniciar una transferencia de cuenta a través del envío de una solicitud de transferencia de cuenta. En principio, una cuenta se enumera como Aún sin invitación, lo que indica que no se envió ninguna solicitud de transferencia.

La cuenta se enumera como “No enviada”.

Si seleccionas un usuario y envías una solicitud de transferencia de cuenta, el usuario recibe un correo electrónico similar al siguiente. Mientras tanto, el estado de la cuenta en la lista cambia a Invitada.

La cuenta se enumera como “Solicitud enviada”.

Aceptación o rechazo de una transferencia

Después de recibir la solicitud de transferencia, el usuario afectado podría ignorarla y seguir usando la cuenta de forma normal. En este caso, puedes enviar otra solicitud y repetir el procedimiento.

Como alternativa, el usuario puede hacer un seguimiento del correo electrónico, pero rechazar la transferencia. Esto hace que el usuario se enumere como Rechazado en la herramienta de transferencia. Si sospechas que este rechazo no fue intencional, puedes repetir el procedimiento y enviar otra solicitud.

En ambos casos, la funcionalidad de la cuenta no administrada no se ve afectada: los usuarios pueden iniciar sesión y acceder a sus datos. Sin embargo, el proceso de migración de datos de la cuenta a Google Workspace o Cloud Identity se ve impedido si un usuario ignora o rechaza la solicitud de transferencia. Para evitar que esto suceda, asegúrate de comunicar el plan de migración a los empleados antes de enviar las primeras solicitudes de transferencia. Además, asegúrate de que los empleados estén al tanto de los motivos y las consecuencias de aceptar o rechazar una solicitud de transferencia.

En lugar de rechazar la solicitud, un usuario también puede cambiar la dirección de correo electrónico de la cuenta. Si el usuario cambia la dirección de correo electrónico principal para usar un dominio que no fue verificado por ninguna cuenta de Cloud Identity o Google Workspace, esto hará que la cuenta se vuelva a convertir en una cuenta personal. Aunque la herramienta de transferencia aún puede mostrar de manera temporal al usuario como una cuenta no administrada, ya no puedes iniciar una transferencia de cuenta para una cuenta con ese nombre.

Crea una cuenta en conflicto

Si en algún momento creas una cuenta de usuario en Cloud Identity o Google Workspace con la misma dirección de correo electrónico que una cuenta de usuario sin administrar, la Consola del administrador te advertirá sobre un conflicto inminente:

Creación de una cuenta en conflicto

Si ignoras esta advertencia y creas una cuenta de usuario de todos modos, esta cuenta nueva, junto con la cuenta no administrada, se convierte en una cuenta en conflicto. Crear una cuenta en conflicto es útil si deseas descartar una cuenta personal no deseada, pero es mejor evitarla si tu objetivo es migrar una cuenta personal a Cloud Identity o Google Workspace.

La creación de una cuenta en conflicto puede ocurrir sin querer. Después de registrarte en Cloud Identity o Google Workspace, puedes decidir configurar el inicio de sesión único con un proveedor de identidad externo (IdP), como Azure Active Directory (AD) o Active Directory. Cuando se configura, el IdP externo puede crear cuentas en Cloud Identity o Google Workspace de forma automática destinadas a todos los usuarios para los que habilitaste el inicio de sesión único, lo que crea cuentas en conflicto.

Uso de una cuenta en conflicto

Cada vez que el usuario accede con una cuenta en conflicto, ve una pantalla de selección como la siguiente:

Pantalla de selección que aparece cuando un usuario intenta acceder a una cuenta en conflicto

Cuando selecciona la primera opción, el proceso de acceso continúa usando la parte administrada de la cuenta en conflicto. Se le solicita que proporcione la contraseña que estableciste para la cuenta administrada o, si configuraste el inicio de sesión único, se lo redirecciona a un IdP externo para la autenticación. Una vez que se autentica, puede usar la cuenta como cualquier otra cuenta administrada. Sin embargo, debido a que ninguno de los datos se transfirió desde la cuenta personal original, es una cuenta nueva.

Cuando se elige la segunda opción en la pantalla de selección, se le solicita al usuario que cambie la dirección de correo electrónico de la parte del usuario de la cuenta en conflicto:

Solicitud para cambiar la parte del usuario de la cuenta en conflicto

Si cambias la dirección de correo electrónico, el usuario resuelve el conflicto y se asegura de que la cuenta administrada y la cuenta personal vuelvan a tener identidades diferentes. El resultado es que tiene una cuenta personal con todos los datos originales y una cuenta administrada que no tiene acceso a ellos.

El usuario puede posponer el cambio de nombre de la cuenta si hace clic en Do this later. Esta acción convierte el estado de la cuenta en Expulsada. En este estado, el usuario ve la misma pantalla de selección cada vez que accede y se le asigna una dirección de correo electrónico temporal gtempaccount.com hasta que se le cambia el nombre.

Otra manera de resolver el conflicto es borrar la cuenta administrada en Cloud Identity o Google Workspace, o si usan el inicio de sesión único, en el IdP externo. Esto hace que la pantalla de selección no se muestre la próxima vez que acceda con la cuenta, pero el usuario aún debe cambiar la dirección de correo electrónico de la cuenta.

Si el usuario cambia la dirección de correo electrónico a una dirección de correo electrónico privada, la cuenta seguirá siendo una cuenta personal. Si el usuario decide volver a la dirección de correo electrónico corporativa original, la cuenta volverá a ser una cuenta no administrada.

Finalización de una transferencia

Si un usuario acepta la transferencia, la cuenta aparecerá en Cloud Identity o Google Workspace. La cuenta ahora se considera una cuenta administrada y todos los datos asociados con la cuenta personal original se transfieren a esta.

Si Cloud Identity o Google Workspace no están configurados para usar un IdP externo para el inicio de sesión único, el usuario puede acceder con su contraseña original y seguir usando la cuenta como de costumbre.

Si usas el inicio de sesión único, el usuario ya no podrá acceder con su contraseña existente. En su lugar, se lo enviará a la página de acceso del IdP externo cuando intente acceder. Para que esto tenga éxito, el IdP externo debe reconocer al usuario y permitir el inicio de sesión único. De lo contrario, la cuenta queda bloqueada.

Recomendaciones

Si tienes la intención de migrar cuentas personales existentes a Cloud Identity o Google Workspace, planifica y coordina los pasos de migración con anticipación. Una buena planificación evita la interrupción de los usuarios y minimiza el riesgo de crear cuentas en conflicto por error.

Considera las siguientes prácticas recomendadas cuando planifiques una migración de cuenta personal:

Si usas un IdP externo, asegúrate de configurar el aprovisionamiento de la cuenta de usuario y el inicio de sesión único de manera que no impida la migración de la cuenta personal.
Informa a los usuarios afectados antes de la migración. La migración de cuentas personales a cuentas administradas requiere el consentimiento de los usuarios y también puede afectarlos de forma personal si usaron las cuentas con fines privados. Por lo tanto, es fundamental que informes a los usuarios afectados sobre los planes de migración.

Transmite la siguiente información a los usuarios antes de iniciar la migración:
- El motivo y la importancia de la migración de la cuenta
- El impacto en los datos personales asociados con las cuentas existentes
- El período en el que los usuarios pueden recibir una solicitud de transferencia
- El período en el que esperas que los usuarios aprueben o rechacen una transferencia
- Los próximos cambios en el proceso de acceso después de la migración (solo se aplica cuando se usa la federación)
- Instrucciones sobre cómo transferir la propiedad de archivos privados de Documentos de Google a una cuenta personal
Si anuncias la migración por correo electrónico, algunos usuarios pueden suponer que se trata de un intento de suplantación de identidad (phishing). Para evitar que esto suceda, considera anunciar la migración a través de un medio diferente.

Si quieres ver un ejemplo de un correo electrónico de notificación, consulta Comunicación avanzada para la migración de la cuenta de usuario.
Inicia transferencias en lotes. Comienza con un lote pequeño de alrededor de 10 usuarios y aumenta el tamaño a medida que avanza.
Espera el tiempo suficiente para que los usuarios afectados reaccionen a las solicitudes de transferencia. Ten en cuenta que algunos empleados pueden estar de vacaciones o con permiso parental y no podrán reaccionar con rapidez.
Asegúrate de que, cuando des tu consentimiento para una transferencia, los usuarios no pierdan el acceso a los datos o servicios de Google que necesitan.

¿Qué sigue?

Revisa cómo puedes evaluar las cuentas de usuario existentes.
Obtén información sobre cómo expulsar cuentas personales no deseadas.