Migrer des comptes personnels

Ce document explique comment migrer des comptes personnels vers des comptes utilisateur gérés contrôlés par Cloud Identity ou G Suite.

Si votre organisation n'a jamais utilisé Cloud Identity ou G Suite, il est possible que certains de vos employés utilisent des comptes personnels pour accéder aux services Google. Certains de ces comptes personnels peuvent utiliser une adresse e-mail professionnelle telle que alice@example.com comme adresse e-mail principale.

Les comptes personnels sont détenus et gérés par les personnes qui les ont créés. Votre organisation n'a donc aucun contrôle sur la configuration, la sécurité et le cycle de vie de ces comptes.

Avant de commencer

Pour migrer des comptes personnels vers Cloud Identity ou G Suite, vous devez remplir les conditions préalables suivantes :

Chaque compte personnel que vous envisagez de migrer doit répondre aux critères suivants :

  • Il ne peut pas s'agir d'un compte Gmail.
  • Il doit utiliser une adresse e-mail principale correspondant au domaine principal ou secondaire de votre compte Cloud Identity ou G Suite. Dans le cadre d'une migration de compte personnel, les adresses e-mail secondaires et les domaines d'alias sont ignorés.
  • Son propriétaire doit pouvoir recevoir des e-mails sur l'adresse e-mail principale du compte.

Pour qu'un compte personnel puisse être converti en compte géré, l'utilisateur qui l'a créé doit transférer le contrôle du compte et des données associées à votre organisation. Votre entreprise peut exiger que ses employés signent et adhèrent à une politique d'utilisation acceptable de la messagerie interdisant l'usage d'adresses e-mail d'entreprise à des fins privées. Dans ce cas, vous pouvez supposer sans risque qu'un compte personnel n'est utilisé qu'à des fins professionnelles. Toutefois, si votre organisation ne dispose pas d'une telle politique ou si elle autorise un usage personnel dans une certaine mesure, le compte personnel peut être associé à une combinaison de données personnelles et professionnelles. Dans cette situation, vous ne pouvez pas forcer la migration d'un compte personnel vers un compte géré. Une migration nécessite donc toujours le consentement de l'utilisateur.

Traiter

La migration de comptes personnels vers des comptes gérés est un processus en plusieurs étapes que vous devez planifier avec soin. Les sections suivantes vous guident tout au long du processus.

Présentation du processus

L'objectif de la migration est de convertir un compte personnel en compte utilisateur géré tout en conservant l'identité du compte telle que reflétée par son adresse e-mail ainsi que les données associées au compte.

Au cours de cette migration, un compte peut posséder l'un des quatre états mentionnés dans le schéma suivant.

Les quatre états de la migration du compte.

Lorsque vous ajoutez et validez un domaine dans Cloud Identity ou G Suite, tout compte personnel qui utilise une adresse e-mail avec ce domaine devient un compte non géré. Cela n'affecte pas l'utilisateur, qui peut se connecter et accéder à ses données normalement.

L'ajout d'un domaine dans G Suite ou Cloud Identity ne concerne que les utilisateurs dont l'adresse e-mail correspond exactement à ce domaine. Par exemple, si vous ajoutez example.com, le compte johndoe@example.com est identifié comme non géré, tandis que johndoe@corp.example.com ne l'est que si vous ajoutez également corp.example.com au compte Cloud Identity ou G Suite.

L'existence de comptes non gérés vous est présentée en tant qu'administrateur Cloud Identity ou G Suite. Vous pouvez ensuite demander à l'utilisateur de transférer son compte vers un compte géré.

Transfert de comptes non gérés vers des comptes gérés.

Dans le schéma précédent, si l'utilisateur johndoe accepte un transfert, le compte non géré est converti en compte géré. L'identité reste la même, mais Cloud Identity ou G Suite contrôle désormais le compte, y compris toutes ses données.

Contrôle d'un compte géré transmis à Cloud Identity ou G Suite.

Si l'utilisateur jondoe n'accepte pas un transfert de données, mais que vous créez un compte dans Cloud Identity ou G Suite avec la même adresse e-mail, un compte en conflit est généré. Un compte en conflit est en réalité constitué de deux comptes (un personnel et un géré) associés à la même identité, comme dans le schéma suivant.

Compte en conflit avec un compte personnel et un compte géré.

Un utilisateur qui se connecte à l'aide d'un compte en conflit voit un écran l'invitant à sélectionner le compte géré ou le compte personnel pour reprendre le processus de connexion.

Pour éviter de créer des comptes en conflit, il est utile de comprendre plus en détail les états de compte.

Processus détaillé

Le schéma suivant illustre les états de compte plus en détail. Les cases rectangulaires à gauche indiquent les actions qu'un administrateur Cloud Identity ou G Suite peut effectuer. Les cases rectangulaires à droite indiquent les activités que seul le propriétaire d'un compte personnel peut effectuer.

Schéma des états du compte.

Rechercher des comptes utilisateur non gérés

Lors de votre inscription à Cloud Identity ou G Suite, vous devez fournir un nom de domaine, puis en valider la propriété. Une fois le processus d'inscription terminé, vous pouvez ajouter et valider des domaines secondaires.

En validant un domaine, vous lancez automatiquement une recherche des comptes personnels qui utilisent ce domaine dans leur adresse e-mail. Dans un délai d'environ 12 heures, ces comptes apparaissent sous la forme de comptes utilisateur non gérés dans l'outil de transfert pour les utilisateurs non gérés.

La recherche de comptes personnels prend en compte le domaine principal enregistré dans Cloud Identity ou G Suite, ainsi que tout domaine secondaire validé. La recherche tente de faire correspondre ces domaines à l'adresse e-mail principale des comptes personnels. En revanche, les domaines d'alias enregistrés dans Cloud Identity ou G Suite, ainsi que les adresses e-mail secondaires des comptes personnels, ne sont pas pris en compte.

Les utilisateurs des comptes personnels concernés ne sont pas informés que vous avez validé un domaine ou que vous avez identifié leur compte comme étant non géré. Ils peuvent continuer à utiliser leur compte normalement.

Lancer un transfert

En plus d'afficher tous les comptes non gérés, l'outil de transfert pour les utilisateurs non gérés vous permet de transférer un compte en envoyant une demande de transfert. Les comptes sont initialement répertoriés avec la mention Non envoyée, ce qui signifie qu'aucune demande de transfert n'a été envoyée.

Compte répertorié comme

Si vous sélectionnez un utilisateur et que vous envoyez une demande de transfert de compte, l'utilisateur reçoit un e-mail semblable au suivant. De plus, la mention associée au compte passe à Demande envoyée.

Compte répertorié comme

Accepter ou refuser un transfert

Après avoir reçu la demande de transfert, un utilisateur concerné peut simplement ignorer la demande et continuer à utiliser le compte normalement. Dans ce cas, vous pouvez répéter la procédure et envoyer une autre demande.

L'utilisateur peut également suivre l'e-mail, mais refuser le transfert. Il apparaît alors avec la mention Refusée dans l'outil de transfert. Si vous pensez que ce refus n'était pas intentionnel, vous pouvez répéter la procédure en envoyant une autre demande.

Dans les deux cas, les fonctionnalités du compte non géré ne sont pas altérées. Les utilisateurs peuvent se connecter et accéder à leurs données normalement. Toutefois, le processus de migration des données de compte vers G Suite ou Cloud Identity est entravé tant qu'un utilisateur continue d'ignorer ou de refuser une demande de transfert. Pour éviter cela, assurez-vous de communiquer votre plan de migration à vos employés avant d'envoyer les premières demandes de transfert. Veillez également à bien les informer des motifs et des conséquences liées à l'acceptation ou au refus d'une demande de transfert.

Plutôt que de refuser une demande, un utilisateur peut également modifier l'adresse e-mail du compte. Si l'utilisateur modifie l'adresse e-mail principale pour utiliser un domaine qui n'a pas été validé par un compte Cloud Identity ou G Suite, le compte devient à nouveau un compte personnel. Bien que l'outil de transfert puisse encore répertorier temporairement l'utilisateur en tant que compte non géré, vous ne pouvez plus transférer le compte.

Créer un compte en conflit

Si, à un moment donné, vous créez un compte utilisateur dans Cloud Identity ou G Suite avec la même adresse e-mail qu'un compte utilisateur non géré, la console d'administration vous avertit d'un conflit imminent :

Créer un compte en conflit.

Si vous ignorez cet avertissement et créez quand même le compte, ce nouveau compte, ainsi que le compte non géré deviennent un compte en conflit. La création d'un compte en conflit est utile si vous souhaitez évincer un compte personnel indésirable, mais il est préférable de l'éviter si votre objectif est de migrer un compte personnel vers Cloud Identity ou G Suite.

La création d'un compte en conflit peut se produire involontairement. Après vous être inscrit à Cloud Identity ou G Suite, vous pouvez décider de configurer l'authentification unique avec un fournisseur d'identité externe (IdP) tel qu'Azure Active Directory (AD) ou Active Directory. Une fois configuré, le fournisseur d'identité externe peut créer automatiquement des comptes dans Cloud Identity ou G Suite pour tous les utilisateurs pour lesquels vous avez activé l'authentification unique, créant par inadvertance des comptes en conflit.

Utiliser un compte en conflit

Chaque fois que l'utilisateur se connecte à l'aide d'un compte en conflit, un écran de sélection semblable au suivant s'affiche.

Écran de sélection qui s'affiche lorsqu'un utilisateur tente de se connecter à un compte en conflit.

Lorsque l'utilisateur sélectionne la première option, le processus de connexion continue d'utiliser la partie gérée du compte en conflit. L'utilisateur est invité à saisir le mot de passe défini pour le compte géré, ou est redirigé vers le site d'un fournisseur d'identité externe si vous avez configuré l'authentification unique. Une fois authentifié, il peut utiliser le compte comme n'importe quel autre compte géré. Toutefois, comme aucune donnée n'a été transférée depuis le compte personnel d'origine, il s'agit en réalité d'un nouveau compte.

Lorsqu'il sélectionne la deuxième option, l'utilisateur est invité à modifier l'adresse e-mail de la partie personnelle du compte en conflit.

Inviter à modifier la partie personnelle du compte en conflit.

En modifiant l'adresse e-mail, l'utilisateur résout le conflit en s'assurant que le compte géré et le compte personnel ont à nouveau des identités différentes. Il dispose ainsi d'un compte personnel qui contient toutes ses données d'origine ainsi que d'un compte géré qui ne peut pas accéder aux données d'origine.

L'utilisateur peut choisir de renommer le compte ultérieurement en cliquant sur Do this later (Ignorer pour l'instant). Cette action fait passer le compte à l'état Évincé. Dans cet état, l'utilisateur voit le même écran de sélection à chaque connexion et une adresse e-mail temporaire gtempaccount.com est attribuée au compte jusqu'à ce qu'il soit renommé.

Une autre façon de résoudre le conflit consiste à supprimer le compte géré dans Cloud Identity ou G Suite, ou s'il utilise l'authentification unique, dans le fournisseur d'identité externe. Ainsi, l'écran de sélection ne s'affichera pas lors de la prochaine connexion avec le compte, mais l'utilisateur devra modifier l'adresse e-mail du compte.

Si l'utilisateur modifie l'adresse e-mail par une adresse e-mail privée, le compte reste un compte personnel. S'il décide de rétablir l'adresse e-mail d'entreprise d'origine, le compte redevient un compte non géré.

Effectuer un transfert

Si un utilisateur accepte le transfert, le compte s'affiche dans Cloud Identity ou G Suite. Il est désormais considéré comme un compte géré, et toutes les données associées au compte personnel d'origine sont transférées vers le compte géré.

Si Cloud Identity ou G Suite n'est pas configuré pour utiliser un fournisseur d'identité externe pour l'authentification unique, l'utilisateur peut se connecter avec son mot de passe d'origine et continuer à utiliser le compte normalement.

Si vous exploitez l'authentification unique, l'utilisateur ne peut plus se connecter à l'aide de son mot de passe existant et est redirigé vers la page de connexion de votre fournisseur d'identité externe. Pour que cela fonctionne, le fournisseur d'identité externe doit reconnaître l'utilisateur et autoriser l'authentification unique. Dans le cas contraire, le compte est verrouillé.

Bonnes pratiques

Si vous envisagez de migrer des comptes personnels existants vers Cloud Identity ou G Suite, planifiez et coordonnez les étapes de migration à l'avance. Une bonne planification évite de perturber vos utilisateurs et réduit le risque de créer accidentellement des comptes en conflit.

Tenez compte des bonnes pratiques suivantes lorsque vous planifiez une migration de compte personnel :

  • Si vous utilisez un fournisseur d'identité externe, veillez à configurer la gestion des comptes utilisateur et l'authentification unique de manière à ne pas gêner la migration des comptes personnels.
  • Informez les utilisateurs concernés avant la migration. La migration de comptes personnels vers des comptes gérés nécessite le consentement des utilisateurs et peut également les affecter personnellement s'ils ont utilisé leur compte à des fins privées. Par conséquent, il est essentiel que vous informiez les utilisateurs concernés de vos plans de migration.

    Transmettez-leur les informations suivantes avant de débuter la migration :

    • Motif et importance de la migration des comptes
    • Impact sur les données personnelles associées aux comptes existants
    • Délai dans lequel les utilisateurs peuvent s'attendre à recevoir une demande de transfert
    • Délai dans lequel vous vous attendez à ce que les utilisateurs acceptent ou refusent le transfert
    • Modifications concernant le processus de connexion après la migration (ne s'applique qu'à la migration avec fédération)
    • Instructions permettant de transférer la propriété de fichiers Google Docs privés à un compte personnel

    Si vous annoncez la migration par e-mail, certains utilisateurs peuvent supposer qu'il s'agit d'une tentative d'hameçonnage. Pour éviter ce problème, envisagez d'utiliser également un autre moyen de communication.

    Pour obtenir un exemple d'e-mail d'annonce, consultez l'article Communication préalable pour la migration des comptes utilisateur.

  • Lancer des transferts par lots. Commencez avec un petit groupe d'environ 10 utilisateurs et augmentez la taille de votre lot au fur et à mesure.

  • Laissez suffisamment de temps aux utilisateurs concernés pour réagir aux demandes de transfert. N'oubliez pas que certains employés sont peut-être en vacances ou en congés parentaux et ne peuvent pas réagir rapidement.

  • Assurez-vous qu'en acceptant un transfert, les utilisateurs ne perdent pas l'accès aux données ou aux services Google dont ils ont besoin.

Étapes suivantes