Eseguire la migrazione degli account consumer

Last reviewed 2024-07-11 UTC

Questo documento descrive come eseguire la migrazione degli account consumer agli account utente gestiti controllati da Cloud Identity o Google Workspace.

Se la tua organizzazione non ha mai utilizzato Cloud Identity o Google Workspace, è possibile che alcuni dei tuoi dipendenti stiano utilizzando account consumer per accedere ai servizi Google. Alcuni di questi account consumer potrebbero utilizzare un indirizzo email aziendale come alice@example.com come indirizzo email principale.

Gli account dei consumatori sono di proprietà e gestiti dalle persone che li hanno creati. Pertanto, la tua organizzazione non ha alcun controllo sulla configurazione, sulla sicurezza e sul ciclo di vita di questi account.

Per eseguire la migrazione degli account consumer a Cloud Identity o Google Workspace, devi soddisfare i seguenti prerequisiti:

Ogni account consumer di cui prevedi di eseguire la migrazione deve soddisfare i seguenti criteri:

  • Non può essere un account Gmail.
  • Deve utilizzare un indirizzo email principale che corrisponda al dominio principale o secondario del tuo account Cloud Identity o Google Workspace. Nel contesto di una migrazione dell'account consumer, gli indirizzi email alternativi e i domini degli alias vengono ignorati.
  • Il proprietario deve essere in grado di ricevere email all'indirizzo email principale dell'account.

La conversione di un account consumer in un account gestito implica che l'utente che ha registrato l'account consumer trasferisca il controllo dell'account e dei relativi dati associati alla tua organizzazione. La tua organizzazione potrebbe richiedere ai dipendenti di firmare e rispettare norme sull'utilizzo accettabile delle email che non consentono l'uso degli indirizzi email aziendali per scopi privati. In questo caso, puoi presumere con certezza che l'account consumer sia stato utilizzato solo a fini commerciali. Tuttavia, se la tua organizzazione non ha queste norme o le norme consentono determinati utilizzi personali, l'account del consumatore potrebbe essere associato a una combinazione di dati aziendali e personali. Data questa incertezza, non puoi forzare la migrazione di un account consumer a un account gestito. Pertanto, una migrazione richiede sempre il consenso dell'utente.

Processo

La migrazione degli account consumer agli account gestiti è un processo in più passaggi che deve essere pianificato con attenzione. Le sezioni seguenti illustrano la procedura.

Panoramica della procedura

Lo scopo della migrazione è convertire un account consumer in un account utente gestito, mantenendo al contempo l'identità dell'account, come descritta dal suo indirizzo email, e tutti i dati associati all'account.

Durante una migrazione di questo tipo, un account può trovarsi in uno dei quattro stati, come mostrato nel seguente diagramma della macchina a stati.

I quattro stati della migrazione dell'account.

Quando aggiungi e verifichi un dominio in Cloud Identity o Google Workspace, qualsiasi account consumer che utilizza un indirizzo email con questo dominio diventa un account non gestito. Per l'utente, questo non ha alcun impatto; puoi accedere e accedere ai tuoi dati come al solito.

L'aggiunta di un dominio in Google Workspace o Cloud Identity interessa solo gli utenti il cui indirizzo email corrisponde esattamente a questo dominio. Ad esempio, se aggiunti example.com, l'account johndoe@example.com viene identificato come account non gestito, mentre johndoe@corp.example.com non lo è, a meno che non aggiungi anche corp.example.com all'account Cloud Identity o Google Workspace.

L'esistenza di account non gestiti viene visualizzata come amministratore di Cloud Identity o Google Workspace. Puoi quindi chiedere all'utente di trasferire il proprio account in un account gestito.

Trasferimento di account non gestiti in account gestiti.

Nel diagramma precedente, se l'utente johndoe acconsente a un trasferimento, l'account non gestito viene convertito in un account gestito. L'identità rimane invariata, ma ora Cloud Identity o Google Workspace controlla l'account, inclusi tutti i relativi dati.

Il controllo di un account gestito passa a Cloud Identity o Google Workspace.

Se l'utente johndoe non acconsente al trasferimento dei dati, ma crei un account in Cloud Identity o Google Workspace utilizzando lo stesso indirizzo email, il risultato è un account in conflitto. Un account in conflitto è costituito da due account, uno consumer e uno gestito, associati alla stessa identità, come nel seguente diagramma.

Un account in conflitto con un account consumer e un account gestito.

Un utente che accede utilizzando un account in conflitto visualizza una schermata che lo invita a selezionare l'account gestito o l'account consumer per riprendere la procedura di accesso.

Per evitare di ritrovarti con account in conflitto, è utile comprendere meglio gli stati degli account.

Procedura dettagliata

Il seguente diagramma della macchina a stati illustra gli stati dell'account in modo più dettagliato. Le caselle rettangolari a sinistra indicano le azioni che può eseguire un amministratore di Cloud Identity o Google Workspace, mentre quelle a destra indicano le attività che può eseguire solo il proprietario di un account consumer.

Diagramma della macchina a stati degli stati dell'account.

Trovare account utente non gestiti

Quando ti registri a Cloud Identity o Google Workspace, devi fornire un nome di dominio per il quale ti verrà chiesto di verificare la proprietà. Al termine della procedura di registrazione, puoi aggiungere e verificare domini secondari.

Se verifichi un dominio, avvii automaticamente una ricerca degli account consumer che utilizzano questo dominio nel loro indirizzo email. Entro circa 12 ore, questi account verranno visualizzati come account utente non gestiti nello strumento di trasferimento per gli utenti non gestiti.

La ricerca degli account dei consumatori prende in considerazione il dominio principale registrato in Cloud Identity o Google Workspace, nonché eventuali domini secondari verificati. La ricerca tenta di abbinare questi domini all'indirizzo email principale di qualsiasi account consumatore. Al contrario, i domini alias registrati in Cloud Identity o Google Workspace, nonché gli indirizzi email alternativi degli account consumer, non vengono presi in considerazione.

Gli utenti degli account consumer interessati non vengono informati del fatto che hai verificato un dominio o che hai identificato il loro account come non gestito. Possono continuare a utilizzare i propri account come di consueto.

Avviare un trasferimento

Oltre a mostrare tutti gli account non gestiti, lo strumento di trasferimento per gli utenti non gestiti ti consente di avviare un trasferimento di account inviando una richiesta di trasferimento. Inizialmente, un account è indicato come Non ancora invitato, a indicare che non è stata inviata alcuna richiesta di trasferimento.

L'account è indicato come "Non inviato".

Se selezioni un utente e invii una richiesta di trasferimento dell'account, l'utente riceve un'email simile alla seguente. Nel frattempo, l'account viene visualizzato come Invited (Invitato).

L'account è indicato come "Richiesta inviata".

Accettare o rifiutare un trasferimento

Dopo aver ricevuto la richiesta di trasferimento, un utente interessato potrebbe semplicemente ignorarla e continuare a utilizzare l'account normalmente. In questo caso, puoi inviare un'altra richiesta ripetendo la procedura.

In alternativa, l'utente potrebbe rispondere all'email, ma rifiutare il trasferimento. Di conseguenza, l'utente viene indicato come Rifiutato nello strumento di trasferimento. Se sospetti che il rifiuto non sia stato intenzionale, puoi ripetere la procedura inviando un'altra richiesta.

In entrambi i casi, la funzionalità dell'account non gestito non viene compromessa: gli utenti possono accedere e accedere ai propri dati. Tuttavia, il processo di migrazione degli account in Google Workspace o Cloud Identity è ostacolato finché un utente continua a ignorare o rifiutare una richiesta di trasferimento. Per evitare che ciò accada, assicurati di comunicare il piano di migrazione ai dipendenti prima di inviare le prime richieste di trasferimento. Inoltre, assicurati che i dipendenti siano pienamente consapevoli dei motivi e delle conseguenze dell'accettazione o del rifiuto di una richiesta di trasferimento.

Anziché rifiutare la richiesta, un utente potrebbe anche modificare l'indirizzo email dell'account. Se l'utente modifica l'indirizzo email principale in modo da utilizzare un dominio che non è stato verificato da nessun account Cloud Identity o Google Workspace, l'account diventa di nuovo un account consumer. Anche se lo strumento di trasferimento potrebbe ancora elencare temporaneamente l'utente come account non gestito, non puoi più avviare un trasferimento di account per un account rinominato.

Creare un account in conflitto

Se in un secondo momento crei un account utente in Cloud Identity o Google Workspace con lo stesso indirizzo email di un account utente non gestito, la Console di amministrazione ti avvisa di un conflitto imminente:

Creazione di un account in conflitto.

Se ignori questo avviso e crei comunque un account utente, questo nuovo account, insieme all'account non gestito, diventa un account in conflitto. La creazione di un account in conflitto è utile se vuoi eliminare un account consumer indesiderato, ma è meglio evitarlo se il tuo obiettivo è eseguire la migrazione di un account consumer a Cloud Identity o Google Workspace.

La creazione di un account in conflitto può avvenire involontariamente. Dopo aver eseguito la registrazione a Cloud Identity o Google Workspace, puoi decidere di configurare il Single Sign-On con un provider di identità (IdP) esterno come Azure Active Directory (AD) o Active Directory. Se configurato, l'IdP esterno potrebbe creare automaticamente account in Cloud Identity o Google Workspace per tutti gli utenti per i quali hai attivato l'accesso singolo, creando inavvertitamente account in conflitto.

Utilizza un account in conflitto

Ogni volta che l'utente accede utilizzando un account in conflitto, viene visualizzata una schermata di ballot come la seguente.

Schermata del ballot che viene visualizzata quando un utente tenta di accedere a un account in conflitto.

Se seleziona la prima opzione, la procedura di accesso continua utilizzando la parte gestita dell'account in conflitto. Gli viene chiesto di fornire la password impostata per l'account gestito oppure, se hai configurato il Single Sign-On, viene reindirizzato a un provider di identità esterno per l'autenticazione. Una volta autenticati, possono utilizzare l'account come qualsiasi altro account gestito. Tuttavia, poiché nessuno dei dati è stato trasferito dall'account consumer originale, si tratta di un nuovo account.

Quando sceglie la seconda opzione nella schermata del sondaggio, all'utente viene chiesto di cambiare l'indirizzo email della parte consumer dell'account in conflitto.

Viene chiesto di modificare la parte consumer dell'account in conflitto.

Modificando l'indirizzo email, l'utente risolve il conflitto assicurandosi che l'account gestito e l'account consumer abbiano nuovamente identità diverse. Il risultato è che l'utente ha un account consumer con tutti i suoi dati originali e un account gestito che non ha accesso ai dati originali.

L'utente può rimandare la ridenominazione dell'account facendo clic su Esegui questa operazione in un secondo momento. Questa azione imposta lo stato dell'account su Evicted. In questo stato, l'utente visualizza la stessa schermata del sondaggio ogni volta che accede e all'account viene assegnato un indirizzo email gtempaccount.com temporaneo fino alla ridenominazione.

Un altro modo per risolvere il conflitto è eliminare l'account gestito in Cloud Identity o Google Workspace oppure, se utilizzano l'accesso singolo, nell'IdP esterno. Di conseguenza, la schermata del sondaggio non viene visualizzata al successivo accesso con l'account, ma l'utente deve comunque modificare l'indirizzo email dell'account.

Se l'utente cambia l'indirizzo email con un indirizzo email privato, l'account rimane un account consumer. Se l'utente decide di ripristinare l'indirizzo email aziendale originale, l'account diventa di nuovo non gestito.

Completare un trasferimento

Se un utente accetta il trasferimento, l'account viene visualizzato in Cloud Identity o Google Workspace. L'account viene ora considerato un account gestito e tutti i dati associati all'account consumer originale vengono trasferiti all'account gestito.

Se Cloud Identity o Google Workspace non è configurato per utilizzare un IdP esterno per l'accesso singolo, l'utente può accedere utilizzando la password originale e continuare a utilizzare l'account normalmente.

Se utilizzi l'accesso singolo, l'utente non potrà più accedere con la password esistente. Al contrario, quando tentano di accedere, vengono indirizzati alla pagina di accesso del tuo IdP esterno. Affinché l'operazione vada a buon fine, l'IdP esterno deve riconoscere l'utente e consentire il Single Sign-On. In caso contrario, l'account viene bloccato.

Best practice

Se intendi eseguire la migrazione degli account consumer esistenti a Cloud Identity o Google Workspace, pianifica e coordina in anticipo i passaggi della migrazione. Una buona pianificazione evita di interrompere gli utenti e minimizza il rischio di creare inavvertitamente account in conflitto.

Prendi in considerazione le seguenti best practice quando pianifichi la migrazione degli account consumer:

  • Se utilizzi un IdP esterno, assicurati di configurare il provisioning degli account utente e l'accesso singolo in modo da non ostacolare la migrazione degli account consumer.
  • Informa gli utenti interessati prima di una migrazione. La migrazione degli account consumer agli account gestiti richiede il consenso degli utenti e potrebbe anche interessarli personalmente se hanno utilizzato gli account per scopi privati. Pertanto, è fondamentale informare gli utenti interessati dei tuoi piani di migrazione.

    Comunica agli utenti le seguenti informazioni prima di iniziare la migrazione:

    • Motivazione e importanza della migrazione dell'account
    • Impatto sui dati personali associati agli account esistenti
    • Periodo di tempo in cui gli utenti possono aspettarsi di ricevere una richiesta di trasferimento.
    • Finestra temporale in cui prevedi che gli utenti approvino o declineranno un trasferimento
    • Modifiche imminenti alla procedura di accesso dopo la migrazione (si applica solo se si utilizza la federazione)
    • Istruzioni su come trasferire la proprietà di file di Documenti Google privati a un account personale

    Se annunci la migrazione via email, alcuni utenti potrebbero pensare che si tratti di un tentativo di phishing. Per evitare che ciò accada, valuta la possibilità di annunciare la migrazione anche tramite un altro mezzo.

    Per un esempio di email di avviso, consulta Comunicazione anticipata per la migrazione degli account utente.

  • Avvia i trasferimenti in batch. Inizia con un piccolo batch di circa 10 utenti e aumenta le dimensioni del batch man mano che procedi.

  • Assicurati di concedere agli utenti interessati tempo sufficiente per rispondere alle richieste di trasferimento. Tieni presente che alcuni dipendenti potrebbero essere in vacanza o in congedo parentale e non potranno reagire rapidamente.

  • Assicurati che, dando il consenso a un trasferimento, gli utenti non perdano l'accesso ai dati o ai servizi Google di cui hanno bisogno.

Passaggi successivi