Questo documento descrive come eseguire la migrazione degli account consumer in account utente gestiti controllati da Cloud Identity o Google Workspace.

Se la tua organizzazione non ha mai utilizzato Cloud Identity o Google Workspace, è possibile che alcuni dei tuoi dipendenti utilizzino account consumer per accedere ai servizi Google. Alcuni di questi account consumer potrebbero utilizzare un indirizzo email aziendale, come alice@example.com, come indirizzo email principale.

Gli account consumer sono posseduti e gestiti dalle persone che li hanno creati. Di conseguenza, la tua organizzazione non ha alcun controllo sulla configurazione, sulla sicurezza e sul ciclo di vita di questi account.

Prima di iniziare

Per eseguire la migrazione di account consumer a Cloud Identity o Google Workspace, devi soddisfare i seguenti prerequisiti:

• Hai identificato un piano di onboarding appropriato e completato tutti i prerequisiti per il consolidamento degli account utente esistenti.
• Hai creato un account Cloud Identity o Google Workspace e hai preparato l'unità organizzativa (UO) predefinita per concedere l'accesso appropriato agli account utente di cui è stata eseguita la migrazione.

Ogni account consumer di cui prevedi di eseguire la migrazione deve soddisfare i seguenti criteri:

• Non può essere un account Gmail.
• Deve utilizzare un indirizzo email principale che corrisponda al dominio principale o secondario del tuo account Cloud Identity o Google Workspace. Nel contesto della migrazione di un account consumer, gli indirizzi email alternativi e i domini alias vengono ignorati.
• Il proprietario deve essere in grado di ricevere email all'indirizzo email principale dell'account.

La conversione di un account consumer in un account gestito implica che l'utente che ha registrato l'account consumer passa il controllo dell'account e dei dati associati alla tua organizzazione. La tua organizzazione potrebbe richiedere ai dipendenti di firmare e rispettare una norma di utilizzo accettabile dell'email che non consente l'uso di indirizzi email aziendali per scopi privati. In questo caso, si può tranquillamente supporre che l'account consumer sia stato utilizzato solo per scopi commerciali. Tuttavia, se la tua organizzazione non prevede norme di questo tipo o se le norme consentono un determinato uso personale, l'account consumer potrebbe essere associato a una combinazione di dati aziendali e personali. Data questa incertezza, non è possibile forzare la migrazione di un account consumer a un account gestito, pertanto la migrazione richiede sempre il consenso dell'utente.

Processo

La migrazione degli account consumer agli account gestiti è un processo in più passaggi che devi pianificare con attenzione. Le sezioni seguenti illustrano la procedura.

Panoramica della procedura

L'obiettivo della migrazione è convertire un account consumer in un account utente gestito, mantenendo al contempo l'identità dell'account indicata dal suo indirizzo email e tutti i dati associati.

Durante una migrazione di questo tipo, un account può trovarsi in uno dei quattro stati seguenti, come mostra il seguente diagramma della macchina a stati.

Quando aggiungi e verifichi un dominio in Cloud Identity o Google Workspace, qualsiasi account consumer che utilizza un indirizzo email con questo dominio diventa un account non gestito. Per l'utente, questo non ha alcun impatto: può accedere ai propri dati come di consueto.

L'aggiunta di un dominio in Google Workspace o Cloud Identity riguarda solo gli utenti il cui indirizzo email corrisponde esattamente a questo dominio. Ad esempio, se aggiungi example.com, l'account johndoe@example.com viene identificato come non gestito, mentre johndoe@corp.example.com no, a meno che tu non aggiunga corp.example.com anche all'account Cloud Identity o Google Workspace.

L'esistenza di account non gestiti viene visualizzata in qualità di amministratore di Cloud Identity o Google Workspace. Puoi quindi chiedere all'utente di trasferire il proprio account in un account gestito.

Nel diagramma precedente, se l'utente johndoe acconsente a un trasferimento, l'account non gestito viene convertito in un account gestito. L'identità rimane la stessa, ma ora Cloud Identity o Google Workspace controllano l'account, inclusi tutti i relativi dati.

Se l'utente johndoe non acconsente a un trasferimento di dati, ma crei un account in Cloud Identity o Google Workspace utilizzando lo stesso indirizzo email, il risultato è un account in conflitto. Un account in conflitto è costituito da due account, un consumer e uno gestito, associati alla stessa identità, come illustrato nel diagramma seguente.

Un utente che esegue l'accesso utilizzando un account in conflitto visualizza una schermata che richiede di selezionare l'account gestito o l'account consumer per riprendere la procedura di accesso.

Per evitare di ritrovare account in conflitto, è utile comprendere meglio gli stati degli account.

Procedura in dettaglio

Il seguente diagramma della macchina a stati illustra in modo più dettagliato gli stati degli account. I riquadri rettangolari a sinistra indicano le azioni che un amministratore di Cloud Identity o Google Workspace può eseguire, mentre i riquadri rettangolari a destra indicano le attività che solo il proprietario di un account consumer può eseguire.

Trovare gli account utente non gestiti

Quando ti registri a Cloud Identity o Google Workspace, devi fornire un nome di dominio, per il quale ti verrà chiesto di verificare la proprietà. Al termine della procedura di registrazione, potrai aggiungere e verificare i domini secondari.

Verificando un dominio, avvii automaticamente una ricerca di account consumer che utilizzano questo dominio nel loro indirizzo email. Entro circa 12 ore, questi account verranno visualizzati come account utente non gestiti nello strumento di trasferimento per gli utenti non gestiti.

La ricerca di account consumer considera il dominio principale registrato in Cloud Identity o Google Workspace, nonché qualsiasi dominio secondario verificato. La ricerca cerca di abbinare questi domini all'indirizzo email principale di qualsiasi account consumer. Al contrario, i domini alias registrati in Cloud Identity o Google Workspace e gli indirizzi email alternativi di account consumer non vengono considerati.

Gli utenti degli account consumer interessati non vengono informati del fatto che hai verificato un dominio o che hai identificato il loro account come account non gestito. e possono continuare a utilizzare i loro account normalmente.

Avvio di un trasferimento

Oltre a mostrare tutti gli account non gestiti, lo strumento di trasferimento per gli utenti non gestiti ti consente di avviare un trasferimento dell'account inviando una richiesta di trasferimento dell'account. Inizialmente, un account risulta Non ancora invitato, a indicare che non è stata inviata alcuna richiesta di trasferimento.

Se selezioni un utente e invii una richiesta di trasferimento dell'account, l'utente riceverà un'email simile alla seguente. Nel frattempo, l'account passa allo stato Invitato.

Accettazione o rifiuto di un trasferimento

Dopo aver ricevuto la richiesta di trasferimento, l'utente interessato potrebbe semplicemente ignorarla e continuare a utilizzare l'account normalmente. In questo caso, puoi inviare un'altra richiesta, ripetendo la procedura.

In alternativa, l'utente potrebbe rispondere all'email, ma rifiutare il trasferimento. In questo modo l'utente viene indicato come Rifiutato nello strumento di trasferimento. Se ritieni che il rifiuto sia stato involontario, puoi ripetere la procedura inviando un'altra richiesta.

In entrambi i casi, la funzionalità degli account non gestiti rimane invariata: gli utenti possono accedere ai propri dati e accedervi. Tuttavia, il processo di migrazione dei dati dell'account a Google Workspace o Cloud Identity è ostacolato finché un utente continua a ignorare o rifiutare una richiesta di trasferimento. Per evitare che ciò accada, assicurati di comunicare il tuo piano di migrazione ai dipendenti prima di inviare le prime richieste di trasferimento. Assicurati inoltre che i dipendenti siano consapevoli dei motivi e delle conseguenze dell'accettazione o del rifiuto di una richiesta di trasferimento.

Anziché rifiutare la richiesta, un utente potrebbe anche modificare l'indirizzo email dell'account. Se l'utente cambia l'indirizzo email principale per utilizzare un dominio che non è stato verificato da nessun account Cloud Identity o Google Workspace, l'account tornerà a essere un account consumer. Anche se lo strumento di trasferimento potrebbe comunque indicare temporaneamente l'utente come account non gestito, non puoi più avviare un trasferimento di account per questo account rinominato.

Creazione di un account in conflitto

Se, in qualsiasi momento, crei un account utente in Cloud Identity o Google Workspace con lo stesso indirizzo email di un account utente non gestito, la Console di amministrazione ti avvisa di un conflitto imminente:

Se ignori questo avviso e crei comunque un account utente, questo nuovo account, insieme all'account non gestito, diventa un account in conflitto. La creazione di un account in conflitto è utile se vuoi eliminare un account consumer indesiderato, ma è meglio evitarlo se il tuo obiettivo è eseguire la migrazione di un account consumer a Cloud Identity o Google Workspace.

La creazione di un account in conflitto può capitare involontariamente. Dopo aver eseguito la registrazione a Cloud Identity o Google Workspace, puoi decidere di configurare il Single Sign-On con un provider di identità esterno (IdP) come Azure Active Directory (AD) o Active Directory. Se configurato, l'IdP esterno potrebbe creare automaticamente account in Cloud Identity o Google Workspace per tutti gli utenti per cui hai abilitato il Single Sign-On, creando inavvertitamente account in conflitto.

Utilizzo di un account in conflitto

Ogni volta che l'utente accede utilizzando un account in conflitto, viene visualizzata una schermata votazione come la seguente.

Quando selezionano la prima opzione, la procedura di accesso continua utilizzando la parte gestita dell'account in conflitto. Gli utenti vengono invitati a fornire la password impostata per l'account gestito oppure, se hai configurato il servizio Single Sign-On, vengono reindirizzati a un IdP esterno per l'autenticazione. Dopo l'autenticazione, potranno utilizzare l'account come qualsiasi altro account gestito. Tuttavia, poiché nessuno dei dati è stato trasferito dall'account consumer originale, si tratta effettivamente di un nuovo account.

Quando sceglie la seconda opzione nella schermata elettorale, all'utente viene richiesto di modificare l'indirizzo email della parte consumer dell'account in conflitto.

Modificando l'indirizzo email, l'utente risolve il conflitto garantendo che l'account gestito e l'account consumer abbiano nuovamente identità diverse. Il risultato rimane che hanno un solo account consumer con tutti i dati originali e un solo account gestito che non ha accesso ai dati originali.

L'utente può posticipare la ridenominazione dell'account facendo clic su In seguito. Questa azione trasforma l'account nello stato Eliminato. In questo stato, l'utente vede la stessa schermata elettorale ogni volta che accede e all'account viene assegnato un indirizzo email gtempaccount.com temporaneo finché non viene rinominato.

Un altro modo per risolvere il conflitto è eliminare l'account gestito in Cloud Identity o Google Workspace oppure, se utilizza il Single Sign-On, nell'IdP esterno. Di conseguenza, la schermata elettorale non verrà visualizzata al successivo accesso all'account utilizzando l'account, ma l'utente dovrà comunque modificare l'indirizzo email dell'account.

Se l'utente modifica l'indirizzo email in un indirizzo email privato, l'account rimane un account consumer. Se l'utente decide di ripristinare l'indirizzo email aziendale originale, l'account diventa di nuovo un account non gestito.

Completamento di un trasferimento

Se un utente accetta il trasferimento, l'account viene visualizzato in Cloud Identity o Google Workspace. L'account viene ora considerato un account gestito e tutti i dati associati all'account consumer originale vengono trasferiti all'account gestito.

Se Cloud Identity o Google Workspace non sono configurati per utilizzare un IdP esterno per il Single Sign-On, l'utente può accedere con la propria password originale e continuare a utilizzare l'account normalmente.

Se utilizzi il Single Sign-On, l'utente non sarà più in grado di accedere con la sua password esistente. Vengono invece inviati alla pagina di accesso dell'IdP esterno quando tentano di accedere. Affinché questa operazione vada a buon fine, l'IdP esterno deve riconoscere l'utente e consentire il Single Sign-On. In caso contrario, l'account perde l'accesso.

best practice

Se intendi eseguire la migrazione di account consumer esistenti a Cloud Identity o Google Workspace, pianifica e coordina in anticipo i passaggi della migrazione. Una buona pianificazione evita di interferire con gli utenti e riduce al minimo il rischio di creare inavvertitamente account in conflitto.

Prendi in considerazione le seguenti best practice quando pianifichi la migrazione di un account consumer:

• Se utilizzi un IdP esterno, assicurati di configurare il provisioning degli account utente e il Single Sign-On in modo da non impedire la migrazione degli account consumer.

• Informa gli utenti interessati prima di una migrazione. La migrazione degli account consumer ad account gestiti richiede il consenso degli utenti e potrebbe avere conseguenze personali anche se hanno utilizzato gli account per scopi privati. Di conseguenza, è fondamentale informare gli utenti interessati dei tuoi piani di migrazione.

  Comunica agli utenti le seguenti informazioni prima di iniziare la migrazione:

  • Motivazione e importanza della migrazione dell'account
  • Impatto sui dati personali associati ad account esistenti
  • Periodo di tempo in cui gli utenti possono aspettarsi di ricevere una richiesta di trasferimento.
  • Periodo di tempo in cui prevedi che gli utenti approvino o rifiutino un trasferimento
  • Modifiche imminenti al processo di accesso dopo la migrazione (si applica solo quando si utilizza la federazione)
  • Istruzioni su come trasferire la proprietà di file di Documenti Google privati a un account personale

  Se annunci la migrazione via email, alcuni utenti potrebbero presumere che si tratti di un tentativo di phishing. Per evitare che ciò avvenga, puoi annunciare la migrazione anche con un mezzo diverso.

  Per un esempio di email di annuncio, vedi Comunicazione anticipata per la migrazione degli account utente.

• Avvia i trasferimenti in batch. Inizia con un piccolo gruppo di circa 10 utenti e aumenta le dimensioni del batch man mano che procedi.

• Lascia agli utenti interessati un tempo sufficiente per reagire alle richieste di trasferimento. Tieni presente che alcuni dipendenti potrebbero essere in ferie o in congedo parentale e non saranno in grado di reagire rapidamente.

• Assicurati che, se acconsenti al trasferimento, gli utenti non perdano l'accesso ai dati o ai servizi Google di cui hanno bisogno.

Passaggi successivi

• Leggi come valutare gli account utente esistenti.
• Scopri come evitare gli account consumer indesiderati.