一般ユーザー向けアカウントの移行

このドキュメントでは、一般ユーザー向けアカウントを、Cloud Identity または Google Workspace で制御される管理対象ユーザー アカウントに移行する方法について説明します。

組織で Cloud Identity や Google Workspace を使用したことがない場合、一部の従業員が一般ユーザー向けアカウントを使用して Google サービスにアクセスしている可能性があります。これらの一般ユーザー向けアカウントの中には、alice@example.com などの会社のメールアドレスをメインのメールアドレスとして使用するものがあります。

一般ユーザー向けアカウントは、その作成者が所有し、管理しています。したがって、これらのアカウントの構成、セキュリティ、ライフサイクルを管理することはできません

始める前に

一般ユーザー向けアカウントを Cloud Identity または Google Workspace に移行するには、次の前提条件を満たす必要があります。

移行を予定している一般ユーザー向けアカウントは、次の条件を満たす必要があります。

  • Gmail アカウントは使用できません。
  • Cloud Identity アカウントまたは Google Workspace アカウントのプライマリ ドメインまたはセカンダリ ドメインに対応するメインのメールアドレスを使用している必要があります。一般ユーザー向けアカウントの移行では、予備のメールアドレスとエイリアス ドメインは無視されます。
  • アカウントのメインのメールアドレスでメールを受信できる必要があります。

一般ユーザー向けアカウントを管理対象アカウントに変換することは、一般ユーザー向けアカウントを登録したユーザーが、アカウントとそれに関連するデータの管理権限を組織に譲渡することを意味します。組織によっては、会社のメールアドレスを私的な目的で使用することを禁止するメール使用ポリシーに署名し、遵守することを義務付けている場合があります。この場合、一般ユーザー向けアカウントがビジネス目的でのみ使用されていることを前提として考えることができます。ただし、組織にこのようなポリシーがない場合や、特定の個人使用を許可するポリシーの場合、一般ユーザー向けアカウントに会社のデータや個人データが関連付けられている可能性があります。このため、一般ユーザー向けアカウントを管理対象アカウントに強制的に移行することはできません。移行を行うにはユーザーの同意が必要になります。

プロセス

一般ユーザー向けアカウントから管理対象アカウントへの移行は、複数のステップから構成されます。計画は慎重に行う必要があります。以下では、このプロセスについて詳しく説明します。

プロセスの概要

この移行作業の目標は、メールアドレスで使用されているアカウントの ID とそのアカウントに関連付けられたデータの両方を維持しながら、一般ユーザー向けアカウントを管理対象のユーザー アカウントに変換することです。

このような移行を行っている間、アカウントは次の 4 つの状態のいずれかになります。

アカウント移行時の 4 つの状態。

Cloud Identity または Google Workspace にドメインを追加して検証を行うと、このドメインのメールアドレスを使用する一般ユーザー向けアカウントは、管理対象外アカウントになります。ユーザーへの影響はありません。通常どおりログインしてデータにアクセスできます。

Google Workspace または Cloud Identity にドメインを追加すると、影響を受けるのは、このドメインと完全に一致するメールアドレスのユーザーのみです。たとえば、example.com を追加した場合、アカウント johndoe@example.com は管理対象外アカウントとして識別されますが、johndoe@corp.example.com は、Cloud Identity アカウントまたは Google Workspace のカウントに corp.example.com も追加しない限り、管理対象外アカウントとしては識別されません。

管理対象外アカウントが存在することは、Cloud Identity または Google Workspace 管理者に通知されます。このようなアカウントを確認したら、自分のアカウントを管理対象アカウントに移行するようにユーザーに依頼します。

管理対象外アカウントの管理対象アカウントへの移行

上の図では、ユーザー johndoe が移行に同意すると、管理対象外アカウントが管理対象アカウントに変換されます。ID は変わりませんが、Cloud Identity または Google Workspace によって、アカウントとそのすべてのデータが制御されます。

管理対象アカウントの制御は Cloud Identity または Google Workspace に渡されます。

ユーザー jondoe がデータ移行に同意しない場合に、Cloud Identity または Google Workspace で同じメールアドレスを使用してアカウントを作成すると、競合するアカウントになります。次の図に示すように、競合するアカウントは同じ ID に関連付けられた 2 つのアカウントです(1 つは一般ユーザー向け、もう 1 つは管理対象)。

競合するアカウントには、一般ユーザー向けアカウントと管理対象アカウントが存在します。

競合するアカウントを使用してログインすると選択画面が表示され、管理対象アカウントか一般ユーザー向けアカウントのいずれかを選択してログイン プロセスを再開するように指示されます。

競合するアカウントの発生を避けるには、アカウントの状態をより詳しく把握する必要があります。

プロセスの詳細

次のステートマシン図は、アカウントの状態を詳細に示しています。左側の長方形のボックスは、Cloud Identity または Google Workspace 管理者が実施できる操作を示しています。右側の長方形のボックスは、一般ユーザー向けアカウントのオーナーのみが実施できる操作を示しています。

アカウントの状態を表すステートマシン図。

管理対象外のユーザー アカウントの検索

Cloud Identity または Google Workspace に登録するときに、ドメイン名を指定する必要があります。これにより、所有権の確認が求められます。登録プロセスが完了したら、セカンダリ ドメイン追加して検証できます。

ドメインを検証すると、このドメインがメールアドレスで使用されている一般ユーザー向けアカウントが自動的に検索されます。これらのアカウントは、約 12 時間以内に管理対象外のユーザー アカウントとして管理対象に含まれないユーザー用の移行ツールに表示されます。

一般ユーザー向けアカウントの検索では、Cloud Identity または Google Workspace に登録されているプライマリ ドメインと検証済みのセカンダリ ドメインが考慮されます。これらのドメインは、一般ユーザー向けアカウントのプライマリ メールアドレスと照合されます。これとは対照的に、Cloud Identity または Google Workspace に登録されたエイリアス ドメインと一般ユーザー向けアカウントの予備のメールアドレスは考慮されません

影響を受ける一般ユーザー向けアカウントのユーザーは、ドメインが検証されたことや、自分のアカウントが管理対象外アカウントとして識別されていることを知りません。通常どおり、アカウントの使用を継続できます。

転送の開始

管理対象に含まれないユーザー用の移行ツールでは、管理対象外のすべてのアカウントを表示するだけでなく、アカウント移行リクエストを送信してアカウントの移行を開始できます。最初の状態では、アカウントは未送信と表示されます。これは、移行リクエストが送信されていないことを示しています。

アカウントが「未送信」と表示されている。

ユーザーを選択してアカウント移行リクエストを送信すると、そのユーザーに次のようなメールが送信されます。しばらくの間、アカウントは「リクエストを送信しました」と表示されます。

アカウントが「リクエストを送信しました」と表示されている。

転送の承認または拒否

転送リクエストを受信したユーザーは、そのリクエストを無視し、通常どおりアカウントを使用できます。この場合、リクエストを再送して手順を繰り返します。

ユーザーがメールをフォローアップし、移行を拒否している可能性もあります。その場合は、移行ツールでユーザーが「不承認」と表示されます。誤って拒否した可能性がある場合は、リクエストを再送して手順を繰り返します。

いずれの場合も、管理対象外アカウントの機能性は変わりません。このアカウントを使用してログインして、データにアクセスできます。ただし、ユーザーが移行リクエストを無視または拒否し続ける限り、アカウント データを Google Workspace または Cloud Identity に移行することはできません。この状況を回避するには、最初の移行リクエストを送信する前に、従業員に移行計画を説明してください。また、従業員が移行リクエストを承認または拒否する理由と影響について十分に認識していることを確認してください。

リクエストを拒否するのではなく、ユーザーがアカウントのメールアドレスを変更することもあります。ユーザーが Cloud Identity または Google Workspace のアカウントで確認されていないドメインを使用するようにメインのメールアドレスを変更すると、アカウントは再び一般ユーザー向けアカウントになります。移行ツールで、ユーザーが一時的に管理対象外アカウントとして表示されることがありますが、このように名前が変更されたアカウントにアカウントの移行を開始することはできません。

競合するアカウントの作成

管理対象外ユーザー アカウントと同じメールアドレスを使用して Cloud Identity または Google Workspace にユーザー アカウントを作成すると、管理コンソールには、競合が発生する可能性があることを通知する警告が表示されます。

競合するアカウントを作成しています。

この警告を無視してユーザー アカウントを作成した場合、新しいアカウントと管理対象外のアカウントが競合するアカウントになります。競合するアカウントの作成は、不要な一般ユーザー向けアカウントを削除する場合には便利ですが、一般ユーザー向けアカウントを Cloud Identity または Google Workspace に移行する場合には、このような操作を行わないことをおすすめします。

競合するアカウントが意図せず作成されることもあります。Cloud Identity または Google Workspace に登録した後に、Azure Active Directory(AD)や Active Directory などの外部 ID プロバイダ(IdP)でシングル サインオンの設定を決定する場合があります。シングル サインオンを構成すると、Cloud Identity または Google Workspace には、シングル サインオンを有効にしたすべてのユーザーに対して、外部 IdP によって自動的にアカウントが作成されますが、競合するアカウントが意図せずに作成される場合があります。

競合するアカウントの使用

競合するアカウントを使用してログインするたびに、次のような選択画面が表示されます。

ユーザーが競合するアカウントでログインを試みたときに表示される選択画面。

最初のオプションを選択すると、競合する管理対象アカウントでログイン プロセスが継続します。管理対象アカウントに設定したパスワードを入力するように指示されます。シングル サインオンが構成されている場合は、認証用の外部 IdP にリダイレクトされます。認証後、他の管理対象アカウントと同様にアカウントを使用できます。ただし、元の一般ユーザー向けアカウントからデータが移行されていないため、事実上、新しいアカウントになります。

選択画面で 2 番目のオプションを選択すると、競合する一般ユーザー向けアカウントのメールアドレスを変更するように指示されます。

競合するアカウントのユーザー部分の変更を求めるプロンプト。

メールアドレスを変更し、管理対象アカウントと一般ユーザー向けアカウントに異なる ID を設定することで、競合を解決できます。その結果、元のデータをすべて所有する一般ユーザー向けアカウントと、元のデータにアクセスできない管理対象アカウントが存在することになります。

[後で実行する] をクリックすると、アカウント名の変更を延期できます。この操作により、アカウントは「削除済み」状態になります。この状態では、ユーザーがログインするたびに同じ選択画面が表示されます。名前が変更されるまで、アカウントには gtempaccount.com メールアドレスが一時的に割り当てられます。

競合を解決するもう 1 つの方法は、Cloud Identity または Google Workspace で管理対象アカウントを削除することです(シングル サインオンを使用している場合は、外部 IdP でアカウントを削除します)。この場合、次回にそのアカウントを使用してログインする際に選択画面は表示されませんが、引き続きアカウントのメールアドレスを変更する必要はあります。

ユーザーがメールアドレスを個人のメールアドレスに変更した場合、アカウントは一般ユーザー向けアカウントになります。ユーザーがメールアドレスを元の会社のメールアドレスに戻すと、このアカウントは管理対象外アカウントになります。

転送の完了

ユーザーが移行を承諾すると、そのアカウントが Cloud Identity または Google Workspace に表示されます。アカウントは管理対象アカウントになり、元の一般ユーザー向けアカウントに関連付けられているすべてのデータが管理対象アカウントに移行されます。

Cloud Identity または Google Workspace でシングル サインオンに外部 IdP を使用するように設定されていない場合、ユーザーは元のパスワードでログインし、通常どおりアカウントを使用できます。

シングル サインオンを使用すると、ユーザーは既存のパスワードでログインできなくなります。ログインを試みると、外部 IdP のログインページが表示されます。続行するには、外部 IdP がユーザーを認識し、シングル サインオンを許可する必要があります。それ以外の場合、アカウントがロックされます。

おすすめの方法

既存の一般ユーザー向けアカウントを Cloud Identity または Google Workspace に移行する場合は、事前に移行手順を計画し、調整を行ってください。十分な準備を行うことで、ユーザーの混乱を避け、競合するアカウントが発生するリスクを最小限に抑えることができます。

一般ユーザー向けアカウントの移行を計画する際は、次のベスト プラクティスを検討してください。

  • 外部 IdP を使用する場合は、ユーザー アカウントの移行を妨げない方法でユーザー アカウントのプロビジョニングとシングル サインオンを構成します。
  • 移行を行う前に、影響を受けるユーザーに通知します。一般ユーザー向けアカウントを管理対象アカウントに移行するには、ユーザーの同意が必要です。ユーザーがアカウントを個人的な目的で使用している場合、ユーザー個人にも影響を及ぼす可能性があります。このため、影響を受けるユーザーに移行計画を事前に伝える必要があります。

    移行を開始する前に、次の情報をユーザーに伝えます。

    • アカウントを移行する理由と重要性
    • 既存のアカウントに関連付けられている個人データへの影響
    • ユーザーが移行リクエストを受け取る期間
    • ユーザーが移行を承認または拒否する時間枠
    • 移行後のログイン プロセスに予定している変更(連携を使用している場合のみ)
    • 個人用アカウントに個人の Google ドキュメント ファイルの所有権を移行する手順

    移行計画をメールで通知した場合、このようなメールをフィッシング詐欺と考えるユーザーがいるかもしれません。このため、別の手段で移行計画を伝えることも検討してください。

    通知メールの例については、ユーザー アカウントの移行に関するお知らせをご覧ください。

  • 転送をバッチ処理で開始します。10 ユーザー程度の小さなバッチから始め、バッチサイズを増やしていきます。

  • 影響を受けるユーザーが転送リクエストに応答するのに十分な時間を確保します。ただし、休暇中や育児休業中の従業員はすぐに対応できません。この点にも注意してください。

  • 転送に同意しても必要なデータや Google サービスにアクセスできることをユーザーに伝えてください。

次のステップ