이 문서에서는 일반 계정을 Cloud ID 또는 Google Workspace에서 제어하는 관리 사용자 계정으로 마이그레이션하는 방법을 설명합니다.
이전에 조직에서 Cloud ID 또는 Google Workspace를 사용한 적이 없는 경우 일부 직원이 일반 계정을 사용하여 Google 서비스에 액세스할 수 있습니다. 이러한 일부 일반 계정은 alice@example.com
과 같은 회사 이메일 주소를 기본 이메일 주소로 사용할 수 있습니다.
일반 계정은 계정을 만든 개별 사용자가 소유하고 관리합니다. 따라서 조직에서 이러한 계정의 구성, 보안, 수명 주기를 제어할 수 없습니다.
시작하기 전에
일반 계정을 Cloud ID 또는 Google Workspace로 마이그레이션하려면 다음 기본 요건을 충족해야 합니다.
- 적합한 온보딩 계획을 식별하고 기존 사용자 계정을 통합하기 위한 모든 기본 요건을 완료해야 합니다.
- Cloud ID 또는 Google Workspace 계정을 만들고 기본 조직 단위(OU)를 준비하여 마이그레이션된 사용자 계정에 적절한 액세스 권한을 부여해야 합니다.
마이그레이션하려는 각 일반 계정은 다음 기준을 충족해야 합니다.
- Gmail 계정을 사용할 수 없습니다.
- Cloud ID 또는 Google Workspace 계정의 기본 도메인 또는 보조 도메인에 해당하는 기본 이메일 주소를 사용해야 합니다. 일반 계정 마이그레이션과 관련하여 보조 이메일 주소 및 별칭 도메인은 무시됩니다.
- 소유자는 계정의 기본 이메일 주소로 이메일을 받을 수 있어야 합니다.
일반 계정을 관리 계정으로 전환한다는 것은 일반 계정을 등록한 사용자가 계정 및 관련 데이터에 대한 제어 권한을 조직에 전달한다는 의미입니다. 조직에서는 직원들이 개인적인 용도로 회사 이메일 주소를 사용하지 못하게 하는 허용 가능한 이메일 사용 정책에 서명하고 이를 준수하도록 할 수 있습니다. 이렇게 하면 일반 계정이 비즈니스 목적으로만 사용되었다고 간주할 수 있습니다. 그러나 조직에 이러한 정책이 없거나 정책에서 특정 개인 용도를 허용하는 경우 일반 계정에 연결된 데이터는 비즈니스 용도와 개인 용도가 혼합된 데이터일 수 있습니다. 이러한 불확실성으로 인해 일반 계정을 관리 계정으로 강제 마이그레이션할 수 없으므로 마이그레이션 시 항상 사용자의 동의가 필요합니다.
프로세스
일반 계정을 관리 계정으로 마이그레이션하려면 여러 단계를 거쳐야 하므로 신중하게 계획해야 합니다. 다음 섹션에서는 이러한 프로세스를 안내합니다.
프로세스 개요
마이그레이션의 목표는 일반 계정을 관리 사용자 계정으로 전환하고, 이메일 주소가 반영되는 계정의 ID와 해당 계정에 연결된 모든 데이터를 유지하는 것입니다.
이와 같은 마이그레이션 중에 계정은 다음 상태 머신 다이어그램에 표시된 것처럼 네 가지 상태 중 하나일 수 있습니다.
Cloud ID 또는 Google Workspace에 도메인을 추가하고 확인할 때 이 도메인의 이메일 주소를 사용하는 모든 일반 계정은 비관리 계정이 됩니다. 이때 사용자에게는 아무런 영향이 없으므로 정상적으로 로그인한 후 데이터에 액세스할 수 있습니다.
Google Workspace 또는 Cloud ID에 도메인을 추가하면 이메일 주소가 정확히 이 도메인과 일치하는 사용자에게만 영향을 미칩니다. 예를 들어 example.com
을 추가하는 경우 계정 johndoe@example.com
은 비관리 계정으로 식별되지만 johndoe@corp.example.com
은 Cloud ID 또는 Google Workspace 계정에 corp.example.com
을 추가한 경우가 아니면 식별되지 않습니다.
Cloud ID 또는 Google Workspace 관리자에게는 비관리 계정의 여부가 표시되므로 사용자에게 해당 계정을 관리 계정으로 이전하도록 요청할 수 있습니다.
위 다이어그램에서 johndoe
사용자가 이전에 동의하면 비관리 계정이 관리 계정으로 전환됩니다. ID는 변경되지 않지만 Cloud ID 또는 Google Workspace에서 해당 계정뿐만 아니라 관련된 모든 데이터를 제어하게 됩니다.
사용자 johndoe
가 데이터 전송에 동의하지 않은 경우 동일한 이메일 주소를 사용하여 Cloud ID 또는 Google Workspace에 계정을 만들면 중복 계정이 생길 수 있습니다. 중복 계정은 실제로 다음 다이어그램과 같이 동일한 ID와 연결된 두 개의 계정(일반 계정 하나, 관리 계정 하나)입니다.
중복 계정을 사용하여 로그인하는 사용자에게는 로그인 프로세스를 다시 시작할 때 관리 계정을 선택할지 아니면 일반 계정을 선택할지 묻는 화면이 표시됩니다.
계정 상태에 대해 자세히 이해하고 있으면 중복 계정 사용을 피하는 데 유용합니다.
자세한 프로세스
다음 상태 머신 다이어그램은 계정 상태를 자세히 보여줍니다. 왼쪽의 직사각형 상자는 Cloud ID 또는 Google Workspace 관리자가 수행할 수 있는 작업을 나타냅니다. 오른쪽의 직사각형 상자는 일반 계정 소유자만 수행할 수 있는 활동을 나타냅니다.
비관리 사용자 계정 찾기
Cloud ID 또는 Google Workspace에 가입할 때는 도메인 이름을 제공한 다음 소유권을 확인해야 합니다. 가입 프로세스가 완료되면 보조 도메인을 추가하고 확인할 수 있습니다.
도메인을 확인하면 이메일 주소에 이 도메인을 사용하는 일반 계정 검색이 자동으로 시작됩니다. 12시간 동안 검색된 계정은 비관리 사용자를 위한 이전 도구에 비관리 사용자 계정으로 표시됩니다.
일반 계정을 검색할 때는 Cloud ID 또는 Google Workspace에 등록된 기본 도메인뿐만 아니라 확인된 보조 도메인 사용도 고려합니다. 검색 중에는 이러한 도메인과 일반 계정의 기본 이메일 주소를 일치시키려고 시도합니다. 반면 Cloud ID 또는 Google Workspace에 등록된 별칭 도메인과 일반 계정의 보조 이메일 주소는 고려하지 않습니다.
영향을 받은 일반 계정의 사용자는 도메인의 확인 여부와 해당 계정이 비관리 계정으로 식별되었는지 여부를 알 수 없기 때문에 일반 계정을 계속해서 정상적으로 사용할 수 있습니다.
이전하기
비관리 사용자를 위한 이전 도구를 사용하면 모든 비관리 계정을 표시하는 것 외에 계정 이전 요청을 전송하여 계정 이전을 시작할 수 있습니다. 처음에는 계정이 아직 초대되지 않음으로 표시되며 이는 전송된 요청이 없다는 것을 의미합니다.
사용자를 선택하고 계정 이전 요청을 보내면 사용자에게 다음과 유사한 이메일이 전송됩니다. 그 동안 계정은 초대됨으로 목록에 표시됩니다.
이전 수락 또는 거부
이전 요청을 받으면 영향을 받는 사용자는 이를 무시하고 계정을 계속해서 정상적으로 사용할 수 있습니다. 이 경우 다른 요청을 보내 절차를 반복할 수 있습니다.
또는 사용자가 이메일에 대한 후속 조치를 취하되 이전을 거부할 수 있습니다. 이렇게 하면 이전 도구에 요청이 거부됨이라고 표시됩니다. 의도된 거부가 아니라고 의심되면 다른 요청을 보내 절차를 반복할 수 있습니다.
두 경우 모두 비관리 계정의 기능에는 영향을 미치지 않으므로 사용자는 로그인한 후 데이터에 액세스할 수 있습니다. 그러나 사용자가 이전 요청을 계속 무시하거나 거부하는 경우 계정 데이터를 Google Workspace 또는 Cloud ID로 마이그레이션하는 프로세스가 제한될 수 있습니다. 이를 방지하려면 첫 번째 이전 요청을 보내기 전에 마이그레이션 계획을 직원들에게 알려야 합니다. 또한 직원들은 이전 요청에 동의 또는 거부하는 이유와 그에 따른 결과를 충분히 이해하고 있어야 합니다.
사용자는 요청을 거부하기 보다는 계정의 이메일 주소를 변경할 수 있습니다. 사용자가 Cloud ID 또는 Google Workspace 계정에서 확인되지 않은 도메인을 사용하도록 기본 이메일 주소를 변경하면 이 계정은 다시 일반 계정으로 변환됩니다. 이전 도구에서는 임시 조치로 사용자를 비관리 계정으로 표시할 수 있지만 이렇게 이름이 변경된 계정에 대해서는 더 이상 계정 이전을 시작할 수 없습니다.
중복 계정 만들기
Cloud ID 또는 Google Workspace에서 비관리 사용자 계정과 동일한 이메일 주소로 사용자 계정을 만드는 경우 관리 콘솔에 중복 임박에 대한 경고가 표시됩니다.
이 경고를 무시하고 사용자 계정을 만들면 이 새로운 계정은 비관리 계정과 함께 중복 계정이 됩니다. 원치 않는 일반 계정을 삭제하려는 경우 중복 계정을 만드는 것이 유용하지만 일반 계정을 Cloud ID 또는 Google Workspace로 마이그레이션하려는 경우 만들지 않는 것이 좋습니다.
중복 계정을 의도치 않게 만들 수 있습니다. Cloud ID 또는 Google Workspace에 가입한 후 Azure Active Directory(AD) 또는 Active Directory와 같은 외부 ID 공급업체(IdP)로 싱글 사인온(SSO)을 설정할 수 있습니다. 외부 IdP를 구성하면 싱글 사인온(SSO)을 사용 설정한 모든 사용자의 계정이 Cloud ID 또는 Google Workspace에 자동으로 생성되어 중복 계정이 생성될 수 있습니다.
중복 계정 사용
사용자가 중복 계정을 사용하여 로그인할 때마다 다음과 같은 선택 화면이 표시됩니다.
첫 번째 옵션을 선택하면 로그인 프로세스는 중복 계정 중 관리 계정을 사용하여 계속 진행됩니다. 이때 사용자에게는 관리 계정에 설정한 비밀번호를 제공하라는 메시지가 표시되거나 싱글 사인온(SSO)을 구성한 경우에는 인증을 위해 외부 IdP로 리디렉션됩니다. 인증되면 다른 관리 계정과 마찬가지로 계정을 사용할 수 있습니다. 그러나 어떠한 데이터도 원본 일반 계정에서 전송되지 않았으므로 이 계정은 사실상 새로운 계정이 됩니다.
선택 화면에서 두 번째 옵션을 선택하면 중복 계정 중 일반 계정의 이메일 주소를 변경하라는 메시지가 표시됩니다.
이메일 주소를 변경하면 관리 계정과 일반 계정의 ID가 다시 달라지므로 계정 중복이 해결됩니다. 하지만 모든 원본 데이터가 포함된 하나의 일반 계정과 원본 데이터에 액세스할 수 없는 하나의 관리 계정이 있다는 결과에는 변함이 없습니다.
사용자는 나중에 수행을 클릭하여 계정 이름 변경을 연기할 수 있습니다. 이 작업을 수행하면 계정이 삭제됨 상태가 됩니다. 이 상태에서는 로그인할 때마다 동일한 선택 화면이 표시되지만 해당 계정에는 계정 이름이 변경될 때까지 임시 gtempaccount.com
이메일 주소가 할당됩니다.
중복을 해결하는 또 다른 방법은 Cloud ID 또는 Google Workspace에서 또는 싱글 사인온(SSO)을 사용 중이면 외부 IdP에서 관리 계정을 삭제하는 것입니다. 이렇게 하면 해당 계정을 사용하여 다시 로그인할 때 선택 화면이 표시되지 않지만 사용자는 해당 계정의 이메일 주소를 변경해야 합니다.
사용자가 이메일 주소를 비공개 이메일 주소로 변경하면 계정에는 일반 계정만 남습니다. 사용자가 이메일 주소를 다시 원래의 회사 이메일 주소로 변경하기로 결정하면 해당 계정은 다시 비관리 계정으로 전환됩니다.
이전 완료
사용자가 이전에 동의하면 해당 계정이 Cloud ID 또는 Google Workspace에 표시됩니다. 이제 이 계정은 관리 계정으로 간주되며 원래의 일반 계정에 연결된 모든 데이터가 관리 계정으로 전송됩니다.
Cloud ID 또는 Google Workspace가 싱글 사인온(SSO)에 외부 IdP를 사용하도록 설정되지 않은 경우 사용자는 원래 비밀번호를 사용하여 로그인하고 계정을 계속해서 정상적으로 사용할 수 있습니다.
싱글 사인온(SSO)을 사용하는 경우 사용자는 더 이상 기존 비밀번호를 사용하여 로그인할 수 없게 됩니다. 대신 로그인을 시도하면 이러한 비밀번호는 외부 IdP의 로그인 페이지로 전송됩니다. 성공적으로 로그인하려면 외부 IdP가 사용자를 인식하고 싱글 사인온(SSO)을 허용해야 합니다. 그렇지 않으면 계정이 잠깁니다.
권장사항
기존 일반 계정을 Cloud ID 또는 Google Workspace로 마이그레이션하려면 사전에 마이그레이션 절차를 계획하고 조정하세요. 올바르게 계획하면 사용자의 작업 중단을 방지할 수 있고 중복 계정 생성 위험을 최소화할 수 있습니다.
일반 계정 마이그레이션을 계획할 때는 다음 권장사항을 고려하세요.
- 외부 IdP를 사용하는 경우 일반 계정 마이그레이션을 방해하지 않는 방식으로 사용자 계정 프로비저닝 및 싱글 사인온(SSO)을 구성해야 합니다.
마이그레이션하기 전에 영향을 받는 사용자에게 알리세요. 일반 계정을 관리 계정으로 마이그레이션하려면 사용자의 동의가 있어야 하고 사용자가 개인적인 용도로 계정을 사용한 경우 개인적인 영향이 발생할 수도 있습니다. 따라서 영향을 받는 사용자에게 마이그레이션 계획에 대해 알려야 합니다.
마이그레이션을 시작하기 전에 사용자에게 다음과 같은 정보를 전달하세요.
- 계정 마이그레이션의 이유와 중요성
- 기존 계정에 연결된 개인 데이터에 미치는 영향
- 사용자가 이전 요청을 받게 되는 시간대
- 사용자가 이전을 승인 또는 거부해야 하는 기간
- 마이그레이션 후 로그인 프로세스에 예정된 변경사항(제휴를 사용하는 경우에만 적용)
- 개인 계정으로 비공개 Google 문서 파일의 소유권을 전송하는 방법에 대한 안내
마이그레이션 정보를 이메일로 공지하는 경우 이를 피싱 공격으로 간주하는 사용자가 있을 수 있습니다. 이를 방지하려면 다른 방식으로도 마이그레이션 정보를 공지하세요.
공지 이메일의 예시는 사용자 계정 마이그레이션을 위한 사전 커뮤니케이션을 참조하세요.
일괄 이전을 시작합니다. 약 10명의 사용자로 구성된 소규모 배치로 시작한 후 필요에 따라 배치 크기를 늘립니다.
영향을 받은 사용자가 이전 요청에 대응할 수 있도록 충분한 시간을 허용합니다. 일부 직원은 휴가나 육아 휴직 중이므로 신속하게 대응할 수 없습니다.
이전에 동의하면 사용자가 필요한 데이터 또는 Google 서비스에 액세스할 수 없게 됩니다.
다음 단계
- 기존 사용자 계정 평가 방법 검토
- 원치 않는 일반 계정 삭제 방법 알아보기