Como migrar contas pessoais

Neste documento, descrevemos como migrar contas pessoais para contas de usuário gerenciadas controladas pelo Cloud Identity ou pelo G Suite.

Se sua empresa nunca usou o Cloud Identity ou o G Suite, é possível que alguns dos seus funcionários usem contas pessoais para acessar os serviços do Google. Algumas dessas contas pessoais podem usar um endereço de e-mail corporativo, como alice@example.com, como endereço de e-mail principal.

As contas pessoais são de propriedade das pessoas que as criaram, e gerenciadas por elas. Portanto, sua empresa não tem controle sobre a configuração, a segurança e o ciclo de vida dessas contas.

Antes de começar

Para migrar contas pessoais para o Cloud Identity ou o G Suite, você precisa atender aos seguintes pré-requisitos:

Cada conta pessoal que você planeja migrar precisa atender aos seguintes critérios:

  • Não pode ser uma conta do Gmail.
  • É necessário usar um endereço de e-mail principal que corresponda ao domínio principal ou secundário da sua conta do Cloud Identity ou do G Suite. No contexto de uma migração de conta pessoal, endereços de e-mail alternativos e domínios de alias são ignorados.
  • O proprietário precisa receber e-mails no endereço de e-mail principal da conta.

A conversão de uma conta pessoal em uma conta gerenciada significa que o usuário que registrou a conta pessoal passa o controle da conta e dos dados associados para sua empresa. Sua empresa pode exigir que os funcionários assinem e obedeçam a uma política de uso de e-mail aceitável que proíbe o uso de endereços de e-mail corporativos para fins particulares. Nesse caso, é possível presumir com segurança que a conta pessoal foi usada apenas para fins comerciais. No entanto, se sua empresa não tiver essa política ou se a política permitir determinado uso pessoal, a conta pessoal poderá ser associada a uma mistura de dados corporativos e pessoais. Dada essa incerteza, não é possível forçar a migração de uma conta pessoal para uma conta gerenciada. Portanto, uma migração sempre requer o consentimento do usuário.

Processo

A migração de contas pessoais para contas gerenciadas é um processo de várias etapas que você precisa planejar com cuidado. As seções a seguir explicam o processo.

Visão geral do processo

O objetivo da migração é converter uma conta pessoal em uma conta de usuário gerenciada, mantendo a identidade da conta refletida pelo endereço de e-mail e quaisquer dados associados a ela.

Durante uma migração como essa, uma conta pode estar em um dos quatro estados, como mostra o diagrama de máquina de estado a seguir.

Os quatro estados da migração da conta.

Quando você adiciona e verifica um domínio no Cloud Identity ou no G Suite, qualquer conta pessoal que usa um endereço de e-mail com esse domínio se torna uma conta não gerenciada. Para o usuário, isso não tem impacto. Ele pode entrar e acessar os dados dele normalmente.

Adicionar um domínio G Suite ou no Cloud Identity afeta apenas os usuários com um endereço de e-mail que corresponde a esse domínio exato. Por exemplo, se você adicionar example.com, a conta johndoe@example.com será identificada como não gerenciada, enquanto johndoe@corp.example.com não será, a menos que você também adicione corp.example.com à conta do Cloud Identity ou do G Suite.

A existência de contas não gerenciadas é exibida para você como administrador do Cloud Identity ou do G Suite. É possível solicitar que o usuário transfira a conta dele para uma conta gerenciada.

Como transferir contas não gerenciadas para contas gerenciadas.

No diagrama anterior, se o usuário johndoe consentir em uma transferência, a conta não gerenciada será convertida em uma conta gerenciada. A identidade permanece a mesma, mas agora o Cloud Identity ou o G Suite controla a conta, incluindo todos os dados.

O controle de uma conta gerenciada é transmitido para o Cloud Identity ou o G Suite.

Se o usuário jondoe não concordar com uma transferência de dados, mas você criar uma conta no Cloud Identity ou no G Suite usando o mesmo endereço de e-mail, o resultado será uma conta conflitante. Uma conta conflitante é, na verdade, duas contas (uma pessoal e uma gerenciada) que estão associadas à mesma identidade, como no diagrama a seguir.

Uma conta conflitante com uma conta pessoal e uma conta gerenciada.

Um usuário que faz login usando uma conta conflitante vê uma tela solicitando que ele selecione a conta gerenciada ou a conta pessoal para retomar o processo de login.

Para evitar contas conflitantes, é útil compreender os estados da conta com mais detalhes.

Processo detalhado

O diagrama de máquina de estado a seguir ilustra os estados da conta mais detalhadamente. Caixas retangulares à esquerda indicam ações que um administrador do Cloud Identity ou do G Suite. pode realizar. Caixas retangulares à direita indicam as atividades que apenas o proprietário de uma conta pessoal pode realizar.

Diagrama de máquina de estado dos estados da conta.

Como encontrar contas de usuário não gerenciadas

Ao se inscrever no Cloud Identity ou no G Suite, é preciso fornecer um nome de domínio. Você precisará confirmar a propriedade dele. Depois de concluir o processo de inscrição, é possível adicionar e verificar domínios secundários.

Ao verificar um domínio, você inicia automaticamente uma pesquisa por contas pessoais que usam esse domínio nos seus endereços de e-mail. Em cerca de 12 horas, essas contas serão exibidas como contas de usuário não gerenciadas na ferramenta de transferência para usuários não gerenciados.

A pesquisa de contas pessoais considera o domínio principal registrado no Cloud Identity ou no G Suite, bem como qualquer domínio secundário que tenha sido verificado. A pesquisa tenta corresponder esses domínios ao endereço de e-mail principal de todas as contas pessoais. Por outro lado, os domínios de alias registrados no Cloud Identity ou no G Suite, bem como os endereços de e-mail alternativos das contas pessoais, não são considerados.

Os usuários de contas pessoais afetados não são informados de que você verificou um domínio ou identificou a conta deles como uma conta não gerenciada. Eles podem continuar usando as contas deles normalmente.

Como iniciar uma transferência

Além de mostrar todas as contas não gerenciadas, a Ferramenta de transferência de usuários não gerenciados permite que você inicie uma transferência de conta enviando uma solicitação de transferência da conta. Inicialmente, uma conta é listada como Não enviada, indicando que nenhuma solicitação de transferência foi enviada.

Conta listada como

Se você selecionar um usuário e enviar uma solicitação de transferência de conta, o usuário receberá um e-mail semelhante ao seguinte. Enquanto isso, a conta passa a ser listada como Solicitação enviada.

Conta listada como

Como aceitar ou recusar uma transferência

Depois de receber a solicitação de transferência, um usuário afetado pode simplesmente ignorá-la e continuar usando a conta normalmente. Nesse caso, é possível enviar outra solicitação, repetindo o procedimento.

Como alternativa, o usuário pode acompanhar o e-mail, mas recusar a transferência. Isso faz com que o usuário seja listado como Recusado na ferramenta de transferência. Se você suspeitar que o declínio não foi intencional, repita o procedimento enviando outra solicitação.

Em ambos os casos, a funcionalidade da conta não gerenciada não é comprometida: os usuários podem fazer login e acessar os dados. No entanto, o processo de migração dos dados da conta para o G Suite ou o Cloud Identity será impedido enquanto o usuário continuar ignorando ou recusando uma solicitação de transferência. Para evitar que isso aconteça, comunique seu plano de migração aos funcionários antes de enviar as primeiras solicitações de transferência. Verifique também se os funcionários estão cientes dos motivos e das consequências de aceitar ou recusar uma solicitação de transferência.

Em vez de recusar a solicitação, o usuário também pode alterar o endereço de e-mail da conta. Se o usuário alterar o endereço de e-mail principal para usar um domínio que não tenha sido verificado por nenhuma conta do Cloud Identity ou do G Suite, a conta voltará a ser uma conta pessoal. A ferramenta de transferência ainda pode listar temporariamente o usuário como uma conta não gerenciada, mas não é mais possível iniciar uma transferência de conta para essa conta renomeada.

Como criar uma conta conflitante

Se em algum momento você criar uma conta de usuário no Cloud Identity ou no G Suite com o mesmo endereço de e-mail de uma conta de usuário não gerenciada, o Admin Console avisará sobre um conflito iminente:

Como criar uma conta conflitante.

Se você ignorar esse aviso e criar uma conta de usuário mesmo assim, essa nova conta, além da conta não gerenciada, se tornará uma conta conflitante. Criar uma conta conflitante é útil se você quiser remover uma conta pessoal indesejada, mas é melhor evitá-la se sua meta for migrar uma conta pessoal para o Cloud Identity ou o G Suite.

A criação de uma conta conflitante pode acontecer acidentalmente. Depois de se inscrever no Cloud Identity ou no G Suite, é possível configurar o logon único com um provedor de identidade externo (IdP, na sigla em inglês), como o Azure Active Directory (AD) ou o Active Directory. Quando configurado, o IdP externo pode criar contas automaticamente no Cloud Identity ou no G Suite para todos os usuários para quem você ativou o logon único, criando contas conflitantes.

Como usar uma conta conflitante

Cada vez que o usuário faz login usando uma conta conflitante, ele vê uma tela de votação como a seguinte:

Tela de votação exibida quando um usuário tenta fazer login em uma conta conflitante.

Quando ele seleciona a primeira opção, o processo de login continua usando a parte gerenciada da conta conflitante. É solicitado que ele forneça a senha que você definiu para a conta gerenciada ou, se você configurou o logon único, eles serão redirecionados para um IdP externo para autenticar. Depois de autenticados, eles podem usar a conta como qualquer outra conta gerenciada. No entanto, como nenhum dos dados foi transferido da conta pessoal original, ela é efetivamente uma nova conta.

Ao escolher a segunda opção na tela de votação, o usuário é solicitado a alterar o endereço de e-mail da parte pessoal da conta conflitante:

Solicitar a alteração da parte do consumidor da conta conflitante.

Ao alterar o endereço de e-mail, o usuário resolve o conflito, garantindo que a conta gerenciada e a conta pessoal tenham identidades diferentes novamente. O resultado é que eles têm uma conta pessoal com todos os dados originais e uma conta gerenciada que não tem acesso aos dados originais.

O usuário pode adiar a renomeação da conta clicando em Fazer isso mais tarde. Essa ação transforma a conta em um estado Expulsão. Nesse estado, o usuário vê a mesma tela de votação sempre que faz login, e a conta recebe um endereço de e-mail temporário gtempaccount.com até ser renomeada.

Uma maneira alternativa de resolver o conflito é excluir a conta gerenciada no Cloud Identity ou no G Suite, ou usar o logon único no IdP externo. Isso faz com que a tela de votação não seja exibida na próxima vez que fizer login usando a conta, mas o usuário ainda precisará alterar o endereço de e-mail dela.

Se o usuário alterar o endereço de e-mail para um endereço de e-mail particular, a conta permanecerá como uma conta pessoal. Se o usuário decidir alterar o endereço de e-mail de volta para o endereço de e-mail corporativo original, a conta se tornará uma conta não gerenciada novamente.

Como concluir uma transferência

Se um usuário aceitar a transferência, a conta será exibida no Cloud Identity ou no G Suite. A conta agora é considerada uma conta gerenciada e todos os dados associados à conta pessoal original são transferidos para a conta gerenciada.

Se o Cloud Identity ou o G Suite não estiver configurado para usar um IdP externo para o Logon único, o usuário poderá fazer login usando a senha original e continuar usando a conta normalmente.

Se você usar o Logon único, o usuário não poderá mais entrar com a senha atual. Em vez disso, ele será enviado para a página de login do seu IdP externo ao tentar fazer login. Para que isso aconteça, o IdP externo precisa reconhecer o usuário e permitir o logon único. Caso contrário, a conta será bloqueada.

Práticas recomendadas

Se você pretende migrar as contas pessoais para o Cloud Identity ou o G Suite, planeje e coordene as etapas de migração com antecedência. Um bom planejamento evita interromper seus usuários e minimiza o risco de criar contas conflitantes inadvertidamente.

Considere as seguintes práticas recomendadas ao planejar uma migração de conta pessoal:

  • Se você usar um IdP externo, configure o aprovisionamento de contas de usuário e o logon único de um modo que não impeça a migração da conta pessoal.
  • Informe os usuários afetados antes da migração. A migração de contas pessoais para contas gerenciadas requer o consentimento dos usuários e também pode afetá-los pessoalmente, se eles tiverem usado contas para fins particulares. Portanto, é crucial informar os usuários afetados sobre seus planos de migração.

    Transmita as informações a seguir aos usuários antes de iniciar a migração:

    • Fundamentação e importância da migração da conta
    • Impacto nos dados pessoais associados a contas atuais
    • O período em que os usuários podem esperar receber uma solicitação de transferência
    • Janela de tempo em que você espera que os usuários aprovem ou recusem uma transferência
    • Futuras alterações no processo de login após a migração (aplica-se somente ao usar federação)
    • Instruções sobre como transferir a propriedade de arquivos particulares do Documentos Google para uma conta pessoal

    Se você anunciar a migração por e-mail, alguns usuários poderão considerar uma tentativa de phishing. Para evitar que isso aconteça, anuncie a migração por meio de uma mídia diferente também.

    Para ver um exemplo de e-mail de anúncio, consulte Comunicação avançada para a migração de contas de usuário.

  • Iniciar transferências em lotes. Comece com um pequeno lote de aproximadamente 10 usuários e aumente o tamanho conforme você avança.

  • Aguarde tempo suficiente para que os usuários afetados reajam às solicitações de transferência. Lembre-se de que alguns funcionários podem estar de férias ou licença parental, e não conseguirão agir rapidamente.

  • Ao autorizar uma transferência, os usuários não perdem o acesso aos dados ou aos serviços do Google de que precisam.

A seguir