如果您的组织尚未使用 Cloud Identity 或 Google Workspace,您的一些员工可能在使用消费者账号访问 Google 服务。消费者账号由创建账号的个人拥有和管理。因此,您的组织无法控制这些消费者账号的配置、安全性和生命周期。
本文档介绍了如何整合现有消费者账号,以实现以下结果:
- 只有受管理的用户账号可用于访问 Google 服务。
- 您的组织可以完全控制用户账号的配置、安全性和生命周期。
- 如果您使用外部 IdP,则所有用户账号在您的外部身份提供商 (IdP) 中都有匹配的身份,并且可用于单点登录。
准备工作
在整合消费者账号之前,请确保确定合适的初始配置方案,并满足整合现有用户账号的前提条件。
整合现有用户账号时,您可能需要与组织中的多个团队和利益相关者协作,包括:
- 您的外部 IdP(如果您在使用)的管理员。
- 您的电子邮件系统的管理员。
- 负责管理您组织所用的 Google 服务(例如 Google Marketing Platform、Google Ads 或 Google Play)访问权限的用户。
如果您使用单独的 Cloud Identity 或 Google Workspace 组织进行预演和生产,我们建议您先试运行整合流程:
- 对于需要整合的现有消费者账号的每个类别,请创建一个使用类似配置的测试用户账号。为这些测试用户账号分配电子邮件地址时,请选择与您的预演账号的某个网域匹配的电子邮件地址。
- 使用测试用户账号和您的预演 Google Workspace 或 Cloud Identity 账号执行整合过程。
通过试运行,您可以在将该过程应用于生产环境之前熟悉该过程。此外,它还可以帮助您在应用到数千名用户之前先识别出潜在问题。
整合过程
整合过程包括以下流程:
- 将消费者账号迁移至 Cloud Identity 或 Google Workspace。
- 逐出您不想保留的消费者账号。
- 识别和移除 Gmail 账号的访问权限。
- 清理将公司电子邮件地址用作备用地址的 Gmail 账号。
根据您已确定的现有账号集合,其中一些流程可能不适用于您的情况。
以下流程图对整合过程进行了说明。并列的行指示的流程是相互独立的,因此您可以并行执行这些流程。
下图显示了此流程:
- 确定一组要迁移的消费者账号。如果您有大量消费者账号,最好执行批量迁移。从包含大约 10 位用户的小批次开始,然后在后续迁移中增加批次中的用户数量。
告知受影响的用户您转移消费者账号的意图。确保用户了解接受或拒绝转移请求的重要性和后果。
如需查看示例电子邮件通知,请参阅用户账号迁移事先通知。
等待大多数用户(多数派)接受或拒绝转移请求,并根据需要重新发送转移请求。您可以通过查看非受管用户转移工具来查看用户的回复。
如果您使用的是外部 IdP,则一些已迁移的用户账号最终可能在外部 IdP 中没有匹配的身份。协调这些孤立的受管理用户账号,确保所有受管理的用户账号在外部 IdP 中都具有匹配的身份。
在您的 Identity and Access Management (IAM) 政策中搜索 Gmail 账号(搜索
*@gmail.com
条目)。撤消对这些账号的访问权限,并为受影响的用户提供受管理的用户账号作为替代。为了最大限度地减少对用户的影响,请确保这些受管理的用户账号对资源的访问权限与以前的 Gmail 账号相同或类似。如果有将公司电子邮件地址用作备用邮箱的 Gmail 账号,请清理这些 Gmail 账号。
最佳做法
我们建议您在整合现有用户账号时遵循以下最佳做法:
- 如果您要从外部电子邮件系统迁移到 Google Workspace,请注意,消费者账号使用的电子邮件地址也可能需要迁移。为确保这些消费者账号的所有者能够继续接收电子邮件,请在迁移所有受影响的消费者账号后才更改 DNS MX 记录。
- 完成整合后,请考虑预配所有用户并通过单点登录限制身份验证,以防用户注册新的消费者账号。
后续步骤
- 了解如何迁移消费者账号以及如何逐出不需要的消费者账号。
- 了解如何清理 Gmail 账号。
- 了解如何协调孤立的受管理用户账号。