Se la tua organizzazione non utilizza già Cloud Identity o Google Workspace, alcuni dei tuoi dipendenti potrebbero utilizzare account consumer per accedere ai servizi Google. Un account consumer è di proprietà e gestito dalla persona che lo ha creato. Pertanto, la tua organizzazione non ha alcun controllo sulla configurazione, sulla sicurezza e sul ciclo di vita di questi account consumer.
Questo documento descrive come consolidare gli account dei consumatori esistenti in modo da ottenere i seguenti risultati:
- Solo gli account utente gestiti vengono utilizzati per accedere ai servizi Google.
- La tua organizzazione ha il pieno controllo sulla configurazione, sulla sicurezza e sul ciclo di vita degli account utente.
- Se utilizzi un IdP esterno, tutti gli account utente hanno un'identità corrispondente nel tuo provider di identità (IdP) esterno e possono essere utilizzati per il Single Sign-On.
Prima di iniziare
Prima di consolidare gli account dei consumatori, assicurati di identificare un piano di onboarding adatto e di completare i prerequisiti per il consolidamento degli account utente esistenti.
Quando consolidi gli account utente esistenti, potresti dover collaborare con più team e stakeholder della tua organizzazione, tra cui:
- Amministratori del tuo IdP esterno, se ne utilizzi uno.
- Amministratori del tuo sistema di posta elettronica.
- Utenti responsabili della gestione dell'accesso ai servizi Google utilizzati nella tua organizzazione, come Google Marketing Platform, Google Ads o Google Play.
Se utilizzi organizzazioni Cloud Identity o Google Workspace separate per l'organizzazione e la produzione, ti consigliamo di eseguire prima un'esecuzione di prova della procedura di consolidamento:
- Per ogni classe di account esistenti dei consumatori che devi consolidare, crea un account utente di test che utilizzi una configurazione simile. Quando assegni gli indirizzi email a questi account utente di test, scegli indirizzi email che corrispondano a uno dei domini del tuo account di staging.
- Esegui la procedura di consolidamento utilizzando gli account utente di test e il tuo account Google Workspace o Cloud Identity di staging.
L'esecuzione di una prova ti consente di acquisire familiarità con la procedura prima di applicarla nell'ambiente di produzione. Inoltre, ti aiuta a identificare potenziali problemi prima di applicarli a migliaia di utenti.
Procedura di consolidamento
La procedura di consolidamento è costituita dai seguenti stream:
- Migrazione degli account consumer a Cloud Identity o Google Workspace.
- Rimozione degli account consumer che non vuoi conservare.
- Identificazione e rimozione dell'accesso per gli account Gmail.
- Eliminazione degli account Gmail che utilizzano un indirizzo email aziendale come indirizzo alternativo.
A seconda degli insiemi di account esistenti che hai identificato, alcuni di questi stream potrebbero non essere applicabili al tuo caso.
Il seguente diagramma di flusso illustra la procedura di consolidamento. Gli stream, indicati da linee parallele, sono indipendenti l'uno dall'altro, quindi puoi eseguirli in parallelo.
Il diagramma mostra questo flusso:
- Identifica un insieme di account consumer di cui eseguire la migrazione. Se hai un numero elevato di account consumer, è meglio eseguire la migrazione in batch. Inizia con un piccolo batch di circa 10 utenti, poi aumenta le dimensioni dei batch nelle migrazioni successive.
Comunica agli utenti interessati la tua intenzione di trasferire gli account consumer. Assicurati che gli utenti comprendano l'importanza e le conseguenze dell'accettazione o del rifiuto di una richiesta di trasferimento.
Per un esempio di come potrebbe essere un messaggio email di avviso, consulta Comunicazione anticipata per la migrazione degli account utente.
Esegui la migrazione degli account consumer selezionati utilizzando lo strumento di trasferimento per gli utenti non gestiti. Questa procedura è descritta più dettagliatamente in Eseguire la migrazione degli account consumer.
Attendi che la maggior parte degli utenti (un quorum) accetti o rifiuti le richieste di trasferimento e, se necessario, invia nuovamente le richieste di trasferimento. Puoi vedere se un utente ha risposto consultando lo strumento di trasferimento per gli utenti non gestiti.
Se utilizzi un IdP esterno, alcuni degli account utente di cui è stata eseguita la migrazione potrebbero non avere un'identità corrispondente nell'IdP esterno. Riconcilia questi account utente gestiti orfani per assicurarti che tutti gli account utente gestiti abbiano un'identità corrispondente nell'IDP esterno.
Rimuovi tutti gli account consumer di cui non vuoi eseguire la migrazione.
Cerca gli account Gmail nei criteri IAM (Gestione di identità e accessi) (cerca le voci
*@gmail.com). Revocare l'accesso a questi account e fornire agli utenti interessati account utente gestiti come sostituti. Per ridurre al minimo l'impatto sugli utenti, assicurati che questi account utente gestiti abbiano lo stesso accesso o un accesso simile alle risorse degli account Gmail precedenti.Se sono presenti account Gmail che utilizzano un indirizzo email aziendale come indirizzo email alternativo, sottoponi a sanificazione questi account Gmail.
Best practice
Ti consigliamo di seguire le seguenti best practice quando consolidi gli account utente esistenti:
- Se esegui la migrazione da un sistema email esterno a Google Workspace, ricorda che gli account consumer potrebbero utilizzare un indirizzo email soggetto anche alla migrazione. Per assicurarti che i proprietari di questi account consumer continuino a ricevere email, non modificare i record MX DNS finché non hai eseguito la migrazione di tutti gli account consumer interessati.
- Dopo aver completato il consolidamento, ti consigliamo di eseguire il provisioning di tutti gli utenti e limitare l'autenticazione tramite l'accesso singolo per bloccare la registrazione di nuovi account consumer.
Passaggi successivi
- Scopri come eseguire la migrazione degli account consumer e come rimuovere gli account consumer indesiderati.
- Scopri come ripulire gli account Gmail.
- Scopri come riconciliare gli account utente gestiti orfani.