組織でまだ Cloud Identity または Google Workspace を使用していない場合は、一部の従業員が一般ユーザー向けアカウントを使用して Google サービスにアクセスしている可能性があります。一般ユーザー向けアカウントは、そのアカウントを作成したユーザーが所有し、管理しています。したがって、これらの一般ユーザー向けアカウントの構成、セキュリティ、ライフサイクルを管理することはできません。
このドキュメントでは、既存の一般ユーザー向けアカウントを統合し、次のような状況にする方法について説明します。
- Google サービスへのアクセスに管理対象のユーザー アカウントのみが使用される。
- 組織でユーザー アカウントの構成、セキュリティ、ライフサイクルをすべて管理する。
- 外部 IdP を使用する場合は、すべてのユーザー アカウントに外部 ID プロバイダ(IdP)の ID が適用され、シングル サインオンに使用できる。
始める前に
一般ユーザー向けアカウントを統合する前に、適切なオンボーディング プランを特定し、既存のユーザー アカウントを統合するための前提条件を満たす必要があります。
既存のユーザー アカウントを統合する場合は、組織内の複数のチームや関係者間で共同作業が必要になる場合があります。たとえば、次のような関係者が共同作業に参加します。
- 外部 IdP の管理者(使用している場合)。
- メールシステムの管理者。
- 組織で使用されている Google サービス(Google マーケティング プラットフォーム、Google 広告、Google Play など)へのアクセスを管理するユーザー。
ステージング用と本番環境用に別々の Cloud Identity または Google Workspace の組織を使用する場合は、まず統合プロセスのテストを行うことをおすすめします。
- 統合が必要な一般ユーザー向けアカウントごとに、類似した構成を使用するテスト用のユーザー アカウントを作成します。テスト用のユーザー アカウントにメールアドレスを割り当てる場合は、ステージング用アカウントのいずれかのドメインと一致するメールアドレスを選択します。
- テスト用のユーザー アカウントとステージング用の Google Workspace アカウントまたは Cloud Identity アカウントを使用して統合プロセスを行います。
テストを実行すると、本番環境に適用する前にプロセスを確認できます。また、数千人のユーザーに適用する前に、潜在的な問題を検出することもできます。
統合プロセス
統合プロセスの流れは次のとおりです。
- 一般ユーザー向けアカウントを Cloud Identity または Google Workspace に移行する。
- 不要な一般ユーザー向けアカウントを削除する。
- Gmail アカウントのアクセス権を識別して削除する。
- 会社のメールアドレスを予備のアドレスとして使用する Gmail アカウントをサニタイズする。
特定したアカウントのセットによっては、上記の流れの一部が該当しない場合があります。
次のフローチャートに統合プロセスを示します。並行線で示された流れは互いに独立しているため、並行して実行できます。
この図は次のフローを示しています。
- 移行する一般ユーザー向けアカウントを特定します。一般ユーザー向けアカウントが多数存在する場合は、一括で移行することをおすすめします。10 ユーザー程度の小さなバッチから始め、後続の移行でバッチサイズを増やしていきます。
影響を受けるユーザーには、一般ユーザー向けアカウントを移行する理由を伝えます。影響を受けるユーザーが、移行リクエストを承認または辞退することの重要性とその結果を十分に認識していることを確認します。
このような通知メールの例については、ユーザー アカウントの移行に関するお知らせをご覧ください。
管理対象外のユーザー用の移行ツールを使用して、選択した一般ユーザー向けアカウントを移行します。このプロセスの詳細については、一般ユーザー向けアカウントの移行をご覧ください。
ほとんどのユーザー(クォーラム)が移行リクエストを承認または拒否するのを待ち、必要に応じて移行リクエストを再送信します。管理対象外のユーザー用の移行ツールで、ユーザーが応答したことを確認できます。
外部 IdP を使用している場合、移行されたユーザー アカウントの一部に、外部 IdP で一致する ID がない可能性があります。こうした孤立した管理対象ユーザー アカウントを調整し、すべての管理対象ユーザー アカウントが外部 IdP の ID と一致するようにします。
移行しない一般ユーザー向けアカウントをすべて削除します。
Gmail アカウントの Identity and Access Management(IAM)ポリシーを検索します(
*@gmail.com
エントリを検索)。これらのアカウントへのアクセスを取り消し、影響を受けるユーザーには管理対象ユーザー アカウントを提供します。ユーザーへの影響を最小限に抑えるため、これらの管理対象ユーザー アカウントが以前の Gmail アカウントと同じまたは同様のリソースにアクセスできるようにします。会社のメールアドレスを予備のメールアドレスとして使用する Gmail アカウントがある場合は、これらの Gmail アカウントをサニタイズします。
ベスト プラクティス
既存のユーザー アカウントを統合する場合は、以下のベスト プラクティスに従ってください。
- 外部メールシステムから Google Workspace に移行する場合、一般ユーザー向けアカウントで移行対象のメールアドレスが使用されることがあります。これらの一般ユーザー向けアカウントのオーナーが引き続きメールを受信できるように、影響を受けるすべての一般ユーザー向けアカウントの移行が完了するまで、DNS MX レコードを変更しないでください。
- 統合が完了したら、すべてのユーザーをプロビジョニングしてシングル サインオンで認証を制限し、新しい一般ユーザー向けアカウントの登録をブロックします。
次のステップ
- 一般ユーザー向けアカウントの移行方法と不要な一般ユーザー向けアカウントの削除方法を確認する。
- Gmail アカウントのサニタイズ方法を確認する。
- 孤立した管理対象ユーザー アカウントを調整する方法を確認する。