Descripción general de la consolidación de las cuentas

Last reviewed 2023-02-27 UTC

Si tu organización aún no utiliza Cloud Identity o el Google Workspace, es posible que algunos de tus empleados estén usando cuentas personales para acceder a los servicios de Google. Una cuenta personal pertenece a la persona que la creó, que también la administra. Por lo tanto, tu organización no tiene control sobre la configuración, la seguridad y el ciclo de vida de estas cuentas personales.

En este documento, se describe cómo consolidar las cuentas personales existentes para lograr los siguientes resultados:

  • Solo se usan cuentas de usuario administradas para acceder a los servicios de Google.
  • Tu organización tiene control total sobre la configuración, la seguridad y el ciclo de vida de las cuentas de usuario.
  • Si usas un IdP externo, todas las cuentas de usuario tienen una identidad coincidente en tu proveedor de identidad externo (IdP) y se pueden usar para el inicio de sesión único.

Antes de comenzar

Antes de consolidar tus cuentas personales, asegúrate de identificar un plan de integración adecuado y de completar los requisitos para consolidar tus cuentas de usuario existentes.

Cuando consolidas cuentas de usuario existentes, es posible que debas colaborar con varios equipos y partes interesadas de tu organización, incluidos los siguientes:

  • Administradores de tu IdP externo, si usas uno
  • Administradores de tu sistema de correo electrónico
  • Usuarios responsables de administrar el acceso a los servicios de Google que se usan en tu organización, como Google Marketing Platform, Google Ads o Google Play

Si usas organizaciones de Cloud Identity o Google Workspace independientes para la etapa de pruebas y la producción, te recomendamos que primero ejecutes una prueba del proceso de consolidación:

  • Para cada clase de cuentas personales existentes que necesites consolidar, crea una cuenta de usuario de prueba que use una configuración similar. Cuando asignes direcciones de correo electrónico a estas cuentas de usuario de prueba, elige direcciones de correo electrónico que coincidan con uno de los dominios de tu cuenta de etapa de pruebas.
  • Realiza el proceso de consolidación mediante las cuentas de usuario de prueba y la cuenta de etapa de pruebas de Google Workspace o Cloud Identity.

Realizar una ejecución de prueba te permite familiarizarte con el proceso antes de aplicarlo en tu entorno de producción. También te ayuda a identificar posibles problemas antes de aplicarlos a miles de usuarios.

Proceso de consolidación

El proceso de consolidación consta de las siguientes transmisiones:

  • Migrar cuentas personales a Cloud Identity o Google Workspace.
  • Expulsar las cuentas personales que no deseas conservar
  • Identificar y quitar el acceso a las cuentas de Gmail
  • Limpiar cuentas de Gmail que usan una dirección de correo electrónico corporativa como dirección alternativa

Según los conjuntos de cuentas existentes que hayas identificado, es posible que algunas de estas transmisiones no se apliquen en tu caso.

En el siguiente diagrama de flujo, se ilustra el proceso de consolidación. Las transmisiones, indicadas por líneas paralelas, son independientes entre sí, a fin de que puedas realizarlas en paralelo.

Proceso de consolidación que muestra diferentes transmisiones de migración.

El diagrama muestra este flujo:

  1. Identifica un conjunto de cuentas personales para migrar. Si tienes una gran cantidad de cuentas personales, es mejor realizar la migración en lotes. Comienza con un lote pequeño de alrededor de 10 usuarios y, luego, agranda los lotes en las migraciones posteriores.
  2. Anuncia a los usuarios afectados tu intención de transferir cuentas personales. Asegúrate de que los usuarios comprendan la importancia y las consecuencias de aceptar o rechazar una solicitud de transferencia.

    A fin de ver un ejemplo de cómo se vería un mensaje de correo electrónico de anuncio, consulta Comunicación avanzada para la migración de cuentas de usuario.

  3. Migra las cuentas personales seleccionadas mediante la herramienta para transferir usuarios no administrados. Este proceso se describe con más detalle en Migra cuentas personales.

  4. Espera a que la mayoría de los usuarios (un quórum) acepte o rechace las solicitudes de transferencia y vuelve a enviarlas si es necesario. A fin de ver si un usuario respondió, consulta la herramienta para transferir usuarios no administrados.

  5. Si usas un IdP externo, es posible que algunas de las cuentas de usuario migradas no tengan una identidad coincidente en él. Concilia estas cuentas de usuario administradas huérfanas para asegurarte de que todas las cuentas de usuario administradas tengan una identidad coincidente en el IdP externo.

  6. Expulsa todas las cuentas personales que no desees migrar.

  7. Busca tus políticas de Identity and Access Management (IAM) para cuentas de Gmail (busca las entradas *@gmail.com). Revoca el acceso a estas cuentas y proporciona cuentas de usuario administradas como reemplazos a los usuarios afectados. Para minimizar el impacto en los usuarios, asegúrate de que estas cuentas de usuario administradas tengan el mismo acceso a los recursos que las cuentas de Gmail anteriores.

  8. Si hay cuentas de Gmail que usan una dirección de correo electrónico corporativa como dirección de correo electrónico alternativa, realiza una limpieza de estas cuentas de Gmail.

Prácticas recomendadas

Recomendamos las siguientes prácticas cuando consolidas las cuentas de usuario existentes:

  • Si migras desde un sistema de correo electrónico externo a Google Workspace, recuerda que las cuentas de consumidor pueden usar una dirección de correo electrónico que también está sujeta a la migración. Para asegurarte de que los propietarios de estas cuentas personales sigan recibiendo correos electrónicos, no cambies los registros MX de DNS hasta después de migrar todas las cuentas personales afectadas.
  • Después de completar la consolidación, considera aprovisionar a todos los usuarios y limitar la autenticación mediante el inicio de sesión único para bloquear los registros de cuentas personales nuevas.

¿Qué sigue?