Présentation du regroupement des comptes

Last reviewed 2023-02-27 UTC

Si votre entreprise n'utilise pas encore Cloud Identity ou l'Google Workspace, certains de vos employés se servent peut-être de comptes personnels pour accéder aux services Google. Un compte personnel est détenu et géré par la personne qui l'a créé. Votre organisation n'a donc aucun contrôle sur la configuration, la sécurité et le cycle de vie de ces comptes personnels.

Ce document explique comment regrouper des comptes personnels existants afin d'obtenir les résultats suivants :

  • Seuls les comptes utilisateur gérés sont utilisés pour accéder aux services Google.
  • Votre organisation contrôle entièrement la configuration, la sécurité et le cycle de vie des comptes utilisateur.
  • Si vous utilisez un fournisseur d'identité externe, tous les comptes utilisateur ont une identité correspondante dans votre fournisseur d'identité externe (IdP) et peuvent être utilisés pour l'authentification unique.

Avant de commencer

Avant de regrouper vos comptes personnels, assurez-vous d'identifier un plan d'intégration approprié et de remplir les conditions préalables pour regrouper vos comptes utilisateur existants.

Lorsque vous regroupez des comptes utilisateur existants, vous devrez peut-être collaborer entre plusieurs équipes et parties prenantes de votre organisation, y compris :

  • les administrateurs de votre fournisseur d'identité externe, le cas échéant ;
  • les administrateurs de votre système de messagerie ;
  • les utilisateurs responsables de la gestion de l'accès aux services Google utilisés dans votre organisation, tels que Google Marketing Platform, Google Ads ou Google Play.

Si vous utilisez des organisations Cloud Identity ou Google Workspace distinctes pour la préproduction et la production, nous vous recommandons de commencer par tester le processus de regroupement :

  • Pour chaque classe de comptes personnels existants que vous devez regrouper, créez un compte utilisateur test utilisant une configuration similaire. Lorsque vous attribuez des adresses e-mail à ces comptes utilisateur de test, choisissez des adresses e-mail correspondant à l'un des domaines de votre compte de préproduction.
  • Effectuez le processus de regroupement à l'aide des comptes utilisateur de test et de votre compte Google Workspace ou Cloud Identity de préproduction.

L'exécution d'un test vous permet de vous familiariser avec le processus avant de l'appliquer dans votre environnement de production. Il vous permet également d'identifier les problèmes potentiels avant de les appliquer à des milliers d'utilisateurs.

Processus de regroupement

Le processus de regroupement comprend les flux suivants :

  • Migrer des comptes personnels vers Cloud Identity ou Google Workspace.
  • Évincer les comptes personnels que vous ne souhaitez pas conserver
  • Identifier et supprimer l'accès des comptes Gmail
  • Nettoyer les comptes Gmail utilisant une adresse e-mail professionnelle comme adresse secondaire

En fonction des ensembles de comptes existants que vous avez identifiés, certains de ces flux peuvent ne pas vous concerner.

Le schéma suivant illustre le processus de regroupement. Les flux, indiqués par des lignes parallèles, sont indépendants les uns des autres, ce qui vous permet de les exécuter en parallèle.

Processus de regroupement montrant différents flux de migration.

Le schéma montre le flux suivant :

  1. Identifiez un ensemble de comptes personnels à migrer. Si vous disposez d'un grand nombre de comptes personnels, il est préférable d'effectuer la migration par lots. Commencez avec un petit groupe d'environ 10 utilisateurs, puis agrandissez vos lots lors des migrations ultérieures.
  2. Annoncez aux utilisateurs concernés votre intention de transférer des comptes personnels. Assurez-vous que les utilisateurs comprennent l'importance et les conséquences de l'acceptation ou du refus d'une demande de transfert.

    Pour obtenir un exemple d'e-mail d'annonce, consultez l'article Communication préalable pour la migration des comptes utilisateur.

  3. Migrez les comptes personnels sélectionnés à l'aide de l'outil de transfert pour les utilisateurs non gérés. Ce processus est décrit plus en détail dans la section Migrer des comptes personnels.

  4. Attendez que la plupart des utilisateurs (un quorum) acceptent ou refusent les demandes de transfert, puis renvoyez-les si nécessaire. Vous pouvez voir qu'un utilisateur a répondu en consultant l'outil de transfert pour les utilisateurs non gérés.

  5. Si vous utilisez un fournisseur d'identité externe, il est possible que certains comptes utilisateur migrés se retrouvent sans identité correspondante dans le fournisseur d'identité externe. Rapprochez ces comptes utilisateur gérés orphelins pour vous assurer que tous les comptes utilisateur gérés ont une identité correspondante dans le fournisseur d'identité externe.

  6. Supprimez tous les comptes personnels que vous ne souhaitez pas migrer.

  7. Recherchez des comptes Gmail dans vos stratégies de gestion de l'authentification et des accès (IAM) (recherchez des entrées *@gmail.com). Révoquez l'accès à ces comptes et fournissez aux utilisateurs concernés des comptes utilisateur gérés en remplacement. Afin de minimiser l'impact sur les utilisateurs, assurez-vous que ces comptes utilisateur gérés disposent d'un accès aux ressources identique ou similaire aux comptes Gmail précédents.

  8. Si certains comptes Gmail utilisent une adresse e-mail professionnelle comme adresse e-mail secondaire, nettoyez-les.

Bonnes pratiques

Nous vous recommandons de suivre les bonnes pratiques suivantes lorsque vous regroupez des comptes utilisateur existants :

  • Si vous effectuez la migration d'un système de messagerie externe vers Google Workspace, n'oubliez pas que les comptes personnels peuvent utiliser une adresse e-mail également soumise à la migration. Pour que les propriétaires de ces comptes personnels continuent de recevoir des e-mails, ne modifiez les enregistrements MX DNS qu'après la migration de tous les comptes personnels concernés.
  • Une fois la fusion terminée, envisagez de provisionner tous les utilisateurs et de limiter l'authentification par authentification unique pour bloquer les nouvelles inscriptions de comptes personnels.

Étape suivante