Se la tua organizzazione non utilizza già Cloud Identity o Google Workspace, alcuni dei tuoi dipendenti potrebbero utilizzare account consumer per accedere ai servizi Google. Un account consumer è posseduto e gestito dalla persona che lo ha creato. La tua organizzazione non ha quindi alcun controllo sulla configurazione, sulla sicurezza e sul ciclo di vita di questi account consumer.
Questo documento descrive come consolidare gli account consumer esistenti in modo da ottenere i seguenti risultati:
- Solo gli account utente gestiti vengono utilizzati per accedere ai servizi Google.
- La tua organizzazione ha il controllo completo sulla configurazione, sulla sicurezza e sul ciclo di vita degli account utente.
- Se utilizzi un IdP esterno, tutti gli account utente avranno un'identità corrispondente nel provider di identità esterno (IdP) e possono essere utilizzati per il Single Sign-On.
Prima di iniziare
Prima di consolidare gli account consumer, assicurati di identificare un piano di onboarding appropriato e di completare i prerequisiti per il consolidamento degli account utente esistenti.
Quando consolidi gli account utente esistenti, potrebbe essere necessario collaborare tra più team e stakeholder nella tua organizzazione, ad esempio:
- Amministratori del tuo IdP esterno, se ne utilizzi uno.
- Amministratori del tuo sistema email.
- Utenti responsabili della gestione dell'accesso ai servizi Google utilizzati nella tua organizzazione, ad esempio Google Marketing Platform, Google Ads o Google Play.
Se utilizzi organizzazioni Cloud Identity o Google Workspace separate per la gestione temporanea e la produzione, ti consigliamo di eseguire prima un'esecuzione di prova del processo di consolidamento:
- Per ogni classe di account consumer esistenti che devi consolidare, crea un account utente di test che utilizza una configurazione simile. Quando assegni indirizzi email a questi account utente di test, scegli gli indirizzi email che corrispondono a uno dei domini dell'account gestione temporanea.
- Esegui il processo di consolidamento utilizzando gli account utente di test e il tuo account Google Workspace o Cloud Identity di gestione temporanea.
L'esecuzione di un test ti consente di acquisire familiarità con il processo prima di applicarlo nell'ambiente di produzione. Inoltre, ti aiuta a identificare potenziali problemi prima di applicarli a migliaia di utenti.
Procedura di consolidamento
Il processo di consolidamento prevede i seguenti flussi:
- Migrazione degli account consumer a Cloud Identity o Google Workspace.
- Rimozione degli account consumer che non vuoi conservare.
- Identificare e rimuovere l'accesso per gli account Gmail.
- Sanificazione degli account Gmail che utilizzano un indirizzo email aziendale come indirizzo alternativo.
A seconda dei gruppi di account esistenti che hai identificato, alcuni di questi flussi potrebbero non essere applicabili al tuo caso.
Il seguente diagramma di flusso illustra il processo di consolidamento. I flussi, indicati da linee parallele, sono indipendenti l'uno dall'altro, quindi puoi eseguirli in parallelo.
Il diagramma mostra questo flusso:
- Identifica un insieme di account consumer di cui eseguire la migrazione. Se hai un numero elevato di account consumer, è preferibile eseguire la migrazione in batch. Inizia con un piccolo batch di circa 10 utenti, quindi aumenta le dimensioni dei tuoi batch nelle migrazioni successive.
Annuncia agli utenti interessati la tua intenzione di trasferire account consumer. Assicurati che gli utenti comprendano sia l'importanza sia le conseguenze dell'accettazione o del rifiuto di una richiesta di trasferimento.
Per un esempio di quale potrebbe essere un messaggio email di annuncio, consulta Comunicazione anticipata per la migrazione degli account utente.
Esegui la migrazione degli account consumer selezionati utilizzando lo strumento di trasferimento per gli utenti non gestiti. Questa procedura è descritta più dettagliatamente nella sezione Migrazione degli account consumer.
Attendi che la maggior parte degli utenti (il quorum) accetti o rifiuti le richieste di trasferimento e, se necessario, invia di nuovo le richieste di trasferimento. Puoi vedere che un utente ha risposto guardando lo strumento di trasferimento per gli utenti non gestiti.
Se utilizzi un IdP esterno, alcuni degli account utente di cui è stata eseguita la migrazione potrebbero finire senza un'identità corrispondente nell'IdP esterno. Riconcilia questi account utente gestiti orfani per garantire che tutti gli account utente gestiti abbiano un'identità corrispondente nell'IdP esterno.
Rimuovi tutti gli account consumer di cui non vuoi eseguire la migrazione.
Cerca gli account Gmail nei tuoi criteri di Identity and Access Management (IAM) (cerca
*@gmail.comvoci). Revoca l'accesso a questi account e fornisci agli utenti interessati account utente gestiti in sostituzione. Per ridurre al minimo l'impatto sugli utenti, assicurati che questi account utente gestiti abbiano lo stesso accesso o un accesso simile alle risorse degli account Gmail precedenti.Se esistono account Gmail che utilizzano un indirizzo email aziendale come indirizzo email alternativo, elimina questi account Gmail.
best practice
Quando consolidi account utente esistenti, ti consigliamo le seguenti best practice:
- Se stai eseguendo la migrazione a Google Workspace da un sistema email esterno, ricorda che gli account consumer potrebbero utilizzare un indirizzo email anch'esso soggetto a migrazione. Per assicurarti che i proprietari di questi account consumer continuino a ricevere email, non modificare i record MX DNS fino a quando non avrai eseguito la migrazione di tutti gli account consumer interessati.
- Dopo aver completato il consolidamento, valuta la possibilità di eseguire il provisioning di tutti gli utenti e di limitare l'autenticazione tramite Single Sign-On per bloccare le registrazioni di nuovi account consumer.
Passaggi successivi
- Scopri come eseguire la migrazione degli account consumer e come evitare gli account consumer indesiderati.
- Scopri come eliminare la sanitizzazione degli account Gmail.
- Scopri come riconciliare gli account utente gestiti orfani.