整合帐号概览

如果您的组织尚未使用 Cloud IdentityG Suite,部分员工可能在使用消费者帐号访问 Google 服务。消费者帐号由创建帐号的个人拥有和管理。因此,您的组织无法控制这些消费者帐号的配置、安全性和生命周期。

本文档介绍了如何整合现有消费者帐号,以实现以下结果:

  • 只有受管理的用户帐号可用于访问 Google 服务。
  • 您的组织可以完全控制用户帐号的配置、安全性和生命周期。
  • 如果您使用外部 IdP,则所有用户帐号在您的外部身份提供商 (IdP) 中都有匹配的身份,并且可用于单点登录。

准备工作

在整合消费者帐号之前,请务必确定合适的初始配置方案,并满足整合现有用户帐号的前提条件。

整合现有用户帐号时,您可能需要与组织中的多个团队和利益相关者协作,包括:

  • 您的外部 IdP(如果您在使用)的管理员。
  • 您的电子邮件系统的管理员。
  • 负责管理您组织所用的 Google 服务(例如 Google Marketing Platform、Google Ads 或 Google Play)访问权限的用户。

如果您使用单独的 Cloud Identity 或 G Suite 单位进行预演和生产,我们建议您先试运行整合流程:

  • 对于需要整合的现有消费者帐号的每个类别,请创建一个使用类似配置的测试用户帐号。为这些测试用户帐号分配电子邮件地址时,请选择与您的预演帐号的某个网域匹配的电子邮件地址。
  • 使用测试用户帐号和您的预演 G Suite 或 Cloud Identity 帐号执行整合过程。

通过试运行,您可以在将该过程应用于生产环境之前熟悉该过程。此外,它还可以帮助您在应用到数千名用户之前先识别出潜在问题。

整合过程

整合过程包括以下流程:

  • 将消费者帐号迁移至 Cloud Identity 或 G Suite。
  • 逐出您不想保留的消费者帐号。
  • 识别和移除 Gmail 帐号的访问权限。
  • 清理将公司电子邮件地址用作备用地址的 Gmail 帐号。

根据您已确定的现有帐号集合,其中一些流程可能不适用于您的情况。

以下流程图对整合过程进行了说明。并列的行指示的流程是相互独立的,因此您可以并行执行这些流程。

显示不同迁移流的整合过程。

下图显示了此流程:

  1. 确定一组要迁移的消费者帐号。如果您有大量消费者帐号,最好执行批量迁移。从包含大约 10 位用户的小批次开始,然后在后续迁移中增加批次中的用户数量。
  2. 告知受影响的用户您转移消费者帐号的意图。确保用户了解接受或拒绝转移请求的重要性和后果。

    如需查看示例电子邮件通知,请参阅用户帐号迁移事先通知

  3. 使用非受管用户转移工具迁移所选消费者帐号。迁移消费者帐号中更详细地介绍了此过程。

  4. 等待大多数用户(多数派)接受或拒绝转移请求,并根据需要重新发送转移请求。您可以通过查看非受管用户转移工具来查看用户的回复。

  5. 如果您使用的是外部 IdP,则一些已迁移的用户帐号最终可能在外部 IdP 中没有匹配的身份。协调这些孤立的受管理用户帐号,确保所有受管理的用户帐号在外部 IdP 中都具有匹配的身份。

  6. 逐出您不想迁移的所有消费者帐号

  7. 在您的 Cloud Identity and Access Management (Cloud IAM) 政策中搜索 Gmail 帐号(搜索 *@gmail.com 条目)。撤消对这些帐号的访问权限,并为受影响的用户提供受管理的用户帐号作为替代。为了最大限度地减少对用户的影响,请确保这些受管理的用户帐号对资源的访问权限与以前的 Gmail 帐号相同或类似。

  8. 如果有将公司电子邮件地址用作辅助电子邮件地址的 Gmail 帐号,请清理这些 Gmail 帐号

最佳做法

我们建议您在整合现有用户帐号时遵循以下最佳做法:

  • 如果您要从外部电子邮件系统迁移到 G Suite,请注意,消费者帐号使用的电子邮件地址也可能需要迁移。为确保这些消费者帐号的所有者能够继续接收电子邮件,请在迁移所有受影响的消费者帐号后才更改 DNS MX 记录
  • 完成整合后,请考虑预配所有用户并通过单点登录限制身份验证,以防用户注册新的消费者帐号。

后续步骤