Questo documento descrive come creare un account Cloud Identity o Google Workspace e come prepararlo per un deployment in produzione.
Prima di iniziare
Per preparare il tuo account Cloud Identity o Google Workspace, devi fare quanto segue:
- Seleziona un'architettura di destinazione per il deployment di produzione in base alle nostre architetture di riferimento.
- Identifica se hai bisogno di uno o più account Cloud Identity o Google Workspace aggiuntivi per la produzione o la gestione temporanea. Per maggiori dettagli su come identificare il numero corretto di account da utilizzare, consulta Best practice per la pianificazione di account e organizzazioni.
- Identifica un piano di onboarding appropriato e hai completato tutte le attività che il tuo piano definisce come prerequisiti per il consolidamento degli account utente esistenti.
Per ogni account Cloud Identity o Google Workspace che devi creare, assicurati di quanto segue:
- Hai selezionato il nome di dominio DNS da utilizzare come nome di dominio principale. Questo nome di dominio determina il nome dell'organizzazione Google Cloud associata. Puoi utilizzare un nome di dominio neutro come nome di dominio principale.
- Hai selezionato eventuali nomi di dominio DNS secondari che vuoi aggiungere all'account. Assicurati di non superare un totale di 600 domini per account.
Per completare la procedura di registrazione di un nuovo account Cloud Identity o Google Workspace, sono necessarie anche le seguenti informazioni:
- Un numero di telefono e un indirizzo email di contatto. Google usa questo numero di telefono e questo indirizzo per contattarti in caso di problemi con il tuo account.
L'indirizzo email del primo account utente super amministratore. L'indirizzo email deve utilizzare il dominio DNS principale e non deve essere utilizzato da un account consumer esistente.
Se prevedi di configurare la federazione in un secondo momento, seleziona un indirizzo email associato a un utente del provider di identità esterno (IdP).
La creazione di un nuovo account Cloud Identity o Google Workspace potrebbe richiedere la collaborazione tra più team e stakeholder nella tua organizzazione. Ecco alcuni esempi:
- gli amministratori DNS. Per verificare i domini DNS primari e secondari, devi disporre dell'accesso amministrativo a entrambe le zone DNS.
- Se utilizzi un IdP esterno, gli amministratori dell'IdP esterno.
- Futuri amministratori dell'organizzazione Google Cloud.
Procedura per la preparazione di un account
Il seguente diagramma di flusso illustra il processo di preparazione dell'account Cloud Identity o Google Workspace. Come indica i due lati del diagramma, il processo potrebbe richiedere la collaborazione tra team diversi.
Registrati a Cloud Identity o Google Workspace. Durante la procedura di registrazione, devi fornire un numero di telefono e un indirizzo email di contatto, il dominio principale che vuoi utilizzare e il nome utente del primo account utente super amministratore.
Verifica la proprietà del tuo dominio principale creando un record TXT o CNAME nella zona DNS corrispondente del tuo server DNS.
Aggiungi eventuali domini secondari all'account Cloud Identity o Google Workspace.
Verifica la proprietà dei domini secondari creando record TXT o CNAME nelle zone DNS corrispondenti del tuo server DNS.
Proteggi il tuo account configurando le impostazioni di sicurezza.
Crea una configurazione predefinita per gli account utente.
Protezione dell'accesso all'account
Durante la procedura di registrazione, crei un primo utente nel tuo account Cloud Identity o Google Workspace. A questo account utente sono assegnati privilegi di super amministratore e ha accesso completo all'account Cloud Identity o Google Workspace.
Per completare la configurazione iniziale del tuo account Cloud Identity o Google Workspace, devi disporre dei privilegi di super amministratore. Dopo aver completato la configurazione iniziale, le occorrenze in cui sono necessari privilegi di super amministratore saranno rare, ma per garantire la continuità aziendale è importante che tu e il personale autorizzato mantengano l'accesso come super amministratore all'account Cloud Identity o Google Workspace:
Per assicurarti che venga concesso l'accesso, segui questi passaggi:
- Seleziona un gruppo di amministratori che dovrebbe avere accesso come super amministratore all'account Cloud Identity o Google Workspace. È meglio limitare il numero di utenti.
- Crea un insieme di account utente super amministratore dedicati per ciascun amministratore.
- Imponi l'autenticazione in due passaggi di Google per questi utenti e richiedi loro di creare codici di backup per mantenere l'accesso anche se perdono il telefono o la chiave USB.
- Chiedi agli amministratori di utilizzare gli account super amministratore solo quando necessario e scoraggia l'uso quotidiano di questi account.
Per informazioni dettagliate su come proteggere gli utenti super amministratori, vedi Best practice per gli account super amministratore. Per assicurarti che il tuo account sia protetto correttamente, attieniti al nostro elenco di controllo di sicurezza per imprese di grandi e medie dimensioni.
Configurazione delle impostazioni predefinite per gli account utente
Cloud Identity e Google Workspace supportano una serie di impostazioni che ti aiutano a proteggere gli account utente:
- Applicazione della verifica in due passaggi.
- Controllo di chi può accedere a Google Workspace e ai servizi Google.
- Consentire o non consentire l'accesso alle app meno sicure.
- Assegnazione di licenze per Cloud Identity Premium o Google Workspace
- Scegliere una posizione geografica per i propri dati e controllare lo spazio di archiviazione supplementare dei dati (solo Google Workspace).
Per ridurre al minimo lo sforzo amministrativo, è preferibile configurare queste impostazioni in modo che vengano applicate per impostazione predefinita ai nuovi utenti. Puoi configurare le impostazioni predefinite ai seguenti livelli:
- Globale: un'impostazione globale viene applicata a tutti gli utenti, ma ha la priorità più bassa.
- Unità organizzativa (UO): un'impostazione configurata per una UO viene applicata a tutti gli utenti della UO e alle UO discendenti e sostituisce un'impostazione globale.
- Gruppo: un'impostazione configurata dal gruppo si applica a tutti i membri del gruppo e sostituisce la UO e le impostazioni globali.
Creazione di una struttura di UO
Creando una struttura di unità organizzative, puoi segmentare gli account utente del tuo account Cloud Identity o Google Workspace in set discreti per semplificarne la gestione.
Se utilizzi Cloud Identity insieme a un IdP esterno, la creazione di unità organizzative personalizzate potrebbe non essere necessaria. Puoi invece utilizzare una combinazione di impostazioni globali e specifiche per il gruppo:
- Mantieni tutti gli account utente nella UO predefinita.
- Per controllare chi è autorizzato ad accedere a determinati servizi Google, crea gruppi dedicati come
Google Cloud Users and Google Ads Usersnel tuo IdP esterno. Esegui il provisioning di questi gruppi in Cloud Identity e applica le impostazioni predefinite corrette. Puoi quindi controllare l'accesso modificando le iscrizioni ai gruppi nel tuo IdP esterno.
Se alcuni o tutti i tuoi utenti utilizzano Google Workspace, è probabile che sia necessaria una struttura UO personalizzata perché alcune impostazioni specifiche di Google Workspace non possono essere applicate per gruppo. Se utilizzi un IdP esterno, è preferibile mantenere la struttura UO semplice, come segue:
- Crea una struttura UO di base che ti consente di assegnare le licenze, scegliere una posizione geografica per i tuoi dati e controllare lo spazio di archiviazione supplementare. Per tutte le altre impostazioni, ti consigliamo di applicarle in base al gruppo.
- Configura il tuo IdP esterno in modo che i nuovi utenti vengano assegnati automaticamente alla UO giusta.
- Crea gruppi dedicati come
Google Cloud Users and Google Ads Usersnel tuo IdP esterno. Esegui il provisioning di questi gruppi in Google Workspace e applica le impostazioni predefinite corrette. Potrai quindi controllare l'accesso modificando le iscrizioni ai gruppi nel tuo IdP esterno.
Impatto della UO predefinita sulla migrazione dell'account
Se hai identificato account consumer esistenti di cui prevedi di eseguire la migrazione a Cloud Identity o Google Workspace, l'unità organizzativa predefinita svolge un ruolo speciale. Se esegui la migrazione di un account consumer a Cloud Identity o Google Workspace, l'account viene sempre inserito nella UO predefinita e non fa parte di alcun gruppo.
Per eseguire la migrazione di un account consumer, devi avviare un trasferimento dell'account. Questo trasferimento deve essere approvato dal proprietario dell'account consumer. In qualità di amministratore, hai un controllo limitato su quando il proprietario può dare il consenso, perciò puoi completare il trasferimento.
Al termine del trasferimento, tutte le impostazioni applicate alla UO predefinita verranno applicate all'account utente di cui è stata eseguita la migrazione. Assicurati che queste impostazioni concedano un livello di base di accesso ai servizi Google, in modo che la capacità di lavoro del dipendente associato non venga ostacolata.
best practice
Quando prepari l'account Cloud Identity o Google Workspace, segui queste best practice:
- Se utilizzi un IdP esterno, assicurati che gli utenti di Cloud Identity o Google Workspace siano un sottoinsieme delle identità del tuo IdP esterno.
- Valuta la possibilità di ridurre la durata predefinita della sessione e la durata della sessione utilizzata da Google Cloud. Quando utilizzi un IdP esterno, assicurati di allineare la durata della sessione con l'IdP.
- Esporta gli audit log in BigQuery per conservarli oltre il periodo di conservazione predefinito.
- Per proteggere il tuo account, consulta periodicamente il nostro elenco di controllo di sicurezza per aziende di medie e grandi dimensioni.
Passaggi successivi
- Scopri come consolidare gli account utente esistenti.