Questo documento descrive come creare un Cloud Identity o Google Workspace e come prepararlo per un deployment di produzione.
Prima di iniziare
Per preparare l'account Cloud Identity o Google Workspace, devi deve:
- Seleziona un'architettura di destinazione per il deployment di produzione in base alle nostre architetture di riferimento.
- Indica se ti servono uno o più Cloud Identity o Google Workspace per la produzione o ai fini della gestione temporanea. Per informazioni dettagliate su come identificare il numero corretto di account per l'uso, vedi Best practice per la pianificazione di account e organizzazioni.
- Identificare un piano di onboarding adeguato e aver completato tutte le attività definite nel tuo piano prerequisiti per consolidare gli account utente esistenti.
Per ogni account Cloud Identity o Google Workspace che devi crea, verifica quanto segue:
- Hai selezionato il nome di dominio DNS da utilizzare come nome dominio principale. Questo nome di dominio determina il nome del organizzazione Google Cloud associata. Puoi utilizzare uno dei seguenti nome di dominio neutrale come nome di dominio principale.
- Hai ha selezionato una qualsiasi Nomi di dominio DNS che vuoi aggiungere all'account. Assicurati di non superi 600 domini totali per account.
Per completare la procedura di registrazione a una nuova identità Cloud Identity oppure l'account Google Workspace, ti serviranno anche le seguenti informazioni:
- Un numero di telefono e un indirizzo email di contatto. Google utilizza questo numero di telefono e l'indirizzo per contattarti in caso di problemi con il tuo account.
Un indirizzo email per il primo account utente super amministratore. L'email deve utilizzare il dominio DNS principale e non deve essere utilizzato da un indirizzo un account consumer.
Se prevedi di configurare la federazione in un secondo momento, seleziona un indirizzo email che mappa a un utente nel tuo provider di identità (IdP) esterno.
La creazione di un nuovo account Cloud Identity o Google Workspace potrebbe richiedono la collaborazione tra più team e stakeholder dell'organizzazione. Potrebbero essere inclusi:
- Amministratori DNS. Per verificare i domini DNS principali e secondari, e necessitano dell'accesso amministrativo a entrambe le zone DNS.
- Se utilizzi un IdP esterno, si tratta degli amministratori del tuo IdP esterno.
- Futuri amministratori dell'organizzazione Google Cloud.
Procedura per la preparazione di un account
Il seguente diagramma di flusso illustra il processo di preparazione un account Cloud Identity o Google Workspace. Poiché i due lati della come indicato nel diagramma, il processo potrebbe richiedere la collaborazione tra diversi i team di sicurezza.
Registrati a Cloud Identity o Google Workspace. Durante durante la procedura di registrazione, devi fornire un numero di telefono e un indirizzo email di contatto l'indirizzo IP, il dominio principale da utilizzare e il nome utente il primo account utente super amministratore.
Verifica la proprietà del dominio principale creando un file TXT o Record CNAME nella zona DNS corrispondente del server DNS.
Aggiungi qualsiasi domini secondari all'account Cloud Identity o Google Workspace.
Verifica la proprietà dei domini secondari creando un file TXT o Record CNAME nelle zone DNS corrispondenti del server DNS.
Proteggere il tuo account configurando le impostazioni di sicurezza.
Creare una configurazione predefinita per gli account utente.
Accesso sicuro all'account
Durante la procedura di registrazione, crei un primo utente nel tuo un account Cloud Identity o Google Workspace. Questo account utente è sono stati assegnati i privilegi di super amministratore e dispongono dell'accesso completo un account Cloud Identity o Google Workspace.
Per completare la configurazione iniziale devi disporre dei privilegi di super amministratore del tuo account Cloud Identity o Google Workspace. Dopo aver hai completato la configurazione iniziale, le occorrenze in cui devi i privilegi saranno rari, ma per garantire la continuità aziendale, è importante che tu e altro personale autorizzato avete l'accesso come super amministratore al Account Cloud Identity o Google Workspace:
Per garantire l'accesso, segui questi passaggi:
- Seleziona un gruppo di amministratori che deve avere accesso come super amministratore l'account Cloud Identity o Google Workspace. È meglio fai in modo che il numero di utenti sia ridotto.
- Crea un insieme di account utente super amministratore dedicati per ciascun amministratore.
- Applica l'autenticazione in due passaggi di Google per questi utenti e richiederemo creare codici di backup in modo che mantengano l'accesso anche in caso di smarrimento dello smartphone o della chiave USB.
- Chiedi agli amministratori di utilizzare gli account super amministratore solo quando necessario e sconsigliano l'uso quotidiano a ciascuno di questi account.
Per maggiori dettagli su come proteggere gli utenti super amministratori, vedi Best practice per gli account super amministratore. Per assicurarti che il tuo account sia protetto correttamente, segui le Elenco di controllo di sicurezza per imprese di grandi e medie dimensioni.
Configurare le impostazioni predefinite per gli account utente
Cloud Identity e Google Workspace supportano una serie di impostazioni che aiutano a proteggere gli account utente:
- Applicare la verifica in due passaggi.
- Controllare chi può accedere a Google Workspace e ai servizi Google.
- Consentire o negare l'accesso alle app meno sicure.
- Assegnazione delle licenze per Cloud Identity Premium o Google Workspace.
- Scegliere una posizione geografica per i propri dati e il controllo dello spazio di archiviazione aggiuntivo dei dati (solo Google Workspace).
Per ridurre al minimo le attività amministrative, è preferibile configurare queste impostazioni in modo che che vengono applicate per impostazione predefinita ai nuovi utenti. Puoi configurare le impostazioni predefinite le impostazioni ai seguenti livelli:
- Globale: un'impostazione globale viene applicata a tutti gli utenti, ma include il valore più basso la priorità.
- Unità organizzativa (UO): un'impostazione configurata per una UO si applica a a tutti gli utenti nella UO e nelle UO discendenti, sostituendo un'impostazione globale.
- Gruppo: un'impostazione configurata per gruppo si applica a tutti i membri del gruppo gruppo e sostituisce le impostazioni UO e globali.
Crea una struttura di UO
Creando una struttura di unità organizzative, puoi segmentare gli account utente di Cloud Identity all'account Google Workspace in insiemi discreti per semplificarne la gestione.
Se utilizzi Cloud Identity insieme a un IdP esterno, potrebbe non essere necessario creare unità organizzative personalizzate. Puoi invece utilizza una combinazione di impostazioni globali e specifiche per il gruppo:
- Mantieni tutti gli account utente nella UO predefinita.
- Per controllare chi è autorizzato ad accedere a determinati servizi Google, crea
gruppi dedicati come
Google Cloud Users and Google Ads Users
nel tuo da un IdP esterno. Esegui il provisioning di questi gruppi in Cloud Identity e applicali le giuste impostazioni predefinite. Puoi quindi controllare l'accesso Modificare le iscrizioni ai gruppi nell'IdP esterno.
Se alcuni o tutti i tuoi utenti utilizzano Google Workspace, è probabile che richiedono una struttura di UO personalizzata perché alcune Le impostazioni specifiche di Google Workspace non possono essere applicate in base al gruppo. Se utilizzi un IdP esterno, è meglio mantenere la struttura di UO semplice, come segue:
- Crea una struttura di UO di base che ti permetta di fare assegnare licenze, scegliere una posizione geografica per i propri dati, e controllare lo spazio di archiviazione aggiuntivo dei dati. Per tutte le altre impostazioni, ti consigliamo di applicare le impostazioni in base al gruppo.
- Configura l'IdP esterno in modo che i nuovi utenti vengano assegnati automaticamente alla UO corretta.
- Crea gruppi dedicati, come
Google Cloud Users and Google Ads Users
nel tuo IdP esterno. Esegui il provisioning di questi gruppi per Google Workspace e applicarvi le giuste impostazioni predefinite. Tu può quindi controllare l'accesso modificando le iscrizioni ai gruppi nell'IdP esterno.
Impatto della UO predefinita sulla migrazione dell'account
Se hai identificato account consumer esistenti di cui intendi eseguire la migrazione a Cloud Identity o Google Workspace, la UO predefinita svolge un ruolo speciale. Se esegui la migrazione di un account consumer a Cloud Identity o Google Workspace, l'account viene sempre inserito nella UO predefinita e non in nessun gruppo.
Per eseguire la migrazione di un account consumer, devi avviare un trasferimento dell'account. Questo il trasferimento deve essere approvato dal proprietario dell'account consumer. Come amministratore, hai un controllo limitato su quando il proprietario potrebbe concedere il consenso puoi quindi completare il trasferimento.
Al termine del trasferimento, tutte le impostazioni applicate alla UO predefinita prendono sull'account utente di cui è stata eseguita la migrazione. Accertati che queste impostazioni concedano una base di accesso ai servizi Google in modo che il dipendente associato possa il lavoro non sia ostacolato.
Best practice
Durante la preparazione di Cloud Identity o Google Workspace , segui queste best practice:
- Se utilizzi un IdP esterno, poi assicurati che gli utenti di Cloud Identity o Google Workspace siano un sottoinsieme delle identità nel tuo IdP esterno.
- Valuta la possibilità di abbreviare durata predefinita della sessione e della sessione corrente utilizzata da Google Cloud. Quando utilizzi un IdP esterno, assicurati di allineare la lunghezza della sessione al tuo IdP.
- Esportare i log di controllo in BigQuery oltre il periodo di conservazione predefinito.
- Per contribuire alla sicurezza del tuo account, consulta periodicamente le nostre elenco di controllo di sicurezza per imprese di grandi e medie dimensioni.
Passaggi successivi
- Leggi come consolidare gli account utente esistenti.