Preparare l'account Google Workspace o Cloud Identity

Last reviewed 2024-07-11 UTC

Questo documento descrive come creare un Cloud Identity o Google Workspace e come prepararlo per un deployment di produzione.

Prima di iniziare

Per preparare l'account Cloud Identity o Google Workspace, devi deve:

Per ogni account Cloud Identity o Google Workspace che devi crea, verifica quanto segue:

Per completare la procedura di registrazione a una nuova identità Cloud Identity oppure l'account Google Workspace, ti serviranno anche le seguenti informazioni:

  • Un numero di telefono e un indirizzo email di contatto. Google utilizza questo numero di telefono e l'indirizzo per contattarti in caso di problemi con il tuo account.
  • Un indirizzo email per il primo account utente super amministratore. L'email deve utilizzare il dominio DNS principale e non deve essere utilizzato da un indirizzo un account consumer.

    Se prevedi di configurare la federazione in un secondo momento, seleziona un indirizzo email che mappa a un utente nel tuo provider di identità (IdP) esterno.

La creazione di un nuovo account Cloud Identity o Google Workspace potrebbe richiedono la collaborazione tra più team e stakeholder dell'organizzazione. Potrebbero essere inclusi:

  • Amministratori DNS. Per verificare i domini DNS principali e secondari, e necessitano dell'accesso amministrativo a entrambe le zone DNS.
  • Se utilizzi un IdP esterno, si tratta degli amministratori del tuo IdP esterno.
  • Futuri amministratori dell'organizzazione Google Cloud.

Procedura per la preparazione di un account

Il seguente diagramma di flusso illustra il processo di preparazione un account Cloud Identity o Google Workspace. Poiché i due lati della come indicato nel diagramma, il processo potrebbe richiedere la collaborazione tra diversi i team di sicurezza.

Preparazione dell'account Cloud Identity o Google Workspace in corso...

  1. Registrati a Cloud Identity o Google Workspace. Durante durante la procedura di registrazione, devi fornire un numero di telefono e un indirizzo email di contatto l'indirizzo IP, il dominio principale da utilizzare e il nome utente il primo account utente super amministratore.

  2. Verifica la proprietà del dominio principale creando un file TXT o Record CNAME nella zona DNS corrispondente del server DNS.

  3. Aggiungi qualsiasi domini secondari all'account Cloud Identity o Google Workspace.

  4. Verifica la proprietà dei domini secondari creando un file TXT o Record CNAME nelle zone DNS corrispondenti del server DNS.

  5. Proteggere il tuo account configurando le impostazioni di sicurezza.

  6. Creare una configurazione predefinita per gli account utente.

di Gemini Advanced.

Accesso sicuro all'account

Durante la procedura di registrazione, crei un primo utente nel tuo un account Cloud Identity o Google Workspace. Questo account utente è sono stati assegnati i privilegi di super amministratore e dispongono dell'accesso completo un account Cloud Identity o Google Workspace.

Per completare la configurazione iniziale devi disporre dei privilegi di super amministratore del tuo account Cloud Identity o Google Workspace. Dopo aver hai completato la configurazione iniziale, le occorrenze in cui devi i privilegi saranno rari, ma per garantire la continuità aziendale, è importante che tu e altro personale autorizzato avete l'accesso come super amministratore al Account Cloud Identity o Google Workspace:

Per garantire l'accesso, segui questi passaggi:

Per maggiori dettagli su come proteggere gli utenti super amministratori, vedi Best practice per gli account super amministratore. Per assicurarti che il tuo account sia protetto correttamente, segui le Elenco di controllo di sicurezza per imprese di grandi e medie dimensioni.

Configurare le impostazioni predefinite per gli account utente

Cloud Identity e Google Workspace supportano una serie di impostazioni che aiutano a proteggere gli account utente:

Per ridurre al minimo le attività amministrative, è preferibile configurare queste impostazioni in modo che che vengono applicate per impostazione predefinita ai nuovi utenti. Puoi configurare le impostazioni predefinite le impostazioni ai seguenti livelli:

  1. Globale: un'impostazione globale viene applicata a tutti gli utenti, ma include il valore più basso la priorità.
  2. Unità organizzativa (UO): un'impostazione configurata per una UO si applica a a tutti gli utenti nella UO e nelle UO discendenti, sostituendo un'impostazione globale.
  3. Gruppo: un'impostazione configurata per gruppo si applica a tutti i membri del gruppo gruppo e sostituisce le impostazioni UO e globali.

Crea una struttura di UO

Creando una struttura di unità organizzative, puoi segmentare gli account utente di Cloud Identity all'account Google Workspace in insiemi discreti per semplificarne la gestione.

Se utilizzi Cloud Identity insieme a un IdP esterno, potrebbe non essere necessario creare unità organizzative personalizzate. Puoi invece utilizza una combinazione di impostazioni globali e specifiche per il gruppo:

  • Mantieni tutti gli account utente nella UO predefinita.
  • Per controllare chi è autorizzato ad accedere a determinati servizi Google, crea gruppi dedicati come Google Cloud Users and Google Ads Users nel tuo da un IdP esterno. Esegui il provisioning di questi gruppi in Cloud Identity e applicali le giuste impostazioni predefinite. Puoi quindi controllare l'accesso Modificare le iscrizioni ai gruppi nell'IdP esterno.

Se alcuni o tutti i tuoi utenti utilizzano Google Workspace, è probabile che richiedono una struttura di UO personalizzata perché alcune Le impostazioni specifiche di Google Workspace non possono essere applicate in base al gruppo. Se utilizzi un IdP esterno, è meglio mantenere la struttura di UO semplice, come segue:

  • Crea una struttura di UO di base che ti permetta di fare assegnare licenze, scegliere una posizione geografica per i propri dati, e controllare lo spazio di archiviazione aggiuntivo dei dati. Per tutte le altre impostazioni, ti consigliamo di applicare le impostazioni in base al gruppo.
  • Configura l'IdP esterno in modo che i nuovi utenti vengano assegnati automaticamente alla UO corretta.
  • Crea gruppi dedicati, come Google Cloud Users and Google Ads Users nel tuo IdP esterno. Esegui il provisioning di questi gruppi per Google Workspace e applicarvi le giuste impostazioni predefinite. Tu può quindi controllare l'accesso modificando le iscrizioni ai gruppi nell'IdP esterno.

Impatto della UO predefinita sulla migrazione dell'account

Se hai identificato account consumer esistenti di cui intendi eseguire la migrazione a Cloud Identity o Google Workspace, la UO predefinita svolge un ruolo speciale. Se esegui la migrazione di un account consumer a Cloud Identity o Google Workspace, l'account viene sempre inserito nella UO predefinita e non in nessun gruppo.

Per eseguire la migrazione di un account consumer, devi avviare un trasferimento dell'account. Questo il trasferimento deve essere approvato dal proprietario dell'account consumer. Come amministratore, hai un controllo limitato su quando il proprietario potrebbe concedere il consenso puoi quindi completare il trasferimento.

Al termine del trasferimento, tutte le impostazioni applicate alla UO predefinita prendono sull'account utente di cui è stata eseguita la migrazione. Accertati che queste impostazioni concedano una base di accesso ai servizi Google in modo che il dipendente associato possa il lavoro non sia ostacolato.

Best practice

Durante la preparazione di Cloud Identity o Google Workspace , segui queste best practice:

Passaggi successivi