Prepara il tuo account Google Workspace o Cloud Identity

Last reviewed 2024-07-11 UTC

Questo documento descrive come creare un account Cloud Identity o Google Workspace e come prepararlo per un deployment in produzione.

Prima di iniziare

Per preparare il tuo account Cloud Identity o Google Workspace, devi svolgere i seguenti passaggi:

Per ogni account Cloud Identity o Google Workspace che devi creare, assicurati di quanto segue:

Per completare la procedura di registrazione di un nuovo account Cloud Identity o Google Workspace, sono necessarie anche le seguenti informazioni:

  • Un numero di telefono e un indirizzo email di contatto. Google utilizza questo numero di telefono e questo indirizzo per contattarti in caso di problemi con il tuo account.
  • Un indirizzo email per il primo account utente super amministratore. L'indirizzo email deve utilizzare il dominio DNS principale e non deve essere utilizzato da un account consumer esistente.

    Se prevedi di configurare la federazione in un secondo momento, seleziona un indirizzo email associato a un utente nel tuo provider di identità (IdP) esterno.

La creazione di un nuovo account Cloud Identity o Google Workspace potrebbe richiedere la collaborazione di più team e stakeholder della tua organizzazione. ad esempio:

  • Amministratori DNS. Per verificare i domini DNS principali e secondari, devi avere accesso amministrativo a entrambe le zone DNS.
  • Se utilizzi un IdP esterno, gli amministratori del tuo IdP esterno.
  • I futuri amministratori dell'organizzazione Google Cloud.

Procedura per la preparazione di un account

Il seguente diagramma di flusso illustra la procedura di preparazione del tuo account Cloud Identity o Google Workspace. Come indicano i due lati del diagramma, il processo potrebbe richiedere la collaborazione tra diversi team.

Preparazione del tuo account Cloud Identity o Google Workspace.

  1. Registrati a Cloud Identity o Google Workspace. Durante la procedura di registrazione, devi fornire un numero di telefono e un indirizzo email di contatto, il dominio principale che vuoi utilizzare e il nome utente per il primo account utente super amministratore.

  2. Verifica la proprietà del tuo dominio principale creando un record TXT o CNAME nella zona DNS corrispondente del tuo server DNS.

  3. Aggiungi eventuali domini secondari all'account Cloud Identity o Google Workspace.

  4. Verifica la proprietà dei domini secondari creando record TXT o CNAME nelle zone DNS corrispondenti del tuo server DNS.

  5. Proteggi il tuo account configurando le impostazioni di sicurezza.

  6. Crea una configurazione predefinita per gli account utente.

Garantire l'accesso sicuro al tuo account

Durante la procedura di registrazione, crei un primo utente nel tuo account Cloud Identity o Google Workspace. A questo account utente vengono assegnati i privilegi di super amministratore e ha accesso completo all'account Cloud Identity o Google Workspace.

Per completare la configurazione iniziale del tuo account Cloud Identity o Google Workspace, devi disporre dei privilegi di super amministratore. Dopo aver completato la configurazione iniziale, le occorrenze in cui sono necessari i privilegi di super amministratore saranno rare, ma per garantire la continuità aziendale è importante che tu e il resto del personale autorizzato mantengate l'accesso come super amministratore all'account Cloud Identity o Google Workspace:

Per garantire questo accesso:

Per informazioni dettagliate su come proteggere gli utenti super amministratore, consulta Best practice per gli account super amministratore. Per assicurarti che il tuo account sia protetto correttamente, segui il nostro elenco di controllo di sicurezza per aziende di medie e grandi dimensioni.

Configurare le impostazioni predefinite per gli account utente

Cloud Identity e Google Workspace supportano una serie di impostazioni che ti aiutano a proteggere gli account utente:

Per ridurre al minimo lo sforzo amministrativo, è meglio configurare queste impostazioni in modo che vengano applicate per impostazione predefinita ai nuovi utenti. Puoi configurare le impostazioni predefinite ai seguenti livelli:

  1. Globale:un'impostazione globale si applica a tutti gli utenti, ma ha la priorità più bassa.
  2. Unità organizzativa (UO): un'impostazione configurata per un'UO si applica a tutti gli utenti dell'UO e alle UO discendenti e sostituisce un'impostazione globale.
  3. Gruppo:un'impostazione configurata per gruppo si applica a tutti i membri del gruppo e sostituisce le impostazioni dell'unità organizzativa e quelle globali.

Creare una struttura delle UO

Creando una struttura di unità organizzative, puoi segmentare gli account utente del tuo account Cloud Identity o Google Workspace in insiemi distinti per semplificarne la gestione.

Se utilizzi Cloud Identity in combinazione con un IdP esterno, la creazione di unità organizzative personalizzate potrebbe non essere necessaria. In alternativa, puoi utilizzare una combinazione di impostazioni globali e specifiche per gruppo:

  • Mantieni tutti gli account utente nell'OU predefinita.
  • Per controllare chi può accedere a determinati servizi Google, crea gruppi dedicati come Google Cloud Users and Google Ads Users nel tuo fornitore di identità esterno. Esegui il provisioning di questi gruppi in Cloud Identity e applicali le impostazioni predefinite corrette. Puoi quindi controllare l'accesso modificando l'appartenenza ai gruppi nell'IdP esterno.

Se alcuni o tutti i tuoi utenti utilizzano Google Workspace, è probabile che tu debba richiedere una struttura OU personalizzata perché alcune delle impostazioni specifiche di Google Workspace non possono essere applicate per gruppo. Se utilizzi un IdP esterno, è meglio mantenere la struttura dell'OU semplice, come segue:

Impatto dell'OU predefinita sulla migrazione dell'account

Se hai identificato account consumer esistenti di cui prevedi di eseguire la migrazione a Cloud Identity o Google Workspace, la OU predefinita svolge un ruolo speciale. Se esegui la migrazione di un account consumer a Cloud Identity o Google Workspace, questo viene sempre inserito nell'OU predefinita e non fa parte di alcun gruppo.

Per eseguire la migrazione di un account consumer, devi avviare un trasferimento dell'account. Questo trasferimento deve essere approvato dal proprietario dell'account consumer. In qualità di amministratore, hai un controllo limitato quando il proprietario potrebbe dare il consenso e quindi puoi completare il trasferimento.

Al termine del trasferimento, tutte le impostazioni applicate all'UO predefinita vengono applicate all'account utente sottoposto a migrazione. Assicurati che queste impostazioni consentano un livello di accesso di base ai servizi Google in modo che la capacità di lavoro del dipendente associato non sia ostacolata.

Best practice

Quando prepari il tuo account Cloud Identity o Google Workspace, segui queste best practice:

Passaggi successivi