Google Workspace- oder Cloud Identity-Konto vorbereiten

In diesem Dokument wird gezeigt, wie Sie ein Cloud Identity- oder Google Workspace-Konto erstellen und für eine Produktionsbereitstellung vorbereiten.

Hinweise

So bereiten Sie Ihr Cloud Identity- oder Google Workspace-Konto vor:

• Wählen Sie anhand unserer Referenzarchitekturen eine Zielarchitektur für Ihre Produktionsbereitstellung aus.
• Ermitteln Sie, ob Sie ein oder mehrere zusätzliche Cloud Identity- oder Google Workspace-Konten für Produktion oder Staging benötigen. Weitere Informationen zur Ermittlung der richtigen Anzahl von Konten finden Sie unter Best Practices für die Planung von Konten und Organisationen.
• Legen Sie einen geeigneten Onboardingplan fest und führen Sie alle Aktivitäten aus, die in Ihrem Plan als Voraussetzung für die Konsolidierung Ihrer vorhandenen Nutzerkonten vorgesehen sind.

Prüfen Sie für jedes Cloud Identity- oder Google Workspace-Konto, das Sie erstellen müssen, Folgendes:

• Sie haben den DNS-Domainnamen ausgewählt, der als primärer Domainname verwendet werden soll. Dieser Domainname bestimmt den Namen der verknüpften Google Cloud-Organisation. Sie können einen neutralen Domainnamen als primären Domainnamen verwenden.
• Sie haben alle sekundären DNS-Domainnamen ausgewählt, die Sie dem Konto hinzufügen möchten. Achten Sie darauf, dass nicht mehr als insgesamt 600 Domains pro Konto verwendet werden.

Für die Registrierung eines neuen Cloud Identity- oder Google Workspace-Kontos benötigen Sie außerdem die folgenden Informationen:

• Eine Telefonnummer und E-Mail-Adresse des Kontakts. Google verwendet diese Telefonnummer und Adresse, um Sie bei Problemen mit Ihrem Konto zu kontaktieren.

• Eine E-Mail-Adresse für das erste Super Admin-Nutzerkonto. Die E-Mail-Adresse muss die primäre DNS-Domain verwenden und darf nicht für ein vorhandenes Privatnutzerkonto eingesetzt werden.

  Wenn Sie später eine Föderation einrichten möchten, wählen Sie eine E-Mail-Adresse aus, die dem Nutzer bei Ihrem externen Identitätsanbieter (Identity Provider, IdP) zugeordnet ist.

Das Erstellen eines neuen Cloud Identity- oder Google Workspace-Kontos erfordert möglicherweise eine Zusammenarbeit zwischen mehreren Teams und Verantwortlichen in Ihrer Organisation. Dazu gehören unter anderem:

• DNS-Administratoren. Zur Überprüfung primärer und sekundärer DNS-Domains benötigen Sie Administratorzugriff auf beide DNS-Zonen.
• Wenn Sie einen externen IdP verwenden, die Administratoren Ihres externen IdP.
• Zukünftige Administratoren der Google Cloud-Organisation.

Konto vorbereiten

Im folgenden Flussdiagramm wird der Vorgang zur Vorbereitung Ihres Cloud Identity- oder Google Workspace-Kontos veranschaulicht. Wie die beiden Seiten des Diagramms zeigen, ist für den Vorgang möglicherweise die Zusammenarbeit verschiedener Teams erforderlich.

1. Registrieren Sie sich für Cloud Identity oder Google Workspace. Bei der Registrierung müssen Sie eine Kontakttelefonnummer und eine E-Mail-Adresse, die primäre Domain, die Sie verwenden möchten, sowie den Nutzernamen für das erste Super Admin-Nutzerkonto angeben.

2. Bestätigen Sie die Inhaberschaft Ihrer primären Domain, indem Sie entweder einen TXT- oder CNAME-Eintrag in der entsprechenden DNS-Zone Ihres DNS-Servers erstellen.

3. Fügen Sie dem Cloud Identity- oder Google Workspace-Konto sekundäre Domains hinzu.

4. Bestätigen Sie die Inhaberschaft der sekundären Domains. Erstellen Sie dazu entweder TXT- oder CNAME-Einträge in den entsprechenden DNS-Zonen Ihres DNS-Servers.

5. Schützen Sie Ihr Konto, indem Sie Sicherheitseinstellungen konfigurieren.

6. Erstellen Sie eine Standardkonfiguration für Nutzerkonten.

Sicheren Zugriff auf Ihr Konto

Bei der Registrierung erstellen Sie einen ersten Nutzer in Ihrem Cloud Identity- oder Google Workspace-Konto. Dieses Nutzerkonto hat Super Admin-Berechtigungen und uneingeschränkten Zugriff auf das Cloud Identity- oder Google Workspace-Konto.

Super Admin-Berechtigungen werden für die Erstkonfiguration Ihres Cloud Identity- oder Google Workspace-Kontos benötigt. Nachdem Sie die Erstkonfiguration abgeschlossen haben, benötigen Sie Super Admin-Berechtigungen nur noch in wenigen Fällen. Zur Gewährleistung der Geschäftskontinuität ist es jedoch wichtig, dass Sie und andere autorisierte Mitarbeiter den Super Admin-Zugriff auf das Cloud Identity- oder Google Workspace-Konto beibehalten:

So gewährleisten Sie diesen Zugriff:

• Wählen Sie die Gruppe von Administratoren aus, die Super Admin-Zugriff auf das Cloud Identity- oder Google Workspace-Konto haben sollen. Die Anzahl der Nutzer sollte möglichst gering sein.
• Erstellen Sie für jeden Administrator eine Reihe von dedizierten Super Admin-Nutzerkonten.
• Erzwingen Sie die Google-Authentifizierung in zwei Schritten für diese Nutzer und fordern Sie sie auf, Back-up-Codes zu erstellen, damit sie auch dann Zugriff haben, wenn sie ihr Smartphone oder ihren USB-Schlüssel verlieren.
• Weisen Sie Administratoren an, die Super Admin-Konten nur bei Bedarf zu verwenden, und raten Sie von einer täglichen Nutzung dieser Konten ab.

Weitere Informationen zum Schutz von Super Admin-Nutzern finden Sie unter Best Practices für Super Admin-Konten. Für einen korrekten Schutz Ihres Kontos beachten Sie unsere Sicherheits-Checkliste für mittlere und große Unternehmen.

Standardeinstellungen für Nutzerkonten konfigurieren

Cloud Identity und Google Workspace unterstützen eine Reihe von Einstellungen, mit denen Sie Nutzerkonten schützen können:

• Bestätigung in zwei Schritten erzwingen
• Zugriff auf Google Workspace und Google-Dienste steuern
• Zugriff auf weniger sichere Apps zulassen oder verbieten
• Lizenzen für die Cloud Identity Premiumversion oder Google Workspace zuweisen
• Geografischen Standort für Daten auswählen und zusätzliche Datenspeicherung steuern (nur für Google Workspace)

Zur Minimierung des Verwaltungsaufwands sollten Sie diese Einstellungen so konfigurieren, dass sie standardmäßig auf neue Nutzer angewendet werden. Sie können Standardeinstellungen auf den folgenden Ebenen konfigurieren:

1. Global: Eine globale Einstellung gilt für alle Nutzer, hat aber die niedrigste Priorität.
2. Organisationseinheit: Eine für eine Organisationseinheit konfigurierte Einstellung gilt für alle Nutzer in der Organisationseinheit und für untergeordnete Organisationseinheiten und überschreibt eine globale Einstellung.
3. Gruppe: Eine von der Gruppe konfigurierte Einstellung gilt für alle Gruppenmitglieder und überschreibt die Organisationseinheit und die globalen Einstellungen.

OE-Struktur erstellen

Durch Erstellen einer Struktur von Organisationseinheiten (OEs) können Sie die Nutzerkonten Ihres Cloud Identity- oder Google Workspace-Kontos in separate Gruppen aufteilen und so einfacher verwalten.

Wenn Sie Cloud Identity in Kombination mit einem externen IdP verwenden, ist es unter Umständen nicht erforderlich, benutzerdefinierte Organisationseinheiten zu erstellen. Stattdessen können Sie eine Kombination aus globalen und gruppenspezifischen Einstellungen verwenden:

• Behalten Sie alle Nutzerkonten in der Standardorganisationseinheit bei.
• Wenn Sie steuern möchten, wer auf bestimmte Google-Dienste zugreifen darf, erstellen Sie in Ihrem externen IdP dedizierte Gruppen wie Google Cloud Users and Google Ads Users. Stellen Sie diese Gruppen in Cloud Identity bereit und wenden Sie die richtigen Standardeinstellungen auf sie an. Sie können dann den Zugriff steuern und dafür die Gruppenmitgliedschaften bei Ihrem externen IdP ändern.

Wenn einige oder alle Nutzer Google Workspace verwenden, benötigen Sie möglicherweise eine benutzerdefinierte OE-Struktur, da einige der Google Workspace-spezifischen Einstellungen nicht gruppenweise angewendet werden können. Wenn Sie einen externen IdP nutzen, sollten Sie die OE-Struktur so einfach wie möglich halten. Gehen Sie dazu so vor:

• Erstellen Sie eine grundlegende Organisationseinheitsstruktur, mit der Sie automatisch Lizenzen zuweisen, einen geografischen Standort für Ihre Daten auswählen und die zusätzliche Datenspeicherung steuern können. Für alle anderen Einstellungen sollten Sie die Einstellungen nach Gruppe anwenden.
• Konfigurieren Sie Ihren externen IdP so, dass neue Nutzer automatisch der richtigen Organisationseinheit zugewiesen werden.
• Erstellen Sie dedizierte Gruppen wie z. B. Google Cloud Users and Google Ads Users bei Ihrem externen IdP. Stellen Sie diese Gruppen in Google Workspace bereit und wenden Sie die erforderlichen Standardeinstellungen an. Sie können dann den Zugriff steuern und dafür die Gruppenmitgliedschaften bei Ihrem externen IdP ändern.

Auswirkungen der Standardorganisationseinheit auf die Kontomigration

Wenn Sie vorhandene Privatnutzerkonten ermittelt haben, die Sie zu Cloud Identity oder Google Workspace migrieren möchten, spielt die Standard-OE eine besondere Rolle. Wenn Sie ein Privatnutzerkonto zu Cloud Identity oder Google Workspace migrieren, wird dieses Konto immer der Standard-OE zugewiesen. Es ist nicht Teil einer Gruppe.

Um ein Privatnutzerkonto zu migrieren, müssen Sie eine Kontoübertragung starten. Diese Übertragung muss vom Inhaber des Privatnutzerkontos genehmigt werden. Als Administrator haben Sie nur eingeschränkte Kontrolle darüber, wann der Inhaber die Einwilligung erteilt, und Sie können die Übertragung daher abschließen.

Wenn die Übertragung abgeschlossen ist, werden alle auf die Standardorganisationseinheit angewendeten Einstellungen auf das migrierte Nutzerkonto angewendet. Sorgen Sie dafür, dass diese Einstellungen eine grundlegende Zugriffsebene für Google-Dienste gewähren, damit die Arbeit des entsprechenden Mitarbeiters nicht beeinträchtigt wird.

Best Practices

Beachten Sie bei der Vorbereitung Ihres Cloud Identity- oder Google Workspace-Kontos die folgenden Best Practices:

• Wenn Sie einen externen IdP verwenden, sollten Sie darauf achten, dass die Nutzer in Cloud Identity oder Google Workspace eine Teilmenge der Identitäten in Ihrem externen IdP sind.
• Erwägen Sie, die Standardsitzungsdauer und die von Google Cloud verwendete Sitzungsdauer zu kürzen. Wenn Sie einen externen IdP verwenden, achten Sie darauf, dass Sie die Sitzungslänge an Ihren IdP anpassen.
• Exportieren Sie Audit-Logs nach BigQuery, um sie über den standardmäßigen Aufbewahrungszeitraum hinaus aufzubewahren.
• Lesen Sie zum Schutz Ihres Kontos regelmäßig unsere Sicherheits-Checkliste für mittlere und große Unternehmen.

Nächste Schritte

• Weitere Informationen zum Konsolidieren vorhandener Nutzerkonten