Google Workspace- oder Cloud Identity-Konto vorbereiten

In diesem Dokument wird gezeigt, wie Sie ein Cloud Identity- oder Google Workspace-Konto erstellen und für eine Produktionsbereitstellung vorbereiten.

Vorbereitung

So bereiten Sie Ihr Cloud Identity- oder Google Workspace-Konto vor:

Prüfen Sie für jedes Cloud Identity- oder Google Workspace-Konto, das Sie erstellen müssen, Folgendes:

Für die Registrierung eines neuen Cloud Identity- oder Google Workspace-Kontos benötigen Sie außerdem die folgenden Informationen:

  • Eine Telefonnummer und E-Mail-Adresse des Kontakts. Google verwendet diese Telefonnummer und Adresse, um Sie bei Problemen mit Ihrem Konto zu kontaktieren.
  • Eine E-Mail-Adresse für das erste Super Admin-Nutzerkonto. Die E-Mail-Adresse muss die primäre DNS-Domain verwenden und darf nicht für ein vorhandenes Privatnutzerkonto eingesetzt werden.

    Wenn Sie später eine Föderation einrichten möchten, wählen Sie eine E-Mail-Adresse aus, die dem Nutzer bei Ihrem externen Identitätsanbieter (Identity Provider, IdP) zugeordnet ist.

Das Erstellen eines neuen Cloud Identity- oder Google Workspace-Kontos erfordert möglicherweise eine Zusammenarbeit zwischen mehreren Teams und Verantwortlichen in Ihrer Organisation. Dazu gehören unter anderem:

  • DNS-Administratoren. Zur Überprüfung primärer und sekundärer DNS-Domains benötigen Sie Administratorzugriff auf beide DNS-Zonen.
  • Wenn Sie einen externen IdP verwenden, die Administratoren Ihres externen IdP.
  • Zukünftige Administratoren der Google Cloud-Organisation.

Konto vorbereiten

Im folgenden Flussdiagramm wird der Vorgang zur Vorbereitung Ihres Cloud Identity- oder Google Workspace-Kontos veranschaulicht. Wie die beiden Seiten des Diagramms zeigen, ist für den Vorgang möglicherweise die Zusammenarbeit verschiedener Teams erforderlich.

Cloud Identity- oder Google Workspace-Konto vorbereiten

  1. Registrieren Sie sich für Cloud Identity oder Google Workspace. Bei der Registrierung müssen Sie eine Kontakttelefonnummer und eine E-Mail-Adresse, die primäre Domain, die Sie verwenden möchten, sowie den Nutzernamen für das erste Super Admin-Nutzerkonto angeben.

  2. Bestätigen Sie die Inhaberschaft Ihrer primären Domain. Erstellen Sie dazu entweder einen TXT- oder einen CNAME-Eintrag in der entsprechenden DNS-Zone Ihres DNS-Servers.

  3. Fügen Sie dem Cloud Identity- oder Google Workspace-Konto sekundäre Domains hinzu.

  4. Bestätigen Sie die Inhaberschaft der sekundären Domains. Erstellen Sie dazu entweder TXT- oder CNAME-Einträge in den entsprechenden DNS-Zonen Ihres DNS-Servers.

  5. Schützen Sie Ihr Konto, indem Sie Sicherheitseinstellungen konfigurieren.

  6. Erstellen Sie eine Standardkonfiguration für Nutzerkonten.

Zugriff auf Ihr Konto sichern

Bei der Registrierung erstellen Sie einen ersten Nutzer in Ihrem Cloud Identity- oder Google Workspace-Konto. Dieses Nutzerkonto hat Super Admin-Berechtigungen und uneingeschränkten Zugriff auf das Cloud Identity- oder Google Workspace-Konto.

Super Admin-Berechtigungen werden für die Erstkonfiguration Ihres Cloud Identity- oder Google Workspace-Kontos benötigt. Nachdem Sie die Erstkonfiguration abgeschlossen haben, benötigen Sie Super Admin-Berechtigungen nur noch in wenigen Fällen. Zur Gewährleistung der Geschäftskontinuität ist es jedoch wichtig, dass Sie und andere autorisierte Mitarbeiter den Super Admin-Zugriff auf das Cloud Identity- oder Google Workspace-Konto beibehalten:

So gewährleisten Sie diesen Zugriff:

Weitere Informationen zum Schutz von Super Admin-Nutzern finden Sie unter Best Practices für Super Admin-Konten. Für einen korrekten Schutz Ihres Kontos beachten Sie unsere Sicherheits-Checkliste für mittlere und große Unternehmen.

Standardeinstellungen für Nutzerkonten konfigurieren

Cloud Identity und Google Workspace unterstützen eine Reihe von Einstellungen, mit denen Sie Nutzerkonten schützen können:

Zur Minimierung des Verwaltungsaufwands sollten Sie diese Einstellungen so konfigurieren, dass sie standardmäßig auf neue Nutzer angewendet werden. Sie können Standardeinstellungen auf den folgenden Ebenen konfigurieren:

  1. Global: Eine globale Einstellung gilt für alle Nutzer, hat aber die niedrigste Priorität.
  2. Organisationseinheit: Eine für eine Organisationseinheit konfigurierte Einstellung gilt für alle Nutzer in der Organisationseinheit und für untergeordnete Organisationseinheiten und überschreibt eine globale Einstellung.
  3. Gruppe: Eine von der Gruppe konfigurierte Einstellung gilt für alle Gruppenmitglieder und überschreibt die Organisationseinheit und die globalen Einstellungen.

Organisationseinheitsstruktur erstellen

Durch Erstellen einer Struktur von Organisationseinheiten (OEs) können Sie die Nutzerkonten Ihres Cloud Identity- oder Google Workspace-Kontos in separate Gruppen aufteilen und so einfacher verwalten.

Wenn Sie Cloud Identity in Kombination mit einem externen IdP verwenden, ist es unter Umständen nicht erforderlich, benutzerdefinierte Organisationseinheiten zu erstellen. Stattdessen können Sie eine Kombination aus globalen und gruppenspezifischen Einstellungen verwenden:

  • Behalten Sie alle Nutzerkonten in der Standardorganisationseinheit bei.
  • Wenn Sie steuern möchten, wer auf bestimmte Google-Dienste zugreifen darf, erstellen Sie in Ihrem externen IdP dedizierte Gruppen wie Google Cloud Users and Google Ads Users. Stellen Sie diese Gruppen in Cloud Identity bereit und wenden Sie die richtigen Standardeinstellungen auf sie an. Sie können dann den Zugriff steuern und dafür die Gruppenmitgliedschaften bei Ihrem externen IdP ändern.

Wenn einige oder alle Nutzer Google Workspace verwenden, benötigen Sie möglicherweise eine benutzerdefinierte OE-Struktur, da einige der Google Workspace-spezifischen Einstellungen nicht gruppenweise angewendet werden können. Wenn Sie einen externen IdP nutzen, sollten Sie die OE-Struktur so einfach wie möglich halten. Gehen Sie dazu so vor:

  • Erstellen Sie eine grundlegende Organisationseinheitsstruktur, mit der Sie automatisch Lizenzen zuweisen, einen geografischen Standort für Ihre Daten auswählen und die zusätzliche Datenspeicherung steuern können. Für alle anderen Einstellungen sollten Sie die Einstellungen nach Gruppe anwenden.
  • Konfigurieren Sie Ihren externen IdP so, dass neue Nutzer automatisch der richtigen Organisationseinheit zugewiesen werden.
  • Erstellen Sie dedizierte Gruppen wie z. B. Google Cloud Users and Google Ads Users bei Ihrem externen IdP. Stellen Sie diese Gruppen in Google Workspace bereit und wenden Sie die erforderlichen Standardeinstellungen an. Sie können dann den Zugriff steuern und dafür die Gruppenmitgliedschaften bei Ihrem externen IdP ändern.

Auswirkungen der Standardorganisationseinheit auf die Kontomigration

Wenn Sie vorhandene Privatnutzerkonten ermittelt haben, die Sie zu Cloud Identity oder Google Workspace migrieren möchten, spielt die Standard-OE eine besondere Rolle. Wenn Sie ein Privatnutzerkonto zu Cloud Identity oder Google Workspace migrieren, wird dieses Konto immer der Standard-OE zugewiesen. Es ist nicht Teil einer Gruppe.

Um ein Privatnutzerkonto zu migrieren, müssen Sie eine Kontoübertragung starten. Diese Übertragung muss vom Inhaber des Privatnutzerkontos genehmigt werden. Als Administrator haben Sie nur eingeschränkte Kontrolle darüber, wann der Inhaber die Einwilligung erteilt, und Sie können die Übertragung daher abschließen.

Wenn die Übertragung abgeschlossen ist, werden alle auf die Standardorganisationseinheit angewendeten Einstellungen auf das migrierte Nutzerkonto angewendet. Sorgen Sie dafür, dass diese Einstellungen eine grundlegende Zugriffsebene für Google-Dienste gewähren, damit die Arbeit des entsprechenden Mitarbeiters nicht beeinträchtigt wird.

Best Practices

Beachten Sie bei der Vorbereitung Ihres Cloud Identity- oder Google Workspace-Kontos die folgenden Best Practices:

Weitere Informationen