Prepara tu Google Workspace o tu cuenta de Cloud Identity

En este documento, se describe cómo puedes crear una cuenta de Cloud Identity o de Google Workspace, y cómo puedes prepararlo para una implementación de producción.

Antes de comenzar

Para preparar tu cuenta de Cloud Identity o Google Workspace, debes hacer lo siguiente:

Para cada cuenta de Cloud Identity o Google Workspace que necesites crear, asegúrate de lo siguiente:

A fin de completar el proceso de registro para una cuenta nueva de Cloud Identity o Google Workspace, también necesitas la siguiente información:

  • Un número de teléfono y una dirección de correo electrónico de contacto. Google usa este número de teléfono y dirección para comunicarse contigo en caso de que haya problemas con tu cuenta
  • Una dirección de correo electrónico para la primera cuenta de usuario de administrador avanzado. La dirección de correo electrónico debe usar el dominio de DNS principal y no la debe usar una cuenta personal existente

    Si planeas configurar la federación más adelante, selecciona una dirección de correo electrónico que se asigne a un usuario en tu proveedor de identidad externo (IdP).

Crear una nueva cuenta de Cloud Identity o de Google Workspace puede requerir una colaboración entre varios equipos y partes interesadas de tu organización. Estos pueden incluir los siguientes:

  • Administradores de DNS. Para verificar los dominios de DNS principales y secundarios, necesitas acceso de administrador a ambas zonas de DNS
  • Los administradores de tu IdP externo (si usas uno)
  • Administradores futuros de la organización de Google Cloud

Proceso para preparar una cuenta

En el siguiente diagrama de flujo, se ilustra el proceso de preparación de tu cuenta de Cloud Identity o de Google Workspace. Como indican los dos lados del diagrama, el proceso puede requerir la colaboración de diferentes equipos.

Prepara tu cuenta de Cloud Identity o Google Workspace.

  1. Regístrate en Cloud Identity o en Google Workspace. Durante el proceso de registro, debes proporcionar un número de teléfono y una dirección de correo electrónico de contacto, el dominio principal que deseas usar y el nombre de usuario de la primera cuenta de usuario de administrador avanzado.

  2. Verifica la propiedad de tu dominio principal mediante la creación de un registro TXT o CNAME en la zona de DNS correspondiente de tu servidor DNS.

  3. Agrega dominios secundarios a la cuenta de Cloud Identity o de Google Workspace.

  4. Verifica la propiedad de los dominios secundarios mediante la creación de registros TXT o CNAME en las zonas de DNS correspondientes de tu servidor DNS.

  5. Protege tu cuenta mediante la configuración de parámetros de seguridad.

  6. Crea una configuración predeterminada para las cuentas de usuario.

Protege el acceso a tu cuenta

Durante el proceso de registro, debes crear un primer usuario en tu cuenta de Cloud Identity o Google Workspace. A esta cuenta de usuario se le otorgan privilegios de administrador avanzado y tienen acceso completo a la cuenta de Cloud Identity o Google Workspace.

Necesitas privilegios de administrador avanzado para completar la configuración inicial de tu cuenta de Cloud Identity o Google Workspace. Después de completar la configuración inicial, los casos en los que necesitas privilegios de administrador avanzado son poco frecuentes, pero para garantizar la continuidad del negocio, es importante que tú y otro personal autorizado mantengan el acceso de administrador avanzado a la cuenta de Cloud Identity o de Google Workspace:

Para garantizar este acceso, haz lo siguiente:

Para obtener detalles sobre cómo mantener seguros a los usuarios administradores avanzados, consulta las Prácticas recomendadas para cuentas de administrador avanzado. Para asegurarte de que tu cuenta esté protegida de forma adecuada, sigue nuestra Lista de tareas de seguridad para empresas medianas y grandes.

Configura parámetros predeterminados para cuentas de usuario

Cloud Identity y Google Workspace, se admiten varias opciones de configuración que te ayudan a mantener la seguridad de las cuentas de usuario:

Para minimizar el esfuerzo administrativo, es mejor configurar estas opciones de modo que se apliquen de forma predeterminada a los nuevos usuarios. Puedes establecer la configuración predeterminada en los siguientes niveles:

  1. Global: Una configuración global se aplica a todos los usuarios, pero tiene la prioridad más baja.
  2. Unidad organizacional (UO): Una configuración establecida para una UO se aplica a todos los usuarios de la UO y a las UO descendentes, y anula una configuración global.
  3. Grupo: Una configuración de grupo se aplica a todos los miembros del grupo y anula la configuración global y de UO.

Crea una estructura de UO

Si creas una estructura de unidades organizativas, puedes segmentar las cuentas de usuario de tu cuenta de Cloud Identity o de Google Workspace en conjuntos independientes para facilitar la administración.

Si usas Cloud Identity en combinación con un IdP externo, puede que no sea necesario crear unidades organizacionales personalizadas. En su lugar, puedes usar una combinación de opciones de configuración globales y específicas de grupos:

  • Mantén todas las cuentas de usuario en la UO predeterminada.
  • Para controlar quién tiene acceso a ciertos servicios de Google, crea grupos dedicados como Google Cloud Users and Google Ads Users en tu IdP externo. Aprovisiona estos grupos a Cloud Identity y aplícales la configuración predeterminada correcta. Luego, puedes controlar el acceso si modificas las membresías de grupos en tu IdP externo.

Si algunos o todos tus usuarios usan Google Workspace, es probable que necesites una estructura de UO personalizada, ya que algunas de las opciones de configuración de Google Workspace no se pueden aplicar por grupo. Si usas un IdP externo, es mejor que la estructura de la UO sea simple, como se muestra a continuación:

  • Crea una estructura de UO básica que te permita asignar licencias de forma automática, elegir una ubicación geográfica para tus datos y controlar el almacenamiento de datos complementario. Para todas las demás opciones de configuración, te recomendamos que apliques la configuración por grupo.
  • Configura tu IdP externo para que los usuarios nuevos se asignen de forma automática a la UO correcta.
  • Crea grupos dedicados como Google Cloud Users and Google Ads Users en tu IdP externo. Aprovisiona estos grupos a Google Workspace y aplica la configuración predeterminada correcta. Luego, puedes controlar el acceso si modificas las membresías de grupos en tu IdP externo.

Impacto de la UO predeterminada en la migración de cuentas

Si identificaste las cuentas personales existentes que planeas migrar a Cloud Identity o Google Workspace, la OU predeterminada tiene una función especial. Si migras una cuenta personal a Cloud Identity o a Google Workspace, esa cuenta siempre se ubica en la UO predeterminada y no en ningún grupo.

Para migrar una cuenta personal, debes iniciar una transferencia de cuenta. El propietario de la cuenta personal debe aprobar esta transferencia. Como administrador, tienes un control limitado y puedes completar la transferencia cuando el propietario da su consentimiento.

Cuando se completa la transferencia, toda la configuración aplicada a la UO predeterminada se implementa en la cuenta de usuario migrada. Asegúrate de que estas opciones de configuración otorguen un nivel de acceso básico a los servicios de Google para que no se impida el trabajo del empleado asociado.

Recomendaciones

Cuando prepares tu cuenta de Cloud Identity o Google Workspace, sigue estas prácticas recomendadas:

Próximos pasos