Préparer votre compte Cloud Identity ou Google Workspace

Last reviewed 2023-02-27 UTC

Ce document explique comment créer un compte Cloud Identity ou Google Workspace et comment le préparer pour un déploiement en production.

Avant de commencer

Pour préparer votre compte Cloud Identity ou Google Workspace, procédez comme suit :

Pour chaque compte Cloud Identity ou Google Workspace que vous devez créer, vérifiez les points suivants :

Pour terminer le processus d'inscription à un nouveau compte Cloud Identity ou Google Workspace, vous avez également besoin des informations suivantes :

  • Un numéro de téléphone et une adresse e-mail de contact. Google utilise ce numéro de téléphone et cette adresse pour vous contacter en cas de problème avec votre compte.
  • L'adresse e-mail du premier compte utilisateur super-administrateur. L'adresse e-mail doit utiliser le domaine DNS principal et ne doit pas être utilisée par un compte personnel existant.

    Si vous envisagez de configurer la fédération ultérieurement, sélectionnez une adresse e-mail qui correspond à un utilisateur de votre fournisseur d'identité externe (IdP).

La création d'un compte Cloud Identity ou Google Workspace peut nécessiter une collaboration entre plusieurs équipes et acteurs de votre organisation. Il peut s'agir des éléments suivants :

  • Administrateurs DNS. Pour valider les domaines DNS principal et secondaire, vous avez besoin d'un accès administrateur aux deux zones DNS.
  • Si vous utilisez un fournisseur d'identité externe, les administrateurs de votre fournisseur d'identité externe.
  • Les futurs administrateurs de l'organisation Google Cloud.

Processus de préparation d'un compte

Le diagramme suivant illustre le processus de préparation de votre compte Cloud Identity ou Google Workspace. Comme l'indiquent les deux côtés du diagramme, le processus peut nécessiter une collaboration entre différentes équipes.

Préparer votre compte Cloud Identity ou Google Workspace

  1. Inscrivez-vous à Cloud Identity ou Google Workspace. Lors de l'inscription, vous devez fournir un numéro de téléphone et une adresse e-mail de contact, le domaine principal que vous souhaitez utiliser et le nom d'utilisateur du premier compte utilisateur super-administrateur.

  2. Validez la propriété de votre domaine principal en créant un enregistrement TXT ou CNAME dans la zone DNS correspondante de votre serveur DNS.

  3. Ajoutez des domaines secondaires au compte Cloud Identity ou Google Workspace.

  4. Validez la propriété des domaines secondaires en créant des enregistrements TXT ou CNAME dans les zones DNS correspondantes de votre serveur DNS.

  5. Protégez votre compte en configurant les paramètres de sécurité.

  6. Créez une configuration par défaut pour les comptes utilisateur.

Sécuriser l'accès à votre compte

Au cours du processus d'inscription, vous créez un premier utilisateur dans votre compte Cloud Identity ou Google Workspace. Ce compte utilisateur dispose de droits de super-administrateur et d'un accès complet au compte Cloud Identity ou Google Workspace.

Vous devez disposer de droits de super-administrateur pour terminer la configuration initiale de votre compte Cloud Identity ou Google Workspace. Une fois la configuration initiale terminée, les occurrences nécessitant des droits de super-administrateur sont rares. Toutefois, pour assurer la continuité des activités, il est important que vous et les autres membres du personnel autorisés conserviez un accès super-administrateur au compte Cloud Identity ou Google Workspace :

Pour garantir cet accès, procédez comme suit :

Pour en savoir plus sur la protection des utilisateurs de super-administrateurs, consultez l'article Bonnes pratiques relatives aux comptes super-administrateur. Pour vous assurer que votre compte est correctement sécurisé, suivez notre checklist de sécurité pour les moyennes et grandes entreprises.

Configurer les paramètres par défaut pour les comptes utilisateur

Cloud Identity et Google Workspace sont compatibles avec un certain nombre de paramètres qui vous aident à protéger les comptes utilisateur :

Pour minimiser les tâches administratives, il est préférable de configurer ces paramètres afin qu'ils soient appliqués par défaut aux nouveaux utilisateurs. Vous pouvez configurer les paramètres par défaut aux niveaux suivants :

  1. Global : un paramètre global s'applique à tous les utilisateurs, mais a la priorité la plus faible.
  2. Unité organisationnelle : un paramètre configuré pour une unité organisationnelle s'applique à tous les utilisateurs de l'unité organisationnelle et aux unités descendantes, et remplace un paramètre global.
  3. Groupe : un paramètre configuré par groupe s'applique à tous les membres du groupe et remplace les paramètres globaux et les unités organisationnelles.

Créer une structure d'unités organisationnelles

En créant une structure d'unités organisationnelles, vous pouvez segmenter les comptes utilisateur de votre compte Cloud Identity ou Google Workspace en ensembles discrets pour en faciliter la gestion.

Si vous utilisez Cloud Identity en combinaison avec un IdP externe, la création d'unités organisationnelles personnalisées n'est pas toujours nécessaire. À la place, vous pouvez utiliser une combinaison de paramètres globaux et spécifiques au groupe :

  • Conservez tous les comptes utilisateur dans l'unité organisationnelle par défaut.
  • Pour contrôler qui est autorisé à accéder à certains services Google, créez des groupes dédiés tels que Google Cloud Users and Google Ads Users dans votre fournisseur d'identité externe. Provisionnez ces groupes dans Cloud Identity et appliquez-leur les bons paramètres par défaut. Vous pouvez ensuite contrôler l'accès en modifiant les appartenances aux groupes dans votre fournisseur d'identité externe.

Si certains de vos utilisateurs ou tous utilisent Google Workspace, vous aurez probablement besoin d'une structure d'unités organisationnelles personnalisées, car certains paramètres spécifiques à Google Workspace ne peuvent pas être appliqués par groupe. Si vous utilisez un fournisseur d'identité externe, il est préférable que la structure de l'unité organisationnelle soit simple, comme suit :

  • Créez une structure d'unité organisationnelle de base qui vous permet d'attribuer automatiquement des licences, de choisir l'emplacement géographique de vos données et de contrôler le stockage de données supplémentaires. Pour tous les autres paramètres, nous vous recommandons d'appliquer les paramètres par groupe.
  • Configurez votre fournisseur d'identité externe de sorte que les nouveaux utilisateurs soient automatiquement affectés à l'unité organisationnelle appropriée.
  • Créez des groupes dédiés tels que Google Cloud Users and Google Ads Users dans votre fournisseur d'identité externe. Provisionnez ces groupes dans Google Workspace et appliquez-leur les paramètres par défaut appropriés. Vous pouvez ensuite contrôler l'accès en modifiant les appartenances aux groupes dans votre fournisseur d'identité externe.

Impact de l'unité organisationnelle par défaut sur la migration du compte

Si vous avez identifié des comptes personnels existants que vous envisagez de migrer vers Cloud Identity ou Google Workspace, l'unité organisationnelle par défaut joue un rôle spécial. Si vous migrez un compte personnel vers Cloud Identity ou Google Workspace, ce compte est toujours placé dans l'unité organisationnelle par défaut et ne fait partie d'aucun groupe.

Pour transférer un compte personnel, vous devez lancer un transfert de compte. Ce transfert doit être approuvé par le propriétaire du compte personnel. En tant qu'administrateur, vous disposez d'un contrôle limité sur le moment où le propriétaire peut donner son consentement. Vous pouvez donc effectuer le transfert.

Une fois le transfert terminé, tous les paramètres appliqués à l'unité organisationnelle par défaut prennent effet sur le compte utilisateur migré. Assurez-vous que ces paramètres accordent un niveau d'accès de base aux services Google afin que la capacité de travail des employés associés ne soit pas entravée.

Bonnes pratiques

Lorsque vous préparez votre compte Cloud Identity ou Google Workspace, suivez ces bonnes pratiques :