Migrar cuentas de consumidor

Last reviewed 2024-07-11 UTC

En este documento se describe cómo migrar cuentas de consumidor a cuentas de usuario gestionadas controladas por Cloud Identity o Google Workspace.

Si tu organización no ha usado Cloud Identity ni Google Workspace antes, es posible que algunos de tus empleados estén usando cuentas de consumidor para acceder a los servicios de Google. Algunas de estas cuentas de consumidor pueden usar una dirección de correo corporativa, como alice@example.com, como dirección de correo principal.

Las cuentas de consumidor son propiedad de los usuarios que las han creado y son ellos quienes las gestionan. Por lo tanto, tu organización no tiene ningún control sobre la configuración, la seguridad ni el ciclo de vida de estas cuentas.

Antes de empezar

Para migrar cuentas de consumidor a Cloud Identity o Google Workspace, debes cumplir los siguientes requisitos:

Cada cuenta de consumidor que quieras migrar debe cumplir los siguientes criterios:

  • No puede ser una cuenta de Gmail.
  • Debe usar una dirección de correo principal que corresponda al dominio principal o a un dominio secundario de tu cuenta de Cloud Identity o Google Workspace. En el contexto de una migración de una cuenta de consumidor, se ignoran las direcciones de correo alternativas y los dominios de alias.
  • Su propietario debe poder recibir correos en la dirección de correo principal de la cuenta.

Al convertir una cuenta de consumidor en una cuenta gestionada, el usuario que registró la cuenta de consumidor cede el control de la cuenta y de los datos asociados a tu organización. Es posible que tu organización exija a los empleados que firmen y cumplan una política de uso aceptable del correo electrónico que prohíba el uso de direcciones de correo corporativas para fines privados. En ese caso, puedes dar por hecho que la cuenta de consumidor solo se ha usado con fines empresariales. Sin embargo, si tu organización no tiene una política de este tipo o la política permite un uso personal determinado, la cuenta de consumidor puede asociarse a una combinación de datos corporativos y personales. Dada esta incertidumbre, no puedes forzar la migración de una cuenta de consumidor a una cuenta gestionada. Por lo tanto, la migración siempre requiere el consentimiento del usuario.

Proceso

La migración de cuentas de consumidor a cuentas gestionadas es un proceso de varios pasos que debes planificar con cuidado. En las siguientes secciones se explica el proceso.

Descripción general del proceso

El objetivo de la migración es convertir una cuenta de consumidor en una cuenta de usuario gestionada y, al mismo tiempo, mantener la identidad de la cuenta, tal como se refleja en su dirección de correo electrónico, y todos los datos asociados a ella.

Durante una migración como esta, una cuenta puede tener uno de los cuatro estados que se muestran en el siguiente diagrama de máquina de estados.

Los cuatro estados de la migración de cuentas.

Cuando añades y verificas un dominio en Cloud Identity o Google Workspace, cualquier cuenta de consumidor que utilice una dirección de correo con ese dominio se convierte en una cuenta no gestionada. Para el usuario, esto no tiene ningún impacto, ya que puede iniciar sesión y acceder a sus datos con normalidad.

Añadir un dominio en Google Workspace o Cloud Identity solo afecta a los usuarios cuya dirección de correo coincida exactamente con ese dominio. Por ejemplo, si añades example.com, la cuenta johndoe@example.com se identificará como una cuenta no gestionada, mientras que johndoe@corp.example.com no se identificará como tal a menos que también añadas corp.example.com a la cuenta de Cloud Identity o Google Workspace.

Como administrador de Cloud Identity o Google Workspace, se te informa de la existencia de cuentas no gestionadas. A continuación, puedes pedirle al usuario que transfiera su cuenta a una cuenta gestionada.

Transferir cuentas no gestionadas a cuentas gestionadas.

En el diagrama anterior, si el usuario johndoe da su consentimiento para la transferencia, la cuenta no gestionada se convierte en una cuenta gestionada. La identidad sigue siendo la misma, pero ahora Cloud Identity o Google Workspace controlan la cuenta, incluidos todos sus datos.

El control de una cuenta gestionada pasa a Cloud Identity o Google Workspace.

Si el usuario johndoe no da su consentimiento para la transferencia de datos, pero creas una cuenta en Cloud Identity o Google Workspace con la misma dirección de correo, se producirá un conflicto de cuentas. Una cuenta en conflicto es en realidad dos cuentas (una de consumidor y otra gestionada) asociadas a la misma identidad, como se muestra en el siguiente diagrama.

Una cuenta en conflicto con una cuenta personal y una cuenta gestionada.

Cuando un usuario inicia sesión con una cuenta en conflicto, aparece una pantalla que le pide que seleccione la cuenta gestionada o la de consumidor para continuar con el proceso de inicio de sesión.

Para evitar que se creen cuentas en conflicto, es útil conocer los estados de las cuentas con más detalle.

Proceso detallado

En el siguiente diagrama de máquina de estados se muestran los estados de la cuenta con más detalle. Los recuadros de la izquierda indican las acciones que puede llevar a cabo un administrador de Cloud Identity o Google Workspace, mientras que los de la derecha muestran las actividades que solo puede realizar el propietario de una cuenta de consumidor.

Diagrama de la máquina de estados de los estados de la cuenta.

Buscar cuentas de usuario no gestionadas

Cuando te registras en Cloud Identity o Google Workspace, debes proporcionar un nombre de dominio, del que se te pedirá que verifiques la propiedad. Cuando hayas completado el proceso de registro, podrás añadir y verificar dominios secundarios.

Al verificar un dominio, se inicia automáticamente una búsqueda de cuentas de consumidor que usen ese dominio en su dirección de correo. En un plazo de 12 horas, estas cuentas aparecerán como cuentas de usuario no gestionadas en la herramienta de transferencia de usuarios no gestionados.

La búsqueda de cuentas de consumidor tiene en cuenta el dominio principal registrado en Cloud Identity o Google Workspace, así como cualquier dominio secundario que se haya verificado. La búsqueda intenta asociar estos dominios con la dirección de correo principal de cualquier cuenta de consumidor. Por el contrario, los dominios de alias registrados en Cloud Identity o Google Workspace, así como las direcciones de correo alternativas de las cuentas de consumidor, no se consideran.

Los usuarios de las cuentas de consumidor afectadas no saben que has verificado un dominio ni que has identificado su cuenta como no gestionada. Pueden seguir usando sus cuentas con normalidad.

Iniciar una transferencia

Además de mostrarte todas las cuentas no gestionadas, la herramienta de transferencia de usuarios no gestionados te permite iniciar una transferencia de cuenta enviando una solicitud de transferencia de cuenta. Al principio, una cuenta aparece como Aún no ha sido invitado, lo que indica que no se ha enviado ninguna solicitud de transferencia.

La cuenta aparece como "No enviado".

Si seleccionas un usuario y le envías una solicitud de transferencia de cuenta, recibirá un correo similar al siguiente. Mientras tanto, la cuenta pasa a tener el estado Invitado.

La cuenta aparece como "Solicitud enviada".

Aceptar o ignorar una transferencia

Una vez recibida la solicitud de transferencia, el usuario afectado puede ignorarla y seguir usando la cuenta con normalidad. En ese caso, puedes enviar otra solicitud repitiendo el procedimiento.

Hasta que el usuario acepte la solicitud de transferencia, la cuenta no gestionada funcionará correctamente y los usuarios podrán iniciar sesión y acceder a sus datos. Sin embargo, el proceso de migración de datos de la cuenta a Google Workspace o Cloud Identity se verá obstaculizado mientras el usuario siga ignorando la solicitud de transferencia. Para evitar que esto ocurra, comunica tu plan de migración a los empleados antes de enviar las primeras solicitudes de transferencia. Además, asegúrate de que los empleados conozcan los motivos y las consecuencias de aceptar o ignorar una solicitud de transferencia.

En lugar de ignorar la solicitud, el usuario también puede cambiar la dirección de correo de la cuenta. Si el usuario cambia la dirección de correo principal para usar un dominio que no ha verificado ninguna cuenta de Cloud Identity ni de Google Workspace, la cuenta volverá a ser una cuenta de consumidor. Aunque la herramienta de transferencia siga mostrando temporalmente al usuario como una cuenta no gestionada, ya no podrás iniciar una transferencia de cuenta para esa cuenta con un nombre nuevo.

Crear una cuenta en conflicto

Si en algún momento creas una cuenta de usuario en Cloud Identity o Google Workspace con la misma dirección de correo que una cuenta de usuario no gestionada, la consola de administración te avisará de un conflicto inminente:

Crear una cuenta en conflicto.

Si ignoras esta advertencia y creas una cuenta de usuario, esta nueva cuenta, junto con la cuenta no gestionada, se convertirá en una cuenta en conflicto. Crear una cuenta en conflicto es útil si quieres expulsar una cuenta de consumidor no deseada, pero es mejor evitarlo si tu objetivo es migrar una cuenta de consumidor a Cloud Identity o Google Workspace.

Es posible que se cree una cuenta en conflicto sin querer. Después de registrarte en Cloud Identity o Google Workspace, puedes configurar el inicio de sesión único con un proveedor de identidades (IdP) externo, como Microsoft Entra ID (antes Azure Active Directory) o Active Directory. Si se configura, el proveedor de identidades externo puede crear automáticamente cuentas en Cloud Identity o Google Workspace para todos los usuarios a los que hayas habilitado el inicio de sesión único, lo que puede provocar que se creen cuentas en conflicto.

Usar una cuenta en conflicto

Cada vez que el usuario inicia sesión con una cuenta en conflicto, ve una pantalla de votación como la siguiente.

Pantalla de votación que aparece cuando un usuario intenta iniciar sesión en una cuenta en conflicto.

Si seleccionan la primera opción, el proceso de inicio de sesión continúa con la parte gestionada de la cuenta en conflicto. Se les pedirá que proporcionen la contraseña que hayas definido para la cuenta gestionada o, si has configurado el inicio de sesión único, se les redirigirá a un IdP externo para autenticarse. Una vez autenticados, pueden usar la cuenta como cualquier otra cuenta gestionada. Sin embargo, como no se han transferido datos de la cuenta de consumidor original, se trata de una cuenta nueva.

Si elige la segunda opción en la pantalla de votación, se le pedirá que cambie la dirección de correo de la parte de consumidor de la cuenta en conflicto.

Se le pedirá que cambie la parte de consumidor de la cuenta en conflicto.

Al cambiar la dirección de correo, el usuario resuelve el conflicto y se asegura de que la cuenta gestionada y la cuenta de consumidor vuelvan a tener identidades diferentes. El resultado es que tienen una cuenta de consumidor con todos sus datos originales y una cuenta gestionada que no tiene acceso a los datos originales.

El usuario puede posponer el cambio de nombre de la cuenta haciendo clic en Hacerlo más tarde. Esta acción cambia el estado de la cuenta a Evicted. En este estado, el usuario ve la misma pantalla de votación cada vez que inicia sesión y se le asigna una dirección de correo temporal gtempaccount.com hasta que cambia el nombre.

Otra forma de resolver el conflicto es eliminar la cuenta gestionada en Cloud Identity o Google Workspace, o bien en el proveedor de identidades externo si usa el inicio de sesión único. De esta forma, la pantalla de votación no se mostrará la próxima vez que inicie sesión con la cuenta, pero el usuario deberá cambiar la dirección de correo de la cuenta.

Si el usuario cambia la dirección de correo por una privada, la cuenta seguirá siendo una cuenta de consumidor. Si el usuario decide volver a cambiar la dirección de correo a la dirección de correo corporativa original, la cuenta volverá a ser una cuenta no gestionada.

Completar una transferencia

Si un usuario acepta la transferencia, la cuenta se mostrará en Cloud Identity o Google Workspace. La cuenta ahora se considera una cuenta gestionada y todos los datos asociados a la cuenta de consumidor original se transfieren a la cuenta gestionada.

Si Cloud Identity o Google Workspace no están configurados para usar un proveedor de identidades externo para el inicio de sesión único, el usuario puede iniciar sesión con su contraseña original y seguir usando la cuenta con normalidad.

Si utilizas el inicio de sesión único, el usuario ya no podrá iniciar sesión con su contraseña. En su lugar, se les redirige a la página de inicio de sesión de tu proveedor de identidades externo cuando intentan iniciar sesión. Para que esto funcione, el proveedor de identidades externo debe reconocer al usuario y permitir el inicio de sesión único. De lo contrario, la cuenta se bloqueará.

Prácticas recomendadas

Si tienes previsto migrar cuentas de consumidor a Cloud Identity o Google Workspace, planifica y coordina los pasos de la migración con antelación. Si planificas bien el proceso, evitarás interrumpir a tus usuarios y minimizarás el riesgo de crear cuentas en conflicto por error.

Ten en cuenta las siguientes prácticas recomendadas al planificar la migración de una cuenta de consumidor:

  • Si utilizas un IdP externo, asegúrate de configurar el aprovisionamiento de cuentas de usuario y el inicio de sesión único de forma que no impidan la migración de cuentas de consumidor.

  • Informa a los usuarios afectados antes de una migración. Para migrar cuentas de consumidor a cuentas gestionadas, se necesita el consentimiento de los usuarios, y esto también puede afectarles personalmente si han usado las cuentas con fines privados. Por lo tanto, es fundamental que informes a los usuarios afectados sobre tus planes de migración.

    Comunica la siguiente información a los usuarios antes de iniciar la migración:

    • Motivos e importancia de la migración de cuentas.
    • Impacto en los datos personales asociados a las cuentas actuales.
    • Periodo en el que los usuarios pueden esperar recibir una solicitud de transferencia.
    • Periodo durante el cual esperas que los usuarios aprueben una transferencia.
    • Próximos cambios en el proceso de inicio de sesión después de la migración (solo se aplica cuando se usa la federación).
    • Instrucciones sobre cómo transferir la propiedad de archivos privados de Documentos de Google a una cuenta personal.

    Si anuncias la migración por correo electrónico, algunos usuarios podrían pensar que se trata de un intento de phishing. Para evitar que esto suceda, te recomendamos que anuncies la migración también a través de otro medio.

    Para ver un ejemplo de correo de anuncio, consulta Comunicación anticipada de la migración de cuentas de usuario.

  • Iniciar transferencias por lotes Empieza con un pequeño grupo de unos 10 usuarios y ve aumentando el tamaño del grupo a medida que avanzas.

  • Deja tiempo suficiente para que los usuarios afectados reaccionen a las solicitudes de transferencia. Ten en cuenta que algunos empleados pueden estar de vacaciones o de baja por maternidad o paternidad, por lo que no podrán reaccionar rápidamente.

  • Asegúrate de que, al dar su consentimiento para una transferencia, los usuarios no pierdan el acceso a los datos ni a los servicios de Google que necesiten.

Siguientes pasos