Questo documento descrive come eseguire la migrazione degli account consumer agli account utente gestiti controllati da Cloud Identity o Google Workspace.
Se la tua organizzazione non ha mai utilizzato Cloud Identity o
Google Workspace, è possibile che alcuni dei tuoi dipendenti
utilizzino account consumer per accedere ai servizi Google. Alcuni di questi account
consumer potrebbero utilizzare un indirizzo email aziendale come alice@example.com come
indirizzo email principale.
Gli account consumer sono di proprietà e gestiti dalle persone che li hanno creati. Pertanto, la tua organizzazione non ha alcun controllo sulla configurazione, sulla sicurezza e sul ciclo di vita di questi account.
Prima di iniziare
Per eseguire la migrazione degli account consumer a Cloud Identity o Google Workspace, devi soddisfare i seguenti prerequisiti:
- Hai identificato un piano di onboarding adatto e hai completato tutti i prerequisiti per consolidare gli account utente esistenti.
- Hai creato un account Cloud Identity o Google Workspace e hai preparato l'unità organizzativa (UO) predefinita per concedere l'accesso appropriato agli account utente di cui è stata eseguita la migrazione.
Ogni account consumer di cui prevedi di eseguire la migrazione deve soddisfare i seguenti criteri:
- Non può essere un account Gmail.
- Deve utilizzare un indirizzo email principale che corrisponda al dominio principale o secondario del tuo account Cloud Identity o Google Workspace. Nel contesto di una migrazione di account consumer, gli indirizzi email alternativi e i domini alias vengono ignorati.
- Il proprietario deve essere in grado di ricevere email all'indirizzo email principale dell'account.
La conversione di un account consumer in un account gestito implica che l'utente che ha registrato l'account consumer trasferisca il controllo dell'account e dei relativi dati alla tua organizzazione. La tua organizzazione potrebbe richiedere ai dipendenti di firmare e rispettare una policy di utilizzo accettabile delle email che vieta l'utilizzo di indirizzi email aziendali per scopi privati. In questo caso, puoi dare per scontato che l'account consumer sia stato utilizzato solo per scopi commerciali. Tuttavia, se la tua organizzazione non dispone di tali norme o le norme consentono un determinato uso personale, l'account consumer potrebbe essere associato a un mix di dati aziendali e personali. Data questa incertezza, non puoi forzare la migrazione di un account consumer a un account gestito, pertanto la migrazione richiede sempre il consenso dell'utente.
Processo
La migrazione degli account consumer agli account gestiti è un processo in più passaggi che devi pianificare con attenzione. Le sezioni seguenti illustrano la procedura.
Panoramica della procedura
L'obiettivo della migrazione è convertire un account consumer in un account utente gestito mantenendo sia l'identità dell'account, come indicato dal suo indirizzo email, sia tutti i dati associati all'account.
Durante una migrazione come questa, un account può trovarsi in uno dei quattro stati mostrati nel seguente diagramma della macchina a stati.
Quando aggiungi e verifichi un dominio in Cloud Identity o Google Workspace, qualsiasi account consumer che utilizza un indirizzo email con questo dominio diventa un account non gestito. Per l'utente, questo non ha alcun impatto; può accedere e ai suoi dati come di consueto.
L'aggiunta di un dominio in Google Workspace o Cloud Identity influisce
solo sugli utenti il cui indirizzo email corrisponde esattamente a questo dominio. Ad esempio, se
aggiungi example.com, l'account johndoe@example.com viene identificato come
account non gestito, mentre johndoe@corp.example.com non lo è, a meno che tu non aggiunga anche
corp.example.com all'account Cloud Identity o Google Workspace.
L'esistenza di account non gestiti viene visualizzata per te in qualità di amministratore di Cloud Identity o Google Workspace. Puoi quindi chiedere all'utente di trasferire il proprio account in un account gestito.
Nel diagramma precedente, se l'utente johndoe acconsente a un trasferimento, l'account non gestito viene convertito in un account gestito. L'identità rimane la
stessa, ma ora Cloud Identity o Google Workspace controlla l'
account, inclusi tutti i suoi dati.
Se l'utente johndoe non acconsente a un trasferimento di dati, ma tu crei un account in Cloud Identity o Google Workspace utilizzando lo stesso indirizzo email, il risultato è un account in conflitto. Un account in conflitto è
in realtà composto da due account, uno consumer e uno gestito, associati alla
stessa identità, come nel seguente diagramma.
Un utente che accede utilizzando un account in conflitto visualizza una schermata che gli chiede di selezionare l'account gestito o l'account consumer per riprendere la procedura di accesso.
Per evitare di ritrovarti con account in conflitto, è utile comprendere in modo più dettagliato gli stati degli account.
Procedura dettagliata
Il seguente diagramma della macchina a stati illustra gli stati dell'account in modo più dettagliato. I riquadri rettangolari a sinistra indicano le azioni che un amministratore Cloud Identity o Google Workspace può intraprendere; i riquadri rettangolari a destra indicano le attività che solo il proprietario di un account consumer può eseguire.
Trovare account utente non gestiti
Quando ti registri a Cloud Identity o Google Workspace, devi fornire un nome di dominio, di cui ti viene chiesto di verificare la proprietà. Una volta completata la procedura di registrazione, puoi aggiungere e verificare domini secondari.
Se verifichi un dominio, avvii automaticamente una ricerca degli account consumer che utilizzano questo dominio nel loro indirizzo email. Entro circa 12 ore, questi account verranno visualizzati come account utente non gestiti nello strumento di trasferimento per gli utenti non gestiti.
La ricerca di account consumer prende in considerazione il dominio principale registrato in Cloud Identity o Google Workspace, nonché qualsiasi dominio secondario verificato. La ricerca tenta di abbinare questi domini all'indirizzo email principale di qualsiasi account consumer. Al contrario, i domini alias registrati in Cloud Identity o Google Workspace, nonché gli indirizzi email alternativi degli account consumer non sono considerati.
Gli utenti degli account consumer interessati non vengono informati che hai verificato un dominio o che hai identificato il loro account come account non gestito. Possono continuare a utilizzare i propri account normalmente.
Avviare un trasferimento
Oltre a mostrare tutti gli account non gestiti, lo strumento di trasferimento per gli utenti non gestiti ti consente di avviare un trasferimento dell'account inviando una richiesta di trasferimento dell'account. Inizialmente, un account è elencato come Non ancora invitato, a indicare che non è stata inviata alcuna richiesta di trasferimento.
Se selezioni un utente e invii una richiesta di trasferimento dell'account, l'utente riceve un'email simile alla seguente. Nel frattempo, l'account viene elencato come Invitato.
Accettare o ignorare un trasferimento
Dopo aver ricevuto la richiesta di trasferimento, un utente interessato potrebbe semplicemente ignorarla e continuare a utilizzare l'account normalmente. In questo caso, puoi inviare un'altra richiesta ripetendo la procedura.
Finché l'utente non accetta la richiesta di trasferimento, la funzionalità dell'account non gestito non è compromessa: gli utenti possono accedere e visualizzare i propri dati. Tuttavia, la procedura di migrazione dei dati dell'account a Google Workspace o Cloud Identity è ostacolata finché un utente continua a ignorare una richiesta di trasferimento. Per evitare che ciò accada, comunica il tuo piano di migrazione ai dipendenti prima di inviare le prime richieste di trasferimento. Inoltre, assicurati che i dipendenti siano pienamente consapevoli dei motivi e delle conseguenze dell'accettazione o dell'ignoranza di una richiesta di trasferimento.
Anziché ignorare la richiesta, un utente potrebbe anche modificare l'indirizzo email dell'account. Se l'utente modifica l'indirizzo email principale per utilizzare un dominio che non è stato verificato da alcun account Cloud Identity o Google Workspace, l'account torna a essere un account consumer. Anche se lo strumento di trasferimento potrebbe ancora elencare temporaneamente l'utente come account non gestito, non puoi più avviare un trasferimento dell'account per un account rinominato.
Creare un Account in conflitto
Se in qualsiasi momento crei un account utente in Cloud Identity o Google Workspace con lo stesso indirizzo email di un account utente non gestito, la Console di amministrazione ti avvisa di un conflitto imminente:
Se ignori questo avviso e crei comunque un account utente, questo nuovo account, insieme all'account non gestito, diventa un account in conflitto. La creazione di un account in conflitto è utile se vuoi rimuovere un account consumer indesiderato, ma è meglio evitarla se il tuo obiettivo è eseguire la migrazione di un account consumer a Cloud Identity o Google Workspace.
La creazione di un account in conflitto può avvenire involontariamente. Dopo aver eseguito la registrazione a Cloud Identity o Google Workspace, potresti decidere di configurare il Single Sign-On con un provider di identità (IdP) esterno come Azure Active Directory (AD) o Active Directory. Se configurato, l'IdP esterno potrebbe creare automaticamente account in Cloud Identity o Google Workspace per tutti gli utenti per cui hai attivato il Single Sign-On, creando inavvertitamente account in conflitto.
Utilizzare un account in conflitto
Ogni volta che l'utente accede utilizzando un account in conflitto, visualizza una schermata di scelta come la seguente.
Se selezionano la prima opzione, la procedura di accesso continua utilizzando la parte gestita dell'account in conflitto. Viene chiesto di fornire la password che hai impostato per l'account gestito oppure, se hai configurato il Single Sign-On, viene reindirizzato a un IdP esterno per l'autenticazione. Una volta autenticato, può utilizzare l'account come qualsiasi altro account gestito. Tuttavia, poiché non sono stati trasferiti dati dall'account consumer originale, si tratta di un nuovo account.
Quando sceglie la seconda opzione nella schermata di voto, all'utente viene chiesto di modificare l'indirizzo email della parte consumer dell'account in conflitto.
Modificando l'indirizzo email, l'utente risolve il conflitto assicurandosi che l'account gestito e l'account consumer abbiano di nuovo identità diverse. Il risultato è che l'utente ha un account consumer con tutti i dati originali e un account gestito che non ha accesso ai dati originali.
L'utente può posticipare la ridenominazione dell'account facendo clic su Fallo in un secondo momento. Questa
azione trasforma l'account in uno stato Sfrattato. In questo stato, l'utente visualizza
la stessa schermata di voto ogni volta che esegue l'accesso e all'account viene assegnato un
indirizzo email gtempaccount.com temporaneo fino a quando non viene rinominato.
Un altro modo per risolvere il conflitto è eliminare l'account gestito in Cloud Identity o Google Workspace oppure, se utilizza il Single Sign-On, nel provider di identità esterno. In questo modo, la schermata di voto non verrà visualizzata al successivo accesso con l'account, ma l'utente dovrà comunque modificare l'indirizzo email dell'account.
Se l'utente modifica l'indirizzo email con un indirizzo email privato, l'account rimane un account consumer. Se l'utente decide di ripristinare l'indirizzo email aziendale originale, l'account torna a essere un account non gestito.
Completare un trasferimento
Se un utente accetta il trasferimento, l'account viene visualizzato in Cloud Identity o Google Workspace. L'account viene ora considerato un account gestito e tutti i dati associati all'account consumer originale vengono trasferiti all'account gestito.
Se Cloud Identity o Google Workspace non sono configurati per utilizzare un IdP esterno per il Single Sign-On, l'utente può accedere utilizzando la password originale e continuare a utilizzare l'account normalmente.
Se utilizzi il Single Sign-On, l'utente non potrà più accedere con la propria password esistente. Vengono invece indirizzati alla pagina di accesso del tuo IdP esterno quando tentano di accedere. Affinché l'operazione vada a buon fine, l'IdP esterno deve riconoscere l'utente e consentire il Single Sign-On. In caso contrario, l'account viene bloccato.
Best practice
Se intendi eseguire la migrazione degli account consumer esistenti a Cloud Identity o Google Workspace, pianifica e coordina i passaggi di migrazione in anticipo. Una buona pianificazione evita interruzioni per gli utenti e riduce al minimo il rischio di creare inavvertitamente account in conflitto.
Quando pianifichi la migrazione di un account consumer, tieni presente le seguenti best practice:
- Se utilizzi un IdP esterno, assicurati di configurare il provisioning degli account utente e il Single Sign-On in modo da non ostacolare la migrazione degli account consumer.
Informa gli utenti interessati prima di una migrazione. La migrazione degli account consumer agli account gestiti richiede il consenso degli utenti e potrebbe anche influire personalmente se hanno utilizzato gli account per scopi privati. Pertanto, è fondamentale che tu informi gli utenti interessati dei tuoi piani di migrazione.
Comunica le seguenti informazioni agli utenti prima di iniziare la migrazione:
- Motivazione e importanza della migrazione dell'account.
- Impatto sui dati personali associati agli account esistenti.
- Intervallo di tempo in cui gli utenti possono aspettarsi di ricevere una richiesta di trasferimento.
- Finestra temporale in cui prevedi che gli utenti approvino un trasferimento.
- Modifiche imminenti alla procedura di accesso dopo la migrazione (si applica solo quando si utilizza la federazione).
- Istruzioni su come trasferire la proprietà dei file Google Docs privati a un account personale.
Se annunci la migrazione via email, alcuni utenti potrebbero pensare che si tratti di un tentativo di phishing. Per evitare che ciò accada, valuta la possibilità di annunciare la migrazione anche tramite un altro mezzo.
Per un esempio di email di annuncio, vedi Comunicazione anticipata per la migrazione degli account utente.
Avviare i trasferimenti in batch. Inizia con un piccolo batch di circa 10 utenti e aumenta le dimensioni del batch man mano che procedi.
Lascia un tempo sufficiente agli utenti interessati per rispondere alle richieste di trasferimento. Tieni presente che alcuni dipendenti potrebbero essere in vacanza o in congedo parentale e non saranno in grado di reagire rapidamente.
Assicurati che, acconsentendo a un trasferimento, gli utenti non perdano l'accesso ai dati o ai servizi Google di cui hanno bisogno.
Passaggi successivi
- Scopri come valutare gli account utente esistenti.
- Scopri come rimuovere gli account consumer indesiderati.