本頁面由 Cloud Translation API 翻譯而成。

遷移個人帳戶

Last reviewed 2024-07-11 UTC

本文說明如何將消費者帳戶遷移至由 Cloud Identity 或 Google Workspace 控制的受管理使用者帳戶。

如果貴機構先前未使用 Cloud Identity 或 Google Workspace，部分員工可能正在使用個人帳戶存取 Google 服務。部分消費者帳戶可能會使用公司電子郵件地址 (例如 alice@example.com) 做為主要電子郵件地址。

個人帳戶是由建立者擁有及管理。因此，貴機構無法控管這些帳戶的相關設定、安全性和生命週期。

事前準備

如要將個人帳戶遷移到 Cloud Identity 或 Google Workspace，必須符合下列先決條件：

您已找出合適的新手上路計畫，並完成整合現有使用者帳戶的所有必要條件。
您已建立 Cloud Identity 或 Google Workspace 帳戶，並準備好預設機構單位 (OU)，可授予已遷移使用者帳戶適當的存取權。

您打算遷移的每個個人帳戶都必須符合下列條件：

請注意，這個地址不得為 Gmail 帳戶。
必須使用與 Cloud Identity 或 Google Workspace 帳戶主網域或次要網域相符的主要電子郵件地址。在個人帳戶遷移作業中，系統會忽略備用電子郵件地址和別名網域。
擁有者必須能夠透過帳戶的主要電子郵件地址接收電子郵件。

將個人帳戶轉換為代管帳戶，即表示註冊個人帳戶的使用者將該帳戶的控制權和相關資料轉讓給貴機構。貴機構可能會要求員工簽署並遵循可接受的電子郵件使用政策，禁止將公司電子郵件地址用於私人用途。在這種情況下，您可以安全地假定個人帳戶僅能用於商業用途。不過，如果貴機構沒有這類政策，或政策允許特定個人用途，個人帳戶可能會與公司和個人資料都有關聯。基於這種不確定性，您無法以強制的方式將個人帳戶遷移到代管帳戶，因此遷移作業一律需要取得使用者的同意。

程序

將個人帳戶遷移到代管帳戶的程序包含多個步驟，必須謹慎規劃。以下各節將逐步說明這個程序。

流程總覽

遷移的目標是要將個人帳戶轉換為代管使用者帳戶，同時保有帳戶電子郵件地址所反映的帳戶識別資訊，以及與帳戶相關聯的任何資料。

在這類遷移作業期間，帳戶可能處於下列四種狀態之一 (如以下狀態機器圖所示)。

帳戶遷移的四種狀態。

在 Cloud Identity 或 Google Workspace 中新增及驗證網域時，使用具有這個網域的電子郵件地址的任何個人帳戶都會變成「非代管帳戶」。這對使用者來說並沒有影響，使用者可以照常登入及存取其資料。

在 Google Workspace 或 Cloud Identity 中新增網域只會影響電子郵件地址與這個網域完全相符的使用者。舉例來說，如果您新增 example.com，系統則會將 johndoe@example.com 帳戶識別為非代管帳戶，而除非您也將 corp.example.com 新增到 Cloud Identity 或 Google Workspace 帳戶，否則系統則不會將 johndoe@corp.example.com 識別為非代管帳戶。

您可以透過 Cloud Identity 或 Google Workspace 系統管理員的身分看見這些非代管帳戶。接著，您可以要求使用者將其帳戶「轉移」為代管帳戶。

將非受管帳戶轉移至受管帳戶。

在上圖中，如果使用者 johndoe 同意轉移，系統會將非代管帳戶轉換為代管帳戶。識別資訊維持不變，但現在 Cloud Identity 或 Google Workspace 可控管這個帳戶，包括帳戶的所有資料。

受管理帳戶的控制權會轉移給 Cloud Identity 或 Google Workspace。

如果使用者johndoe不同意進行資料移轉，但您使用同一個電子郵件地址在 Cloud Identity 或 Google Workspace 中建立帳戶，結果則會產生「衝突帳戶」。衝突帳戶其實是與相同身分相關聯的兩個帳戶 (一個是個人帳戶、一個是代管帳戶)，如下圖所示。

衝突帳戶包含一個個人帳戶和一個代管帳戶。

使用衝突帳戶登入的使用者會看到提示畫面，要求選取代管帳戶或個人帳戶來繼續登入程序。

為避免最後產生衝突帳戶，建議您先瞭解帳戶狀態的相關詳情。

詳細程序

下圖詳細說明瞭帳戶狀態。左側的矩形方塊表示 Cloud Identity 或 Google Workspace 管理員可以執行的動作；右側的矩形方塊表示只有消費者帳戶擁有者可以執行的活動。

帳戶狀態的狀態機器圖。

找出非受管使用者帳戶

註冊 Cloud Identity 或 Google Workspace 時，您必須提供網域名稱，隨後系統會要求您驗證其擁有權。完成註冊程序後，即可新增及驗證次要網域。

您可透過驗證網域，自動啟動搜尋在電子郵件地址中使用這個網域的個人帳戶。在大約 12 小時內，這些帳戶會在用於轉移未受管理使用者的工具中顯示為非代管使用者帳戶。

個人帳戶的搜尋會兼顧已在 Cloud Identity 或 Google Workspace 中完成註冊的主網域，以及已驗證的任何次要網域。搜尋會嘗試將這些網域與任何個人帳戶的主要電子郵件地址相比對。相較之下，已在 Cloud Identity 或 Google Workspace 中完成註冊的別名網域以及個人帳戶的備用電子郵件地址則不會列入考慮。

受影響個人帳戶的使用者並不會知道您已驗證網域，或您已將其帳戶識別為非代管帳戶。他們可以照常繼續使用其帳戶。

開始轉移

除了顯示所有非代管帳戶之外，用於轉移未受管理使用者的工具還能讓您傳送帳戶轉移要求，藉此啟動帳戶轉移。一開始，系統會將帳戶列為「尚未受邀」，表示未傳送任何轉移要求。

帳戶顯示為「未傳送」。

如果您選取使用者並傳送帳戶轉移要求，使用者會收到類似以下內容的電子郵件。同時，系統會轉換帳戶狀態並將其列為「Invited」(已邀請)。

帳戶顯示為「已傳送要求」。

接受或忽略轉移要求

收到轉移要求後，受影響的使用者可直接忽略要求並照常繼續使用帳戶。在這種情況下，您可以重複本程序來傳送其他要求。

使用者接受轉移要求前，非代管帳戶的功能都不會有所減損，使用者能夠登入及存取其資料。不過，只要使用者持續忽略轉移要求，將帳戶資料遷移到 Google Workspace 或 Cloud Identity 的程序就會受到阻礙。如要避免發生這種情形，請務必在傳送第一個轉移要求前，先向員工傳達您的遷移計畫。也請務必讓員工充分瞭解原因，以及接受或忽略轉移要求的後果。

使用者可能也會變更帳戶的電子郵件地址，而不忽略要求。如果使用者將主要電子郵件地址變更為使用尚未通過任何 Cloud Identity 或 Google Workspace 帳戶驗證的網域，則會再次導致帳戶變成個人帳戶。雖然轉移工具可能仍會暫時將使用者列為非代管帳戶，您無法再啟動這種已重新命名的帳戶的帳戶轉移。

建立相衝突的帳戶

如果您在任何時間點使用與非代管使用者帳戶相同的電子郵件地址，在 Cloud Identity 或 Google Workspace 中建立使用者帳戶，管理控制台會警告您即將發生的衝突：

建立相衝突的帳戶。

如果您忽略這則警告並且仍繼續建立使用者帳戶，這個新帳戶會和非代管帳戶一起變成「衝突帳戶」。如果您想移除不想要的個人帳戶，建立衝突帳戶會很有用，但如果目的是將個人帳戶遷移至 Cloud Identity 或 Google Workspace，最好避免建立衝突帳戶。

您可能會在無意間建立衝突帳戶。註冊 Cloud Identity 或 Google Workspace 後，您可能會決定使用 Azure Active Directory (AD) 或 Active Directory 等外部識別資訊提供者 (IdP) 來設定單一登入。設定之後，外部 IdP 可能會在 Cloud Identity 或 Google Workspace 中，針對您啟用單一登入的所有使用者自動建立帳戶，因而無意間建立了衝突帳戶。

使用相衝突的帳戶

每次使用者透過衝突帳戶登入時，都會看到以下的候選畫面。

使用者嘗試登入衝突帳戶時顯示的候選畫面。

當使用者選取第一個選項時，登入程序會繼續使用衝突帳戶的代管部分。系統會要求使用者提供您為代管帳戶設定的密碼，如果您設定了單一登入，系統則會將使用者重新導向至外部 IdP 進行驗證。完成驗證之後，使用者就能像任何其他代管帳戶一樣使用帳戶，不過，由於並未從原始個人帳戶轉移任何資料，因此這實際上是一個新的帳戶。

選擇候選畫面中的第二個選項時，系統會提示使用者變更衝突帳戶的個人部分的電子郵件地址。

提示變更衝突帳戶的個人部分。

透過變更電子郵件地址，使用者可確保代管帳戶和個人帳戶再次擁有不同的身分，藉此解決衝突。結果依然是使用者擁有一個包含所有原始資料的個人帳戶，以及一個無法存取原始資料的代管帳戶。

使用者可以按一下 [Do this later] (稍後再設定)，藉此延後重新命名帳戶。這項操作會將帳戶設為「已逐出」狀態。在這個狀態下，使用者每次登入時都會看到相同的候選畫面，且帳戶會獲派臨時 gtempaccount.com 電子郵件地址，直到重新命名為止。

如要解決衝突，也可以刪除 Cloud Identity 或 Google Workspace 中的受管理帳戶，或如果使用者採用單一登入，則刪除外部 IdP 中的帳戶。這樣一來，使用者下次使用該帳戶登入時就不會看到選票畫面，但仍須變更帳戶的電子郵件地址。

如果使用者將電子郵件地址變更為私人電子郵件地址，帳戶仍會是個人帳戶。如果使用者決定將電子郵件地址變更回原始公司電子郵件地址，帳戶則會再次變成非代管帳戶。

完成轉移

如果使用者接受轉移，帳戶則會顯示在 Cloud Identity 或 Google Workspace 中。系統現在會將帳戶視為代管帳戶，並將與原始個人帳戶相關聯的所有資料轉移到代管帳戶。

如果未設定 Cloud Identity 或 Google Workspace 使用外部 IdP 進行單一登入，使用者可以使用其原始密碼登入，並照常繼續使用帳戶。

如果您確實使用單一登入，使用者就無法再使用其現有密碼登入。相反地，系統會在使用者嘗試登入時，將使用者傳送到外部 IdP 的登入頁面。外部 IdP 必須要能辨識使用者並允許單一登入，這項作業才會成功。否則，帳戶會變成鎖定狀態。

最佳做法

如果您打算將現有個人帳戶遷移到 Cloud Identity 或 Google Workspace，請事先規劃並協調遷移步驟。良好的規劃能避免中斷使用者服務，並將無意間建立衝突帳戶的風險降到最低。

規劃消費者帳戶遷移時，請考慮下列最佳做法：

如果您使用外部 IdP，請務必設定使用者帳戶佈建和單一登入，確保不會妨礙個人帳戶遷移作業。
請在遷移前通知受影響的使用者。將個人帳戶遷移到代管帳戶需要取得使用者的同意，而且如果使用者已將帳戶用於私人用途，可能也會對個人造成影響。因此，請務必向受影響的使用者通知您的遷移計畫。

開始進行遷移之前，請向使用者傳達下列資訊：
- 帳戶遷移的根本原因與重要性。
- 對與現有帳戶相關聯的個人資料的影響。
- 使用者預計會收到轉移要求的時間範圍。
- 您希望使用者同意轉移的時間範圍。
- 遷移後即將發生的登入程序異動 (只有使用連結時才適用)。
- 如要將私人 Google 文件檔案的擁有權轉移到個人帳戶，請參閱相關操作說明。
如果您是透過電子郵件宣佈遷移，有些使用者可能會以為這是網路詐騙郵件。如要避免發生這種情形，也請考慮透過不同的媒介宣佈遷移。

如需公告電子郵件範例，請參閱「使用者帳戶遷移作業的事前通知」。
分批啟動轉移作業。先從約 10 位使用者的小型批次開始，然後逐步增加批次大小。
請給受影響的使用者足夠時間回應轉移要求。請注意，部分員工可能正在休假或請育嬰假，因此無法快速回應。
請確保使用者同意轉移後，不會失去存取所需資料或 Google 服務的權限。

後續步驟

請參閱評估現有使用者帳戶一文。
瞭解如何移除不需要的個人帳戶。