Übersicht über das Zusammenführen von Konten

Last reviewed 2024-07-11 UTC

Wenn Ihre Organisation Cloud Identity oder Google Workspace nicht schon verwendet, verwenden einige Ihrer Mitarbeiter möglicherweise Privatnutzerkonten, um auf Google-Dienste zuzugreifen. Ein Privatnutzerkonto gehört der Person, die das Konto erstellt hat, und wird von ihr verwaltet. Ihre Organisation hat daher keine Kontrolle über die Konfiguration, Sicherheit und den Lebenszyklus dieser Privatnutzerkonten.

In diesem Dokument wird beschrieben, wie Sie vorhandene Privatnutzerkonten konsolidieren, um die folgenden Ergebnisse zu erzielen:

  • Nur verwaltete Nutzerkonten werden für den Zugriff auf Google-Dienste verwendet.
  • Ihre Organisation hat die volle Kontrolle über die Konfiguration, Sicherheit und den Lebenszyklus von Nutzerkonten.
  • Wenn Sie einen externen IdP verwenden, haben alle Nutzerkonten eine übereinstimmende Identität bei Ihrem externen Identitätsanbieter und können für die Einmalanmeldung (SSO) verwendet werden.

Hinweise

Bevor Sie Ihre Privatnutzerkonten konsolidieren, sollten Sie einen geeigneten Onboarding-Plan festlegen und die Voraussetzungen für die Konsolidierung Ihrer bestehenden Nutzerkonten erfüllen.

Wenn Sie vorhandene Nutzerkonten konsolidieren, müssen Sie möglicherweise mit mehreren Teams und Beteiligten in Ihrer Organisation zusammenarbeiten. Dazu gehören:

  • Administratoren Ihres externen IdP, falls Sie einen verwenden.
  • Administratoren Ihres E-Mail-Systems.
  • Nutzer, die in Ihrer Organisation verantwortlich sind für die Verwaltung des Zugriffs auf Google-Dienste wie die Google Marketing Platform, Google Ads oder Google Play.

Wenn Sie separate Cloud Identity- oder Google Workspace-Organisationen für Staging und Produktion verwenden, sollten Sie zuerst einen Testlauf des Konsolidierungsprozesses durchführen:

  • Erstellen Sie für jede Klasse vorhandener Privatnutzerkonten, die Sie konsolidieren müssen, ein Testnutzerkonto mit einer ähnlichen Konfiguration. Wenn Sie diesen Testnutzerkonten E-Mail-Adressen zuweisen, wählen Sie E-Mail-Adressen aus, die mit einer der Domains Ihres Staging-Kontos übereinstimmen.
  • Führen Sie den Konsolidierungsprozess mithilfe der Testnutzerkonten und Ihres Staging-Google Workspace oder Cloud Identity-Kontos durch.

Durch den Testlauf können Sie sich mit dem Prozess vertraut machen, bevor Sie ihn in Ihrer Produktionsumgebung anwenden. Außerdem können Sie so potenzielle Probleme erkennen, bevor sich diese auf Tausende von Nutzern auswirken.

Konsolidierungsprozess

Der Konsolidierungsprozess umfasst die folgenden Streams:

  • Privatnutzerkonten zu Cloud Identity oder Google Workspace migrieren.
  • Nutzerkonten entfernen, die Sie nicht behalten möchten
  • Zugriff auf Gmail-Konten identifizieren und entfernen
  • Gmail-Konten bereinigen, die eine geschäftliche E-Mail-Adresse als alternative Adresse verwenden

In Abhängigkeit von den bestehenden Konten, die Sie identifiziert haben, sind einige dieser Streams möglicherweise nicht für Sie relevant.

Das folgende Flussdiagramm veranschaulicht den Konsolidierungsprozess. Die durch parallele Linien gekennzeichneten Streams sind unabhängig voneinander, sodass Sie sie parallel ausführen können.

Konsolidierungsprozess, der verschiedene Migrationsstreams anzeigt.

Das Diagramm zeigt diesen Ablauf:

  1. Eine Reihe von Privatnutzerkonten identifizieren, die migriert werden sollen. Wenn Sie eine große Anzahl von Privatnutzerkonten haben, sollten Sie die Migration am besten in Batches durchführen. Beginnen Sie mit einem kleinen Batch von etwa zehn Nutzern und erweitern Sie Ihre Batches bei nachfolgenden Migrationen.

  2. Teilen Sie den betroffenen Nutzern mit, dass Sie Privatnutzerkonten migrieren möchten. Stellen Sie sicher, dass die Nutzer sowohl die Bedeutung als auch die Konsequenzen einer Annahme oder Ablehnung der Übertragungsanfrage verstehen.

    Ein Beispiel für eine solche E-Mail-Mitteilung finden Sie unter Erweiterte Kommunikation für die Migration von Nutzerkonten.

  3. Migrieren Sie die ausgewählten Privatnutzerkonten mit dem Übertragungstool für nicht verwaltete Nutzer. Dieser Vorgang wird unter Privatnutzerkonten migrieren ausführlicher beschrieben.

  4. Warten Sie, bis die meisten Nutzer (ein Quorum) Übertragungsanfragen annehmen oder ablehnen, und senden Sie die Anfragen bei Bedarf noch einmal. Im Übertragungstool für nicht verwaltete Nutzer sehen Sie, ob ein Nutzer geantwortet hat.

  5. Wenn Sie einen externen IdP verwenden, kann es vorkommen, dass einige der migrierten Nutzerkonten keine übereinstimmende Identität beim externen IdP haben. Gleichen Sie diese verwaisten verwalteten Nutzerkonten ab, um sicherzustellen, dass alle verwalteten Nutzerkonten beim externen IdP über eine übereinstimmende Identität verfügen.

  6. Entfernen Sie alle Privatnutzerkonten, die Sie nicht migrieren möchten.

  7. Suchen Sie in Ihren IAM-Richtlinien (Cloud Identity and Access Management) nach Gmail-Konten (suchen Sie nach *@gmail.com-Einträgen). Widerrufen Sie den Zugriff auf diese Konten und stellen Sie den betroffenen Nutzern verwaltete Nutzerkonten als Ersatz zur Verfügung. Stellen Sie sicher, dass diese verwalteten Nutzerkonten denselben oder einen ähnlichen Zugriff auf Ressourcen wie frühere Gmail-Konten haben, um die Auswirkungen für die Nutzer zu minimieren.

  8. Wenn Gmail-Konten eine geschäftliche E-Mail-Adresse als alternative E-Mail-Adresse haben, bereinigen Sie diese Gmail-Konten.

Best Practices

Wir empfehlen die folgenden Best Practices bei der Konsolidierung vorhandener Nutzerkonten:

  • Wenn Sie von einem externen E-Mail-System zu Google Workspace migrieren, müssen Sie beachten, dass für Privatnutzerkonten möglicherweise eine E-Mail-Adresse verwendet wird, die ebenfalls migriert muss. Um sicherzustellen, dass die Inhaber dieser Privatnutzerkonten weiterhin E-Mails erhalten, ändern Sie die DNS-MX-Einträge erst, nachdem Sie alle betroffenen Privatnutzerkonten migriert haben.
  • Nachdem Sie die Konsolidierung abgeschlossen haben, können Sie alle Nutzer verwalten und die Authentifizierung durch Einmalanmeldung einschränken, um die Registrierung neuer Nutzerkonten zu blockieren.

Nächste Schritte