Se la tua organizzazione non utilizza già Cloud Identity o Google Workspace, alcuni dei tuoi dipendenti potrebbero utilizzare account consumer per accedere ai servizi Google. Un account privato è di proprietà e gestito dalla persona che lo ha creato. Pertanto, la tua organizzazione non ha alcun controllo sulla configurazione, sulla sicurezza e sul ciclo di vita di questi account consumer.
Questo documento descrive come consolidare gli account consumer esistenti in modo da ottenere i seguenti risultati:
- Solo gli account utente gestiti vengono utilizzati per accedere ai servizi Google.
- La tua organizzazione ha il pieno controllo sulla configurazione, sulla sicurezza e sul ciclo di vita degli account utente.
- Se utilizzi un IdP esterno, tutti gli account utente hanno un'identità corrispondente nel tuo provider di identità (IdP) esterno e possono essere utilizzati per il Single Sign-On.
Prima di iniziare
Prima di consolidare gli account consumer, assicurati di identificare un piano di onboarding adatto e di completare i prerequisiti per il consolidamento degli account utente esistenti.
Quando consolidi gli account utente esistenti, potresti dover collaborare con più team e stakeholder della tua organizzazione, tra cui i seguenti:
- Gli amministratori del tuo IdP esterno, se ne utilizzi uno.
- Amministratori del tuo sistema di posta elettronica.
- Utenti responsabili della gestione dell'accesso ai servizi Google utilizzati nella tua organizzazione, come Google Marketing Platform, Google Ads o Google Play.
Se utilizzi organizzazioni Cloud Identity o Google Workspace separate per staging e produzione, ti consigliamo di eseguire prima un test del processo di consolidamento:
- Per ogni classe di account consumer esistenti che devi consolidare, crea un account utente di test che utilizzi una configurazione simile. Quando assegni indirizzi email a questi account utente di test, scegli indirizzi email che corrispondano a uno dei domini del tuo account di staging.
- Esegui la procedura di consolidamento utilizzando gli account utente di test e il tuo account Google Workspace o Cloud Identity di staging.
L'esecuzione di una prova ti consente di familiarizzare con la procedura prima di applicarla nel tuo ambiente di produzione. Ti aiuta anche a identificare potenziali problemi prima di applicarli a migliaia di utenti.
Procedura di consolidamento
Il processo di consolidamento è costituito dai seguenti flussi:
- Eseguire la migrazione degli account consumer a Cloud Identity o Google Workspace.
- Rimozione degli account consumer che non vuoi conservare.
- Identificazione e rimozione dell'accesso per gli account Gmail.
- Eliminazione degli account Gmail che utilizzano un indirizzo email aziendale come indirizzo alternativo.
A seconda dei set di account esistenti che hai identificato, alcuni di questi stream potrebbero non essere pertinenti per te.
Il seguente diagramma di flusso illustra la procedura di consolidamento. I flussi, indicati da linee parallele, sono indipendenti l'uno dall'altro, quindi puoi eseguirli in parallelo.
Il diagramma mostra questo flusso:
- Identifica un insieme di account consumer di cui eseguire la migrazione. Se hai un numero elevato di account consumer, è meglio eseguire la migrazione in batch. Inizia con un piccolo batch di circa 10 utenti, quindi aumenta le dimensioni dei batch nelle migrazioni successive.
Comunica agli utenti interessati la tua intenzione di trasferire gli account consumer. Assicurati che gli utenti comprendano l'importanza e le conseguenze dell'accettazione o del rifiuto di una richiesta di trasferimento.
Per un esempio di come potrebbe apparire un messaggio email di annuncio, consulta Comunicazione anticipata per la migrazione degli account utente.
Esegui la migrazione degli account consumer selezionati utilizzando lo strumento di trasferimento per gli utenti non gestiti. Questo processo è descritto in modo più dettagliato in Eseguire la migrazione degli account consumer.
Attendi che la maggior parte degli utenti (un quorum) accetti o rifiuti le richieste di trasferimento e invia nuovamente le richieste di trasferimento, se necessario. Puoi vedere se un utente ha risposto consultando lo Strumento di trasferimento per gli utenti non gestiti.
Se utilizzi un IdP esterno, alcuni degli account utente di cui è stata eseguita la migrazione potrebbero non avere un'identità corrispondente nell'IdP esterno. Riconcilia questi account utente gestiti orfani per assicurarti che tutti gli account utente gestiti abbiano un'identità corrispondente nel provider di identità esterno.
Rimuovi tutti gli account consumer che non vuoi migrare.
Cerca nei tuoi criteri IAM (Gestione di identità e accessi) gli account Gmail (cerca le voci
*@gmail.com). Revoca dell'accesso a questi account e fornitura agli utenti interessati di account utente gestiti come sostituti. Per ridurre al minimo l'impatto sugli utenti, assicurati che questi account utente gestiti abbiano lo stesso accesso o un accesso simile alle risorse degli account Gmail precedenti.Se esistono account Gmail che utilizzano un indirizzo email aziendale come indirizzo email alternativo, sanifica questi account Gmail.
Best practice
Quando consolidi gli account utente esistenti, ti consigliamo di attenerti alle seguenti best practice:
- Se esegui la migrazione da un sistema di posta esterno a Google Workspace, ricorda che gli account consumer potrebbero utilizzare un indirizzo email soggetto anch'esso alla migrazione. Per assicurarti che i proprietari di questi account consumer continuino a ricevere email, non modificare i record MX DNS finché non avrai eseguito la migrazione di tutti gli account consumer interessati.
- Dopo aver completato il consolidamento, valuta la possibilità di provisionare tutti gli utenti e limitare l'autenticazione tramite Single Sign-On per bloccare le nuove registrazioni di account consumer.
Passaggi successivi
- Scopri come migrare gli account consumer e come rimuovere gli account consumer indesiderati.
- Scopri come sanificare gli account Gmail.
- Scopri come riconciliare gli account utente gestiti orfani.