整合账号概览

如果您的组织尚未使用 Cloud Identity 或 Google Workspace，您的一些员工可能在使用消费者账号访问 Google 服务。消费者账号由创建账号的个人拥有和管理。因此，您的组织无法控制这些消费者账号的配置、安全性和生命周期。

本文档介绍了如何整合现有消费者账号，以实现以下结果：

• 只有受管理的用户账号可用于访问 Google 服务。
• 您的组织可以完全控制用户账号的配置、安全性和生命周期。
• 如果您使用外部 IdP，则所有用户账号在您的外部身份提供商 (IdP) 中都有匹配的身份，并且可用于单点登录。

准备工作

在整合消费者账号之前，请确保确定合适的初始配置方案，并满足整合现有用户账号的前提条件。

整合现有用户账号时，您可能需要与组织中的多个团队和利益相关者协作，包括：

• 您的外部 IdP（如果您在使用）的管理员。
• 您的电子邮件系统的管理员。
• 负责管理您组织所用的 Google 服务（例如 Google Marketing Platform、Google Ads 或 Google Play）访问权限的用户。

如果您使用单独的 Cloud Identity 或 Google Workspace 组织进行预演和生产，我们建议您先试运行整合流程：

• 对于需要整合的现有消费者账号的每个类别，请创建一个使用类似配置的测试用户账号。为这些测试用户账号分配电子邮件地址时，请选择与您的预演账号的某个网域匹配的电子邮件地址。
• 使用测试用户账号和您的预演 Google Workspace 或 Cloud Identity 账号执行整合过程。

通过试运行，您可以在将该过程应用于生产环境之前熟悉该过程。此外，它还可以帮助您在应用到数千名用户之前先识别出潜在问题。

整合过程

整合过程包括以下流程：

• 将消费者账号迁移至 Cloud Identity 或 Google Workspace。
• 逐出您不想保留的消费者账号。
• 识别和移除 Gmail 账号的访问权限。
• 清理将公司电子邮件地址用作备用地址的 Gmail 账号。

根据您已确定的现有账号集合，其中一些流程可能不适用于您的情况。

以下流程图对整合过程进行了说明。并列的行指示的流程是相互独立的，因此您可以并行执行这些流程。

下图显示了此流程：

1. 确定一组要迁移的消费者账号。如果您有大量消费者账号，最好执行批量迁移。从包含大约 10 位用户的小批次开始，然后在后续迁移中增加批次中的用户数量。

2. 告知受影响的用户您转移消费者账号的意图。确保用户了解接受或拒绝转移请求的重要性和后果。

   如需查看示例电子邮件通知，请参阅用户账号迁移事先通知。

3. 使用非受管用户转移工具迁移所选消费者账号。迁移消费者账号中更详细地介绍了此过程。

4. 等待大多数用户（多数派）接受或拒绝转移请求，并根据需要重新发送转移请求。您可以通过查看非受管用户转移工具来查看用户的回复。

5. 如果您使用的是外部 IdP，则一些已迁移的用户账号最终可能在外部 IdP 中没有匹配的身份。协调这些孤立的受管理用户账号，确保所有受管理的用户账号在外部 IdP 中都具有匹配的身份。

6. 逐出您不想迁移的所有消费者账号。

7. 在您的 Identity and Access Management (IAM) 政策中搜索 Gmail 账号（搜索 *@gmail.com 条目）。撤消对这些账号的访问权限，并为受影响的用户提供受管理的用户账号作为替代。为了最大限度地减少对用户的影响，请确保这些受管理的用户账号对资源的访问权限与以前的 Gmail 账号相同或类似。

8. 如果有将公司电子邮件地址用作备用邮箱的 Gmail 账号，请清理这些 Gmail 账号。

最佳做法

我们建议您在整合现有用户账号时遵循以下最佳做法：

• 如果您要从外部电子邮件系统迁移到 Google Workspace，请注意，消费者账号使用的电子邮件地址也可能需要迁移。为确保这些消费者账号的所有者能够继续接收电子邮件，请在迁移所有受影响的消费者账号后才更改 DNS MX 记录。
• 完成整合后，请考虑预配所有用户并通过单点登录限制身份验证，以防用户注册新的消费者账号。

后续步骤

• 了解如何迁移消费者账号以及如何逐出不需要的消费者账号。
• 了解如何清理 Gmail 账号。
• 了解如何协调孤立的受管理用户账号。