如果貴機構尚未採用 Cloud Identity 或 Google Workspace,部分員工可能使用個人帳戶存取 Google 服務。消費者帳戶是由帳戶建立者個人擁有及管理。因此,貴機構無法控管這些個人帳戶的設定、安全性和生命週期。
本文說明如何整合現有的消費者帳戶,以達成下列目標:
- 只有受管理的使用者帳戶可用於存取 Google 服務。
- 貴機構可全權控管使用者帳戶的設定、安全性和生命週期。
- 如果您使用外部 IdP,所有使用者帳戶在外部識別資訊提供者 (IdP) 中都有相符的 ID,可用於單一登入。
事前準備
整合消費者帳戶前,請先找出合適的新手上路計畫,並完成整合現有使用者帳戶的必要條件。
整合現有使用者帳戶時,您可能需要與貴機構中的多個團隊和利害關係人合作,包括:
- 如果您使用外部 IdP,則為該 IdP 的管理員。
- 電子郵件系統管理員。
- 負責管理貴機構所用 Google 服務存取權的使用者,例如 Google Marketing Platform、Google Ads 或 Google Play。
如果您使用不同的 Cloud Identity 或 Google Workspace 機構進行暫存和生產,建議您先測試整併程序:
- 針對需要合併的每個現有消費者帳戶類別,建立使用類似設定的測試使用者帳戶。為這些測試使用者帳戶指派電子郵件地址時,請選擇與暫存帳戶網域相符的電子郵件地址。
- 使用測試使用者帳戶和預先發布的 Google Workspace 或 Cloud Identity 帳戶,執行整併程序。
執行測試可讓您熟悉程序,再套用至正式環境。此外,您也可以先找出潛在問題,再套用至數千名使用者。
合併程序
合併程序包含下列流程:
- 將個人帳戶遷移到 Cloud Identity 或 Google Workspace。
- 移除不想保留的個人帳戶。
- 找出並移除 Gmail 帳戶的存取權。
- 清理使用公司電子郵件地址做為替代地址的 Gmail 帳戶。
視您識別出的現有帳戶組合而定,部分資料串流可能不適用於您。
下圖說明合併程序。以平行線表示的串流彼此獨立,因此您可以平行執行。
圖表顯示的流程如下:
- 找出要遷移的一組個人帳戶。如果您有大量個人帳戶,建議以批次方式執行遷移。先從約 10 位使用者的小型批次開始,然後在後續遷移作業中擴大批次。
向受影響的使用者宣布您打算轉移個人帳戶。請務必讓使用者瞭解接受或拒絕轉移要求的重要性與後果。
如要查看公告電子郵件訊息範例,請參閱「使用者帳戶遷移作業的預先通知」。
使用用於轉移未受管理使用者的工具,遷移所選的消費者帳戶。 詳情請參閱「遷移個人帳戶」。
等待大多數使用者 (仲裁) 接受或拒絕轉移要求,並視需要重新傳送轉移要求。您可以查看用於轉移未受管理使用者的工具,確認使用者是否已回覆。
如果您使用外部 IdP,部分已遷移的使用者帳戶可能無法在外部 IdP 中找到相符的身分。調整這些缺乏對應身分的受控使用者帳戶,確保所有受控使用者帳戶在外部 IdP 中都有相符的身分。
搜尋 Gmail 帳戶的身分與存取權管理 (IAM) 政策 (搜尋
*@gmail.com項目)。撤銷這些帳戶的存取權,並為受影響的使用者提供受管理使用者帳戶做為替代方案。為盡量減少對使用者的影響,請確保這些受管理的使用者帳戶與先前的 Gmail 帳戶具有相同或類似的資源存取權。如果 Gmail 帳戶使用公司電子郵件地址做為備用電子郵件地址,請清除這些 Gmail 帳戶。
最佳做法
整合現有使用者帳戶時,建議您採取下列最佳做法:
- 如果您要從外部電子郵件系統遷移至 Google Workspace,請注意,一般帳戶可能使用也須遷移的電子郵件地址。為確保這些個人帳戶擁有者能繼續接收電子郵件,請在遷移所有受影響的個人帳戶後,再變更 DNS MX 記錄。
- 完成整併後,請考慮佈建所有使用者,並透過單一登入限制驗證,禁止註冊新的個人帳戶。
後續步驟
- 瞭解如何遷移個人帳戶,以及如何移除不需要的個人帳戶。
- 瞭解如何清除 Gmail 帳戶。
- 瞭解如何調整缺乏對應身分的受控使用者帳戶。