本頁面由 Cloud Translation API 翻譯而成。

準備 Google Workspace 或 Cloud Identity 帳戶

Last reviewed 2024-07-11 UTC

本文說明如何建立 Cloud Identity 或 Google Workspace 帳戶，以及如何為正式部署作業做好準備。

事前準備

如要準備 Cloud Identity 或 Google Workspace 帳戶，請務必完成下列步驟：

根據我們的參考架構，為實際部署作業選取目標架構。
判斷是否需要一個或多個額外的 Cloud Identity 或 Google Workspace 帳戶，以用於正式環境或測試環境。如要瞭解如何判斷要使用的帳戶數量，請參閱「規劃帳戶和機構的最佳做法」。
找出合適的新手上路計畫，並完成該計畫中定義的所有活動，做為整合現有使用者帳戶的先決條件。

請務必為每個必須建立的 Cloud Identity 或 Google Workspace 帳戶，完成下列事項：

您已選取要做為主網域名稱的 DNS 網域名稱。這個網域名稱會決定相關聯 Google Cloud 機構的名稱。您可以使用中性網域名稱做為主要網域名稱。
您已選取要新增至帳戶的次要 DNS 網域名稱。請確認每個帳戶的網域總數不超過 600 個。

如要完成新 Cloud Identity 或 Google Workspace 帳戶的註冊程序，您還需要提供下列資訊：

聯絡電話號碼和電子郵件地址。如果帳戶發生問題，Google 會使用這組電話號碼和地址與您聯絡。
第一個超級管理員使用者帳戶的電子郵件地址。電子郵件地址必須使用主要 DNS 網域，且不得由現有消費者帳戶使用。

如果打算稍後設定同盟，請選取對應至外部身分識別提供者 (IdP) 中使用者的電子郵件地址。

建立新的 Cloud Identity 或 Google Workspace 帳戶時，可能需要貴機構的多個團隊和利害關係人共同合作。包括：

DNS 管理員。如要驗證主要和次要 DNS 網域，您必須擁有這兩個 DNS 區域的管理員存取權。
如果您使用外部 IdP，則為外部 IdP 的管理員。
機構的未來管理員。 Google Cloud

準備帳戶的程序

下方的流程圖說明準備 Cloud Identity 或 Google Workspace 帳戶的程序。如圖所示，這個程序可能需要不同團隊合作。

準備 Cloud Identity 或 Google Workspace 帳戶。

申請 Cloud Identity 或 Google Workspace。註冊時，您必須提供聯絡電話號碼和電子郵件地址、要使用的主要網域，以及第一個超級管理員使用者帳戶的使用者名稱。

注意： 如果所選主要 DNS 網域已由其他 Cloud Identity 或 Google Workspace 帳戶使用，註冊程序可能會失敗。
在 DNS 伺服器的對應 DNS 區域中建立 TXT 或 CNAME 記錄，驗證主要網域的擁有權。
將任何次要網域新增至 Cloud Identity 或 Google Workspace 帳戶。
在 DNS 伺服器的對應 DNS 區域中建立 TXT 或 CNAME 記錄，驗證次要網域的擁有權。
保護帳戶：設定安全性設定。
為使用者帳戶建立預設設定。

安全存取帳戶

註冊時，您會在 Cloud Identity 或 Google Workspace 帳戶中建立第一個使用者。這個使用者帳戶已獲派超級管理員權限，可完整存取 Cloud Identity 或 Google Workspace 帳戶。

您必須具備超級管理員權限，才能完成 Cloud Identity 或 Google Workspace 帳戶的初始設定。完成初始設定後，您很少會需要超級管理員權限，但為確保業務持續運作，您和其他授權人員必須保留 Cloud Identity 或 Google Workspace 帳戶的超級管理員存取權：

如要確保這項存取權，請按照下列步驟操作：

選取應具備 Cloud Identity 或 Google Workspace 帳戶超級管理員存取權的管理員群組。建議您盡量減少使用者人數。
為每位管理員建立一組專屬的超級管理員使用者帳戶。
為這些使用者強制執行 Google 兩步驟驗證，並要求他們建立備用碼，這樣即使遺失手機或 USB 金鑰，也能維持存取權。
指示管理員只在必要時使用超級管理員帳戶，並避免日常使用這些帳戶。

如要進一步瞭解如何確保超級管理員使用者的安全，請參閱超級管理員帳戶最佳做法。如要確保帳戶安全無虞，請參閱適用於中大型企業的安全性檢查清單。

設定使用者帳戶的預設設定

Cloud Identity 和 Google Workspace 支援多項設定，可協助您確保使用者帳戶安全無虞：

強制執行兩步驟驗證。
控管可存取 Google Workspace 和 Google 服務的人員。
允許或禁止存取安全性較低的應用程式。
指派 Cloud Identity 進階版或 Google Workspace 的授權。
選擇資料存放的地理位置，以及控管增補資料儲存空間 (僅限 Google Workspace)。

為盡量減少管理工作，建議您設定這些設定，讓系統預設為新使用者套用這些設定。您可以在下列層級設定預設設定：

全域：全域設定會套用至所有使用者，但優先順序最低。
機構單位 (OU)：為機構單位設定的設定會套用至該機構單位和子機構單位中的所有使用者，並覆寫全域設定。
群組：群組設定會套用至所有群組成員，並覆寫機構單位和全域設定。

建立機構單位架構

建立機構單位結構後，您可以將 Cloud Identity 或 Google Workspace 帳戶的使用者帳戶劃分為不同集合，方便管理。

如果您搭配使用 Cloud Identity 和外部 IdP，可能就不需要建立自訂機構單位。您可以改為合併使用全域和群組專屬設定：

將所有使用者帳戶保留在預設機構單位中。
如要控管哪些人可以存取特定 Google 服務，請在外部 IdP 中建立專屬群組，例如 Google Cloud Users and Google Ads Users。將這些群組佈建至 Cloud Identity，並套用正確的預設設定。然後在外部 IdP 中修改群組成員資格，即可控管存取權。

如果部分或所有使用者都使用 Google Workspace，您可能需要自訂機構單位結構，因為部分 Google Workspace 專屬設定無法透過群組套用。如果使用外部 IdP，建議您盡可能簡化機構單位結構，如下所示：

建立基本機構單位結構，自動指派授權、選擇資料存放的地理位置，以及控管增補資料儲存空間。至於其他設定，建議您依群組套用設定。
設定外部 IdP，讓新使用者自動指派至正確的機構單位。
在外部 IdP 中建立專屬群組，例如 Google Cloud Users and Google Ads Users。將這些群組佈建至 Google Workspace，並套用正確的預設設定。接著，您可以在外部 IdP 中修改群組成員資格，藉此控管存取權。

預設 OU 對帳戶遷移的影響

如果您已找出打算遷移到 Cloud Identity 或 Google Workspace 的現有個人帳戶，預設機構單位就扮演著特殊角色。如果將一般帳戶遷移至 Cloud Identity 或 Google Workspace，該帳戶一律會放入預設機構單位，且不屬於任何群組。

如要遷移個人帳戶，請先啟動帳戶轉移程序。這項轉移作業必須由消費者帳戶擁有者核准。管理員的控制權有限，但如果擁有者同意，您就能完成轉移。

轉移完成後，套用至預設機構單位的設定，都會對遷移的使用者帳戶生效。請確認這些設定授予 Google 服務基本存取權，確保相關聯的員工不會受到工作能力限制。

最佳做法

準備 Cloud Identity 或 Google Workspace 帳戶時，請遵循下列最佳做法：

如果您使用外部 IdP，請確認 Cloud Identity 或 Google Workspace 中的使用者是外部 IdP 身分的子集。
請考慮縮短預設工作階段長度和工作階段長度 Google Cloud。使用外部 IdP 時，請務必將工作階段時間長度與 IdP 保持一致。
將稽核記錄匯出至 BigQuery，即可保留超過預設保留期限的記錄。
為確保帳戶安全，請定期查看中大型企業適用的安全性檢查清單。

後續步驟

請參閱如何合併現有使用者帳戶。