Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Eseguire la migrazione degli account consumer

Last reviewed 2024-07-11 UTC

Questo documento descrive come eseguire la migrazione degli account consumer ad account utente gestiti controllati da Cloud Identity o Google Workspace.

Se la tua organizzazione non ha mai utilizzato Cloud Identity o Google Workspace, è possibile che alcuni dipendenti utilizzino account consumer per accedere ai servizi Google. Alcuni di questi account consumer potrebbero utilizzare un indirizzo email aziendale, ad esempio alice@example.com, come indirizzo email principale.

Gli account consumer sono di proprietà e gestiti dalle persone che li hanno creati. Di conseguenza, la tua organizzazione non ha alcun controllo sulla configurazione, sulla sicurezza e sul ciclo di vita di questi account.

Prima di iniziare

Per eseguire la migrazione degli account consumer a Cloud Identity o Google Workspace, devi soddisfare i seguenti prerequisiti:

Hai identificato un piano di onboarding adatto e hai completato tutti i prerequisiti per consolidare gli account utente esistenti.
Hai creato un account Cloud Identity o Google Workspace e hai preparato l'unità organizzativa (UO) predefinita per concedere l'accesso appropriato agli account utente di cui è stata eseguita la migrazione.

Ogni account consumer di cui prevedi di eseguire la migrazione deve soddisfare i seguenti criteri:

Non può essere un account Gmail.
Deve utilizzare un indirizzo email principale che corrisponda al dominio principale o a un dominio secondario del tuo account Cloud Identity o Google Workspace. Nel contesto della migrazione di un account consumer, gli indirizzi email alternativi e i domini alias vengono ignorati.
Il proprietario deve essere in grado di ricevere email all'indirizzo email principale dell'account.

La conversione di un account consumer in un account gestito implica che l'utente che ha registrato l'account consumer trasferisca il controllo dell'account e dei dati associati alla tua organizzazione. La tua organizzazione potrebbe richiedere ai dipendenti di firmare e rispettare una policy di utilizzo accettabile delle email che vieta l'utilizzo degli indirizzi email aziendali per scopi privati. In questo caso, puoi dare per scontato che l'account consumer sia stato utilizzato solo per scopi aziendali. Tuttavia, se la tua organizzazione non ha una policy di questo tipo o la policy consente un determinato utilizzo personale, l'account consumer potrebbe essere associato a una combinazione di dati aziendali e personali. Data questa incertezza, non puoi forzare la migrazione di un account consumer a un account gestito, pertanto una migrazione richiede sempre il consenso dell'utente.

Processo

La migrazione degli account consumer ad account gestiti è un processo in più passaggi che devi pianificare con attenzione. Le sezioni seguenti illustrano la procedura.

Panoramica del processo

L'obiettivo della migrazione è convertire un account consumer in un account utente gestito mantenendo sia l'identità dell'account, come indicato dal suo indirizzo email, sia tutti i dati associati all'account.

Durante una migrazione di questo tipo, un account può trovarsi in uno dei quattro stati indicati nel seguente diagramma della macchina a stati.

I quattro stati della migrazione dell'account.

Quando aggiungi e verifichi un dominio in Cloud Identity o Google Workspace, qualsiasi account consumer che utilizza un indirizzo email con questo dominio diventa un account non gestito. Per l'utente, questo non ha alcun impatto: può accedere e accedere ai propri dati come di consueto.

L'aggiunta di un dominio in Google Workspace o Cloud Identity influisce solo sugli utenti il cui indirizzo email corrisponde esattamente a questo dominio. Ad esempio, se aggiungi example.com, l'account johndoe@example.com viene identificato come un account non gestito, mentre johndoe@corp.example.com non lo è, a meno che tu non aggiunga anche corp.example.com all'account Cloud Identity o Google Workspace.

L'esistenza di account non gestiti viene visualizzata come amministratore di Cloud Identity o Google Workspace. Puoi quindi chiedere all'utente di trasferire il proprio account in un account gestito.

Trasferimento di account non gestiti in account gestiti.

Nel diagramma precedente, se l'utente johndoe acconsente a un trasferimento, l'account non gestito viene convertito in un account gestito. L'identità rimane la stessa, ma ora Cloud Identity o Google Workspace controlla l'account, inclusi tutti i relativi dati.

Il controllo di un account gestito passa a Cloud Identity o Google Workspace.

Se l'utente johndoe non acconsente a un trasferimento di dati, ma crei un account in Cloud Identity o Google Workspace utilizzando lo stesso indirizzo email, il risultato è un account in conflitto. Un account in conflitto è in realtà costituito da due account, uno consumer e uno gestito, associati alla stessa identità, come nel seguente diagramma.

Un account in conflitto con un account consumer e un account gestito.

Un utente che accede utilizzando un account in conflitto visualizza una schermata che gli chiede di selezionare l'account gestito o l'account consumer per riprendere la procedura di accesso.

Per evitare di ritrovarti con account in conflitto, è utile comprendere gli stati degli account in modo più dettagliato.

Processo in dettaglio

Il seguente diagramma della macchina a stati illustra gli stati degli account in modo più dettagliato. Le caselle rettangolari a sinistra indicano le azioni che un amministratore di Cloud Identity o Google Workspace può intraprendere, mentre le caselle rettangolari a destra indicano le attività che solo il proprietario di un account consumer può eseguire.

Diagramma della macchina a stati degli stati dell'account.

Trovare account utente non gestiti

Quando ti registri a Cloud Identity o Google Workspace, devi fornire un nome di dominio, per il quale ti viene chiesto di verificare la proprietà. Una volta completata la procedura di registrazione, puoi aggiungere e verificare i domini secondari.

Verificando un dominio, avvii automaticamente una ricerca di account consumer che utilizzano questo dominio nel loro indirizzo email. Entro circa 12 ore, questi account verranno visualizzati come account utente non gestiti nello strumento di trasferimento per gli utenti non gestiti.

La ricerca di account consumer considera il dominio principale registrato in Cloud Identity o Google Workspace, nonché qualsiasi dominio secondario verificato. La ricerca tenta di trovare una corrispondenza tra questi domini e l'indirizzo email principale di tutti gli account consumer. Al contrario, i domini alias registrati in Cloud Identity o Google Workspace e gli indirizzi email alternativi degli account consumer non vengono presi in considerazione.

Gli utenti degli account consumer interessati non vengono informati del fatto che hai verificato un dominio o che hai identificato il loro account come account non gestito. Possono continuare a utilizzare i propri account come di consueto.

Avviare un trasferimento

Oltre a mostrare tutti gli account non gestiti, lo strumento di trasferimento per gli utenti non gestiti ti consente di avviare un trasferimento dell'account inviando una richiesta di trasferimento dell'account. Inizialmente, un account viene visualizzato come Non ancora invitato, a indicare che non è stata inviata alcuna richiesta di trasferimento.

L'account è elencato come "Non inviato".

Se selezioni un utente e invii una richiesta di trasferimento dell'account, l'utente riceve un'email simile alla seguente. Nel frattempo, l'account passa a essere elencato come Invitato.

L'account è elencato come "Richiesta inviata".

Accettare o ignorare un trasferimento

Dopo aver ricevuto la richiesta di trasferimento, un utente interessato potrebbe semplicemente ignorarla e continuare a utilizzare l'account come di consueto. In questo caso, puoi inviare un'altra richiesta, ripetendo la procedura.

Finché l'utente non accetta la richiesta di trasferimento, la funzionalità dell'account non gestito non viene compromessa: gli utenti possono accedere e accedere ai propri dati. Tuttavia, la procedura di migrazione dei dati dell'account a Google Workspace o Cloud Identity viene ostacolata finché un utente continua a ignorare una richiesta di trasferimento. Per evitare che ciò accada, assicurati di comunicare il tuo piano di migrazione ai dipendenti prima di inviare le prime richieste di trasferimento. Assicurati inoltre che i dipendenti siano pienamente consapevoli dei motivi e delle conseguenze dell'accettazione o dell'ignoranza di una richiesta di trasferimento.

Anziché ignorare la richiesta, un utente potrebbe anche modificare l'indirizzo email dell'account. Se l'utente modifica l'indirizzo email principale in modo da utilizzare un dominio non verificato da alcun account Cloud Identity o Google Workspace, l'account torna a essere un account consumer. Anche se lo strumento di trasferimento potrebbe continuare a elencare temporaneamente l'utente come account non gestito, non puoi più avviare un trasferimento dell'account per un account rinominato di questo tipo.

Creare un account in conflitto

Se in qualsiasi momento crei un account utente in Cloud Identity o Google Workspace con lo stesso indirizzo email di un account utente non gestito, la Console di amministrazione ti avvisa di un conflitto imminente:

Creazione di un account in conflitto.

Se ignori questo avviso e crei comunque un account utente, questo nuovo account, insieme all'account non gestito, diventa un account in conflitto. La creazione di un account in conflitto è utile se vuoi rimuovere un account consumer indesiderato, ma è meglio evitarlo se il tuo obiettivo è eseguire la migrazione di un account consumer a Cloud Identity o Google Workspace.

La creazione di un account in conflitto può avvenire involontariamente. Dopo aver eseguito la registrazione a Cloud Identity o Google Workspace, potresti decidere di configurare il Single Sign-On con un provider di identità (IdP) esterno, ad esempio Microsoft Entra ID (in precedenza Azure Active Directory) o Active Directory. Una volta configurato, l'IdP esterno potrebbe creare automaticamente account in Cloud Identity o Google Workspace per tutti gli utenti per cui hai abilitato il Single Sign-On, creando inavvertitamente account in conflitto.

Utilizzare un account in conflitto

Ogni volta che l'utente accede utilizzando un account in conflitto, visualizza una schermata di voto come la seguente.

Schermata di scelta che viene visualizzata quando un utente tenta di accedere a un account in conflitto.

Quando seleziona la prima opzione, la procedura di accesso continua utilizzando la parte gestita dell'account in conflitto. All'utente viene chiesto di fornire la password che hai impostato per l'account gestito oppure, se hai configurato il Single Sign-On, viene reindirizzato a un IdP esterno per l'autenticazione. Una volta autenticato, può utilizzare l'account come qualsiasi altro account gestito, ma poiché non è stato trasferito alcun dato dall'account consumer originale, si tratta di un nuovo account.

Quando sceglie la seconda opzione nella schermata di voto, all'utente viene chiesto di modificare l'indirizzo email della parte consumer dell'account in conflitto.

Richiesta di modifica della parte consumer dell'account in conflitto.

Modificando l'indirizzo email, l'utente risolve il conflitto assicurandosi che l'account gestito e l'account consumer abbiano di nuovo identità diverse. Il risultato è che l'utente ha un account consumer con tutti i dati originali e un account gestito che non ha accesso ai dati originali.

L'utente può posticipare la ridenominazione dell'account facendo clic su Esegui questa operazione in un secondo momento. Questa azione imposta l'account sullo stato Rimosso. In questo stato, l'utente visualizza la stessa schermata di voto ogni volta che accede e all'account viene assegnato un indirizzo email temporaneo gtempaccount.com fino a quando non viene rinominato.

Un altro modo per risolvere il conflitto è eliminare l'account gestito in Cloud Identity o Google Workspace oppure, se utilizza il Single Sign-On, nell'IdP esterno. In questo modo, la schermata di voto non viene visualizzata al successivo accesso con l'account, ma l'utente deve comunque modificare l'indirizzo email dell'account.

Se l'utente modifica l'indirizzo email con un indirizzo email privato, l'account rimane un account consumer. Se l'utente decide di ripristinare l'indirizzo email aziendale originale, l'account torna a essere un account non gestito.

Completare un trasferimento

Se un utente accetta il trasferimento, l'account viene visualizzato in Cloud Identity o Google Workspace. L'account è ora considerato un account gestito e tutti i dati associati all'account consumer originale vengono trasferiti all'account gestito.

Se Cloud Identity o Google Workspace non è configurato per utilizzare un IdP esterno per il Single Sign-On, l'utente può accedere utilizzando la password originale e continuare a utilizzare l'account come di consueto.

Se utilizzi il Single Sign-On, l'utente non potrà più accedere con la password esistente. Quando tenta di accedere, viene reindirizzato alla pagina di accesso dell'IdP esterno. Affinché l'operazione vada a buon fine, l'IdP esterno deve riconoscere l'utente e consentire il Single Sign-On. In caso contrario, l'account viene bloccato.

Best practice

Se intendi eseguire la migrazione degli account consumer esistenti a Cloud Identity o Google Workspace, pianifica e coordina in anticipo i passaggi della migrazione. Una buona pianificazione evita di interrompere l'attività degli utenti e riduce al minimo il rischio di creare inavvertitamente account in conflitto.

Quando pianifichi la migrazione di un account consumer, prendi in esame le seguenti best practice:

Se utilizzi un IdP esterno, assicurati di configurare il provisioning degli account utente e il Single Sign-On in modo da non ostacolare la migrazione degli account consumer.
Informa gli utenti interessati prima di una migrazione. La migrazione degli account consumer ad account gestiti richiede il consenso degli utenti e potrebbe anche influire personalmente se hanno utilizzato gli account per scopi privati. Pertanto, è fondamentale informare gli utenti interessati dei tuoi piani di migrazione.

Prima di avviare la migrazione, comunica agli utenti le seguenti informazioni:
- Motivazione e importanza della migrazione dell'account.
- Impatto sui dati personali associati agli account esistenti.
- Intervallo di tempo in cui gli utenti possono aspettarsi di ricevere una richiesta di trasferimento.
- Intervallo di tempo in cui prevedi che gli utenti approvino un trasferimento.
- Modifiche imminenti alla procedura di accesso dopo la migrazione (si applica solo quando si utilizza la federazione).
- Istruzioni su come trasferire la proprietà dei file privati di Google Docs a un account personale.
Se annunci la migrazione via email, alcuni utenti potrebbero pensare che si tratti di un tentativo di phishing. Per evitare che ciò accada, valuta la possibilità di annunciare la migrazione anche tramite un altro mezzo.

Per un esempio di email di annuncio, vedi Comunicazione anticipata per la migrazione degli account utente.
Avvia i trasferimenti in batch. Inizia con un piccolo batch di circa 10 utenti e aumenta le dimensioni del batch man mano che procedi.
Concedi agli utenti interessati un tempo sufficiente per reagire alle richieste di trasferimento. Tieni presente che alcuni dipendenti potrebbero essere in vacanza o in congedo di maternità e non essere in grado di reagire rapidamente.
Assicurati che, acconsentendo a un trasferimento, gli utenti non perdano l'accesso ai dati o ai servizi Google di cui hanno bisogno.