Google Workspaceの管理対象に含まれないユーザ用の移行ツールを検証してみた

Google Workspace導入前に別にメールボックスがあり(会社ドメイン)、そのアドレスを元にGoogleアカウントを会社ドメインで野良で作成できてしまう。これが後にGoogle Workspace導入時にちょっとした問題になることがあります。

このアカウントは会社ドメインではあるものの、会社管理のテナント外のアカウントであるため、GWS導入したならば自社テナントのアカウントとして引き込みたい。今回これを実現する機能である「管理対象に含まれないユーザ用の移行ツール」を深掘りしてみたいと思います。

今回利用するツール

このツールはいわゆるドメインで作成された野良のGmailアカウントを取り込む為のツールです。Microsoft365やレンタルサーバのメールアカウントがある場合、GWSを導入するとこのような野良アカウントが発生する可能性があります。

誰でも何でも野良アカウントが自由に作れるわけじゃないのですが、GWS導入の障害の1つになるので要注意です。

※GWSのプランがEnterprise EssentialのようなGMailの無いプランの場合、GMailの設定が無い為、疑似的に野良アカウントを作成して検証は出来ません(ルーティングが出来ない為)

個人GoogleアカウントをGoogle Workspaceに移管する手法

何が問題になるのか?

個人の野良アカウントというのは、メールアドレスが自社のドメインであるが自社のGWSテナントでは管理されていない個人アカウントです。GWSではないので、以下のようなリスクがあります。

  • 管理されていないので当然レポートなどで追跡することも保護することも出来ません。
  • 情報漏洩の制御なども一切することが出来ません。
  • GWSと違い中身はただのgmailアカウントなので、利用できるサービスも全く違い低機能です。
  • 一見するとメアドが会社ドメインなので、相手からしたらあたかも会社から送られたように見えてしまう。
  • ドメインは同じでもGWSテナント管理下にはないので、共有ドライブなどにアクセスすることは出来ません。
  • 移行ツールで移行は強制出来ません。よって、相手が承諾して移行してくれないとそのままです(社内での運用を要する)
  • 最も面倒なのが退職者のアカウント。すでに連絡が取れないだとかもう忘れて入れないだとか。これは移行出来ない可能性が高いです。

とまぁ、なんでこんな機能があるのかと思いますが、あるのだから仕方ないです。しかしこの問題はどの企業にも起こり得る問題です。

検証用環境の構築

ルーティングの設定

とは言え、どうやって自分のドメインにて無償の野良アカウントを作るのか?ですが、そもそもその同一アカウントで他にメールを受信する環境がなければ出来ません(例えばMicrosoft365側にメールボックスが用意されている等)。理由は、作成時に確認用メールをそのアドレス宛に送信する為。

つまりメアドに対するメールボックスが既に別に用意されていないと野良アカウントは作れません。

それが無い場合の検証としてはテナントに於けるルーティングで指定のメアドを別のメアドに転送する設定を追加しておく必要性があります。

  1. 管理コンソールに入る
  2. サイドバーからアプリ⇒Google Workspace⇒Gmailを開く
  3. 下の方にあるルーティングを開く
  4. 設定の名称を適当にまずは入力します。
  5. 下の方にある「受信者アドレスマップを使用したメール転送」を見つけ、別のルールを追加をクリック
  6. 追加をクリックして、アドレスに対して作成する野良アカウントのメアドを入れる
  7. マッピング先のアドレスに自身が利用してる別のメアドを入れる
  8. 保存をクリックする

これで、5.で入力したメアドあてのメールは6.で入力したアカウントに転送されるようになるので、確認メールを受信することが可能になります。

図:メールを転送する設定を入れる

無償gmailアカウントを作成

今回、テストでnoraemon@hogehoge.comといったスタイルで作成してみようと思います。

  1. サインアップのページを開く
  2. 姓名を入れて次へをクリックする
  3. 生年月日や性別を入れて次へをクリックする
  4. 次の画面では「既存のメールアドレスを使用する」をクリックする
  5. 前述のルーティングにて登録した野良アカウントメールアドレスを入力して次へをクリックする
  6. ルーティングで転送設定した宛先に「メールアドレスの確認」のメールが届くので開く
  7. 中にコードが入ってるので、これを入力して次へをクリックする
  8. パスワードを設定して次へ進む
  9. 電話番号を追加はスキップでオッケー(ここで強制で電話番号認証を求められた場合そのままでは続行出来ません。Androidなどのスマフォからだとスキップして作成できる裏技がありますが、独自ドメインの場合この手は使えません。別のマシンから行うとスキップできる場合があります)。
  10. 次へをクリックする
  11. 規約が出るので同意するをクリックする
  12. これでアカウントが作成されました。
  13. 次に作成したアカウントでGmailを開いてみます。
  14. Gmail を Google アカウントに追加するという項目が出てきます。メールを追加したい場合は指示に従って追加します。(デフォルトだとメールが使えない状態です)。
  15. Driveなどを開くとなぜかデフォルトだと英語表記の画面になってるので言語設定から変更可能です。

検証が完了したらこのアカウントは面倒なので削除しておきましょう。

図:簡単に作れちゃうんですよね・・・

図:デフォルトで英語表記の謎

GWSテナントで同名のアカウントを作る

この時点ではまだ競合していないので、「管理対象外ユーザ」には出てきません。GWSにて野良アカウントと同名のアカウントを作成してみます。ちなみに先にGWSにアカウントが存在してる場合には、対象の同名では野良アカウントは作れなくなります。

  1. 管理コンソールにログインする
  2. 左サイドバーより、ディレクトリ⇒ユーザを開き新しいユーザの追加をクリックする
  3. ユーザのアドレスは野良アカウントと同じメアドで作成します。
  4. すると、ユーザはすでに存在しますと出ます。今回ここでは「既存のユーザーに移行リクエストをメールで送信する(推奨)」にして、続行をクリックします。
  5. 4.で下のオプションを選択してしまうと、相手のメアドがgtempaccount.comに変更されてしまい、競合するアカウントには出てこなくなります。

これで野良アカウントの検証環境が整いました。但しGWS側にはまだ4.の時点でリクエストを投げただけなので、アカウントは作成されていません。

図:競合アカウントが検出される

競合アカウントの管理

さて、この時点で野良アカウントおよびGWSに同名のアカウントがある状態で、IDが競合してる状態になっています。ここで出てくるのが「管理対象に含まれないユーザ用の移行ツール」になります。

アカウント枠に注意

管理対象外アカウントを取り込むということは、事前にテナント側に相応の「アカウント枠」が用意されてる必要性があります。Google WorkspaceのライセンスもしくはGoogle Cloud Identity Freeなどのライセンスの残り残がなければ取り込むことはできません。

取り込んだ対象者にGoogle Workspaceのライセンスを割り当てないのであれば、事前にCloud Identity Freeのサブスクをテナントに追加しておく必要性がありますが、デフォルトでは50ライセンスしか無償枠がないので、特権管理者のメアドにてフォームを利用して無償枠の拡大をGoogleに依頼しておく必要があります。

Google Cloud Identityはどこまで使えるのか実験

移行ツールを使ってみる

以下の手順で競合アカウントを発見し、移行を促すことが可能です。

  1. 管理コンソールにログインする
  2. 左サイドバーからディレクトリ⇒ユーザを開く
  3. 上部メニューのその他のオプションを開き、管理対象に含まれないユーザ用の移行ツールをクリックする
  4. 管理対象外ユーザ画面が開かれて、招待してる状態の者一覧が出てきます。

この画面はこれだけです。前述のGWS側アカウント作成時に新しいユーザを作成するオプションを選択した場合、相手のアカウントからは独自ドメインを剥がしてgtempaccount.comに強制変更は出来ますが、この時点で管理対象外からも外れてしまうので、一覧に出てこなくなります。

図:管理対象外ユーザとしてリストアップされた

移行をしてみる

さて、招待された野良アカウント側はどうなっているのか?見てみましょう。

  1. ルーティングで転送先アドレスに対して「Googleアカウントの移行リクエスト」というメールが飛んできています。
  2. 中にある「アカウントを移行」をクリックします
  3. 野良アカウントでログインする
  4. 今後の流れというページが開かれます。今すぐご対応くださいというメッセージが表示されてるので次へをクリックする
  5. メール、カレンダー、ドライブ、ドキュメントなどの画面がでて、Discoverというページが表示されれば完了です。この時点で承諾済みとなります。
  6. この状態でシークレットウィンドウを開いて、野良アカウントで入ってみます。
  7. Googleデータエクスポート画面が出てきて、旧データのエクスポートに関して出てきます。
  8. 管理コンソールへ特権管理者でログインしてみます。
  9. GWS側にユーザが追加されており、正式にメンバーとして追加されているのが確認できます。
  10. なお、移行ユーザは組織部門としてはドメインのルート直下に配置されるので設定周りに注意です(例えば外部共有など)

これが届いても無視しつづける人や移行を拒否する人に対しては、なんらかの策を企業側は用意しておく必要があります。

また、この時点で個人としての独自ドメインメアドは消滅しGWSに1本化されます。データは移行されますが個人以外にアクセスは出来ません。

※移行がなされても管理者に「移行されたよ通知」が来るわけじゃないみたいなので、運用ルールが必要そうです。

図:移行メッセージが届く

図:今後の流れ

それまでのデータについて

実際に野良アカウントからテナントに移行してみました。主に以下のようなデータの移行は確認しています。

  • Google Drive上のデータ
  • Googleドキュメントやスプレッドシート類
  • 連絡先
  • カレンダー
  • Google Keep
  • Googleフォト
  • Googleカレンダー
  • GMail

Cloud Identity Freeで移管してしまったのですが、再度Enterprise Standardでライセンスを後から割り当てたら上記のデータは普通に出てきました。故にあとからでもデータはライセンス次第で問題なく閲覧が出来るので、慌てる必要性はありません。

尚、サービスが無効となってるものでも、以前のデータはGoogleデータエクスポートからはこれまでの過去データはダウンロードが可能なことも確認しています。

※管理コンソール上のデータエクスポートはこちらのURLになります。

2段階認証について

ルート直下の組織部門に対して、2段階認証を設定している場合どうなるのか?ということで以下の設定で設定してる状態で、移行をしてみました。

  • 今回はいますぐ強制
  • 且つ新しいユーザの登録期間の猶予を1日で設定

実際に移行を要請されたユーザ側で作業をしてみると、二段階認証設定を促す画面が出てきました。よって、既に存在してるアカウントではあるもののテナントに移行する時には新規作成ユーザと同じ扱いとなるため、いきなり2段階認証設定していないからといって入れなくなるということはなさそうです。

図:二段階認証の設定

図:移行したら二段階認証設定が出てきた

競合するアカウントの管理

しかし、これでは手動でいちいちユーザを作成する度に競合アカウントが出ては移行メッセージを送るといった面倒な作業が発生します。そこで、この作業を自動化する為の設定が用意されています。それが競合するアカウントの管理になります。

  1. 管理コンソールにログインする
  2. 左サイドバーより、アカウント⇒アカウント設定を開きます。
  3. 競合するアカウントの管理をクリックして開きます。
  4. ユーザを自動的に招待して・・・とすると自動で移行リクエストを送信しつづける間隔や、期間内に移行しなかったユーザの対応を自動指定出来ます。
  5. 競合するアカウントを置き換えないとした場合はこれまで通り競合するアカウント画面からの手動の管理となります。
  6. 競合するアカウントを対象アカウントに置き換えた場合、GWS側にアカウントが移り、個人アドレスはgtempaccount.comに変更されます。
  7. 他問答無用で置き換える下のオプションや、デフォルトは置き換えないという選択肢が用意されています。

これで自動プロビジョニングした場合に自動で指定期間でGWS側が勝手にやってくれるので手軽といえば手軽です。

図:競合が発生した時の対応を自動化出来る

関連リンク

コメントを残す

メールアドレスが公開されることはありません。 ※ が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)