在授权 Google Workspace 域名转移操作前,您必须先完成来源环境和目标环境中的任务。
域名转移团队会提供每次试运行的结果,详细阐述哪些转移前任务未完成,以及如何解决这些任务。
在转移前完成以下任务
第 1 步:来源环境任务
-
升级许可(如适用):转移流程不包括转移许可。如果来源环境与目标环境所使用的 Google Workspace 版本不同,那么您需要升级来源环境,使其与目标环境保持一致。有关详情,请查看目标环境任务下的许可转移。
注意:
- 您可以在来源环境中使用宽限期或试用许可作为临时许可采购方案,避免产生费用。不过,请注意以下几点:
- 这些许可会阻止任何其他域名与主域名的交换。请在配置任何临时许可前,更改主域名。
- 如果目标环境中的可用许可为完整许可,则用户在转移后会获得完整许可。
- 来源环境中没有被分配许可的用户仍会转移。
- 您可以在来源环境中使用宽限期或试用许可作为临时许可采购方案,避免产生费用。不过,请注意以下几点:
- 取消不受支持的许可订阅:取消许可订阅可能会造成一定影响。使用 Google Voice 的来源环境必须重点关注此步骤。有关详情,请参阅来源许可。
- 在 Google Workspace 中添加占位域名(如适用):在来源环境中添加并验证新的辅助域名,该域名最终将取代现有的主域名。如果存在辅助域名,且无需转移,则您可以改用该域名。有关详情,请参阅添加用户网域别名或辅助域名。
- 创建占位管理员,并将其设为账号主管理员:创建与占位域名关联的用户账号。如果您打算重新使用旧账号,请确保账号中没有附加以别名形式存在的其他转移域名。您需要授予此用户超级用户角色,并将其设为账号的主管理员。如需了解详情,请参阅向其他管理员发送结算和账号通知。请确保已设置 Google 两步验证,并至少登录过一次以验证对占位管理员账号的访问权限。
- 交换主域名与占位域名:执行域名交换操作,将占位域名升级为新的主域名。
交换域名前的准备工作:
准备好进行交换后,请参阅更改 Google Workspace 的主域名。
- 取消所有设备订阅,包括 Google Meet 设备和 Chrome 企业版。
- 您可能需要在转移前移除部分不受支持的许可。有关详情,请参阅来源许可。
- 如果来源环境中存在试用许可,则域名交换过程将被阻止。请确保在配置任何临时许可前完成域名交换。
- 更改主域名和使用辅助域名存在已知问题。请查看让您不用更改主域名的替代方案。
- 更改主域名后,请勿重命名转移用户或群组。用户和群组应该保留在转移域名中。
- 如果您使用第三方身份提供方设置单点登录,且使用网域特有的颁发者,则 SAML 断言会更改以反映新的主域名。请检查身份提供方的配置,确保用户可以在交换主域名后进行身份验证。如需了解详情,请参阅 SSO 断言要求。
-
建立 Google 保险柜保留规则:设置无限期自定义保留规则。
为以下应用创建一条规则:
- Gmail:对于组织部门,选择根级组织部门。
- Google 群组:对于群组,选择“所有群组”。
为以下应用创建 2 条规则:
- Chat:选择组织部门
根级组织部门。对于第二条规则,请选择所有 Chat 聊天室。 - 云端硬盘:选择组织部门
根级组织部门。对于第二条规则,请选择所有共享云端硬盘。
- Meet:选择组织部门
根级组织部门,然后启用包含共享云端硬盘中的内容。对于第二条规则,请选择所有共享云端硬盘。
- 协作平台:选择组织部门
根级组织部门,然后启用包含共享云端硬盘中的内容。对于第二条规则,请选择所有共享云端硬盘。
此外,在转移之前,系统会在目标环境中设置无限期自定义保留规则。有关详情,请参阅目标环境中的无限期 Google 保险柜保留规则。如需详细了解如何从保险柜转移数据,请参阅通过 Domain Transfer 转移您的保险柜数据。
-
更新发件人政策框架 (SPF) 记录(若适用):如果目标环境使用的出站网关与来源环境中的出站网关不同,则来源环境应更新其 SPF 记录以包含目标环境使用的出站网关。
注意:如果您使用的是域名密钥识别邮件 (DKIM),则转移应该不会影响基于网域的邮件身份验证、报告和一致性协议 (DMARC) 政策。转移完成后 SPF 记录会继续运作,即使 DKIM 暂时不会运作亦是如此。此外,请务必在目标环境中完成 DKIM 转移后任务。
- 解决日历资源冲突:如果存在任何日历资源冲突,请先解决这些冲突,然后再继续操作:
- 建筑物 ID:来源环境中的建筑物 ID 不能与目标环境中的建筑物 ID 相同。若要绕过转移阻碍物,您有 2 种选择。您可以删除来源环境中的建筑物,也可以为 2 个建筑物设置相同的详细信息,以便合并来源环境建筑物和目标环境建筑物。为了使这 2 个建筑物完全相同,请为这 2 个建筑物提供完全相同的 ID、名称、所有地址字段、说明和楼层。
- 建筑物名称:如果来源环境中的某个建筑物资源与目标环境中的另一个建筑物资源具有相同的名称,那么您必须更改其中一个资源的名称才能解决此冲突。转移流程完成后,您可以合并这 2 个建筑物资源。
- 资源 ID:来源环境中的资源与目标环境中的资源具有相同的资源 ID 会产生转移流程无法解决的冲突,因此来源环境中的资源不会转移。删除其中一个存在冲突的资源,然后使用不存在冲突的 ID 重新创建该资源。被删除的资源需要 30 天才能从系统中彻底清除。您可以等待系统完全删除资源,也可以让 Domain Transfer 团队提交手动删除资源的请求。
- 评估对关联的 Google Cloud 组织的影响(如适用):如果您正在使用 Google Cloud,请告知该环境的管理员 Google Workspace 网域转移可能对 Google Cloud 产生的潜在影响。如有必要,在评估影响和补救步骤时,您可以向 Google Cloud 合作伙伴或 Google Cloud 联系人寻求帮助。在域名转移期间,Google Workspace Domain Transfer 团队不会提供与 Google Cloud 相关的帮助。
- 通知您的 Google Workspace 转销商(如适用):告知他们预计的域名转移时间,并要求他们不要在转移期间更改账号(例如更新订阅)。
-
在来源环境或目标环境加入的任何 Alpha 版或 Beta 版计划中注册(如适用):Alpha 版和 Beta 版计划注册不会在来源环境中转移。同样,源环境可能依赖于目标环境中的注册。尚未注册的环境需要申请加入计划并获得批准,以便用户继续使用这些环境。
我们建议您在转移前注册 Alpha 版或 Beta 版计划,这样转移用户在整个转移流程中就可以使用相同的功能。不过,注册过程可能需要一些时间,且我们无法保证一定会成功。因此,我们只是建议您这样做,而并非强制性要求。 -
如需转移 Chrome 零触摸注册设备,请执行以下操作:
- 在来源环境中,撤消现有的预配置令牌并取消配置所有设备。将设备重置为出厂默认设置。
- 在目标环境中,创建新的预配置令牌。
- 将新令牌提供给您的授权预配置合作伙伴。您的合作伙伴会使用该令牌在目标环境中预配置设备。
设备会在连接到互联网后自行注册。设备状态会变为“已配置”。
如需详细了解零触摸设备,请参阅零触摸注册。
第 2 步:目标环境任务
-
转移过程中不会转移许可,因此您必须配置足够的备用 Google Workspace 许可来支持所有转移的用户:转移用户时,系统将在目标环境中为用户分配与来源环境中相同的一系列许可。因此在执行转移时,您必须拥有足够多的与目标环境中许可类型相同的备用许可。
如果目标环境与来源环境所使用的 Google Workspace 版本不同,请在来源或目标环境中升级许可,以确保许可相匹配。
注意:
- Google 建议您升级许可,以防止触发服务擦除流程 (SWP)。
- 配置任何缺失的许可,那样的话目标环境中将存在多个订阅。转移完成后,您可以选择升级或降级个别用户的许可。注意:部分许可类型不支持部分网域许可 (PDL)。
- 确保目标环境中有足够的备用许可可供使用。您必须考虑在转移流程执行期间,每个来源环境添加更多用户(例如新员工)的情况。如果要执行多次转移,您还须考虑所有转移的来源环境中的用户总数。
- 来源环境中没有被分配许可的用户仍会转移。您需要监控系统会如何在目标环境中自动分配许可,以确保这些用户不会获得许可。
- 在域名转移期间,Google Workspace 不会因满足备用许可的购买需求而提供特殊的结算方案。如果来源环境中的许可属于包年套餐,则在包年套餐合同到期前,这些许可均处于有效状态并参与计费。如果您还有任何与 Google Workspace 结算方案相关的问题,请与您的销售代表或客户经理联系。
-
当存在多个许可时,确保许可准确应用到转移的用户:目标环境中的一些配置可能会影响转移的用户的许可分配方式。这可能会导致转移的用户最终获得的许可和预期有所偏差。这些配置包括自动分配许可和为特定组织覆盖自动分配许可。
为确保在转移流程中不会出现意外的许可变更,您必须执行以下操作:
- 如果目标环境中的自动分配许可配置为“对所有人停用”,或目标环境中仅存在单一类型的许可,则您无需进行任何更改。
- 如果目标环境中的自动分配许可配置为“对所有人启用”(例如 Google Workspace 许可),那么请确保配置已覆盖特定的组织部门。对于转移根级组织部门,请确保自动分配许可配置处于关闭状态,同时不再覆盖子级组织部门。
-
创建转移的根级组织部门,并视需要重新创建来源环境组织部门结构:创建组织部门,以作为所有转移用户的父级组织部门。创建完成后,您有 2 种选择:
- 不执行任何操作:域名转移流程会在新的转移的根级组织部门下重新创建来源环境组织部门结构。要执行此步骤,请将转移选项“预先重新创建组织部门结构”设为“否”。您在组织部门层级应用的政策适用于所有转入的转移用户。
- 在转移的根级组织部门下,手动重新创建来源环境组织部门结构:网域转移会在转移前确保来源环境中的整个组织部门结构已成功复制。要执行此步骤,请将转移选项“预先重新创建组织部门结构”设为“是”。如果您希望为不同的子级组织部门设置不同的政策,此选项就十分实用。
注意:域名转移仅会验证组织部门结构。您必须负责确保为组织部门设置适当的政策。
-
建立适当的政策和设置,以体现来源环境和目标环境中的要求:来源环境中的政策和设置不会转移到目标环境中。此外,在转移流程完成后,只有目标环境中的政策和设置会应用于转移的用户及其数据。
您必须检查目标环境中的政策和设置,并将其与来源环境中的政策和设置相比较。此操作会涉及转移的根级组织部门的常规设置和特殊设置,以确保这些设置覆盖所有传入的转移实体和用户。
下方列出了部分您在设置过程中应该验证的政策和设置。此外,您还需要在两个环境中进行全面审核,以确保所有相关部分均已分析完毕:
- 服务启用(启用/停用):验证您在来源环境中使用的服务已在目标环境中启用,且转移的根级组织部门符合您的预期。这在您使用 Google 保险柜时尤为重要,因为服务停用后,保险柜规则可能不再适用。
- Gmail、高级设置和 MX 记录:查看邮件转送、合规性规则、IMAP 启用和委托等设置。有关详情,请参阅通过 Google Workspace 激活 Gmail。
- 密码管理:检查您的密码政策,确保其符合您组织的程序要求。将转移的用户移动到目标环境后,这些用户就会继承目标环境中的密码管理政策。
- 两步验证:控制用户是否可以为账号添加两步验证配置(无论是用户自己添加或是他人强制添加)。如果已启用两步验证的转移用户被转移到已停用两步验证的目标环境或组织部门中,则目标环境的管理员将无法管理这些用户。不过,管理员可以将这些用户移至已启用两步验证的其他组织部门以进行更改,或者在转移前移除这些用户账号的两步验证。
- 共享设置:控制用户是否可以与组织外部人员共享内容。如果来源环境禁止用户共享,而目标环境允许用户共享,那么组织外部人员可能可以访问转移内容。如果来源环境在默认情况下允许用户共享,而目标环境不允许用户共享,那么您组织中的用户可能无法访问转移内容。详细了解 Google 云端硬盘和 Google 日历的共享选项。
- 数据泄露防护 (DLP) 规则:监控和防止用户与组织外部人员共享敏感信息。如果 DLP 禁止用户在来源环境中共享信息,在将相关内容转移到没有设置 DLP 的目标环境后,目标环境中的用户将可以与组织外部人员共享信息。详细了解 Gmail DLP 规则和云端硬盘 DLP 规则。
- 聊天记录:控制是否保存聊天记录,以及用户是否能够强制设置所有聊天或将其设为默认。如果您在来源环境中允许启用聊天记录功能,而在目标环境中将其强制关闭,则聊天记录将会丢失。Google Chat 不会转移,而直接消息 (DM) 将会转移。
- 数据国家/地区:决定存储迁移数据的特定地理位置。如果转移的用户需要留在特定的地理位置,那么这些用户必须在目标环境中适当设置此政策,以确保他们的数据不会意外从所设置的数据国家/地区转移。有关详情,请参阅“数据区域:为数据选择地理位置”。
- 安全性较低的应用(使用专用密码的应用):如果来源环境中启用了安全性较低的应用,而目标环境中停用了相应应用,则用户账号与安全性较低的应用之间的连接会超时并关闭。超时期限会因应用而异,但一般来说不超过 60 分钟。此外,安全性较低的应用日后发出的访问请求也会被屏蔽。有关详情,请参阅控制对安全性较低的应用的访问权限。
- OAuth 范围、SAML 单点登录 (SSO)、受信任的应用和 Chrome 扩展程序:OAuth 控件决定已授予用户和第三方应用的 API 访问权限级别。无论是由 Google Workspace 提供、或是作为自定义应用实现的 SAML 单点登录,均允许用户利用其 Google Workspace 凭据访问其他应用或服务。受信任的应用决定用户可从 Google Workspace Marketplace 或 Chrome 应用商店安装哪些应用,以及哪些应用可以绕过 OAuth 限制。详细了解如何控制第三方应用和内部应用、SAML 单点登录、Google Workspace Marketplace 中的应用以及 Chrome 应用和扩展程序。
- 全网域授权:允许应用访问用户的 Google Workspace 数据。如需确保客户端和范围正确运行,请在转移之前在目标环境中设置全网域授权。
重要提示:如果无法正确建立政策和设置,则可能会导致:
- 意外将数据泄露给组织外部人员(例如,目标环境中的开放性设置多于来源环境)
- 之前可访问的数据变得无法访问(例如,目标环境中的限制性设置多于来源环境)
- 接受约束转移后数据的协议:查看目标环境中的数据处理修正条款 (DPA)、示范合同条款和 HIPAA 业务伙伴协议 (BAA)。如需了解详情,请参阅 Google Workspace 和 Cloud Identity 的隐私权法规遵从性和记录。
- 启用保险柜(如果您在来源环境中使用保险柜):如果您在来源环境中使用保险柜,但未在目标环境中使用,则您必须在目标环境将其启用。
- 通知您的 Google Workspace 转销商(如适用):告知他们预计的域名转移时间,并要求他们不要在转移期间更改账号(例如更新订阅)。
-
在来源环境或目标环境加入的任何 Alpha 版或 Beta 版计划中注册(如适用):Alpha 版和 Beta 版计划注册不会在来源环境中转移。同样,源环境可能依赖于目标环境中的注册。尚未注册的环境需要申请加入计划并获得批准,以便用户继续使用这些环境。
我们建议您在转移前注册 Alpha 版或 Beta 版计划,这样转移用户在整个转移流程中就可以使用相同的功能。不过,注册过程可能需要一些时间,且我们无法保证一定会成功。因此,我们只是建议您这样做,而并非强制性要求。
重要提示:
- 降级许可可能会导致 Google Workspace 服务和功能缺失。在做出任何更改前,请仔细查看 Google Workspace 各版本之间的差异,以及升级和降级许可会带来的影响。详细了解 Google Workspace 各版本。
- 降级许可可能会触发 SWP,触发后最多可能会导致转移流程延期 90 天。
第 3 步:其他任务和注意事项
- 变更管理:在转移流程中,Google Workspace 网域转移团队或转移流程均不会自动向用户提供有关执行转移的信息。我们强烈建议来源环境和目标环境代表提前告知用户转移流程及其会带来的潜在影响。
在转移流程中,来源环境和目标环境的所有管理员操作(包括使用 API 和 Google 管理控制台)均会被禁止。我们强烈建议来源环境和目标环境代表在转移前和转移完成后,将这一点告知所有网域超级用户和委派管理员。
- 外部依赖项:如果您使用的是 Google Cloud Directory Sync (GCDS)、GAM(供 Google Workspace 管理员管理域名和用户设置的第三方命令行工具)或由第三方提供方提供的单点登录服务 (SSO),请务必分析转移带来的影响。您还需要检查在单一环境中同时存在来源环境和目标环境时,会对系统和转移执行时间造成何种影响。
目标环境中的无限期 Google 保险柜保留规则
Google Workspace 域名转移& 在目标环境中设置无限期自定义保留规则。因此,目标环境的管理员无需采取任何行动。
转移用户的保险柜归档将会转移,而来源环境中的保险柜保留规则不会转移。为确保在转移流程中或转移完成后保险柜数据安全无虞,在执行任何转移操作前,转移流程会在目标环境中创建以下保险柜保留规则:
- Gmail:无限期自定义保留规则(范围:转移根级组织部门)。
- Google 日历:无限期自定义保留规则(范围:转移的根级组织部门)。
- Google Chat:无限期自定义保留规则(范围:根级组织部门 [而非聊天室] 中被转移用户的直接消息)。
- Google 云端硬盘:无限期自定义保留规则,不包括共享云端硬盘(范围:转移根级组织部门)。
- Google 群组:无限期自定义保留规则(范围:根级组织部门)。此规则会保留目标环境中所有群组的数据(包括非转移的数据)。
- Google Meet:需要 2 项无限期自定义保留规则:
- 不包括共享云端硬盘(范围:转移根级组织部门)。
- 包括所有共享云端硬盘(范围:根级组织部门)。
会留目标环境中所有共享云端硬盘的数据(包括非转移的数据)。
- Google 协作平台:需要 2 项无限期自定义保留规则。
- 不包括共享云端硬盘(范围:转移根级组织部门)。
- 包括所有共享云端硬盘(范围:根级组织部门)。
会留目标环境中所有共享云端硬盘的数据(包括非转移的数据)。
- 共享云端硬盘:针对所有共享云端硬盘的无限期自定义保留规则(范围:根级组织部门)。会留目标环境中所有共享云端硬盘的数据(包括非转移的数据)。
重要提示:在转移流程中,系统不会移除或修改目标环境中的保险柜保留规则,因为此类操作可能会导致数据遭到误删且无法恢复。