5. 完成轉移前置工作

將權限授予 Google Workspace 網域轉移服務之前,您必須分別完成來源和目的端環境的所需工作。

在每次模擬測試完成後,Domain Transfer 團隊都會提供測試結果,其中詳列尚待處理的轉移前置工作以及相關解決方法。

請在轉移前完成這些工作

步驟 1:來源環境相關工作

  1. 升級授權 (如適用):系統不會在轉移程序中遷移授權。如果來源環境使用的 Google Workspace 版本與目的端環境不同,您必須來源環境升級為採用與目的端環境相同的版本。詳情請參閱「目的端環境相關工作」下方的授權轉移說明。

    注意:

    • 您可以在來源環境中使用寬限期授權或試用授權,做為暫時的授權採購方案,避免產生費用。不過,請注意下列事項:
      • 這些授權會禁止將任何其他網域替換為主網域的程序。佈建臨時授權前,請先變更主網域。
      • 如果目的端環境的可用授權為完整授權,系統會因為執行轉移作業而將完整授權指派給使用者。
    • 系統仍會轉移來源環境中未獲派任何授權的使用者。
  2. 取消不受支援的授權訂閱項目:取消授權訂閱項目可能會產生影響。如果在來源環境開啟 Google Voice 服務,進行這個步驟時須特別留意。詳情請參閱「來源授權」。
  3. 在 Google Workspace 中新增預留網域 (如適用):在來源環境中新增並驗證新的次要網域名稱,這個網域最終將取代現有的主網域。如果已有次要網域且不需轉移,便可改用該網域。詳情請參閱「新增使用者別名網域或次要網域」。
  4. 建立預留網域管理員並設為帳戶的主要管理員:建立與預留網域相關聯的使用者帳戶。如要將舊帳戶另作他用,請確認沒有其他做為「別名」使用的轉換網域與這個帳戶相關聯。將超級管理員角色授予該使用者,並設為帳戶的主要管理員。如要進一步瞭解如何將帳單與帳戶通知傳送給其他管理員,請參閱這篇文章。請務必設定 Google 兩步驟驗證,並至少登入一次,以便使用預留網域管理員帳戶驗證存取權。
  5. 將主網域替換為預留網域:執行網域替換作業,將預留網域升級為新的主網域。

    替換網域前的注意事項

    準備好更換網域時,請參閱「變更 Google Workspace 的主網域」。

    • 取消所有裝置訂閱方案,包含 Google Meet 設備和 Chrome Enterprise。
    • 您可能必須先移除某些不支援的授權,才能開始轉移。詳情請參閱「來源授權」。
    • 如果來源環境尚有試用授權,系統將會中斷網域替換作業。請務必在佈建臨時授權「之前」完成替換作業。
    • 將主網域改為次要網域,可能會發生一些已知問題。查看「變更主網域的替代方案」。
    • 變更主網域名稱後,請不要對轉移使用者或群組重新命名,而且必須將使用者和群組保留在轉換網域中。
    • 如果您使用第三方身分識別提供者設定單一登入 (SSO) 服務,且使用的是特定網域的發行者,SAML 聲明會變更以反映新的主網域。請檢查識別資訊提供者的設定,確保使用者可以在主網域變更後進行驗證。詳情請參閱「SSO 宣告需求」。
  6. 建立 Google 保管箱資料保留規則:設定無限期的自訂保留規則

    為下列應用程式建立一項規則:

    • Gmail:在「組織單位」部分選取根組織單位。
    • Google 網路論壇:在「網路論壇」部分選取「所有群組」。

    為下列應用程式建立 2 項規則:

    • Chat:依序選取「組織單位」 接下來根組織單位。針對第二個規則,選取「所有 Chat 聊天室」
    • 雲端硬碟:選取「機構單位」 接下來根機構單位。針對第二個規則,選取「所有共用雲端硬碟」
    • Meet:依序選取「組織單位」 接下來根組織單位,然後開啟「包含共用雲端硬碟中的項目」。針對第二個規則,選取「所有共用雲端硬碟」
    • 協作平台:依序選取「組織單位」 接下來根組織單位,然後開啟「包含共用雲端硬碟中的項目」。針對第二個規則,選取「所有共用雲端硬碟」

    此外,您可以在轉移作業開始前,先在目的端環境中設定無限期的自訂保留規則。詳情請參閱「目的端環境中無限期的 Google 保管箱資料保留規則」。如要進一步瞭解如何從保管箱轉移資料,請參閱「透過 Domain Transfer 轉移保管箱資料」。

  7. 更新寄件者政策架構 (SPF) 記錄 (如有):如果目的端環境與來源環境使用不同的外送閘道,來源環境就必須更新 SPF 記錄,以納入該外送閘道。

    注意:如果使用的是 DomainKeys Identified Mail (DKIM),轉移作業應該不會影響「網域型郵件驗證、報告與一致性 (DMARC)」政策。因此,即使 DKIM 暫時不一致,SPF 記錄仍會在轉移後保持一致。此外,請務必完成目的端環境中的 DKIM 轉移後工作

  8. 解決日曆資源衝突:如有任何日曆資源衝突,請先解決這些問題再繼續操作:
    • 建築物 ID:來源環境的建築物 ID 必須與目的端環境的不同。有 2 種方法可略過傳輸區塊:刪除來源環境的建築物,或是為這 2 棟建築物提供相同的詳細資料,以合併來源環境與目的端環境的建築物,只要為這兩棟建築物提供完全相同的 ID、名稱、所有地址欄位、說明和樓層即可。
    • 建築物名稱:如果來源環境和目的端環境的建築物資源名稱相同,您必須變更其中一項,才能解決衝突。轉移程序完成後,您可以合併這 2 個建築物資源。
    • 資源 ID:如果來源環境與目的端環境的資源 ID 相同,就會產生轉移程序無法解決的衝突,資源也不會轉移。請刪除其中一項衝突的資源,並使用不衝突的 ID 重新建立。刪除的資源需要 30 天才會從系統中完全清除。您可以等待資源完全刪除,或是由網域轉移團隊手動提交刪除要求。
  9. 評估對關聯 Google Cloud 組織的影響 (如適用):如果 Google Cloud 正在使用中,請將 Google Workspace 網域轉移可能對 Google Cloud 帶來的影響告訴該環境的管理員。如有需要,可以洽詢 Google Cloud 合作夥伴或 Google Cloud 聯絡窗口,請他們幫忙評估相關影響和補救步驟。在網域轉移作業期間,Google Workspace Domain Transfer 團隊不會提供 Google Cloud 相關協助。
  10. 通知 Google Workspace 經銷商 (如適用):告知經銷商預定的網域轉移作業時間,並要求他們在轉移期間不要變更帳戶內容 (例如更新訂閱項目)。

  11. 將來源環境或目標環境中正在執行的所有 Alpha 或 Beta 版程式註冊 (如適用):已註冊於來源環境中的 Alpha 和 Beta 程式不會轉移。同樣地,來源環境也可能依存於目的端環境中的註冊項目。您必須對這些程式套用及核准已取消註冊的環境,才能繼續使用。
    建議您在轉移之前先註冊 Alpha 版或 Beta 版計畫,讓轉移使用者在轉移程序中,依然能使用相同的功能。不過,註冊程序可能需要一些時間才能完成,而且不保證會通過。因此,這不是必要程序,僅供建議參考。

  12. 如何轉移已註冊 Chrome 的零接觸註冊機制裝置:
    1. 在來源環境中,撤銷預先佈建的現有權杖,並取消佈建所有裝置。將裝置恢復原廠設定。
    2. 在目的端環境中建立預先佈建的新權杖。
    3. 將新權杖提供給獲得授權的預先佈建合作夥伴,讓他們使用權杖在目的端環境中預先佈建裝置。

    裝置會在連上網際網路後自行註冊,裝置狀態會變更為「已佈建」。

    如要進一步瞭解零接觸裝置,請參閱「零接觸註冊機制」。

步驟 2:目的端環境工作

  1. 由於轉移程序不會遷移授權,因此您必須佈建足夠的備用 Google Workspace 授權,以便支援所有轉移使用者。轉移時,使用者會在目的端環境中獲派與來源環境相同的授權。因此,在執行轉移作業時,目的端環境中必須有足夠的同類型備用授權。

    如果目的端環境使用的 Google Workspace 版本與來源環境不同,請在來源環境或目的端環境中升級授權,確保這些授權相符。

    注意事項

    • Google 建議您升級授權,以免觸發服務資料清除程序 (SWP)
    • 佈建任何缺少的授權,讓目的端環境具備多項訂閱。完成轉移作業後,您可以視情況對個別使用者的授權升級或降級。請注意,並非所有的授權類型都支援部分網域授權 (PDL)
    • 確認目的端環境有足夠的備用授權。在轉移程序開始到結束期間,請考慮是否要在各個來源環境中新增更多使用者 (例如新聘員工)。如有多項轉移作業,您也必須考量所有轉移作業的來源使用者總人數。
    • 系統仍會轉移來源環境中未獲派任何授權的使用者。請監控系統在目的端環境自動指派授權的方式,確保這些使用者不會獲得任何授權。
    • 網域轉移不會提供特別的 Google Workspace 計費方案,方便您在轉移期間購買備用授權。在年約方案合約結束前,列於年約方案之下的來源環境授權都會維持運作及計費。如果您對 Google Workspace 計費方案有其他疑問,請洽詢業務代表或客戶經理。

  2. 如有多項授權,請確認系統對轉移使用者套用正確授權:目的端環境的部分設定可能會影響系統對轉移使用者指派授權的方式,導致轉移使用者取得非預期的授權。這類設定包含自動授權特定機構的覆寫自動授權

    為確保轉移作業期間不會發生預期外的授權變動情形,您必須執行下列動作:

    • 如果目的端環境的自動授權設定已設為「為所有人關閉」,或目的端環境只有單一授權類型,就不需要進行任何變更。
    • 如果目的端環境的自動授權設定已設為「為所有人啟用」(例如 Google Workspace 授權),請務必為特定機構單位開啟覆寫功能。請確認轉移根機構單位的自動授權設定已關閉,且子機構單位沒有其他覆寫設定。

  3. 建立轉移根機構單位,並視需要重新建立來源環境機構單位結構:建立機構單位,做為所有轉移使用者的上層機構單位。建立完畢後,您有下列 2 種選擇:

    • 不採取任何動作:網域轉移程序會在新的轉移根機構單位中,重新建立來源環境的機構單位結構。如要進行這個步驟,請將轉移選項的「預先重新建立機構單位結構」設為「否」。所有轉入的轉移使用者仍可沿用您對機構單位層級套用的政策。
    • 在轉移根機構單位中,手動重新建立來源環境的機構單位結構:網域轉移作業會先確認來源環境的完整機構單位結構是否確實備份,再執行轉移作業。如要進行這個步驟,請將轉移選項的「預先重新建立機構單位結構」設為「是」。如要對不同的子機構單位設定不同政策,就可以採用這項設定。

      注意:網域轉移只會驗證機構單位結構。您必須負責確保系統對機構單位設定適當的政策。

  4. 建立適當的政策和設定,以符合來源和目的端環境的需求:來源環境的政策和設定不會轉移至目的端環境。此外,轉移程序完成後,只有目的端環境的政策和設定會套用到轉移使用者與其相關資料。

    您必須檢查目的端環境的政策和設定,並對照來源環境。這個動作會納入轉移根機構單位的一般和特定設定,確保這些設定涵蓋所有轉入的轉移實體與使用者。

    以下列出設定過程必須驗證的幾項政策和設定。此外,請對來源環境與目的端環境進行完整稽核,確保所有相關設定都經過分析:

    • 服務啟用 (開啟/關閉):驗證您在來源環境使用的服務已在目的端環境開啟,並確認轉移根機構單位如預期運作。如果您目前使用 Google 保管箱,這項設定格外重要,因為服務關閉時,系統可能不會套用保管箱規則。
    • Gmail、進階設定和 MX 記錄:檢查郵件轉送、法規遵循規則、IMAP 啟用和委派等設定。詳情請參閱「透過 Google Workspace 啟用 Gmail」。
    • 密碼管理:檢查密碼政策,確保政策符合貴機構的程序。轉移使用者移至目的端環境後,將沿用目的端環境中的密碼管理政策。
    • 兩步驟驗證:控管是否允許使用者為個人帳戶新增兩步驟驗證設定,以及是否允許或強制執行兩步驟驗證。如果將開啟兩步驟驗證的轉移使用者轉移到已關閉兩步驟驗證的目的端環境或機構單位時,目的端環境管理員就無法管理這些使用者。然而,管理員只要將這些使用者移到其他已開啟兩步驟驗證的機構單位即可進行變更,或者在遷移之前移除該帳戶的兩步驟驗證功能。
    • 共用設定:控管使用者是否可與機構外部人員共用內容。如果來源環境禁止共用設定,而目的端環境允許共用設定時,機構外部人員可能可以存取轉移內容。如果來源環境預設開啟共用設定,而目的端環境未開啟共用設定時,則貴機構的使用者可能無法存取轉移內容。進一步瞭解 Google 雲端硬碟Google 日曆的共用設定。
    • 資料遺失防護 (DLP) 規則:DLP 會監控使用者,並防止使用者與機構外部人員共用機密資訊。如果 DLP 禁止使用者在來源環境中共用資訊,當您將資訊內容轉移至未設定 DLP 的目的端環境時,目的端環境的使用者即可與機構外部人員共用資訊。進一步瞭解 Gmail DLP 規則雲端硬碟 DLP 規則
    • 即時通訊記錄:控管是否要保留即時通訊記錄,以及使用者是否可以對所有的即時通訊強制設定記錄功能,或將記錄功能設為預設。如果來源環境允許開啟即時通訊記錄功能,但目的端環境強制關閉這項功能,那麼即時通訊記錄就會消失。雖然 Google Chat 列於轉移作業不支援的清單中,但系統仍會轉移即時訊息。
    • 資料國家/地區:控管要在哪個特定的地理位置儲存您的遷移資料。如果需要將轉移使用者設置於特定地理位置,就必須在目的端環境正確設定這項政策,確保這些使用者的資料不會從所需的資料國家/地區意外流出。詳情請參閱「資料地區:選擇資料存放的地理位置」。
    • 低安全性應用程式 (又稱為應用程式密碼):如果您在來源環境中開啟低安全性應用程式,但在目的端環境中予以關閉,透過低安全性應用程式與應用程式建立的連線將會逾時並結束。逾時期限因應用程式而異,但通常會在 60 分鐘內失效,日後低安全性應用程式的存取要求也會遭到封鎖。詳情請參閱「控管低安全性應用程式的存取權」。
    • OAuth 範圍、SAML 單一登入 (SSO)、可信任的應用程式和 Chrome 擴充功能:OAuth 控制項可決定允許使用者和第三方應用程式存取 API 的層級。SAML 單一登入 (SSO) 功能無論是由 Google Workspace 提供或做為自訂應用程式使用,都允許使用者運用自己的 Google Workspace 憑證存取其他應用程式或服務。可信任的應用程式可決定使用者能從 Google Workspace Marketplace 或 Chrome 線上應用程式商店安裝哪些應用程式,以及允許哪些應用程式可略過 OAuth 限制。進一步瞭解如何控管第三方與內部應用程式SAML SSOGoogle Workspace Marketplace 應用程式,以及 Chrome 應用程式與擴充功能
    • 全網域委派:允許應用程式存取使用者的 Google Workspace 資料。為確保用戶端和範圍正常運作,轉移前請在目的端環境設定全網域委派功能。

    重要事項:如未妥善建立相關政策和設定,可能會造成下列問題:

    • 不慎將資料洩漏至機構外,例如:目的端環境採用較來源環境公開的設定。
    • 存取先前可存取的資料受限,例如:目的端環境的設定限制較來源環境的多。
  5. 接受用於規範已轉移資料的協議:詳閱目的端環境的《資料處理修訂條款》(DPA)、契約條款範本,以及《健康保險流通與責任法案》業務合作協議 (BAA)。詳情請參閱「Google Workspace 和 Cloud Identity 的隱私權法規遵循與記錄」。
  6. 如果來源環境使用保管箱服務,請開啟保管箱:如果目的端環境未使用保管箱,而來源環境使用保管箱,則目的端環境必須開啟保管箱。
  7. 通知 Google Workspace 經銷商 (如適用):告知經銷商預定的網域轉移作業時間,並要求他們在轉移期間不要變更帳戶內容 (例如更新訂閱項目)。

  8. 將來源環境或目標環境中正在執行的所有 Alpha 或 Beta 版程式註冊 (如適用):已註冊於來源環境中的 Alpha 和 Beta 程式不會轉移。同樣地,來源環境也可能依存於目的端環境中的註冊項目。您必須對這些程式套用及核准已取消註冊的環境,才能繼續使用。
    建議您在轉移之前先註冊 Alpha 版或 Beta 版計畫,讓轉移使用者在轉移程序中,依然能使用相同的功能。不過,註冊程序可能需要一些時間才能完成,而且不保證會通過。因此,這不是必要程序,僅供建議參考。

重要事項

  • 將授權降級可能會導致 Google Workspace 服務和功能中斷。進行任何變更之前,請謹慎審查 Google Workspace 版本的差異,以及升級和降級個別帶來的影響。進一步瞭解 Google Workspace 版本
  • 將授權降級可能會觸發 SWP,進而延遲轉移作業完成時間 (最多 90 天)。

步驟 3:其他工作和注意事項

  • 變更管理:在轉移過程中,Google Workspace 網域轉移團隊或轉移程序都不會自動為使用者提供轉移執行作業的相關資訊。我們強烈建議來源和目的端環境的代表向使用者預先告知轉移程序資訊及其可能造成的影響。

    在轉移過程中,系統會禁止來源環境和目的端環境中所有的管理員動作,包括透過 API 和 Google 管理控制台進行存取。我們強烈建議來源環境和目的端環境的代表在轉移作業開始前及完成後,通知所有的網域超級管理員和委派管理員。

  • 外部依附元件:如果您使用 Google Cloud Directory Sync (GCDS)、GAM (Google Workspace 管理員用於管理網域和使用者設定的第三方指令列工具) 或第三方單一登入 (SSO) 供應商,請務必分析轉移作業所帶來的影響。此外,也請檢查來源和目的端環境共存於單一環境時會對系統產生什麼影響,以及轉移作業的執行時間。

目的端環境中無限期的 Google 保管箱資料保留規則

Google Workspace 網域轉移服務會在目的端環境中,設定無限期的自訂保留規則,目的端環境管理員無須採取任何行動。

系統會遷移轉移使用者的保管箱封存內容,但不會遷移來源環境的保管箱資料保留規則。為確保轉移期間或轉移後保管箱資料安全無虞,在執行任何轉移動作前,轉移程序會在目的端環境中建立下列保管箱資料保留規則:

  • Gmail:無限期的自訂保留規則 (範圍:轉移根機構單位)。
  • Google 日曆:無限期的自訂保留規則 (範圍:轉移根機構單位)。
  • Google Chat:無限期的自訂保留規則 (範圍:轉移根機構單位中轉移使用者的即時訊息,但不含聊天室)。
  • Google 雲端硬碟:無限期的自訂保留規則,不含共用雲端硬碟 (範圍:轉移根機構單位)。
  • Google 網路論壇:無限期的自訂保留規則 (範圍:根機構單位)。保留目的端環境中所有群組的資料,包含未納入轉移程序的資料。
  • Google Meet:需要 2 項無限期自訂保留規則:
    1. 不含共用雲端硬碟 (範圍:轉移根機構單位)。
    2. 包含所有共用雲端硬碟 (範圍:根機構單位)。

      保留目的端環境中所有共用雲端硬碟的資料,包含未納入轉移程序的資料。

  • Google 協作平台:需要 2 項無限期自訂保留規則。
    1. 不含共用雲端硬碟 (範圍:轉移根機構單位)。
    2. 包含所有共用雲端硬碟 (範圍:根機構單位)。

      保留目的端環境中所有共用雲端硬碟的資料,包含未納入轉移程序的資料。

  • 共用雲端硬碟:所有共用雲端硬碟的無限期自訂保留規則 (範圍:根機構單位)。保留目的端環境中所有共用雲端硬碟的資料,包含未納入轉移程序的資料。

重要事項:在轉移過程中,系統不會移除或修改目的端環境中的保管箱資料保留規則,因為這麼做可能會造成無法復原的資料遺失情形。