איך מאשרים ל-GWMME לגשת לחשבון

‫Google Workspace Migration for Microsoft Exchange

לפני שמשתמשים ב-Google Workspace Migration for Microsoft Exchange‏ (GWMME), צריך לתת לו הרשאה לגשת לחשבון.

שלב 1: יצירת חשבון שירות

הדרך שבה יוצרים את חשבון השירות תלויה בשאלה אם רוצים להריץ סקריפט אוטומטי (מומלץ) או ליצור את החשבון באופן ידני.

אפשרות 1: שימוש בסקריפט אוטומטי ליצירת החשבון

התמיכה של Google Workspace לא תומכת בסקריפט הזה של GitHub. אם נתקלתם בבעיות בשימוש בסקריפט, תוכלו לפעול לפי השלבים ליצירת החשבון באופן ידני. מידע נוסף על השימוש בסקריפט

נכנסים לחשבון כסופר-אדמין ופותחים את Cloud Shell בחלון דפדפן.
במעטפת, כדי להפעיל את הסקריפט האוטומטי, מזינים את הפקודה הבאה:
python3 <(curl -s -S -L https://git.io/gwmme-create-service-account)
מבצעים את השלבים בחלון Cloud Shell.
לוחצים על הורדה כדי להוריד למחשב את קובץ ה-JSON שמכיל את מזהה הלקוח של חשבון השירות.
מגדירים את ההעברה. פרטים נוספים זמינים במאמר העברת נתונים באמצעות GWMME.

מידע נוסף על שימוש בסקריפט

אפשרות 2: יצירה ידנית של חשבון שירות

שלב 1: יצירת פרויקט

עוברים אל Google Cloud ונכנסים כסופר-אדמין. אם זו הפעם הראשונה שאתם נכנסים למסוף, אתם צריכים לאשר את התנאים וההגבלות.
לוחצים על IAM ואדמין ניהול משאבים. יכול להיות שיהיה צריך ללחוץ קודם על סמל התפריט .
למעלה, לוחצים על יצירת פרויקט ומזינים שם לפרויקט.
(אופציונלי) כדי להוסיף את הפרויקט לתיקייה, בקטע מיקום לוחצים על עיון, עוברים לתיקייה ולוחצים על בחירה.
לוחצים על יצירה.
כברירת מחדל, רק ליוצר הפרויקט יש זכויות לנהל את הפרויקט. כדי להבטיח שאפשר יהיה לתחזק את הפרויקט אם היוצר יעזוב את הארגון, כדאי להקצות לפחות עוד אדם אחד לתפקיד בעל הפרויקט. פרטים נוספים זמינים במאמר ניהול הגישה לפרויקטים, לתיקיות ולארגונים.

שלב 2: הפעלת ממשקי ה-API בחשבון השירות

מסמנים את התיבה שליד הפרויקט החדש.
לוחצים על APIs & Services (ממשקי API ושירותים) Library (ספרייה). יכול להיות שיהיה צריך ללחוץ קודם על סמל התפריט .
לכל API שנדרש (בהמשך), לוחצים על שם ה-API ואז על Enable:
- Admin SDK
- Google Calendar API
- Contacts API
- ממשק ה-API של Gmail
- Groups Migration API
טיפ: אם אתם לא מוצאים את ה-API, מציינים את שם ה-API בתיבת החיפוש.

שלב 3: הגדרת מסך ההסכמה ל-OAuth

הערה: כשמוסיפים את כתובות האימייל שבהמשך, כדאי להשתמש בחשבונות אימייל משותפים של אדמינים.

ב-Google Cloud, פותחים את הפרויקט שיצרתם קודם.
- אם יצרתם חשבון שירות באופן ידני, הפרויקט נוצר בשלב 1: יצירת פרויקט.
- אם יצרתם את הפרויקט באמצעות סקריפט, שם הפרויקט יופיע ב-Google Cloud Shell Editor אחרי שהסקריפט יפעל.
לוחצים על APIs & Services (ממשקי API ושירותים) OAuth consent screen (מסך ההסכמה של OAuth). יכול להיות שיהיה צריך ללחוץ קודם על סמל התפריט .
לוחצים על מיתוג.
אם לא רואים את האפשרות תחילת העבודה, עוברים לשלב 4. אם לא, עוברים לשלב 5.
לחץ על לקוחות.
אם מופיע הלחצן + יצירת לקוח, עוברים אל שלב 4: יצירת חשבון השירות. אם לא, עוברים לשלב 5.
לוחצים על שנתחיל?.
בשדה שם האפליקציה, מזינים את שם האפליקציה (לדוגמה, Google Workspace Migrate או GWM).
בקטע User support email (כתובת אימייל לתמיכה במשתמשים), מזינים כתובת אימייל שאליה משתמשים יכולים לפנות עם שאלות, ואז לוחצים על Next (הבא).
בקטע Audience, בוחרים באפשרות Internal ולוחצים על Next.
בקטע פרטים ליצירת קשר, מזינים את כתובות האימייל הרלוונטיות ולוחצים על הבא.
בקטע Finish, מסמנים את התיבה I agree to the Google API Services: User Data Policy.
לוחצים על המשך יצירה.

שלב 4: יצירת חשבון השירות

לוחצים על APIs & Services (ממשקי API ושירותים) Credentials (פרטי כניסה). יכול להיות שיהיה צריך ללחוץ קודם על סמל התפריט .
לוחצים על Create Credentials (יצירת אמצעי אימות) Service account (חשבון שירות).
בשדה שם חשבון השירות, מזינים שם לחשבון השירות ואפשר גם להוסיף תיאור.
לוחצים על יצירה והמשך סיום.
חשוב לשמור את הערך של המזהה הייחודי של חשבון השירות. תצטרכו אותו בהמשך. הערך הזה הוא גם מזהה הלקוח של חשבון השירות.
טיפ: אפשר למצוא את הערך גם בכרטיסייה 'פרטים' של חשבון השירות או בקובץ ה-JSON.
לוחצים על סיום שמירה.
בחלק העליון, לוחצים על Keys (מפתחות) Add Key (הוספת מפתח) Create new key (יצירת מפתח חדש).
מוודאים שסוג המפתח מוגדר ל-JSON ולוחצים על Create.
תקבלו הודעה שקובץ ה-JSON של המפתח הפרטי של חשבון השירות הורד למחשב.
רושמים את שם הקובץ ואת המיקום שבו הדפדפן שומר אותו. תצטרכו אותו בהמשך.
לוחצים על סגירה.

שלב 2: מאשרים את מזהה הלקוח במסוף Admin

אם השתמשתם בסקריפט אוטומטי כדי ליצור את חשבון השירות, אתם יכולים לדלג על השלב הזה.

אופן ההרשאה תלוי בסוג החשבון שממנו מבצעים את ההעברה.

אפשרות 1: לא מבצעים העברה מחשבון Google Workspace

מבצעים את השלבים האלה בחשבון היעד.

במסוף Google Admin, נכנסים לתפריט אבטחה שליטה בגישה ובנתונים אמצעי בקרה לממשקי API ניהול הענקת גישה ברמת הדומיין.

מעבר אל 'ניהול של הענקת גישה ברמת הדומיין'

כדי לבצע את המשימה הזו, צריך להיכנס לחשבון כסופר-אדמין.
לוחצים על Add new ומזינים את מזהה הלקוח של חשבון השירות.
אפשר למצוא את המזהה (שנקרא גם מזהה ייחודי) בקובץ ה-JSON שהורדתם כשנוצר חשבון השירות או ב-Google Cloud (לוחצים על IAM & Admin Service accounts השם של חשבון השירות).
בקטע היקפי הרשאות OAuth, מעתיקים ומדביקים את רשימת היקפי ההרשאות הבאה, שמופרדים בפסיקים:
https://www.googleapis.com/auth/contacts,
https://www.googleapis.com/auth/admin.directory.group.readonly,
https://www.googleapis.com/auth/admin.directory.user,
https://www.googleapis.com/auth/apps.groups.migration,
https://www.googleapis.com/auth/calendar,
https://www.googleapis.com/auth/gmail.insert,
https://www.googleapis.com/auth/gmail.labels
לוחצים על Authorize.
מצביעים על מזהה הלקוח החדש, לוחצים על הצגת פרטים ומוודאים שכל היקף מופיע ברשימה.
אם היקף ההרשאות לא מופיע, לוחצים על עריכה, מזינים את היקף ההרשאות החסר ולוחצים על אישור. אי אפשר לערוך את מזהה הלקוח.

יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף

אפשרות 2: העברה מחשבון Google Workspace

השלבים שצריך לבצע משתנים בהתאם להגדרות. אם יש לכם:

דומייני מקור ויעד שונים ב-Google Workspace – מאשרים את GWMME גם בדומיין המקור וגם בדומיין היעד, לפי שלבים 1 ו-2 (בהמשך הדף).
דומייני המקור והיעד של Google Workspace זהים – מאשרים את GWMME רק בדומיין היעד על ידי ביצוע שלב 2 (בהמשך הדף).
הוספת סיסמאות בקובץ ה-CSV של הבקרה – מאשרים את GWMME רק בדומיין היעד על ידי ביצוע שלב 2 (בהמשך הדף). לאחר מכן, מעניקים לחשבון המקור גישה לאפליקציות ברמת אבטחה נמוכה. פרטים נוספים מופיעים במאמר שלב 2: מתן גישה לחשבונות לאפליקציות ברמת אבטחה נמוכה.

שלב 1: מתן הרשאה ל-GWMME בדומיין המקור

במסוף Google Admin, נכנסים לתפריט אבטחה שליטה בגישה ובנתונים אמצעי בקרה לממשקי API ניהול הענקת גישה ברמת הדומיין.

מעבר אל 'ניהול של הענקת גישה ברמת הדומיין'

כדי לבצע את המשימה הזו, צריך להיכנס לחשבון כסופר-אדמין.
לוחצים על Add new ומזינים את מזהה הלקוח של חשבון השירות.
אפשר למצוא את המזהה (שנקרא גם מזהה ייחודי) בקובץ ה-JSON שהורדתם כשנוצר חשבון השירות או ב-Google Cloud (לוחצים על IAM & Admin Service accounts השם של חשבון השירות).
בקטע היקפי הרשאות OAuth, מעתיקים ומדביקים את היקף ההרשאות הבא:
https://www.googleapis.com/auth/gmail.imap_admin
לוחצים על Authorize.
לאחר מכן, משלימים את שלב 2 שבהמשך.

שלב 2: נותנים הרשאה ל-GWMME בדומיין היעד

במסוף Google Admin, נכנסים לתפריט אבטחה שליטה בגישה ובנתונים אמצעי בקרה לממשקי API ניהול הענקת גישה ברמת הדומיין.

מעבר אל 'ניהול של הענקת גישה ברמת הדומיין'

כדי לבצע את המשימה הזו, צריך להיכנס לחשבון כסופר-אדמין.
לוחצים על Add new ומזינים את מזהה הלקוח של חשבון השירות.
אפשר למצוא את המזהה (שנקרא גם מזהה ייחודי) בקובץ ה-JSON שהורדתם כשנוצר חשבון השירות או ב-Google Cloud (לוחצים על IAM & Admin Service accounts השם של חשבון השירות).
בקטע היקפי הרשאות OAuth, מעתיקים ומדביקים את רשימת היקפי ההרשאות הבאה, שמופרדים בפסיקים:
https://www.googleapis.com/auth/contacts,
https://www.googleapis.com/auth/admin.directory.group.readonly,
https://www.googleapis.com/auth/admin.directory.user,
https://www.googleapis.com/auth/apps.groups.migration,
https://www.googleapis.com/auth/calendar,
https://www.googleapis.com/auth/gmail.insert,
https://www.googleapis.com/auth/gmail.labels
אם דומיין המקור ודומיין היעד של Google Workspace זהים, מוסיפים את ההיקף הבא:
https://www.googleapis.com/auth/gmail.imap_admin
לוחצים על Authorize.
מצביעים על מזהה הלקוח החדש, לוחצים על הצגת פרטים ומוודאים שכל היקף מופיע ברשימה.
אם היקף ההרשאות לא מופיע, לוחצים על עריכה, מזינים את היקף ההרשאות החסר ולוחצים על אישור. אי אפשר לערוך את מזהה הלקוח.