Uỷ quyền cho GWMME đối với tài khoản của bạn

Nhóm hỗ trợ Google Workspace không hỗ trợ tập lệnh GitHub này. Nếu bạn gặp vấn đề khi sử dụng tập lệnh, hãy làm theo các bước để tạo tài khoản theo cách thủ công. Tìm hiểu thêm về cách sử dụng tập lệnh.

1. Đăng nhập với tư cách là quản trị viên cấp cao rồi mở Cloud Shell trong cửa sổ trình duyệt.
2. Trong shell, để khởi động tập lệnh tự động, hãy nhập lệnh sau:

   python3 <(curl -s -S -L https://git.io/gwmme-create-service-account)

3. Hoàn tất các bước trong cửa sổ Cloud Shell.
4. Nhấp vào Tải xuống để tải tệp JSON chứa mã ứng dụng của tài khoản dịch vụ xuống máy tính.
5. Thiết lập quá trình di chuyển. Để biết thông tin chi tiết, hãy xem bài viết Di chuyển dữ liệu bằng GWMME.

Tìm hiểu thêm về cách sử dụng tập lệnh.

Bước 1: Tạo một dự án

1. Truy cập vào Google Cloud rồi đăng nhập với vai trò quản trị viên cấp cao. Nếu đây là lần đầu tiên bạn đăng nhập vào bảng điều khiển, hãy đồng ý với Điều khoản dịch vụ.
2. Nhấp vào IAM và Quản trị Quản lý tài nguyên. Bạn có thể phải nhấp vào biểu tượng Trình đơn trước tiên.
3. Ở trên cùng, hãy nhấp vào Tạo dự án rồi nhập tên dự án.
4. (Không bắt buộc) Để thêm dự án vào một thư mục, trong mục Vị trí, hãy nhấp vào Duyệt qua, chuyển đến thư mục rồi nhấp vào Chọn.
5. Nhấp vào Tạo.
6. Theo mặc định, chỉ người tạo dự án mới có quyền quản lý dự án. Để đảm bảo dự án có thể được duy trì nếu người tạo rời khỏi tổ chức, bạn nên chỉ định vai trò Chủ sở hữu dự án cho ít nhất một người khác. Để biết thông tin chi tiết, hãy xem bài viết Quản lý quyền truy cập vào dự án, thư mục và tổ chức.

Bước 2: Bật API cho tài khoản dịch vụ

1. Đánh dấu vào hộp bên cạnh dự án mới.
2. Nhấp vào API và Dịch vụ Thư viện. Bạn có thể phải nhấp vào biểu tượng Trình đơn trước tiên.
3. Đối với mỗi API mà bạn cần (bên dưới), hãy nhấp vào tên API rồi nhấp vào Bật:
   • Admin SDK
   • API Lịch Google
   • Contacts API
   • API Gmail
   • API Di chuyển nhóm

   Lưu ý: Nếu không tìm thấy API, hãy chỉ định tên API trong hộp tìm kiếm.

Bước 3: Thiết lập màn hình đồng ý OAuth

Lưu ý: Khi thêm các địa chỉ email bên dưới, hãy sử dụng tài khoản email quản trị viên dùng chung.

1. Trong Google Cloud, hãy mở dự án mà bạn đã tạo trước đó.
   • Nếu bạn tạo tài khoản dịch vụ theo cách thủ công, thì dự án sẽ được tạo trong Bước 1: Tạo dự án.
   • Nếu bạn tạo dự án bằng một tập lệnh, thì tên dự án sẽ xuất hiện trong Google Cloud Shell Editor sau khi tập lệnh chạy.
2. Nhấp vào API và Dịch vụ Màn hình đồng ý OAuth. Bạn có thể phải nhấp vào biểu tượng Trình đơn trước tiên.
3. Nhấp vào Xây dựng thương hiệu

   Nếu bạn không thấy nút Bắt đầu, hãy chuyển sang bước 4. Nếu không, hãy chuyển sang bước 5.

4. Nhấp vào Khách hàng.

   Nếu bạn thấy nút + Tạo khách hàng, hãy chuyển đến Bước 4: Tạo tài khoản dịch vụ. Nếu không, hãy chuyển sang bước 5.

5. Nhấp vào Bắt đầu.
6. Đối với Tên ứng dụng, hãy nhập tên ứng dụng của bạn (ví dụ: Google Workspace Migrate hoặc GWM).
7. Đối với Email hỗ trợ người dùng, hãy nhập email mà người dùng có thể liên hệ khi có thắc mắc, rồi nhấp vào Tiếp theo.
8. Đối với Đối tượng, hãy chọn Nội bộ, rồi nhấp vào Tiếp theo.
9. Đối với Thông tin liên hệ, hãy nhập mọi địa chỉ email có liên quan, rồi nhấp vào Tiếp theo.
10. Để Hoàn tất, hãy đánh dấu vào ô Tôi đồng ý với Chính sách dữ liệu người dùng của Dịch vụ API của Google.
11. Nhấp vào Tiếp tục Tạo.

Bước 4: Tạo tài khoản dịch vụ

1. Nhấp vào API và Dịch vụ Thông tin xác thực. Bạn có thể phải nhấp vào biểu tượng Trình đơn trước tiên.
2. Nhấp vào Tạo thông tin xác thực Tài khoản dịch vụ.
3. Đối với Tên tài khoản dịch vụ, hãy nhập tên cho tài khoản dịch vụ và thêm nội dung mô tả (không bắt buộc).
4. Nhấp vào Tạo và tiếp tục Xong.
5. Ghi lại giá trị Mã nhận dạng duy nhất cho tài khoản dịch vụ. Bạn sẽ cần đến mã này sau. Giá trị này cũng là mã ứng dụng khách của tài khoản dịch vụ.

   Lưu ý: Bạn cũng có thể tìm thấy giá trị này trong thẻ Chi tiết của tài khoản dịch vụ hoặc trong tệp JSON.

6. Nhấp vào Xong Lưu.
7. Ở trên cùng, hãy nhấp vào Khoá Thêm khoá Tạo khoá mới.
8. Đảm bảo bạn đặt loại khoá thành JSON rồi nhấp vào Tạo.

   Bạn sẽ nhận được thông báo cho biết tệp JSON khoá riêng tư của tài khoản dịch vụ đã được tải xuống máy tính.

9. Ghi lại tên tệp và vị trí mà trình duyệt lưu tệp. Bạn sẽ cần đến mã này sau.
10. Nhấp vào Close (Đóng).

Thực hiện các bước này trên tài khoản mục tiêu.

1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn Bảo mật Quyền truy cập và chế độ kiểm soát dữ liệu Chế độ kiểm soát API Quản lý việc uỷ quyền trên toàn miền.

   Chuyển đến phần Quản lý việc uỷ quyền trên toàn miền

   Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

2. Nhấp vào Thêm mới rồi nhập mã ứng dụng khách tài khoản dịch vụ của bạn.

   Bạn có thể tìm thấy mã nhận dạng (còn gọi là Mã nhận dạng duy nhất) trong tệp JSON mà bạn đã tải xuống khi tạo tài khoản dịch vụ hoặc trong Google Cloud (nhấp vào IAM và Quản trị Tài khoản dịch vụ tên tài khoản dịch vụ của bạn).

3. Đối với phạm vi OAuth, hãy sao chép và dán danh sách phạm vi sau đây (phân tách bằng dấu phẩy):

   https://www.googleapis.com/auth/contacts,
   https://www.googleapis.com/auth/admin.directory.group.readonly,
   https://www.googleapis.com/auth/admin.directory.user,
   https://www.googleapis.com/auth/apps.groups.migration,
   https://www.googleapis.com/auth/calendar,
   https://www.googleapis.com/auth/gmail.insert,
   https://www.googleapis.com/auth/gmail.labels

4. Nhấp vào Uỷ quyền.
5. Chỉ vào mã ứng dụng mới, nhấp vào Xem chi tiết và đảm bảo rằng mọi phạm vi đều được liệt kê.

   Nếu không thấy một phạm vi nào đó, hãy nhấp vào Chỉnh sửa, nhập phạm vi còn thiếu rồi nhấp vào Uỷ quyền. Bạn không thể chỉnh sửa mã ứng dụng khách.

Các bước bạn cần thực hiện sẽ khác nhau tuỳ thuộc vào chế độ thiết lập của bạn. Nếu bạn có:

• Miền nguồn và miền đích của Google Workspace khác nhau – Uỷ quyền cho GWMME trên cả miền nguồn và miền đích bằng cách làm theo các bước 1 và 2 (dưới đây, trên trang này).
• Miền nguồn và miền đích của Google Workspace giống nhau – Chỉ uỷ quyền cho GWMME trên miền đích bằng cách làm theo bước 2 (bên dưới, trên trang này).
• Đã thêm mật khẩu vào tệp CSV kiểm soát – Chỉ cho phép GWMME trên miền mục tiêu bằng cách làm theo bước 2 (bên dưới, trên trang này). Sau đó, cấp cho tài khoản nguồn quyền truy cập cho các ứng dụng kém an toàn. Để biết thông tin chi tiết, hãy xem Bước 2: Cho phép các ứng dụng kém an toàn truy cập vào tài khoản.

Bước 1: Uỷ quyền cho GWMME trên miền nguồn

1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn Bảo mật Quyền truy cập và chế độ kiểm soát dữ liệu Chế độ kiểm soát API Quản lý việc uỷ quyền trên toàn miền.

   Chuyển đến phần Quản lý việc uỷ quyền trên toàn miền

   Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

2. Nhấp vào Thêm mới rồi nhập mã ứng dụng khách tài khoản dịch vụ của bạn.

   Bạn có thể tìm thấy mã nhận dạng (còn gọi là Mã nhận dạng duy nhất) trong tệp JSON mà bạn đã tải xuống khi tạo tài khoản dịch vụ hoặc trong Google Cloud (nhấp vào IAM và Quản trị Tài khoản dịch vụ tên tài khoản dịch vụ của bạn).

3. Đối với phạm vi OAuth, hãy sao chép và dán phạm vi sau:

   https://www.googleapis.com/auth/gmail.imap_admin

4. Nhấp vào Uỷ quyền.
5. Tiếp theo, hãy hoàn tất bước 2 bên dưới.

Bước 2: Cho phép GWMME trên miền mục tiêu

1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn Bảo mật Quyền truy cập và chế độ kiểm soát dữ liệu Chế độ kiểm soát API Quản lý việc uỷ quyền trên toàn miền.

   Chuyển đến phần Quản lý việc uỷ quyền trên toàn miền

   Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

2. Nhấp vào Thêm mới rồi nhập mã ứng dụng khách tài khoản dịch vụ của bạn.

   Bạn có thể tìm thấy mã nhận dạng (còn gọi là Mã nhận dạng duy nhất) trong tệp JSON mà bạn đã tải xuống khi tạo tài khoản dịch vụ hoặc trong Google Cloud (nhấp vào IAM và Quản trị Tài khoản dịch vụ tên tài khoản dịch vụ của bạn).

3. Đối với phạm vi OAuth, hãy sao chép và dán danh sách phạm vi sau đây (phân tách bằng dấu phẩy):

   https://www.googleapis.com/auth/contacts,
   https://www.googleapis.com/auth/admin.directory.group.readonly,
   https://www.googleapis.com/auth/admin.directory.user,
   https://www.googleapis.com/auth/apps.groups.migration,
   https://www.googleapis.com/auth/calendar,
   https://www.googleapis.com/auth/gmail.insert,
   https://www.googleapis.com/auth/gmail.labels

4. Nếu miền nguồn và miền đích của Google Workspace giống nhau, hãy thêm phạm vi sau:

   https://www.googleapis.com/auth/gmail.imap_admin

5. Nhấp vào Uỷ quyền.
6. Chỉ vào mã ứng dụng mới, nhấp vào Xem chi tiết và đảm bảo rằng mọi phạm vi đều được liệt kê.

   Nếu không thấy một phạm vi nào đó, hãy nhấp vào Chỉnh sửa, nhập phạm vi còn thiếu rồi nhấp vào Uỷ quyền. Bạn không thể chỉnh sửa mã ứng dụng khách.