本文的適用對象,是要在短時間內佈建超過 5 萬個使用者帳戶的 IT 管理員。
如要快速佈建大量帳戶,您可以使用第三方解決方案。舉例來說,Google Apps Manager (GAM) 是一款開放免費下載的開放原始碼工具,會使用 Admin SDK Directory API 來建立及管理 Google Workspace 使用者和群組。
GAM 能夠與許多 Google API 互動,還可用於管理其他帳戶功能和資源。如要進一步瞭解如何整合第三方解決方案,請造訪 Google Cloud 解決方案教學課程頁面。
事前準備
如要大規模佈建帳戶,您必須具備:
步驟 1:避免帳戶衝突
部分使用者可能擁有個人 Google 帳戶 (例如 Gmail 地址),因此當您為他們佈建新的受管理 Google Workspace 或 Cloud Identity 帳戶時,可能會產生衝突。如何避免這類問題:
步驟 2:建立簡單的平面機構架構
請避免建立包含許多層級的複雜機構單位階層。您日後可以修改階層和移動使用者。以下是設定精簡機構架構的幾個訣竅:
- 著重於受您管理的使用者所需要存取的服務和功能。
- 只在頂層機構單位提供服務和功能,並為子機構單位授予存取權。
進一步瞭解機構架構的運作方式。
教育機構範例
在下表中,左側是實際的機構架構。一開始,這個架構可能難以管理;舉例來說,您可能必須針對學校中的多個機構單位,一再為老師授予進階 Google Meet 功能的存取權。
建議的架構則著重功能性。管理員可以輕鬆為 /學生機構單位中的所有學生關閉各項服務和功能。舉例來說,您可以關閉自助式密碼救援服務,並套用 YouTube 限制。您也可以為老師和其他教職員啟用進階功能,例如 Meet 直播和錄製功能,以及兩步驟驗證。
| 機構架構範例 | 建議的機構架構 |
|---|---|
|
|
|
大型機構範例
請先確認使用者需要哪些服務和功能,然後按照下列步驟操作:
- 在頂層機構單位套用這些設定。
除非您予以覆寫,否則子機構單位會沿用這些設定。範例: - 為提升安全性,請要求相關部門使用兩步驟驗證。
| 機構架構範例 | 建議的機構架構 |
|---|---|
|
|
|
步驟 3:準備資料來源
請建立包含必要資料的半形逗號分隔值 (CSV) 檔案,以便繼續建立使用者帳戶。必填欄位如下:
- FirstName (名字)
- LastName (姓氏)
- PrimaryEmail (主要電子郵件地址):使用者用於登入帳戶的電子郵件地址
- Password (密碼):至少必須包含 8 個字元
- OrgUnit (機構單位):如要在使用者各自所屬的機構單位中建立使用者,請將上述建議納入考量
注意:如要將使用者加到頂層 (根) 機構單位,請輸入
/(正斜線),並使用正斜線分隔子機構單位,例如/教職員/老師。
教育機構範例
FirstName,LastName,PrimaryEmail,Password,OrgUnit
Jane,Doe,id12345678@students.example.com,Zee+HWdt,/學生
John,Smith,john.smith@example.com,X2Ae+pME,/教職員
大型機構範例
FirstName,LastName,PrimaryEmail,Password,OrgUnit
Jane,Doe,jane.doe@example.co.uk,V8hmj/QE,/
John,Smith,john.smith@example.com,9/t0UHQ6,/銷售
步驟 4:設定 GAM
如果您決定使用 GAM,請按照下列建議步驟操作:
- 如果您使用 GAM 5.10 以上版本,首次執行 GAM 之前,請在 GAM 所屬的資料夾中建立名為 noshorturls.txt 的檔案。
這會關閉 gam-shortn.appspot.com 短網址。 - 從 GAM 網站下載 GAM。
- 設定這項工具。
- 在設定過程中,如果系統詢問您是否「準備好授權 GAM 管理 Google Workspace 使用者資料和設定」,請回答 N (否) 以略過全網域委派作業。
您可以執行以下指令,檢查 GAM 是否已與正確的 Google Workspace 帳戶建立關聯:
gam info domain
步驟 5:使用 GAM 建立多位使用者
為建立使用者,GAM 會讀取半形逗號分隔值 (CSV) 檔案中的資料,並向 Admin SDK Directory API 發送相關要求。
如果您建立了包含上述步驟 3 中指定欄位的半形逗號分隔值 (CSV) 檔案,執行以下指令即可建立 CSV 檔案中的使用者:
gam csv users.csv gam create user ~PrimaryEmail firstname ~FirstName lastname ~LastName password ~Password org ~OrgUnit changepassword on
請務必完成下列事項:
- 為每位使用者建立專屬密碼。
- 使用選用參數
changepassword on,強制使用者在首次登入後變更密碼。
替代方法:如果資料來源缺少部分欄位,該怎麼辦?
如果資料來源只包含每位使用者的名字、姓氏和密碼,您可以使用 <名字>.<姓氏>@example.com 這個格式建立使用者名稱。舉例來說,如果使用者叫做 Charlie Smith,請使用 Charlie.Smith@example.com。
指令如下:
gam csv users.csv gam create user ~~FirstName~~.~~LastName~~@example.com password ~Password changepassword on
這個方法假設沒有任何使用者符合下列條件:
- 具有相同姓名
- 名字和姓氏包含以下字元:
- 空格
- 其他不允許使用的字元
詳情請參閱使用者和群組的名稱規範。
問題
詳情請參閱與 Google Workspace 支援團隊聯絡
如果您對本文內容有任何疑問,請在客服案件中提供相關資訊和文章連結。如要提供相關記錄,或其他可能有助於我們給予協助的詳細資訊,請傳送電子郵件與我們聯絡。
如要進一步瞭解 Google Workspace for Education 相關程序,請參閱下列資訊:
- 開始使用 Google Workspace for Education
- Google Workspace for Education常見問題
建立 Google Workspace 帳戶後,系統會提示您驗證網域擁有權。如果您不記得是否已完成驗證,請登入管理控制台,然後在「網域」部分中按一下「管理網域」。
列在第一個的網域是您的主網域,狀態欄會顯示該網域是否需要進行驗證。
Google Cloud 支援團隊的服務範圍不包含 GAM 或其他第三方解決方案,只涵蓋這些工具使用的 Admin SDK Directory API。雖然我們無法解決與 GAM 工具本身相關的問題,但如果基礎 API (尤其是 Admin SDK Directory API) 傳回錯誤,我們可以提供協助。如要進一步瞭解 GAM 指令和使用技巧,請參閱 GAM 的維基頁面。
如需 GAM 的相關協助,請前往 GAM 討論群組,向樂於伸出援手的 Google Workspace 管理員社群尋求支援。
如果您認為 Admin SDK Directory API 發生問題,請向 Google Cloud 支援團隊提供下列詳細資料:
- 第三方解決方案呼叫的 HTTP 方法和端點,例如
POST /admin/directory/v1/users?fields=primaryEmail -
回應代碼和訊息,例如 403: Not Authorized to access this resource/api - forbidden (403:您沒有使用這個資源/API 的權限 - 已遭禁止存取)
- 回應 HTTP 標頭日期,例如 Date: Wed, 22 Jun 2020 17:48:48 GMT (格林威治標準時間 2020 年 6 月 22 日週三 17:48:48)
- 發出呼叫的實體:使用者名稱、服務帳戶或 Google Cloud 專案 ID
請移除姓名、密碼、驗證要求標頭、IP 位址、自訂架構值等資訊,或任何其他機密資訊。
預設配額應足以滿足大部分客戶的需求。如要進一步瞭解 API 限制,請參閱「Directory API:限制與配額」。
如果您仍想提高專案配額,請在 Google Cloud 控制台的「配額」部分中查看相關規定:
- 開啟 Google Cloud 控制台。
- 在頂端選取 GAM 建立的專案。
- 依序按一下左側的「導覽選單」圖示
>「IAM 與管理員」>「配額」。
- 在「服務」底下,依「Admin SDK」(與使用者帳戶佈建作業相關) 進行篩選。
- 選取您要申請提高配額的項目。
- 按一下頂端的「編輯配額」。
如要為 GAM 建立的 GCP 專案啟用帳單功能,請參閱「如何為目前的專案啟用帳單功能」。
