Verwaiste verwaltete Nutzerkonten abgleichen

Last reviewed 2024-07-11 UTC

In diesem Dokument wird beschrieben, wie verwaiste Nutzerkonten identifiziert und abgeglichen werden.

Wenn Sie einen externen Identitätsanbieter (Identity Provider, IdP) verwenden, liegt die autoritative Quelle für Identitäten außerhalb von Cloud Identity oder Google Workspace. Jede Identität in Cloud Identity oder Google Workspace sollte daher ein Gegenstück in der externen autoritativen Quelle haben. Es ist möglich, dass einige Identitäten in Ihrem Cloud Identity- oder Google Workspace-Konto kein Gegenstück in der externen autoritativen Quelle haben. In diesem Fall gelten diese Nutzerkonten als verwaist. Verwaiste Konten können unter folgenden Umständen auftreten:

  • Ein Cloud Identity- oder Google Workspace-Administrator hat manuell ein Nutzerkonto mit einer nicht übereinstimmenden Identität erstellt.
  • Sie haben ein Privatnutzerkonto zu Cloud Identity oder Google Workspace migriert, das Konto verwendet jedoch eine Identität, die mit keiner vorhandenen Identität in der externen Quelle übereinstimmt.

Hinweise

Zum Abgleichen verwaister verwalteter Nutzerkonten müssen die folgenden Voraussetzungen erfüllt sein:

Prozess

Bevor Sie verwaiste Nutzerkonten abgleichen können, müssen Sie erst einmal ermitteln, welche Nutzerkonten verwaist sind. Für jedes Nutzerkonto müssen Sie dann entscheiden, wie dieses Konto am besten abgeglichen werden soll.

Verwaiste Nutzerkonten ermitteln

Um verwaiste Nutzerkonten zu finden, müssen Sie die Identitäten von Nutzerkonten in Cloud Identity oder Google Workspace mit den Identitäten vergleichen, die von der autoritativen Quelle erkannt werden.

Sie können mithilfe der Exportfunktion eines Google Workspace- oder Cloud Identity-Kontos eine Liste Ihrer aktuellen Nutzerkonten zum Vergleichen abrufen:

  1. Rufen Sie in der Admin-Konsole die Seite Nutzer auf.
  2. Wählen Sie Download users aus.
  3. Wählen Sie All user info columns and currently selected columns aus.
  4. Klicken Sie auf Herunterladen.

    Je nach Anzahl der Nutzerkonten wird nach einigen Minuten eine Benachrichtigung angezeigt, dass die CSV-Datei mit den Nutzerinformationen heruntergeladen werden kann.

  5. Klicken Sie auf CSV herunterladen und speichern Sie die Datei auf Ihrem lokalen Datenträger.

Wenn Sie Active Directory oder Azure Active Directory (Azure AD) als autoritative Quelle verwenden, führen Sie zum Vergleichen von Identitäten die folgenden Schritte aus:

Active Directory

  1. Melden Sie sich auf einer Workstation an, die Zugriff auf Active Directory hat.
  2. Öffnen Sie eine PowerShell-Konsole.
  3. Legen Sie eine Variable für den Speicherort der heruntergeladenen Datei fest:

    $GoogleUsersCsv="GOOGLE_PATH"

    Ersetzen Sie GOOGLE_PATH durch den Pfad zu der CSV-Datei, die Sie zuvor heruntergeladen haben.

  4. Ermitteln Sie die Liste der Nutzerkonten, für die in Active Directory kein Gegenstück vorhanden ist:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1)
    $LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "")
    
    $GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter `
        | Select-Object -ExpandProperty UserPrincipalName
    
    $GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}
    

    Der Befehl vergleicht die primäre E-Mail-Adresse von Nutzerkonten in Cloud Identity oder Google Workspace mit dem Attribut userPrincipalName in Active Directory. Wenn Sie eine andere Zuordnung zwischen Active Directory-Nutzern und Cloud Identity- oder Google Workspace-Nutzerkonten verwenden, müssen Sie den Befehl möglicherweise anpassen.

    Die Ausgabe sieht etwa so aus:

    FirstName LastName     Email
    --------- --------     -----
    Alice     Admin        admin@example.org
    Olly      Orphaned     olly@example.org
    Matty     Mismatch     matty@wrongsubdomain.example.org
    

    Jedes in der Ausgabe aufgeführte Element stellt ein Nutzerkonto in Cloud Identity oder Google Workspace dar, für das es in Active Directory kein Gegenstück gibt.

    Ein leeres Ergebnis bedeutet, dass Sie in Google Workspace oder in Cloud Identity keine verwaisten Nutzerkonten haben.

  5. Löschen Sie die CSV-Datei von Ihrem lokalen Datenträger.

Azure AD

  1. Wechseln Sie im Azure-Portal zu Azure Active Directory-Nutzer.
  2. Klicken Sie auf Benutzer herunterladen.
  3. Geben Sie einen Dateinamen ein und klicken Sie auf Start.

    Warten Sie, bis der Link Zum Herunterladen hier klicken angezeigt wird.

    Je nach Anzahl der Nutzerkonten kann es einige Minuten dauern, bis der Vorgang abgeschlossen ist.

  4. Klicken Sie auf Zum Herunterladen hier klicken und speichern Sie die Datei auf Ihrem lokalen Datenträger.

  5. Öffnen Sie auf einer Workstation, auf der PowerShell installiert ist, eine PowerShell-Konsole.

  6. Legen Sie zwei Umgebungsvariablen fest:

    $GoogleUsersCsv="GOOGLE_PATH"
    $AzureUsersCsv="AZURE_PATH"
    

    Ersetzen Sie GOOGLE_PATH und AZURE_PATH durch die Dateipfade zu den CSV-Dateien, die Sie zuvor heruntergeladen haben.

  7. Ermitteln Sie die Liste der Nutzerkonten, für die in Active Directory kein Gegenstück vorhanden ist:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv
        -Header FirstName,LastName,Email | Select-Object -Skip 1)
    
    $AzureUsers = (Import-Csv -Path $AzureUsersCsv)
    
    $GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}
    

    Der Befehl vergleicht die primäre E-Mail-Adresse von Nutzerkonten in Cloud Identity oder Google Workspace mit dem Attribut userPrincipalName in Azure AD. Wenn Sie eine andere Zuordnung zwischen Azure AD-Nutzern und Cloud Identity- oder Google Workspace-Nutzerkonten verwenden, müssen Sie den Befehl möglicherweise anpassen.

    Die Ausgabe sieht etwa so aus:

    FirstName  LastName    Email
    ---------  --------    -----
    Alice      Admin       admin@example.org
    Olly       Orphaned    olly@example.org
    Matty      Mismatch    matty@wrongsubdomain.example.org
    

    Jedes in der Ausgabe aufgeführte Element stellt ein Nutzerkonto in Cloud Identity oder Google Workspace dar, für das es in Active Directory kein Gegenstück gibt.

    Ein leeres Ergebnis bedeutet, dass Sie in Google Workspace oder in Cloud Identity keine verwaisten Nutzerkonten haben.

  8. Löschen Sie beide CSV-Dateien von Ihrem lokalen Datenträger.

Verwaiste Nutzerkonten abgleichen

Wenn Sie verwaiste Nutzerkonten abgleichen möchten, müssen Sie jedes Nutzerkonto analysieren, um festzustellen, warum seiner Identität das Gegenstück in Ihrem autoritativen Quellsystem fehlt.

Wenn Sie der Meinung sind, dass ein Nutzerkonto veraltet ist, prüfen Sie, ob die mit dem Konto verknüpften Konfigurationseinstellungen oder Daten aufbewahrt werden sollten:

  • Wenn Sie vorhandene Google Drive-Daten behalten möchten, übertragen Sie die Daten auf einen anderen Nutzer.
  • Wenn Sie keine vorhandenen Konfigurationseinstellungen oder Daten behalten möchten, löschen Sie das Nutzerkonto.
  • Um das Nutzerkonto vorübergehend zu erhalten, sperren Sie das Nutzerkonto und ändern Sie seine primäre E-Mail-Adresse in eine Adresse, mit der Konflikte unwahrscheinlich sind. Benennen Sie beispielsweise olly.obsolete@example.com in obsolete-2019-11-10-olly.obsolete@example.com um.

Versuchen Sie für jedes noch gültige Nutzerkonto, die primäre E-Mail-Adresse so zu korrigieren, dass sie mit einer Identität in Ihrer autoritativen Quelle übereinstimmt. Dies kann Folgendes erfordern:

  • Ändern der Domain der primären E-Mail-Adresse
  • Vertauschen der primären E-Mail-Adresse und der Alias-Adresse
  • Korrigieren der Groß-/Kleinschreibung oder Schreibweise der primären E-Mail-Adresse (z. B. durch Hinzufügen oder Entfernen von Punkten)

Best Practices

Wir empfehlen die folgenden Best Practices, wenn Sie verwaltete Nutzerkonten abgleichen:

  • Wenn Sie Privatnutzerkonten zu Cloud Identity oder Google Workspace migrieren, wiederholen Sie den Abgleich mindestens einmal für jeden Satz von migrierten Nutzerkonten.