In diesem Dokument wird beschrieben, wie verwaiste Nutzerkonten identifiziert und abgeglichen werden.
Wenn Sie einen externen Identitätsanbieter (Identity Provider, IdP) verwenden, liegt die autoritative Quelle für Identitäten außerhalb von Cloud Identity oder Google Workspace. Jede Identität in Cloud Identity oder Google Workspace sollte daher ein Gegenstück in der externen autoritativen Quelle haben. Es ist möglich, dass einige Identitäten in Ihrem Cloud Identity- oder Google Workspace-Konto kein Gegenstück in der externen autoritativen Quelle haben. In diesem Fall gelten diese Nutzerkonten als verwaist. Verwaiste Konten können unter folgenden Umständen auftreten:
- Ein Cloud Identity- oder Google Workspace-Administrator hat manuell ein Nutzerkonto mit einer nicht übereinstimmenden Identität erstellt.
- Sie haben ein Privatnutzerkonto zu Cloud Identity oder Google Workspace migriert, das Konto verwendet jedoch eine Identität, die mit keiner vorhandenen Identität in der externen Quelle übereinstimmt.
Hinweise
Zum Abgleichen verwaister verwalteter Nutzerkonten müssen die folgenden Voraussetzungen erfüllt sein:
- Sie haben einen geeigneten Onboardingplan festgelegt und alle Voraussetzungen für die Konsolidierung Ihrer bestehenden Nutzerkonten erfüllt.
- Sie haben ein Cloud Identity- oder Google Workspace-Konto erstellt.
Prozess
Bevor Sie verwaiste Nutzerkonten abgleichen können, müssen Sie erst einmal ermitteln, welche Nutzerkonten verwaist sind. Für jedes Nutzerkonto müssen Sie dann entscheiden, wie dieses Konto am besten abgeglichen werden soll.
Verwaiste Nutzerkonten ermitteln
Um verwaiste Nutzerkonten zu finden, müssen Sie die Identitäten von Nutzerkonten in Cloud Identity oder Google Workspace mit den Identitäten vergleichen, die von der autoritativen Quelle erkannt werden.
Sie können mithilfe der Exportfunktion eines Google Workspace- oder Cloud Identity-Kontos eine Liste Ihrer aktuellen Nutzerkonten zum Vergleichen abrufen:
- Rufen Sie in der Admin-Konsole die Seite Nutzer auf.
- Wählen Sie Download users aus.
- Wählen Sie All user info columns and currently selected columns aus.
Klicken Sie auf Herunterladen.
Je nach Anzahl der Nutzerkonten wird nach einigen Minuten eine Benachrichtigung angezeigt, dass die CSV-Datei mit den Nutzerinformationen heruntergeladen werden kann.
Klicken Sie auf CSV herunterladen und speichern Sie die Datei auf Ihrem lokalen Datenträger.
Wenn Sie Active Directory oder Azure Active Directory (Azure AD) als autoritative Quelle verwenden, führen Sie zum Vergleichen von Identitäten die folgenden Schritte aus:
Active Directory
- Melden Sie sich auf einer Workstation an, die Zugriff auf Active Directory hat.
- Öffnen Sie eine PowerShell-Konsole.
Legen Sie eine Variable für den Speicherort der heruntergeladenen Datei fest:
$GoogleUsersCsv="GOOGLE_PATH"
Ersetzen Sie
GOOGLE_PATH
durch den Pfad zu der CSV-Datei, die Sie zuvor heruntergeladen haben.Ermitteln Sie die Liste der Nutzerkonten, für die in Active Directory kein Gegenstück vorhanden ist:
$GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1) $LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "") $GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter ` | Select-Object -ExpandProperty UserPrincipalName $GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}
Der Befehl vergleicht die primäre E-Mail-Adresse von Nutzerkonten in Cloud Identity oder Google Workspace mit dem Attribut
userPrincipalName
in Active Directory. Wenn Sie eine andere Zuordnung zwischen Active Directory-Nutzern und Cloud Identity- oder Google Workspace-Nutzerkonten verwenden, müssen Sie den Befehl möglicherweise anpassen.Die Ausgabe sieht etwa so aus:
FirstName LastName Email --------- -------- ----- Alice Admin admin@example.org Olly Orphaned olly@example.org Matty Mismatch matty@wrongsubdomain.example.org
Jedes in der Ausgabe aufgeführte Element stellt ein Nutzerkonto in Cloud Identity oder Google Workspace dar, für das es in Active Directory kein Gegenstück gibt.
Ein leeres Ergebnis bedeutet, dass Sie in Google Workspace oder in Cloud Identity keine verwaisten Nutzerkonten haben.
Löschen Sie die CSV-Datei von Ihrem lokalen Datenträger.
Azure AD
- Wechseln Sie im Azure-Portal zu Azure Active Directory-Nutzer.
- Klicken Sie auf Benutzer herunterladen.
Geben Sie einen Dateinamen ein und klicken Sie auf Start.
Warten Sie, bis der Link Zum Herunterladen hier klicken angezeigt wird.
Je nach Anzahl der Nutzerkonten kann es einige Minuten dauern, bis der Vorgang abgeschlossen ist.
Klicken Sie auf Zum Herunterladen hier klicken und speichern Sie die Datei auf Ihrem lokalen Datenträger.
Öffnen Sie auf einer Workstation, auf der PowerShell installiert ist, eine PowerShell-Konsole.
Legen Sie zwei Umgebungsvariablen fest:
$GoogleUsersCsv="GOOGLE_PATH" $AzureUsersCsv="AZURE_PATH"
Ersetzen Sie
GOOGLE_PATH
undAZURE_PATH
durch die Dateipfade zu den CSV-Dateien, die Sie zuvor heruntergeladen haben.Ermitteln Sie die Liste der Nutzerkonten, für die in Active Directory kein Gegenstück vorhanden ist:
$GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1) $AzureUsers = (Import-Csv -Path $AzureUsersCsv) $GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}
Der Befehl vergleicht die primäre E-Mail-Adresse von Nutzerkonten in Cloud Identity oder Google Workspace mit dem Attribut
userPrincipalName
in Azure AD. Wenn Sie eine andere Zuordnung zwischen Azure AD-Nutzern und Cloud Identity- oder Google Workspace-Nutzerkonten verwenden, müssen Sie den Befehl möglicherweise anpassen.Die Ausgabe sieht etwa so aus:
FirstName LastName Email --------- -------- ----- Alice Admin admin@example.org Olly Orphaned olly@example.org Matty Mismatch matty@wrongsubdomain.example.org
Jedes in der Ausgabe aufgeführte Element stellt ein Nutzerkonto in Cloud Identity oder Google Workspace dar, für das es in Active Directory kein Gegenstück gibt.
Ein leeres Ergebnis bedeutet, dass Sie in Google Workspace oder in Cloud Identity keine verwaisten Nutzerkonten haben.
Löschen Sie beide CSV-Dateien von Ihrem lokalen Datenträger.
Verwaiste Nutzerkonten abgleichen
Wenn Sie verwaiste Nutzerkonten abgleichen möchten, müssen Sie jedes Nutzerkonto analysieren, um festzustellen, warum seiner Identität das Gegenstück in Ihrem autoritativen Quellsystem fehlt.
Wenn Sie der Meinung sind, dass ein Nutzerkonto veraltet ist, prüfen Sie, ob die mit dem Konto verknüpften Konfigurationseinstellungen oder Daten aufbewahrt werden sollten:
- Wenn Sie vorhandene Google Drive-Daten behalten möchten, übertragen Sie die Daten auf einen anderen Nutzer.
- Wenn Sie keine vorhandenen Konfigurationseinstellungen oder Daten behalten möchten, löschen Sie das Nutzerkonto.
- Um das Nutzerkonto vorübergehend zu erhalten, sperren Sie das Nutzerkonto und ändern Sie seine primäre E-Mail-Adresse in eine Adresse, mit der Konflikte unwahrscheinlich sind.
Benennen Sie beispielsweise
olly.obsolete@example.com
inobsolete-2019-11-10-olly.obsolete@example.com
um.
Versuchen Sie für jedes noch gültige Nutzerkonto, die primäre E-Mail-Adresse so zu korrigieren, dass sie mit einer Identität in Ihrer autoritativen Quelle übereinstimmt. Dies kann Folgendes erfordern:
- Ändern der Domain der primären E-Mail-Adresse
- Vertauschen der primären E-Mail-Adresse und der Alias-Adresse
- Korrigieren der Groß-/Kleinschreibung oder Schreibweise der primären E-Mail-Adresse (z. B. durch Hinzufügen oder Entfernen von Punkten)
Best Practices
Wir empfehlen die folgenden Best Practices, wenn Sie verwaltete Nutzerkonten abgleichen:
- Wenn Sie Privatnutzerkonten zu Cloud Identity oder Google Workspace migrieren, wiederholen Sie den Abgleich mindestens einmal für jeden Satz von migrierten Nutzerkonten.