Merekonsiliasi akun pengguna terkelola yang terlantar

Last reviewed 2023-02-27 UTC

Dokumen ini menjelaskan cara mengidentifikasi dan merekonsiliasi akun pengguna terlantar.

Jika Anda menggunakan penyedia identitas (IdP) eksternal, maka sumber otoritatif untuk identitas berada di luar Cloud Identity atau Google Workspace. Oleh karena itu, setiap identitas di Cloud Identity atau Google Workspace harus memiliki padanan di sumber otoritatif eksternal. Ada kemungkinan bahwa beberapa identitas di akun Cloud Identity atau Google Workspace Anda tidak memiliki padanan di sumber otoritatif eksternal Anda—Jika demikian, akun pengguna ini dianggap terlantar. Akun terlantar dapat terjadi dalam keadaan berikut:

Administrator Cloud Identity atau Google Workspace telah membuat akun pengguna tanpa identitas yang cocok secara manual.
Anda telah memigrasikan akun konsumen ke Cloud Identity atau Google Workspace, tetapi akun tersebut menggunakan identitas yang tidak cocok dengan identitas apa pun yang ada di sumber eksternal.

Sebelum memulai

Untuk merekonsiliasi akun pengguna terkelola yang terlantar, Anda harus memenuhi prasyarat berikut:

Anda telah mengidentifikasi rencana orientasi yang sesuai dan telah menyelesaikan semua prasyarat untuk menggabungkan akun pengguna yang sudah ada.
Anda telah membuat akun Cloud Identity atau Google Workspace.

Proses

Untuk merekonsiliasi akun pengguna terlantar, Anda harus terlebih dahulu mengidentifikasi akun pengguna yang usang. Untuk setiap akun pengguna, Anda harus memutuskan cara terbaik untuk merekonsiliasi akun tersebut.

Mengidentifikasi akun pengguna terlantar

Untuk menemukan akun pengguna terlantar, Anda harus membandingkan identitas akun pengguna di Cloud Identity atau Google Workspace dengan identitas yang dikenali oleh sumber otoritatif Anda.

Untuk melakukan perbandingan, Anda dapat menggunakan fungsi ekspor akun Google Workspace atau Cloud Identity untuk mendapatkan daftar akun pengguna Anda saat ini:

Di Konsol Admin, buka halaman Pengguna.
Pilih Download pengguna.
Pilih Semua kolom info pengguna dan kolom yang saat ini dipilih.
Klik Download.

Setelah beberapa menit, bergantung pada jumlah akun pengguna yang Anda miliki, Anda akan melihat notifikasi bahwa file CSV info pengguna siap didownload.
Klik Download CSV, lalu simpan file ke disk lokal Anda.

Catatan: Ekspor CSV mungkin berisi informasi identitas pribadi (PII). Pastikan Anda memilih lokasi penyimpanan yang dilindungi dari akses tidak sah.

Jika Anda menggunakan Active Directory atau Azure Active Directory (Azure AD) sebagai sumber otoritatif, ikuti langkah-langkah berikut untuk membandingkan identitas:

Active Directory

Login ke workstation yang memiliki akses ke Active Directory.
Buka konsol PowerShell.
Tetapkan variabel ke lokasi file yang Anda download:
```
$GoogleUsersCsv="GOOGLE_PATH"
```
Ganti GOOGLE_PATH dengan jalur file ke file CSV yang Anda download sebelumnya.
Tentukan daftar akun pengguna yang tidak memiliki padanan di Active Directory:
```
$GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1)
$LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "")

$GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter `
    | Select-Object -ExpandProperty UserPrincipalName

$GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}
```
Perintah ini membandingkan alamat email utama akun pengguna di Cloud Identity atau Google Workspace dengan atribut userPrincipalName di Active Directory. Jika menggunakan pemetaan berbeda antara pengguna Active Directory dan akun pengguna Cloud Identity atau Google Workspace, Anda mungkin perlu menyesuaikan perintah tersebut.

Catatan: Jika file CSV berisi pengguna dalam jumlah besar, perintah Get-ADUser mungkin memerlukan waktu beberapa menit untuk dijalankan dan dapat menyebabkan beban yang signifikan pada pengontrol domain yang terkait.

Outputnya mirip dengan ini:
```
FirstName LastName     Email
--------- --------     -----
Alice     Admin        admin@example.org
Olly      Orphaned     olly@example.org
Matty     Mismatch     matty@wrongsubdomain.example.org
```
Setiap item yang tercantum dalam output mewakili akun pengguna di Cloud Identity atau Google Workspace yang tidak memiliki padanan di Active Directory.

Hasil kosong menunjukkan bahwa Anda tidak memiliki akun pengguna terlantar di Google Workspace atau Cloud Identity.
Hapus file CSV dari disk lokal Anda.

Azure AD

Di Portal Azure, buka Pengguna Azure Active Directory.
Klik Download pengguna.
Masukkan nama file, lalu klik Mulai.

Tunggu hingga link Klik di sini untuk mendownload muncul.

Bergantung pada jumlah akun pengguna yang Anda miliki, mungkin perlu waktu beberapa menit untuk menyelesaikan operasi.
Klik Klik di sini untuk mendownload dan menyimpan file ke disk lokal Anda.

Catatan: Ekspor CSV mungkin berisi informasi identitas pribadi (PII). Pastikan Anda memilih lokasi penyimpanan yang dilindungi dari akses tidak sah.
Di workstation yang telah menginstal PowerShell, buka konsol PowerShell.
Tetapkan dua variabel lingkungan:
```
$GoogleUsersCsv="GOOGLE_PATH"
$AzureUsersCsv="AZURE_PATH"
```
Ganti GOOGLE_PATH dan AZURE_PATH dengan jalur file ke file CSV yang sebelumnya Anda download.
Tentukan daftar akun pengguna yang tidak memiliki padanan di Active Directory:
```
$GoogleUsers = (Import-Csv -Path $GoogleUsersCsv
    -Header FirstName,LastName,Email | Select-Object -Skip 1)

$AzureUsers = (Import-Csv -Path $AzureUsersCsv)

$GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}
```
Perintah ini membandingkan alamat email utama akun pengguna di Cloud Identity atau Google Workspace dengan atribut userPrincipalName di Azure AD. Jika menggunakan pemetaan berbeda antara pengguna Azure AD dan akun pengguna Cloud Identity atau Google Workspace, Anda mungkin perlu menyesuaikan perintah tersebut.

Outputnya mirip dengan hal berikut ini:
```
FirstName  LastName    Email
---------  --------    -----
Alice      Admin       admin@example.org
Olly       Orphaned    olly@example.org
Matty      Mismatch    matty@wrongsubdomain.example.org
```
Setiap item yang tercantum dalam output mewakili akun pengguna di Cloud Identity atau Google Workspace yang tidak memiliki padanan di Active Directory.

Hasil kosong menunjukkan bahwa Anda tidak memiliki akun pengguna terlantar di Google Workspace atau Cloud Identity.
Hapus kedua file CSV dari disk lokal Anda.

Merekonsiliasi akun pengguna terlantar

Untuk merekonsiliasi akun pengguna terlantar, Anda harus menganalisis setiap akun pengguna untuk mengetahui mengapa identitasnya tidak memiliki padanan dalam sistem sumber otoritatif Anda.

Jika menurut Anda akun pengguna sudah tidak berlaku, periksa apakah setelan konfigurasi atau data yang terkait dengan akun tersebut pantas dipertahankan:

Untuk menyimpan data Google Drive yang sudah ada, transfer data ke pengguna yang berbeda.
Jika Anda tidak ingin menyimpan setelan konfigurasi atau data yang sudah ada, hapus akun pengguna.
Untuk mempertahankan akun pengguna untuk sementara, tangguhkan akun pengguna dan ubah alamat email utamanya menjadi alamat yang kemungkinan tidak akan menyebabkan benturan. Misalnya, ganti nama olly.obsolete@example.com menjadi obsolete-2019-11-10-olly.obsolete@example.com.

Untuk setiap akun pengguna yang masih valid, cobalah untuk memperbaiki alamat email utama sehingga cocok dengan identitas di sumber otoritatif Anda. Proses ini mungkin memerlukan hal berikut:

Mengubah domain alamat email utama.
Menukar alamat email utama dan alamat alias.
Memperbaiki kapitalisasi atau ejaan alamat email utama (misalnya, menambahkan atau menghapus titik).

Praktik terbaik

Kami merekomendasikan praktik terbaik berikut saat Anda merekonsiliasi akun pengguna terkelola:

Jika Anda memigrasikan akun konsumen ke Cloud Identity atau Google Workspace, ulangi proses rekonsiliasi setidaknya sekali untuk setiap batch akun pengguna yang Anda migrasikan.