Questa pagina è stata tradotta dall'API Cloud Translation.

Riconciliazione degli account utente gestiti orfani

Last reviewed 2024-07-11 UTC

Questo documento descrive come identificare e riconciliare gli account utente orfani.

Se utilizzi un provider di identità (IdP) esterno, allora la fonte autorevole delle identità è esterna Cloud Identity o Google Workspace. Ogni identità in Cloud Identity o Google Workspace perciò hanno una controparte nel fonte autorevole esterna. È possibile che alcune delle identità in Cloud Identity L'account Google Workspace non ha una controparte nei tuoi contenuti autorevoli esterni sorgente: in questo caso, questi account utente sono considerati orfani. Account orfani può verificarsi nelle seguenti circostanze:

Un amministratore di Cloud Identity o Google Workspace ha creato manualmente un account utente con un'identità non corrispondente.
Hai ha eseguito la migrazione di un account consumer a Cloud Identity o Google Workspace, ma l'account utilizza un'identità che non corrisponde a nessuna identità esistente nell'origine esterna.

Prima di iniziare

Per riconciliare gli account utente gestiti orfani, devi soddisfare i seguenti requisiti prerequisiti:

Hai ha identificato un piano di onboarding adeguato e aver completato tutti i prerequisiti per consolidare gli utenti esistenti .
Hai creato un Account Cloud Identity o Google Workspace.

Processo

Per riconciliare gli account utente orfani, è necessario innanzitutto identificare quale utente sono orfani. Per ogni account utente, devi quindi decidere come riconciliare al meglio l'account.

Identificare gli account utente orfani

Per trovare account utente orfani, devi confrontare le identità degli utenti in Cloud Identity o Google Workspace rispetto di identità riconosciute dalla tua fonte autorevole.

Per eseguire un confronto, puoi utilizzare la funzionalità di esportazione di un account Google Workspace o Cloud Identity per ottenere gli account utente correnti:

Nella Console di amministrazione, vai a Utenti .
Seleziona Scarica utenti.
Seleziona Tutte le colonne di informazioni utente e le colonne attualmente selezionate.
Fai clic su Scarica.

Dopo alcuni minuti, a seconda del numero di account utente di cui disponi, viene visualizzata una notifica che indica che il file CSV con le informazioni utente è pronto per essere scaricato.
Fai clic su Scarica CSV e salva il file sul disco locale.

Nota: l'esportazione in formato CSV potrebbe contenere informazioni che consentono l'identificazione personale (PII). Assicurati di selezionare una posizione di archiviazione protetta contro gli accessi non autorizzati.

Se usi Active Directory o Azure Active Directory (Azure AD) come fonte autorevole, segui questi passaggi per confrontare le identità:

Active Directory

Accedi a una workstation che ha accesso ad Active Directory.
Apri una console PowerShell.
Imposta una variabile sulla posizione del file scaricato:
```
$GoogleUsersCsv="GOOGLE_PATH"
```
Sostituisci GOOGLE_PATH con il percorso della file CSV scaricato in precedenza.
Determinare l'elenco di account utente per cui manca una controparte in Attivo Directory:
```
$GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1)
$LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "")

$GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter `
    | Select-Object -ExpandProperty UserPrincipalName

$GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}
```
Il comando confronta l'indirizzo email principale degli account utente in Cloud Identity o Google Workspace rispetto Attributo userPrincipalName in Active Directory. Se utilizzando una mappatura diversa tra gli utenti di Active Directory gli account utente di Cloud Identity o Google Workspace, potrebbe essere necessario modificare il comando.

Nota: se il file CSV contiene un numero elevato di utenti, la proprietà L'esecuzione del comando Get-ADUser potrebbe richiedere diversi minuti e causare un carico significativo sul controller di dominio associato.

L'output è simile al seguente:
```
FirstName LastName     Email
--------- --------     -----
Alice     Admin        admin@example.org
Olly      Orphaned     olly@example.org
Matty     Mismatch     matty@wrongsubdomain.example.org
```
Ogni elemento elencato nell'output rappresenta un account utente in Cloud Identity o Google Workspace è privo di in Active Directory.

Un risultato vuoto indica che non hai utenti orfani in Google Workspace o Cloud Identity.
Elimina il file CSV dal disco locale.

Azure AD

Nel portale Azure, vai a Utenti di Azure Active Directory.
Fai clic su Scarica utenti.
Inserisci un nome file e fai clic su Avvia.

Attendi finché non viene visualizzato il link Fai clic qui per scaricare.

A seconda del numero di account utente che possiedi, potrebbero essere minuti per il completamento dell'operazione.
Fai clic su Fai clic qui per scaricare e salva il file sul disco locale.

Nota: l'esportazione in formato CSV potrebbe contenere informazioni che consentono l'identificazione personale (PII). Assicurati di selezionare una posizione di archiviazione protetta contro gli accessi non autorizzati.
Apri PowerShell su una workstation in cui è installato PowerShell. Google Cloud.
Imposta due variabili di ambiente:
```
$GoogleUsersCsv="GOOGLE_PATH"
$AzureUsersCsv="AZURE_PATH"
```
Sostituisci GOOGLE_PATH e AZURE_PATH con i percorsi dei file CSV scaricati in precedenza.
Determinare l'elenco di account utente per cui manca una controparte in Attivo Directory:
```
$GoogleUsers = (Import-Csv -Path $GoogleUsersCsv
    -Header FirstName,LastName,Email | Select-Object -Skip 1)

$AzureUsers = (Import-Csv -Path $AzureUsersCsv)

$GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}
```
Il comando confronta l'indirizzo email principale degli account utente in Cloud Identity o Google Workspace rispetto Attributo userPrincipalName in Azure AD. Se utilizzi un mappatura diversa tra gli utenti di Azure AD e Cloud Identity o Google Workspace, potresti dover modificare .

L'output è simile al seguente:
```
FirstName  LastName    Email
---------  --------    -----
Alice      Admin       admin@example.org
Olly       Orphaned    olly@example.org
Matty      Mismatch    matty@wrongsubdomain.example.org
```
Ogni elemento elencato nell'output rappresenta un account utente in Cloud Identity o Google Workspace è privo di in Active Directory.

Un risultato vuoto indica che non hai utenti orfani in Google Workspace o Cloud Identity.
Elimina entrambi i file CSV dal disco locale.

Riconciliazione di account utente orfani

Per riconciliare gli account utente orfani, devi analizzare ciascun account utente per determinare perché manca una controparte nel tuo un sistema di origine autorevole.

Se ritieni che un account utente sia obsoleto, verifica se esistono configurazioni impostazioni o dati associati all'account valgono la pena conservare:

Per mantenere i dati esistenti di Google Drive: trasferisci i dati a un altro utente.
Se non vuoi conservare le impostazioni o i dati di configurazione esistenti, eliminare l'account utente.
Per conservare temporaneamente l'account utente, sospendilo e cambiare l'indirizzo email principale con un indirizzo che probabilmente non avrà causa una collisione. Ad esempio, rinomina olly.obsolete@example.com in obsolete-2019-11-10-olly.obsolete@example.com.

Per ogni account utente ancora valido, prova a correggere l'indirizzo email principale in modo che corrisponda a un'identità presente nella fonte autorevole. Questa operazione potrebbe richiedere le seguenti:

Modifica del dominio dell'indirizzo email principale.
Scambio di indirizzo email principale e indirizzo alias.
Correggere le maiuscole e le minuscole o l'ortografia dell'indirizzo email principale (ad esempio aggiunta o rimozione di punti).

Best practice

Per la riconciliazione degli utenti gestiti, ti consigliamo di attenerti alle seguenti best practice. account:

Se esegui la migrazione di account consumer a Cloud Identity oppure Google Workspace, ripeti il processo di riconciliazione almeno una volta per ogni batch di account utente di cui esegui la migrazione.