Riconciliare gli account utente gestiti orfani

Last reviewed 2024-07-11 UTC

Questo documento descrive come identificare e riconciliare gli account utente orfani.

Se utilizzi un provider di identità (IdP) esterno, l'origine attendibile per le identità è esterna a Cloud Identity o Google Workspace. Pertanto, ogni identità in Cloud Identity o Google Workspace deve avere una controparte nell'origine attendibile esterna. È possibile che alcune delle identità nel tuo account Cloud Identity o Google Workspace non abbiano una controparte nella tua fonte autorevole esterna. In questo caso, questi account utente sono considerati orfani. Gli account orfani possono verificarsi nelle seguenti circostanze:

  • Un amministratore di Cloud Identity o Google Workspace ha creato manualmente un account utente con un'identità non corrispondente.
  • Hai eseguito la migrazione di un account consumer a Cloud Identity o Google Workspace, ma l'account utilizza un'identità che non corrisponde a nessuna identità esistente nell'origine esterna.

Prima di iniziare

Per riconciliare gli account utente gestiti orfani, devi soddisfare i seguenti prerequisiti:

Processo

Per riconciliare gli account utente orfani, devi prima identificare quali account utente sono orfani. Per ogni account utente, devi decidere come gestire al meglio la riconciliazione dell'account.

Identificare gli account utente orfani

Per trovare account utente orfani, devi confrontare le identità degli account utente in Cloud Identity o Google Workspace con le identità riconosciute dalla tua fonte attendibile.

Per eseguire un confronto, puoi utilizzare la funzionalità di esportazione di un account Google Workspace o Cloud Identity per ottenere un elenco dei tuoi account utente attuali:

  1. Nella Console di amministrazione, vai alla pagina Utenti.
  2. Seleziona Scarica utenti.
  3. Seleziona Tutte le colonne di informazioni utente e le colonne attualmente selezionate.

  4. Fai clic su Scarica.

    Dopo alcuni minuti, a seconda del numero di account utente di cui disponi, visualizza una notifica che ti informa che il file CSV con le informazioni degli utenti è pronto per essere scaricato.

  5. Fai clic su Scarica CSV e salva il file sul tuo disco locale.

Se utilizzi Active Directory o Azure Active Directory (Azure AD) come origine autorevole, segui questi passaggi per confrontare le identità:

Active Directory

  1. Accedi a una workstation con accesso ad Active Directory.
  2. Apri una console PowerShell.

  3. Imposta una variabile per la posizione del file scaricato:

    $GoogleUsersCsv="GOOGLE_PATH"

    Sostituisci GOOGLE_PATH con il percorso del file CSV che hai scaricato in precedenza.

  4. Determina l'elenco degli account utente che non hanno una controparte in Active Directory:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1)
$LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "")

$GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter `
    | Select-Object -ExpandProperty UserPrincipalName

$GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}

    Il comando confronta l'indirizzo email principale degli account utente in Cloud Identity o Google Workspace con l'attributo userPrincipalName in Active Directory. Se utilizzi una mappatura diversa tra gli utenti di Active Directory e gli account utente Cloud Identity o Google Workspace, potresti dover modificare il comando.

    L'output è simile al seguente:

    FirstName LastName     Email
--------- --------     -----
Alice     Admin        admin@example.org
Olly      Orphaned     olly@example.org
Matty     Mismatch     matty@wrongsubdomain.example.org

    Ogni elemento elencato nell'output rappresenta un account utente in Cloud Identity o Google Workspace che non ha una controparte in Active Directory.

    Un risultato vuoto indica che non hai account utente orfani in Google Workspace o Cloud Identity.

  5. Elimina il file CSV dal disco locale.

Azure AD

  1. Nel portale Azure, vai a Utenti di Azure Active Directory.
  2. Fai clic su Scarica utenti.

  3. Inserisci un nome file e fai clic su Inizia.

    Attendi che venga visualizzato il link Fai clic qui per scaricare.

    A seconda del numero di account utente di cui disponi, il completamento dell'operazione potrebbe richiedere alcuni minuti.

  4. Fai clic su Fai clic qui per scaricare e salva il file sul tuo disco locale.

  5. Su una workstation su cui è installato PowerShell, apri una console PowerShell.

  6. Imposta due variabili di ambiente:

    $GoogleUsersCsv="GOOGLE_PATH"
$AzureUsersCsv="AZURE_PATH"

    Sostituisci GOOGLE_PATH e AZURE_PATH con i percorsi dei file CSV che hai scaricato in precedenza.

  7. Determina l'elenco degli account utente che non hanno una controparte in Active Directory:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv
    -Header FirstName,LastName,Email | Select-Object -Skip 1)

$AzureUsers = (Import-Csv -Path $AzureUsersCsv)

$GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}

    Il comando confronta l'indirizzo email principale degli account utente in Cloud Identity o Google Workspace con l'attributo userPrincipalName in Azure AD. Se utilizzi una mappatura diversa tra gli utenti di Azure AD e gli account utente Cloud Identity o Google Workspace, potrebbe essere necessario modificare il comando.

    L'output è simile al seguente:

    FirstName  LastName    Email
---------  --------    -----
Alice      Admin       admin@example.org
Olly       Orphaned    olly@example.org
Matty      Mismatch    matty@wrongsubdomain.example.org

    Ogni elemento elencato nell'output rappresenta un account utente in Cloud Identity o Google Workspace che non ha una controparte in Active Directory.

    Un risultato vuoto indica che non hai account utente orfani in Google Workspace o Cloud Identity.

  8. Elimina entrambi i file CSV dal disco locale.

Riconciliare gli account utente orfani

Per riconciliare gli account utente orfani, devi analizzare ogni account utente per determinare perché la relativa identità non ha una controparte nel sistema di origine autorevole.

Se ritieni che un account utente sia obsoleto, controlla se vale la pena conservare eventuali impostazioni di configurazione o dati associati all'account:

  • Per conservare i dati esistenti di Google Drive, trasferiscili a un altro utente.
  • Se non vuoi conservare i dati o le impostazioni di configurazione esistenti, elimina l'account utente.
  • Per conservare temporaneamente l'account utente, sospendi l'account e modifica il relativo indirizzo email principale con un indirizzo che difficilmente causerà una collisione. Ad esempio, rinomina olly.obsolete@example.com in obsolete-2019-11-10-olly.obsolete@example.com.

Per ogni account utente ancora valido, prova a correggere l'indirizzo email principale in modo che corrisponda a un'identità nella tua fonte attendibile. Per farlo, potresti dover eseguire quanto segue:

  • Modifica del dominio dell'indirizzo email principale.
  • Scambiare l'indirizzo email principale con un indirizzo alias.
  • Correggere la maiuscola o l'ortografia dell'indirizzo email principale (ad esempio, aggiungere o rimuovere puntini).

Best practice

Ti consigliamo di seguire le seguenti best practice per la riconciliazione degli account dell'utente gestito:

  • Se esegui la migrazione degli account consumer a Cloud Identity o Google Workspace, ripeti la procedura di riconciliazione almeno una volta per ogni batch di account utente di cui esegui la migrazione.