Reconcilie contas de utilizadores geridas órfãs

Last reviewed 2024-07-11 UTC

Este documento descreve como identificar e conciliar contas de utilizador órfãs.

Se usar um fornecedor de identidade (IdP) externo, a origem autorizada das identidades é externa ao Cloud ID ou ao Google Workspace. Por conseguinte, cada identidade no Cloud ID ou Google Workspace deve ter uma contrapartida na origem autorizada externa. É possível que algumas das identidades na sua conta do Cloud ID ou Google Workspace não tenham uma contrapartida na sua origem autorizada externa. Se for o caso, estas contas de utilizador são consideradas órfãs. As contas órfãs podem ocorrer nas seguintes circunstâncias:

  • Um administrador do Cloud ID ou do Google Workspace criou manualmente uma conta de utilizador com uma identidade que não corresponde.
  • Migrou uma conta de consumidor para o Cloud ID ou o Google Workspace, mas a conta usa uma identidade que não corresponde a nenhuma identidade existente na origem externa.

Antes de começar

Para conciliar contas de utilizadores geridas órfãs, tem de cumprir os seguintes pré-requisitos:

Processo

Para conciliar contas de utilizador órfãs, tem de identificar primeiro que contas de utilizador são órfãs. Para cada conta de utilizador, tem de decidir como reconciliar essa conta da melhor forma.

Identifique contas de utilizador órfãs

Para encontrar contas de utilizador órfãs, tem de comparar as identidades das contas de utilizador no Cloud Identity ou Google Workspace com as identidades reconhecidas pela sua origem autorizada.

Para fazer uma comparação, pode usar a funcionalidade de exportação de uma conta do Google Workspace ou do Cloud ID para obter uma lista das suas contas de utilizador atuais:

  1. Na consola do administrador, aceda à página Utilizadores.
  2. Selecione Transferir utilizadores.
  3. Selecione Todas as colunas de informações do utilizador e as colunas selecionadas atualmente.

  4. Clique em Transferir.

    Após alguns minutos, consoante o número de contas de utilizador que tiver, é apresentada uma notificação a indicar que o ficheiro CSV com informações do utilizador está pronto para ser transferido.

  5. Clique em Transferir CSV e guarde o ficheiro no disco local.

Se usar o Active Directory ou o Microsoft Entra ID (anteriormente Azure Active Directory) como a sua origem autorizada, siga estes passos para comparar identidades:

Active Directory

  1. Inicie sessão numa estação de trabalho que tenha acesso ao Active Directory.
  2. Abra uma consola do PowerShell.

  3. Defina uma variável para a localização do ficheiro transferido:

    $GoogleUsersCsv="GOOGLE_PATH"

    Substitua GOOGLE_PATH pelo caminho para o ficheiro CSV que transferiu anteriormente.

  4. Determine a lista de contas de utilizadores que não têm uma contrapartida no Active Directory:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1)
$LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "")

$GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter `
    | Select-Object -ExpandProperty UserPrincipalName

$GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}

    O comando compara o endereço de email principal das contas de utilizador no Cloud ID ou no Google Workspace com o atributo userPrincipalName no Active Directory. Se estiver a usar uma mapeamento diferente entre os utilizadores do Active Directory e as contas de utilizador do Cloud Identity ou do Google Workspace, pode ter de ajustar o comando.

    O resultado é semelhante a este:

    FirstName LastName     Email
--------- --------     -----
Alice     Admin        admin@example.org
Olly      Orphaned     olly@example.org
Matty     Mismatch     matty@wrongsubdomain.example.org

    Cada item apresentado no resultado representa uma conta de utilizador no Cloud Identity ou no Google Workspace que não tem uma contrapartida no Active Directory.

    Um resultado vazio indica que não tem contas de utilizador órfãs no Google Workspace ou no Cloud ID.

  5. Elimine o ficheiro CSV do disco local.

Entra ID

  1. No portal do Azure, aceda a Utilizadores do Azure Active Directory.
  2. Clique em Transferir utilizadores.

  3. Introduza um nome de ficheiro e clique em Iniciar.

    Aguarde até que seja apresentado um link Clique aqui para transferir.

    Consoante o número de contas de utilizador que tiver, a operação pode demorar alguns minutos a ser concluída.

  4. Clique em Clique aqui para transferir e guarde o ficheiro no seu disco local.

  5. Numa estação de trabalho com o PowerShell instalado, abra uma consola do PowerShell.

  6. Defina duas variáveis de ambiente:

    $GoogleUsersCsv="GOOGLE_PATH"
$AzureUsersCsv="AZURE_PATH"

    Substitua GOOGLE_PATH e AZURE_PATH pelos caminhos dos ficheiros CSV que transferiu anteriormente.

  7. Determine a lista de contas de utilizadores que não têm uma contrapartida no Active Directory:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv
    -Header FirstName,LastName,Email | Select-Object -Skip 1)

$AzureUsers = (Import-Csv -Path $AzureUsersCsv)

$GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}

    O comando compara o endereço de email principal das contas de utilizador no Cloud ID ou Google Workspace com o atributo userPrincipalName no Entra ID. Se estiver a usar um mapeamento diferente entre os utilizadores do Entra ID e as contas de utilizador do Cloud ID ou do Google Workspace, pode ter de ajustar o comando.

    O resultado é semelhante ao seguinte:

    FirstName  LastName    Email
---------  --------    -----
Alice      Admin       admin@example.org
Olly       Orphaned    olly@example.org
Matty      Mismatch    matty@wrongsubdomain.example.org

    Cada item apresentado no resultado representa uma conta de utilizador no Cloud Identity ou no Google Workspace que não tem uma contrapartida no Active Directory.

    Um resultado vazio indica que não tem nenhuma conta de utilizador órfã no Google Workspace ou no Cloud ID.

  8. Elimine ambos os ficheiros CSV do disco local.

Reconcilie contas de utilizador órfãs

Para conciliar contas de utilizador órfãs, tem de analisar cada conta de utilizador para determinar o motivo pelo qual a respetiva identidade não tem uma contrapartida no seu sistema de origem autoritário.

Se considerar que uma conta de utilizador está obsoleta, verifique se vale a pena preservar as definições de configuração ou os dados associados à conta:

  • Para manter os dados existentes do Google Drive, transfira os dados para um utilizador diferente.
  • Se não quiser manter as definições de configuração nem os dados existentes, elimine a conta de utilizador.
  • Para reter temporariamente a conta de utilizador, suspenda-a e altere o respetivo endereço de email principal para um endereço que seja pouco provável que alguma vez cause uma colisão. Por exemplo, mude o nome de olly.obsolete@example.com para obsolete-2019-11-10-olly.obsolete@example.com.

Para cada conta de utilizador que ainda seja válida, tente corrigir o endereço de email principal para que corresponda a uma identidade na sua origem autorizada. Isto pode exigir o seguinte:

  • Alterar o domínio do endereço de email principal.
  • Trocar o endereço de email principal e um endereço de alias.
  • Corrigir a capitalização ou a ortografia do endereço de email principal (por exemplo, adicionar ou remover pontos).

Práticas recomendadas

Recomendamos as seguintes práticas recomendadas quando reconcilia contas de utilizador geridas:

  • Se migrar contas de consumidor para o Cloud ID ou o Google Workspace, repita o processo de conciliação, pelo menos, uma vez para cada lote de contas de utilizador que migrar.