Verwaiste verwaltete Nutzerkonten abgleichen

In diesem Dokument wird beschrieben, wie verwaiste Nutzerkonten identifiziert und abgeglichen werden.

Wenn Sie einen externen Identitätsanbieter (Identity Provider, IdP) verwenden, ist die autoritative Quelle für Identitäten außerhalb von Cloud Identity oder der G Suite. Jede Identität in Cloud Identity oder der G Suite sollte daher ein Pendant in der externen autoritativen Quelle haben. Es ist möglich, dass einige Identitäten in Ihrem Cloud Identity- oder G Suite-Konto keine Entsprechung in Ihrer externen autoritativen Quelle haben. In diesem Fall gelten diese Nutzerkonten als verwaist. Verwaiste Konten können unter folgenden Umständen auftreten:

  • Ein Cloud Identity- oder G Suite-Administrator hat manuell ein Nutzerkonto mit einer nicht übereinstimmenden Identität erstellt.
  • Sie haben ein Privatnutzerkonto zu Cloud Identity oder der G Suite migriert, das Konto verwendet jedoch eine Identität, die mit keiner vorhandenen Identität in der externen Quelle übereinstimmt.

Vorbereitung

Zum Abgleichen verwaister verwalteter Nutzerkonten müssen die folgenden Voraussetzungen erfüllt sein:

Prozess

Bevor Sie verwaiste Nutzerkonten abgleichen können, müssen Sie erst einmal ermitteln, welche Nutzerkonten verwaist sind. Für jedes Nutzerkonto müssen Sie dann entscheiden, wie dieses Konto am besten abgeglichen werden soll.

Verwaiste Nutzerkonten ermitteln

Um verwaiste Nutzerkonten zu finden, müssen Sie die Identitäten von Nutzerkonten in Cloud Identity oder der G Suite mit den Identitäten vergleichen, die von Ihrer autoritativen Quelle erkannt werden.

Sie können mithilfe der Exportfunktion eines G Suite- oder Cloud Identity-Kontos eine Liste Ihrer aktuellen Nutzerkonten zum Vergleichen abrufen:

  1. Rufen Sie in der Admin-Konsole die Seite Nutzer auf.
  2. Wählen Sie Download users aus.
  3. Wählen Sie All user info columns and currently selected columns aus.
  4. Klicken Sie auf Herunterladen.

    Je nach Anzahl der Nutzerkonten wird nach einigen Minuten eine Benachrichtigung angezeigt, dass die CSV-Datei mit den Nutzerinformationen heruntergeladen werden kann.

  5. Klicken Sie auf CSV herunterladen und speichern Sie die Datei auf Ihrem lokalen Datenträger.

Wenn Sie Active Directory oder Azure Active Directory (Azure AD) als autoritative Quelle verwenden, führen Sie zum Vergleichen von Identitäten die folgenden Schritte aus:

Active Directory

  1. Melden Sie sich auf einer Workstation an, die Zugriff auf Active Directory hat.
  2. Öffnen Sie eine PowerShell-Konsole.
  3. Legen Sie eine Variable für den Speicherort der heruntergeladenen Datei fest:

    $GoogleUsersCsv="GOOGLE_PATH"

    Ersetzen Sie GOOGLE_PATH durch den Dateipfad zu der CSV-Datei, die Sie zuvor heruntergeladen haben.

  4. Ermitteln Sie die Liste der Nutzerkonten, für die in Active Directory keine Entsprechung vorhanden ist:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1)
    $LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "")
    
    $GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter `
        | Select-Object -ExpandProperty UserPrincipalName
    
    $GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}
    

    Der Befehl vergleicht die primäre E-Mail-Adresse von Nutzerkonten in Cloud Identity oder der G Suite mit dem Attribut userPrincipalName in Active Directory. Wenn Sie eine andere Zuordnung zwischen Active Directory-Nutzern und Cloud Identity- oder G Suite-Nutzerkonten verwenden, müssen Sie den Befehl möglicherweise anpassen.

    Die Ausgabe sieht etwa so aus:

    FirstName LastName     Email
    --------- --------     -----
    Alice     Admin        admin@example.org
    Olly      Orphaned     olly@example.org
    Matty     Mismatch     matty@wrongsubdomain.example.org
    

    Jedes in der Ausgabe aufgeführte Element stellt ein Nutzerkonto in Cloud Identity oder der G Suite dar, für das es in Active Directory kein Gegenstück gibt.

    Ein leeres Ergebnis bedeutet, dass Sie in der G Suite oder in Cloud Identity keine verwaisten Nutzerkonten haben.

  5. Löschen Sie die CSV-Datei von Ihrem lokalen Datenträger.

Azure AD

  1. Wechseln Sie im Azure-Portal zu Azure Active Directory-Nutzer.
  2. Klicken Sie auf Benutzer herunterladen.
  3. Geben Sie einen Dateinamen ein und klicken Sie auf Start.

    Warten Sie, bis der Link Zum Herunterladen hier klicken angezeigt wird.

    Je nach Anzahl der Nutzerkonten kann es einige Minuten dauern, bis der Vorgang abgeschlossen ist.

  4. Klicken Sie auf Zum Herunterladen hier klicken und speichern Sie die Datei auf Ihrem lokalen Datenträger.

  5. Öffnen Sie auf einer Workstation, auf der PowerShell installiert ist, eine PowerShell-Konsole.

  6. Legen Sie zwei Umgebungsvariablen fest:

    $GoogleUsersCsv="GOOGLE_PATH"
    $AzureUsersCsv="AZURE_PATH"
    

    Ersetzen Sie GOOGLE_PATH und AZURE_PATH durch die Dateipfade zu den CSV-Dateien, die Sie zuvor heruntergeladen haben.

  7. Ermitteln Sie die Liste der Nutzerkonten, für die in Active Directory keine Entsprechung vorhanden ist:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv
        -Header FirstName,LastName,Email | Select-Object -Skip 1)
    
    $AzureUsers = (Import-Csv -Path $AzureUsersCsv)
    
    $GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}
    

    Der Befehl vergleicht die primäre E-Mail-Adresse von Nutzerkonten in Cloud Identity oder der G Suite mit dem Attribut userPrincipalName in Azure AD. Wenn Sie eine andere Zuordnung zwischen Azure AD-Nutzern und den Cloud Identity- oder G Suite-Nutzerkonten verwenden, müssen Sie den Befehl möglicherweise anpassen.

    Die Ausgabe sieht etwa so aus:

    FirstName  LastName    Email
    ---------  --------    -----
    Alice      Admin       admin@example.org
    Olly       Orphaned    olly@example.org
    Matty      Mismatch    matty@wrongsubdomain.example.org
    

    Jedes in der Ausgabe aufgeführte Element stellt ein Nutzerkonto in Cloud Identity oder der G Suite dar, für das es in Active Directory kein Gegenstück gibt.

    Ein leeres Ergebnis bedeutet, dass Sie in der G Suite oder in Cloud Identity keine verwaisten Nutzerkonten haben.

  8. Löschen Sie beide CSV-Dateien von Ihrem lokalen Datenträger.

Verwaiste Nutzerkonten abgleichen

Wenn Sie verwaiste Nutzerkonten abgleichen möchten, müssen Sie jedes Nutzerkonto analysieren, um festzustellen, warum seiner Identität das Gegenstück in Ihrem autoritativen Quellsystem fehlt.

Wenn Sie der Meinung sind, dass ein Nutzerkonto veraltet ist, prüfen Sie, ob die mit dem Konto verknüpften Konfigurationseinstellungen oder Daten aufbewahrt werden sollten:

  • Wenn Sie vorhandene Google Drive-Daten behalten möchten, übertragen Sie die Daten auf einen anderen Nutzer.
  • Wenn Sie keine vorhandenen Konfigurationseinstellungen oder Daten behalten möchten, löschen Sie das Nutzerkonto.
  • Um das Nutzerkonto vorübergehend zu erhalten, sperren Sie das Nutzerkonto und ändern Sie seine primäre E-Mail-Adresse in eine Adresse, mit der Konflikte unwahrscheinlich sind. Benennen Sie beispielsweise olly.obsolete@example.com in obsolete-2019-11-10-olly.obsolete@example.com um.

Versuchen Sie für jedes noch gültige Nutzerkonto, die primäre E-Mail-Adresse so zu korrigieren, dass sie mit einer Identität in Ihrer autoritativen Quelle übereinstimmt. Dies kann Folgendes erfordern:

  • Ändern der Domain der primären E-Mail-Adresse
  • Vertauschen der primären E-Mail-Adresse und der Alias-Adresse
  • Korrigieren der Groß-/Kleinschreibung oder Schreibweise der primären E-Mail-Adresse (z. B. durch Hinzufügen oder Entfernen von Punkten)

Best Practices

Wir empfehlen die folgenden Best Practices, wenn Sie verwaltete Nutzerkonten abgleichen:

  • Wenn Sie Privatnutzerkonten zu Cloud Identity oder zur G Suite migrieren, wiederholen Sie den Abgleich mindestens einmal für jeden Satz von migrierten Nutzerkonten.