Ce document explique comment identifier et rapprocher des comptes utilisateur orphelins.
Si vous utilisez un fournisseur d'identité externe (IdP), la source faisant autorité pour les identités est externe à Cloud Identity ou Google Workspace. Chaque identité dans Cloud Identity ou Google Workspace doit donc avoir une équivalence dans la source externe faisant autorité. Il est possible que certaines identités de votre compte Cloud Identity ou Google Workspace soient dépourvues d'équivalent dans votre source externe faisant autorité. Dans ce cas, ces comptes utilisateur sont considérés comme orphelins. Les comptes orphelins peuvent survenir dans les cas suivants :
- Un administrateur Cloud Identity ou Google Workspace a créé manuellement un compte utilisateur dont l'identité est différente.
- Vous avez migré un compte personnel vers Cloud Identity ou Google Workspace, mais le compte utilise une identité qui ne correspond à aucune identité existante dans la source externe.
Avant de commencer
Pour rapprocher des comptes utilisateur gérés orphelins, vous devez remplir les conditions préalables suivantes :
- Vous avez identifié un plan d'intégration approprié et remplissez toutes les conditions préalables pour regrouper vos comptes utilisateur existants.
- Vous avez créé un compte Cloud Identity ou Google Workspace.
Processus
Pour rapprocher des comptes utilisateur orphelins, vous devez d'abord identifier les comptes qui sont orphelins. Vous devez ensuite décider de la meilleure façon de rapprocher chaque compte utilisateur.
Identifier les comptes utilisateur orphelins
Pour trouver des comptes utilisateur orphelins, vous devez comparer les identités des comptes utilisateur dans Cloud Identity ou Google Workspace avec les identités reconnues par votre source faisant autorité.
Pour effectuer une comparaison, vous pouvez utiliser la fonctionnalité d'exportation d'un compte Google Workspace ou Cloud Identity afin d'obtenir la liste de vos comptes utilisateur actuels :
- Dans la console d'administration, accédez à la page Utilisateurs.
- Sélectionnez Télécharger les comptes utilisateur.
- Sélectionnez Toutes les colonnes d'informations utilisateur ainsi que les colonnes actuellement sélectionnées.
Cliquez sur Télécharger.
Au bout de quelques minutes, en fonction du nombre de comptes utilisateur dont vous disposez, vous recevez une notification indiquant que le fichier CSV contenant les informations utilisateur est prêt à être téléchargé.
Cliquez sur Télécharger au format CSV et enregistrez le fichier sur votre disque local.
Si vous utilisez Active Directory ou Azure Active Directory (Azure AD) comme source faisant autorité, procédez comme suit pour comparer les identités :
Active Directory
- Connectez-vous à un poste de travail ayant accès à Active Directory.
- Ouvrez une console PowerShell.
Définissez une variable sur l'emplacement du fichier téléchargé :
$GoogleUsersCsv="GOOGLE_PATH"
Remplacez
GOOGLE_PATHpar le chemin d'accès au fichier CSV que vous avez téléchargé précédemment.Déterminez la liste des comptes utilisateur qui n'ont pas d'équivalent dans Active Directory :
$GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1) $LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "") $GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter ` | Select-Object -ExpandProperty UserPrincipalName $GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}La commande compare l'adresse e-mail principale des comptes utilisateur dans Cloud Identity ou Google Workspace à l'attribut
userPrincipalNamedans Active Directory. Si vous utilisez un mappage différent entre les utilisateurs Active Directory et les comptes utilisateur Cloud Identity ou Google Workspace, vous devrez peut-être ajuster la commande.Le résultat est semblable à ceci :
FirstName LastName Email --------- -------- ----- Alice Admin admin@example.org Olly Orphaned olly@example.org Matty Mismatch matty@wrongsubdomain.example.org
Chaque élément répertorié dans le résultat représente un compte utilisateur dans Cloud Identity ou Google Workspace qui ne possède pas d'équivalent dans Active Directory.
Un résultat vide indique que vous ne disposez d'aucun compte utilisateur orphelin dans Google Workspace ou Cloud Identity.
Supprimez le fichier CSV de votre disque local.
Azure AD
- Dans le portail Azure, accédez à Utilisateurs Azure Active Directory.
- Cliquez sur Télécharger les utilisateurs.
Saisissez un nom de fichier, puis cliquez sur Démarrer.
Attendez qu'un lien Cliquez ici pour télécharger s'affiche.
En fonction du nombre de comptes utilisateur dont vous disposez, l'opération peut prendre quelques minutes.
Cliquez sur Cliquez ici pour télécharger et enregistrez le fichier sur votre disque local.
Sur un poste de travail sur lequel PowerShell est installé, ouvrez une console PowerShell.
Définissez deux variables d'environnement :
$GoogleUsersCsv="GOOGLE_PATH" $AzureUsersCsv="AZURE_PATH"
Remplacez
GOOGLE_PATHetAZURE_PATHpar les chemins d'accès aux fichiers CSV que vous avez précédemment téléchargés.Déterminez la liste des comptes utilisateur qui n'ont pas d'équivalent dans Active Directory :
$GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1) $AzureUsers = (Import-Csv -Path $AzureUsersCsv) $GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}La commande compare l'adresse e-mail principale des comptes utilisateur dans Cloud Identity ou Google Workspace à l'attribut
userPrincipalNamedans Azure AD. Si vous utilisez un mappage différent entre les utilisateurs Azure AD et les comptes utilisateur Cloud Identity ou Google Workspace, vous devrez peut-être ajuster la commande.Le résultat ressemble à ce qui suit :
FirstName LastName Email --------- -------- ----- Alice Admin admin@example.org Olly Orphaned olly@example.org Matty Mismatch matty@wrongsubdomain.example.org
Chaque élément répertorié dans le résultat représente un compte utilisateur dans Cloud Identity ou Google Workspace qui ne possède pas d'équivalent dans Active Directory.
Un résultat vide indique que vous ne disposez d'aucun compte utilisateur orphelin dans Google Workspace ou Cloud Identity.
Supprimez les deux fichiers CSV de votre disque local.
Rapprocher des comptes utilisateur orphelins
Pour rapprocher des comptes utilisateur orphelins, vous devez analyser chaque compte utilisateur afin de déterminer pourquoi son identité n'a pas d'équivalent dans votre système source faisant autorité.
Si vous pensez qu'un compte utilisateur est obsolète, vérifiez si les données ou les paramètres de configuration associés au compte sont utiles :
- Pour conserver les données Google Drive existantes, transférez-les vers un autre utilisateur.
- Si vous ne souhaitez conserver aucun paramètre ni aucune donnée de configuration, supprimez le compte utilisateur.
- Pour conserver temporairement le compte utilisateur, suspendez-le et remplacez son adresse e-mail principale par une adresse qui est peu susceptible de provoquer un conflit.
Par exemple, renommez
olly.obsolete@example.comenobsolete-2019-11-10-olly.obsolete@example.com.
Pour chaque compte utilisateur toujours valide, essayez de corriger l'adresse e-mail principale afin qu'elle corresponde à une identité dans votre source faisant autorité. Pour y parvenir, vous devrez peut-être :
- Modifier le domaine de l'adresse e-mail principale.
- Remplacer l'adresse e-mail principale et une adresse d'alias.
- Corriger la casse ou l'orthographe de l'adresse e-mail principale (par exemple, ajouter ou supprimer des points).
Bonnes pratiques
Nous vous recommandons de suivre les bonnes pratiques suivantes lorsque vous rapprochez des comptes utilisateur gérés :
- Si vous migrez des comptes personnels vers Cloud Identity ou Google Workspace, répétez le processus de rapprochement au moins une fois pour chaque lot de comptes utilisateur que vous migrez.