Riconciliare gli account utente gestiti orfani

Last reviewed 2024-07-11 UTC

Questo documento descrive come identificare e riconciliare gli account utente orfani.

Se utilizzi un provider di identità (IdP) esterno, allora la fonte autorevole delle identità è esterna Cloud Identity o Google Workspace. Ogni identità in Cloud Identity o Google Workspace perciò hanno una controparte nel fonte autorevole esterna. È possibile che alcune delle identità nel tuo account Cloud Identity o Google Workspace non abbiano una controparte nella tua fonte autorevole esterna. In questo caso, questi account utente sono considerati orfani. Account orfani può verificarsi nelle seguenti circostanze:

  • Un amministratore di Cloud Identity o Google Workspace ha creato manualmente un account utente con un'identità non corrispondente.
  • Hai eseguito la migrazione di un account consumer a Cloud Identity o Google Workspace, ma l'account utilizza un'identità che non corrisponde a nessuna identità esistente nell'origine esterna.

Prima di iniziare

Per riconciliare gli account utente gestiti orfani, devi soddisfare i seguenti requisiti prerequisiti:

Processo

Per riconciliare gli account utente orfani, devi prima identificare quali account utente sono orfani. Per ogni account utente, devi decidere come gestire al meglio la riconciliazione dell'account.

Identificare gli account utente orfani

Per trovare account utente orfani, devi confrontare le identità degli utenti in Cloud Identity o Google Workspace rispetto di identità riconosciute dalla tua fonte autorevole.

Per eseguire un confronto, puoi utilizzare la funzionalità di esportazione di un account Google Workspace o Cloud Identity per ottenere gli account utente correnti:

  1. Nella Console di amministrazione, vai alla pagina Utenti.
  2. Seleziona Scarica utenti.
  3. Seleziona Tutte le colonne di informazioni utente e le colonne attualmente selezionate.
  4. Fai clic su Scarica.

    Dopo alcuni minuti, a seconda del numero di account utente di cui disponi, viene visualizzata una notifica che indica che il file CSV con le informazioni utente è pronto per essere scaricato.

  5. Fai clic su Scarica CSV e salva il file sul disco locale.

Se usi Active Directory o Azure Active Directory (Azure AD) come fonte autorevole, segui questi passaggi per confrontare le identità:

Active Directory

  1. Accedi a una workstation che ha accesso ad Active Directory.
  2. Apri una console PowerShell.
  3. Imposta una variabile sulla posizione del file scaricato:

    $GoogleUsersCsv="GOOGLE_PATH"

    Sostituisci GOOGLE_PATH con il percorso del file CSV che hai scaricato in precedenza.

  4. Determina l'elenco degli account utente che non hanno una controparte in Active Directory:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1)
    $LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "")
    
    $GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter `
        | Select-Object -ExpandProperty UserPrincipalName
    
    $GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}
    

    Il comando confronta l'indirizzo email principale degli account utente in Cloud Identity o Google Workspace rispetto Attributo userPrincipalName in Active Directory. Se utilizzando una mappatura diversa tra gli utenti di Active Directory gli account utente di Cloud Identity o Google Workspace, potrebbe essere necessario modificare il comando.

    L'output è simile al seguente:

    FirstName LastName     Email
    --------- --------     -----
    Alice     Admin        admin@example.org
    Olly      Orphaned     olly@example.org
    Matty     Mismatch     matty@wrongsubdomain.example.org
    

    Ogni elemento elencato nell'output rappresenta un account utente in Cloud Identity o Google Workspace che non ha una controparte in Active Directory.

    Un risultato vuoto indica che non hai utenti orfani in Google Workspace o Cloud Identity.

  5. Elimina il file CSV dal disco locale.

Azure AD

  1. Nel portale Azure, vai a Utenti di Azure Active Directory.
  2. Fai clic su Scarica utenti.
  3. Inserisci un nome file e fai clic su Avvia.

    Attendi che venga visualizzato il link Fai clic qui per scaricare.

    A seconda del numero di account utente di cui disponi, il completamento dell'operazione potrebbe richiedere alcuni minuti.

  4. Fai clic su Fai clic qui per scaricare e salva il file sul disco locale.

  5. Su una workstation su cui è installato PowerShell, apri una console PowerShell.

  6. Imposta due variabili di ambiente:

    $GoogleUsersCsv="GOOGLE_PATH"
    $AzureUsersCsv="AZURE_PATH"
    

    Sostituisci GOOGLE_PATH e AZURE_PATH con i percorsi dei file CSV che hai scaricato in precedenza.

  7. Determinare l'elenco di account utente per cui manca una controparte in Attivo Directory:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv
        -Header FirstName,LastName,Email | Select-Object -Skip 1)
    
    $AzureUsers = (Import-Csv -Path $AzureUsersCsv)
    
    $GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}
    

    Il comando confronta l'indirizzo email principale degli account utente in Cloud Identity o Google Workspace con l'attributo userPrincipalName in Azure AD. Se utilizzi una mappatura diversa tra gli utenti di Azure AD e gli account utente Cloud Identity o Google Workspace, potrebbe essere necessario modificare il comando.

    L'output è simile al seguente:

    FirstName  LastName    Email
    ---------  --------    -----
    Alice      Admin       admin@example.org
    Olly       Orphaned    olly@example.org
    Matty      Mismatch    matty@wrongsubdomain.example.org
    

    Ogni elemento elencato nell'output rappresenta un account utente in Cloud Identity o Google Workspace è privo di in Active Directory.

    Un risultato vuoto indica che non hai account utente orfani in Google Workspace o Cloud Identity.

  8. Elimina entrambi i file CSV dal disco locale.

Riconciliazione di account utente orfani

Per riconciliare gli account utente orfani, devi analizzare ogni account utente per determinare perché la relativa identità non ha una controparte nel sistema di origine autorevole.

Se ritieni che un account utente sia obsoleto, verifica se esistono configurazioni impostazioni o dati associati all'account valgono la pena conservare:

  • Per conservare i dati esistenti di Google Drive, trasferiscili a un altro utente.
  • Se non vuoi conservare le impostazioni o i dati di configurazione esistenti, eliminare l'account utente.
  • Per conservare temporaneamente l'account utente, sospendi l'account e modifica il relativo indirizzo email principale con un indirizzo che difficilmente causerà una collisione. Ad esempio, rinomina olly.obsolete@example.com in obsolete-2019-11-10-olly.obsolete@example.com.

Per ogni account utente ancora valido, prova a correggere l'indirizzo email principale in modo che corrisponda a un'identità presente nella fonte autorevole. Per farlo, potresti dover:

  • Modifica del dominio dell'indirizzo email principale.
  • Scambiare l'indirizzo email principale con un indirizzo alias.
  • Correggere le maiuscole e le minuscole o l'ortografia dell'indirizzo email principale (ad esempio aggiunta o rimozione di punti).

Best practice

Per la riconciliazione degli utenti gestiti, ti consigliamo di attenerti alle seguenti best practice. account:

  • Se esegui la migrazione di account consumer a Cloud Identity oppure Google Workspace, ripeti il processo di riconciliazione almeno una volta per ogni batch di account utente di cui esegui la migrazione.