このドキュメントでは、孤立したユーザー アカウントを特定して調整する方法について説明します。
外部 ID プロバイダ(IdP)を使用する場合、ID の信頼できるソースは、Cloud Identity や Google Workspace の外部にあります。したがって、Cloud Identity や Google Workspace の各 ID には、外部の信頼できるソースに対応する ID が必要です。Cloud Identity や Google Workspace アカウントの一部の ID には、外部の信頼できるソースに対応する ID が存在しない場合があります。その場合、それらのユーザー アカウントは孤立しているものとみなされます。孤立したアカウントは次のような状況で発生する可能性があります。
- Cloud Identity または Google Workspace の管理者が、一致しない ID を持つユーザー アカウントを手動で作成した。
- 一般ユーザー向けアカウントを Cloud Identity や Google Workspace に移行したが、そのアカウントでは、外部ソースの既存の ID と一致しない ID が使用されている。
始める前に
孤立したマネージド ユーザー アカウントを調整するには、次の前提条件を満たしている必要があります。
- 適切なオンボーディング プランを特定し、既存のユーザー アカウントを統合するためのすべての前提条件を満たしている。
- Cloud Identity または Google Workspace のアカウントを作成している。
プロセス
孤立したユーザー アカウントを調整するには、まず、どのユーザー アカウントが孤立しているかを特定する必要があります。次に各ユーザー アカウントについて、最適な調整方法を決定する必要があります。
孤立したユーザー アカウントを特定する
孤立したユーザー アカウントを見つけるには、Cloud Identity や Google Workspace のユーザー アカウントの ID と、信頼できるソースによって認識された ID を比較する必要があります。
比較するには、Google Workspace や Cloud Identity アカウントのエクスポート機能を使用して、現在のユーザー アカウントのリストを取得します。
- 管理コンソールで [ユーザー] ページに移動します。
- [ユーザーをダウンロード] を選択します。
- [すべてのユーザー情報の列と現在選択されている列] を選択します。
[ダウンロード] をクリックします。
数分後に、ご利用のユーザー アカウント数に基づいて、ユーザー情報の CSV ファイルをダウンロードする準備ができたという内容の通知が表示されます。
[CSV 形式でダウンロード] をクリックして、ファイルをローカル ディスクに保存します。
Active Directory または Azure Active Directory(Azure AD)を信頼できるソースとして使用している場合は、次の手順で ID を比較します。
Active Directory
- Active Directory にアクセスできるワークステーションにサインオンします。
- PowerShell コンソールを開きます。
ダウンロードしたファイルの場所に変数を設定します。
$GoogleUsersCsv="GOOGLE_PATH"
GOOGLE_PATH
は、先ほどダウンロードした CSV ファイルのファイルパスに置き換えます。Active Directory に対応するアカウントが存在しないユーザー アカウントのリストを特定します。
$GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1) $LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "") $GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter ` | Select-Object -ExpandProperty UserPrincipalName $GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}
このコマンドは、Cloud Identity や Google Workspace にあるユーザー アカウントのメインのメールアドレスを Active Directory の
userPrincipalName
属性と比較します。Active Directory ユーザーと、Cloud Identity または Google Workspace ユーザーとのアカウント間で異なるマッピングを使用している場合は、コマンドの調整が必要になる場合があります。出力は次のようになります。
FirstName LastName Email --------- -------- ----- Alice Admin admin@example.org Olly Orphaned olly@example.org Matty Mismatch matty@wrongsubdomain.example.org
出力に表示された各項目は、Active Directory に対応するアカウントが存在しない Cloud Identity または Google Workspace のユーザー アカウントを表しています。
空の結果は、Google Workspace や Cloud Identity に孤立したユーザー アカウントが存在しないことを示します。
ローカル ディスクから CSV ファイルを削除します。
Azure AD
- Azure ポータルで、[Azure Active Directory ユーザー] に移動します。
- [ユーザーをダウンロード] をクリックします。
ファイル名を入力して [開始] をクリックします。
[こちらをクリックしてダウンロード] リンクが表示されるまで待ちます。
ご利用のユーザー アカウント数によっては、オペレーションが完了するまでに数分かかることがあります。
[こちらをクリックしてダウンロード] をクリックし、ファイルをローカル ディスクに保存します。
PowerShell がインストールされているワークステーションで、PowerShell コンソールを開きます。
次の 2 つの環境変数を設定します。
$GoogleUsersCsv="GOOGLE_PATH" $AzureUsersCsv="AZURE_PATH"
GOOGLE_PATH
とAZURE_PATH
は、先ほどダウンロードした CSV ファイルのファイルパスに置き換えます。Active Directory に対応するアカウントが存在しないユーザー アカウントのリストを特定します。
$GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1) $AzureUsers = (Import-Csv -Path $AzureUsersCsv) $GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}
このコマンドは、Cloud Identity や Google Workspace にあるユーザー アカウントのメインのメールアドレスと Azure AD の
userPrincipalName
属性を比較します。Azure AD ユーザーと、Cloud Identity や Google Workspace ユーザーとのアカウント間で異なるマッピングを使用している場合は、コマンドの調整が必要な場合があります。出力は次のようになります。
FirstName LastName Email --------- -------- ----- Alice Admin admin@example.org Olly Orphaned olly@example.org Matty Mismatch matty@wrongsubdomain.example.org
出力に表示された各項目は、Active Directory に対応するアカウントが存在しない Cloud Identity または Google Workspace のユーザー アカウントを表しています。
空の結果は、Google Workspace や Cloud Identity に孤立したユーザー アカウントが存在しないことを示します。
両方の CSV ファイルをローカル ディスクから削除します。
孤立したユーザー アカウントを調整する
孤立したユーザー アカウントを調整するには、各ユーザー アカウントを分析して、アカウントの ID と対応する ID が信頼できるソースシステムに存在しない理由を特定する必要があります。
ユーザー アカウントが古くなっていると思われる場合は、そのアカウントに関連付けられている構成設定またはデータを保持する必要があるかどうかを確認します。
- 既存の Google ドライブのデータを保持するには、別のユーザーにデータを転送します。
- 既存の構成設定またはデータを保持しない場合は、対象のユーザー アカウントを削除します。
- ユーザー アカウントを一時的に保持するには、ユーザー アカウントを一時停止し、メインのメールアドレスを競合の原因とならないアドレスに変更します。たとえば、
olly.obsolete@example.com
の名前をobsolete-2019-11-10-olly.obsolete@example.com
に変更します。
現時点で有効なユーザー アカウントごとに、信頼できるソースの ID と一致するようにメインのメールアドレスを修正することを試みます。これには以下の操作が必要な場合があります。
- メインのメールアドレスのドメインを変更する。
- メインのメールアドレスとエイリアス アドレスを入れ替える。
- メインのメールアドレスの大文字と小文字の区別またはスペルを修正する(ドットの追加や削除など)。
ベスト プラクティス
マネージド ユーザー アカウントの調整については、次のベスト プラクティスをおすすめします。
- 一般ユーザー向けアカウントを Cloud Identity や Google Workspace に移行する場合は、移行するユーザー アカウントのバッチごとに少なくとも 1 回調整プロセスを繰り返します。