孤立したマネージドユーザーアカウントの調整

Last reviewed 2023-02-27 UTC

このドキュメントでは、孤立したユーザーアカウントを特定して調整する方法について説明します。

外部 ID プロバイダ（IdP）を使用する場合、ID の信頼できるソースは、Cloud Identity や Google Workspace の外部にあります。したがって、Cloud Identity や Google Workspace の各 ID には、外部の信頼できるソースに対応する ID が必要です。Cloud Identity や Google Workspace アカウントの一部の ID には、外部の信頼できるソースに対応する ID が存在しない場合があります。その場合、それらのユーザーアカウントは孤立しているものとみなされます。孤立したアカウントは次のような状況で発生する可能性があります。

Cloud Identity または Google Workspace の管理者が、一致しない ID を持つユーザーアカウントを手動で作成した。
一般ユーザー向けアカウントを Cloud Identity や Google Workspace に移行したが、そのアカウントでは、外部ソースの既存の ID と一致しない ID が使用されている。

始める前に

孤立したマネージドユーザーアカウントを調整するには、次の前提条件を満たしている必要があります。

適切なオンボーディングプランを特定し、既存のユーザーアカウントを統合するためのすべての前提条件を満たしている。
Cloud Identity または Google Workspace のアカウントを作成している。

プロセス

孤立したユーザーアカウントを調整するには、まず、どのユーザーアカウントが孤立しているかを特定する必要があります。次に各ユーザーアカウントについて、最適な調整方法を決定する必要があります。

孤立したユーザーアカウントの特定

孤立したユーザーアカウントを見つけるには、Cloud Identity や Google Workspace のユーザーアカウントの ID と、信頼できるソースによって認識された ID を比較する必要があります。

比較するには、Google Workspace や Cloud Identity アカウントのエクスポート機能を使用して、現在のユーザーアカウントのリストを取得します。

管理コンソールで [ユーザー] ページに移動します。
[ユーザーをダウンロード] を選択します。
[すべてのユーザー情報の列と現在選択されている列] を選択します。
[ダウンロード] をクリックします。

数分後に、ご利用のユーザーアカウント数に基づいて、ユーザー情報の CSV ファイルをダウンロードする準備ができたという内容の通知が表示されます。
[CSV 形式でダウンロード] をクリックして、ファイルをローカルディスクに保存します。

注: CSV エクスポートには個人情報（PII）が含まれる場合があります。不正なアクセスから保護されているストレージの場所を選択するようにしてください。

Active Directory または Azure Active Directory（Azure AD）を信頼できるソースとして使用している場合は、次の手順で ID を比較します。

Active Directory

Active Directory にアクセスできるワークステーションにサインオンします。
PowerShell コンソールを開きます。
ダウンロードしたファイルの場所に変数を設定します。
```
$GoogleUsersCsv="GOOGLE_PATH"
```
GOOGLE_PATH は、先ほどダウンロードした CSV ファイルのファイルパスに置き換えます。
Active Directory に対応するアカウントが存在しないユーザーアカウントのリストを特定します。
```
$GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1)
$LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "")

$GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter `
    | Select-Object -ExpandProperty UserPrincipalName

$GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}
```
このコマンドは、Cloud Identity や Google Workspace にあるユーザーアカウントのメインのメールアドレスを Active Directory の userPrincipalName 属性と比較します。Active Directory ユーザーと、Cloud Identity または Google Workspace ユーザーとのアカウント間で異なるマッピングを使用している場合は、コマンドの調整が必要になる場合があります。
注: CSV ファイルに多数のユーザーが含まれていると、Get-ADUser コマンドの実行に数分かかり、関連付けられたドメインコントローラに対する著しい負荷が発生する場合があります。
出力は次のようになります。
```
FirstName LastName     Email
--------- --------     -----
Alice     Admin        admin@example.org
Olly      Orphaned     olly@example.org
Matty     Mismatch     matty@wrongsubdomain.example.org
```
出力に表示された各項目は、Active Directory に対応するアカウントが存在しない Cloud Identity または Google Workspace のユーザーアカウントを表しています。

空の結果は、Google Workspace や Cloud Identity に孤立したユーザーアカウントが存在しないことを示します。
ローカルディスクから CSV ファイルを削除します。

Azure AD

Azure ポータルで、[Azure Active Directory ユーザー] に移動します。
[ユーザーをダウンロード] をクリックします。
ファイル名を入力して [開始] をクリックします。

[こちらをクリックしてダウンロード] リンクが表示されるまで待ちます。

ご利用のユーザーアカウント数によっては、オペレーションが完了するまでに数分かかることがあります。
[こちらをクリックしてダウンロード] をクリックし、ファイルをローカルディスクに保存します。

注: CSV エクスポートには個人情報（PII）が含まれる場合があります。不正なアクセスから保護されているストレージの場所を選択するようにしてください。
PowerShell がインストールされているワークステーションで、PowerShell コンソールを開きます。
次の 2 つの環境変数を設定します。
```
$GoogleUsersCsv="GOOGLE_PATH"
$AzureUsersCsv="AZURE_PATH"
```
GOOGLE_PATH と AZURE_PATH は、先ほどダウンロードした CSV ファイルのファイルパスに置き換えます。
Active Directory に対応するアカウントが存在しないユーザーアカウントのリストを特定します。
```
$GoogleUsers = (Import-Csv -Path $GoogleUsersCsv
    -Header FirstName,LastName,Email | Select-Object -Skip 1)

$AzureUsers = (Import-Csv -Path $AzureUsersCsv)

$GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}
```
このコマンドは、Cloud Identity や Google Workspace にあるユーザーアカウントのメインのメールアドレスと Azure AD の userPrincipalName 属性を比較します。Azure AD ユーザーと、Cloud Identity や Google Workspace ユーザーとのアカウント間で異なるマッピングを使用している場合は、コマンドの調整が必要な場合があります。

出力は次のようになります。
```
FirstName  LastName    Email
---------  --------    -----
Alice      Admin       admin@example.org
Olly       Orphaned    olly@example.org
Matty      Mismatch    matty@wrongsubdomain.example.org
```
出力に表示された各項目は、Active Directory に対応するアカウントが存在しない Cloud Identity または Google Workspace のユーザーアカウントを表しています。

空の結果は、Google Workspace や Cloud Identity に孤立したユーザーアカウントが存在しないことを示します。
両方の CSV ファイルをローカルディスクから削除します。

孤立したユーザーアカウントの調整

孤立したユーザーアカウントを調整するには、各ユーザーアカウントを分析して、アカウントの ID と対応する ID が信頼できるソースシステムに存在しない理由を特定する必要があります。

ユーザーアカウントが古くなっていると思われる場合は、そのアカウントに関連付けられている構成設定またはデータを保持する必要があるかどうかを確認します。

既存の Google ドライブのデータを保持するには、別のユーザーにデータを転送します。
既存の構成設定またはデータを保持しない場合は、対象のユーザーアカウントを削除します。
ユーザーアカウントを一時的に保持するには、ユーザーアカウントを一時停止し、メインのメールアドレスを競合の原因とならないアドレスに変更します。たとえば、olly.obsolete@example.com の名前を obsolete-2019-11-10-olly.obsolete@example.com に変更します。

現時点で有効なユーザーアカウントごとに、信頼できるソースの ID と一致するようにメインのメールアドレスを修正することを試みます。これには以下の操作が必要な場合があります。

メインのメールアドレスのドメインを変更する。
メインのメールアドレスとエイリアスアドレスを入れ替える。
メインのメールアドレスの大文字と小文字の区別またはスペルを修正する（ドットの追加や削除など）。

ベストプラクティス

マネージドユーザーアカウントの調整については、次のベストプラクティスをおすすめします。

一般ユーザー向けアカウントを Cloud Identity や Google Workspace に移行する場合は、移行するユーザーアカウントのバッチごとに少なくとも 1 回調整プロセスを繰り返します。