孤立したマネージド ユーザー アカウントの調整

このドキュメントでは、孤立したユーザー アカウントを特定して調整する方法について説明します。

外部 ID プロバイダ(IdP)を使用する場合、ID の信頼できるソースは Cloud Identity または Google Workspace の外側にあります。したがって、Cloud Identity または Google Workspace の各 ID には、外部の信頼できるソースに対応する ID が必要です。Cloud Identity アカウントまたは Google Workspace アカウントの ID の一部には、外部の信頼できるソースに対応する ID が存在していない可能性があります。その場合、それらのユーザー アカウントは孤立していると見なされます。孤立したアカウントは次のような状況で発生する可能性があります。

始める前に

孤立したマネージド ユーザー アカウントを調整するには、次の前提条件を満たしている必要があります。

処理

孤立したユーザー アカウントを調整するには、まず、どのユーザー アカウントが孤立しているかを特定する必要があります。次に各ユーザー アカウントについて、最適な調整方法を決定する必要があります。

孤立したユーザー アカウントの特定

孤立したユーザー アカウントを見つけるには、Cloud Identity または Google Workspace のユーザー アカウントの ID と、信頼できるソースによって認識された ID を比較する必要があります。

比較を行うには、Google Workspace アカウントまたは Cloud Identity アカウントのエクスポート機能を使用して、現在のユーザー アカウントのリストを取得します。

  1. 管理コンソールで [ユーザー] ページに移動します。
  2. [ユーザーをダウンロード] を選択します。
  3. [すべてのユーザー情報の列と現在選択されている列] を選択します。
  4. [ダウンロード] をクリックします。

    数分後に、ご利用のユーザー アカウント数に基づいて、ユーザー情報の CSV ファイルをダウンロードする準備ができたという内容の通知が表示されます。

  5. [CSV 形式でダウンロード] をクリックして、ファイルをローカル ディスクに保存します。

Active Directory または Azure Active Directory(Azure AD)を信頼できるソースとして使用している場合は、次の手順で ID を比較します。

Active Directory

  1. Active Directory にアクセスできるワークステーションにサインオンします。
  2. PowerShell コンソールを開きます。
  3. ダウンロードしたファイルの場所に変数を設定します。

    $GoogleUsersCsv="GOOGLE_PATH"

    GOOGLE_PATH は、先ほどダウンロードした CSV ファイルのファイルパスに置き換えます。

  4. Active Directory に対応するアカウントが存在しないユーザー アカウントのリストを特定します。

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1)
    $LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "")
    
    $GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter `
        | Select-Object -ExpandProperty UserPrincipalName
    
    $GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}
    

    このコマンドは、Cloud Identity または Google Workspace 内のユーザー アカウントのメインのメールアドレスを Active Directory の userPrincipalName 属性と比較します。Active Directory ユーザーと、Cloud Identity ユーザー アカウントまたは Google Workspace ユーザー アカウントとの間で異なるマッピングを使用している場合は、コマンドの調整が必要になることがあります。

    出力は次のようになります。

    FirstName LastName     Email
    --------- --------     -----
    Alice     Admin        admin@example.org
    Olly      Orphaned     olly@example.org
    Matty     Mismatch     matty@wrongsubdomain.example.org
    

    出力に表示された各項目は、Active Directory に対応するアカウントが存在しない Cloud Identity または Google Workspace のユーザー アカウントを表しています。

    空の場合は、Google Workspace または Cloud Identity に孤立したユーザー アカウントがないことを示します。

  5. ローカル ディスクから CSV ファイルを削除します。

Azure AD

  1. Azure ポータルで、[Azure Active Directory ユーザー] に移動します。
  2. [ユーザーをダウンロード] をクリックします。
  3. ファイル名を入力して [開始] をクリックします。

    [こちらをクリックしてダウンロード] リンクが表示されるまで待ちます。

    ご利用のユーザー アカウント数によっては、オペレーションが完了するまでに数分かかることがあります。

  4. [こちらをクリックしてダウンロード] をクリックし、ファイルをローカル ディスクに保存します。

  5. PowerShell がインストールされているワークステーションで、PowerShell コンソールを開きます。

  6. 次の 2 つの環境変数を設定します。

    $GoogleUsersCsv="GOOGLE_PATH"
    $AzureUsersCsv="AZURE_PATH"
    

    GOOGLE_PATHAZURE_PATH は、先ほどダウンロードした CSV ファイルのファイルパスに置き換えます。

  7. Active Directory に対応するアカウントが存在しないユーザー アカウントのリストを特定します。

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv
        -Header FirstName,LastName,Email | Select-Object -Skip 1)
    
    $AzureUsers = (Import-Csv -Path $AzureUsersCsv)
    
    $GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}
    

    このコマンドは、Cloud Identity または Google Workspace のユーザー アカウントのメインのメールアドレスと、Azure AD の userPrincipalName 属性を比較します。Azure AD ユーザーと、Cloud Identity ユーザー アカウントまたは Google Workspace ユーザー アカウントとの間で異なるマッピングを使用している場合は、コマンドの調整が必要になることがあります。

    出力は次のようになります。

    FirstName  LastName    Email
    ---------  --------    -----
    Alice      Admin       admin@example.org
    Olly       Orphaned    olly@example.org
    Matty      Mismatch    matty@wrongsubdomain.example.org
    

    出力に表示された各項目は、Active Directory に対応するアカウントが存在しない Cloud Identity または Google Workspace のユーザー アカウントを表しています。

    空の場合は、Google Workspace または Cloud Identity に孤立したユーザー アカウントがないことを示します。

  8. 両方の CSV ファイルをローカル ディスクから削除します。

孤立したユーザー アカウントの調整

孤立したユーザー アカウントを調整するには、各ユーザー アカウントを分析して、アカウントの ID と対応する ID が信頼できるソースシステムに存在しない理由を特定する必要があります。

ユーザー アカウントが古くなっていると思われる場合は、そのアカウントに関連付けられている構成設定またはデータを保持する必要があるかどうかを確認します。

  • 既存の Google ドライブのデータを保持するには、別のユーザーにデータを転送します。
  • 既存の構成設定またはデータを保持しない場合は、対象のユーザー アカウントを削除します。
  • ユーザー アカウントを一時的に保持するには、ユーザー アカウントを停止し、メインのメールアドレスを競合の原因とならないアドレスに変更します。たとえば、olly.obsolete@example.com の名前を obsolete-2019-11-10-olly.obsolete@example.com に変更します。

現時点で有効なユーザー アカウントごとに、信頼できるソースの ID と一致するようにメインのメールアドレスを修正することを試みます。これには以下の操作が必要な場合があります。

  • メインのメールアドレスのドメインを変更する。
  • メインのメールアドレスとエイリアス アドレスを入れ替える。
  • メインのメールアドレスの大文字と小文字の区別またはスペルを修正する(ドットの追加や削除など)。

ベスト プラクティス

マネージド ユーザー アカウントの調整については、次のベスト プラクティスをおすすめします。

  • 一般ユーザー向けアカウントを Cloud Identity または Google Workspace に移行する場合は、移行するユーザー アカウントのバッチごとに少なくとも 1 回は調整プロセスを繰り返します。