분리된 관리형 사용자 계정 조정

이 문서에서는 분리된 사용자 계정을 식별하고 조정하는 방법을 설명합니다.

외부 ID 공급업체(IdP)를 사용하는 경우 ID의 권한 소스는 Cloud ID 또는 Google Workspace 외부에 있습니다. 따라서 Cloud ID 또는 Google Workspace의 각 ID에 외부 권한 소스에 있는 상대 항목이 있어야 합니다. Cloud ID 또는 Google Workspace 계정의 일부 ID에 외부 권한 소스의 상대 항목이 없을 수도 있습니다. 이 경우 이러한 사용자 계정이 분리된 것으로 간주됩니다. 분리된 계정은 다음 상황에서 발생할 수 있습니다.

  • Cloud ID 또는 Google Workspace 관리자가 일치하지 않는 ID를 포함하는 사용자 계정을 수동으로 만들었습니다.
  • Cloud ID 또는 Google Workspace로 일반 계정을 마이그레이션했지만 외부 소스에 있는 기존 ID와 일치하지 않는 ID가 계정에 사용됩니다.

시작하기 전에

분리된 관리형 사용자 계정을 조정하려면 다음 기본 요건을 충족해야 합니다.

처리

분리된 사용자 계정을 조정하려면 먼저 분리된 사용자 계정을 식별해야 합니다. 각 사용자 계정에 대해 해당 계정을 조정할 최선의 방법을 결정해야 합니다.

분리된 사용자 계정 식별

분리된 사용자 계정을 찾으려면 먼저 Cloud ID 또는 Google Workspace에 있는 사용자 계정의 ID를 권한 소스로 인식된 ID와 비교해야 합니다.

비교를 수행하려면 Google Workspace 또는 Cloud ID 계정의 내보내기 기능을 사용해서 현재 사용자 계정 목록을 얻을 수 있습니다.

  1. 관리 콘솔에서 사용자 페이지로 이동합니다.
  2. 사용자 다운로드를 선택합니다.
  3. 모든 사용자 정보 열 및 현재 선택된 열을 선택합니다.
  4. 다운로드를 클릭합니다.

    갖고 있는 사용자 계정 수에 따라 몇 분 후 사용자 정보 CSV 파일을 다운로드할 수 있다는 알림이 표시됩니다.

  5. CSV 다운로드를 클릭하고 파일을 로컬 디스크에 저장합니다.

Active Directory 또는 Azure Active Directory(Azure AD)를 권한 소스로 사용하는 경우 다음 단계에 따라 ID를 비교합니다.

Active Directory

  1. Active Directory 액세스 권한이 있는 워크스테이션에 사인온합니다.
  2. PowerShell 콘솔을 엽니다.
  3. 변수를 다운로드한 파일의 위치로 설정합니다.

    $GoogleUsersCsv="GOOGLE_PATH"

    GOOGLE_PATH를 이전에 다운로드한 CSV의 파일 경로로 바꿉니다.

  4. Active Directory에 상대 항목이 없는 사용자 계정 목록을 확인합니다.

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1)
    $LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "")
    
    $GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter `
        | Select-Object -ExpandProperty UserPrincipalName
    
    $GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}
    

    이 명령어는 Active Directory의 userPrincipalName 속성에 대해 Cloud ID 또는 Google Workspace에 있는 사용자 계정의 기본 이메일 주소를 비교합니다. Active Directory 사용자와 Cloud ID 또는 Google Workspace 사용자 계정 간에 서로 다른 매핑을 사용하는 경우 명령어를 조정해야 할 수 있습니다.

    출력은 다음과 비슷합니다.

    FirstName LastName     Email
    --------- --------     -----
    Alice     Admin        admin@example.org
    Olly      Orphaned     olly@example.org
    Matty     Mismatch     matty@wrongsubdomain.example.org
    

    출력에 나열된 각 항목은 Active Directory에 상대 항목이 없는 Cloud ID 또는 Google Workspace의 사용자 계정을 나타냅니다.

    빈 결과는 Google Workspace 또는 Cloud ID에 분리된 사용자 계정이 없음을 나타냅니다.

  5. 로컬 디스크에서 CSV 파일을 삭제합니다.

Azure AD

  1. Azure 포털에서 Azure Active Directory Users(Azure Active Directory 사용자)로 이동합니다.
  2. Download users(사용자 다운로드)를 클릭합니다.
  3. 파일 이름을 입력하고 Start(시작)를 클릭합니다.

    Click here to download(다운로드하려면 여기를 클릭하세요) 링크가 표시될 때까지 기다립니다.

    사용자 계정 수에 따라 작업이 완료되려면 몇 분 정도 걸릴 수 있습니다.

  4. Click here to download(다운로드하려면 여기를 클릭하세요)를 클릭하고 파일을 로컬 디스크에 저장합니다.

  5. PowerShell이 설치된 워크스테이션에서 PowerShell 콘솔을 엽니다.

  6. 2개의 환경 변수를 설정합니다.

    $GoogleUsersCsv="GOOGLE_PATH"
    $AzureUsersCsv="AZURE_PATH"
    

    GOOGLE_PATHAZURE_PATH를 이전에 다운로드한 CSV의 파일 경로로 바꿉니다.

  7. Active Directory에 상대 항목이 없는 사용자 계정 목록을 확인합니다.

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv
        -Header FirstName,LastName,Email | Select-Object -Skip 1)
    
    $AzureUsers = (Import-Csv -Path $AzureUsersCsv)
    
    $GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}
    

    이 명령어는 Azure AD의 userPrincipalName 속성에 대해 Cloud ID 또는 Google Workspace에 있는 사용자 계정의 기본 이메일 주소를 비교합니다. Azure AD 사용자와 Cloud ID 또는 Google Workspace 사용자 계정 간에 서로 다른 매핑을 사용하는 경우 명령어를 조정해야 할 수 있습니다.

    출력은 다음과 비슷합니다.

    FirstName  LastName    Email
    ---------  --------    -----
    Alice      Admin       admin@example.org
    Olly       Orphaned    olly@example.org
    Matty      Mismatch    matty@wrongsubdomain.example.org
    

    출력에 나열된 각 항목은 Active Directory에 상대 항목이 없는 Cloud ID 또는 Google Workspace의 사용자 계정을 나타냅니다.

    빈 결과는 Google Workspace 또는 Cloud ID에 분리된 사용자 계정이 없음을 나타냅니다.

  8. 로컬 디스크에서 두 CSV 파일을 모두 삭제합니다.

분리된 사용자 계정 조정

분리된 사용자 계정을 조정하려면 각 사용자 계정을 분석하여 해당 ID에 권한 소스 시스템에 해당하는 항목이 없는 이유를 확인해야 합니다.

사용자 계정이 오래된 경우 계정과 연결된 모든 구성 설정 또는 데이터를 계속 유지해야 하는지 확인합니다.

  • 기존 Google 드라이브 데이터를 유지하려면 다른 사용자로 데이터를 전송합니다.
  • 기존 구성 설정 또는 데이터를 유지하지 않으려면 사용자 계정을 삭제합니다.
  • 사용자 계정을 일시적으로 유지하려면 사용자 계정을 정지하고 기본 이메일 주소를 충돌을 일으킬 가능성이 없는 주소로 바꿉니다. 예를 들어 olly.obsolete@example.comobsolete-2019-11-10-olly.obsolete@example.com으로 바꿉니다.

아직 유효한 상태의 각 사용자 계정의 경우에는 권한 소스의 ID와 일치하도록 기본 이메일 주소를 수정합니다. 이를 위해서는 다음이 필요할 수 있습니다.

  • 기본 이메일 주소의 도메인 변경
  • 기본 이메일 주소와 별칭 주소 변경
  • 기본 이메일 주소의 대소문자 또는 철자 수정(예: 점 추가 또는 제거)

권장사항

관리되는 사용자 계정을 조정할 때는 다음 권장사항을 따르는 것이 좋습니다.

  • 일반 계정을 Cloud ID 또는 Google Workspace로 마이그레이션할 때는 마이그레이션하는 사용자 계정의 각 배치에 대해 조정 프로세스를 한 번 이상 반복합니다.