协调孤立的受管理用户帐号

本文档介绍了如何识别并协调孤立的用户帐号。

如果您使用外部身份提供商 (IdP),则身份的权威来源在 Cloud IdentityG Suite 外部。因此,Cloud Identity 或 G Suite 中的每个身份都应在外部权威来源中有对应项。 您的 Cloud Identity 或 G Suite 帐号中的某些身份可能在外部权威来源中缺少对应项;如果是这样的话,这些用户帐号会被视为孤立的帐号。在以下情况下,可能会出现孤立的帐号:

  • Cloud Identity 或 G Suite 管理员手动创建了一个身份不匹配的用户帐号。
  • 将消费者帐号迁移到 Cloud Identity 或 G Suite,但该帐号使用的身份与外部来源中的任何现有身份均不匹配。

准备工作

为协调孤立的受管理用户帐号,您必须满足以下前提条件:

流程

如需协调孤立的用户帐号,您必须先确定哪些用户帐号是孤立的帐号。对于每个用户帐号,您必须决定如何最好地协调该帐号。

识别孤立的用户帐号

为找到孤立的用户帐号,您必须将 Cloud Identity 或 G Suite 中用户帐号的身份与您的权威来源认可的身份进行比较。

如需进行比较,您可以使用 G Suite 或 Cloud Identity 帐号的导出功能来获取当前用户帐号的列表:

  1. 在管理控制台中,转到用户页面。
  2. 选择下载用户信息
  3. 选择所有用户信息列和当前选择的列
  4. 点击下载

    几分钟后,您会看到一条通知,表明您可以下载用户信息 CSV 文件;具体等待时间取决于您拥有的用户帐号数量。

  5. 点击下载 CSV 文件,然后将文件保存到本地磁盘。

如果您将 Active Directory 或 Azure Active Directory (Azure AD) 用作权威来源,请按照以下步骤比较身份:

Active Directory

  1. 登录有权访问 Active Directory 的工作站。
  2. 打开 PowerShell 控制台。
  3. 将变量设置为下载的文件所在的位置:

    $GoogleUsersCsv="GOOGLE_PATH"

    GOOGLE_PATH 替换为您之前下载的 CSV 文件的文件路径。

  4. 确定在 Active Directory 中缺少对应项的用户帐号的列表:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1)
    $LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "")
    
    $GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter `
        | Select-Object -ExpandProperty UserPrincipalName
    
    $GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}
    

    该命令会将 Cloud Identity 或 G Suite 中用户帐号的主电子邮件地址与 Active Directory 中的 userPrincipalName 属性进行比较。如果您在 Active Directory 用户与 Cloud Identity 或 G Suite 用户帐号之间使用不同的映射,则可能需要调整该命令。

    输出类似于以下内容:

    FirstName LastName     Email
    --------- --------     -----
    Alice     Admin        admin@example.org
    Olly      Orphaned     olly@example.org
    Matty     Mismatch     matty@wrongsubdomain.example.org
    

    输出中列出的每个项目都代表 Cloud Identity 或 G Suite 内的一个在 Active Directory 中缺少对应项的用户帐号。

    如果结果为空白,这表示您的 G Suite 或 Cloud Identity 中没有任何孤立的用户帐号。

  5. 从本地磁盘中删除 CSV 文件。

Azure AD

  1. Azure 门户中,转到 Azure Active Directory 用户
  2. 点击下载用户信息
  3. 输入文件名,然后点击开始

    等待系统显示单击此处下载链接。

    根据您拥有的用户帐号数的不同,此操作可能会需要几分钟才能完成。

  4. 点击单击此处下载,然后将文件保存到本地磁盘。

  5. 在安装了 PowerShell 的工作站上,打开 PowerShell 控制台。

  6. 设置两个环境变量:

    $GoogleUsersCsv="GOOGLE_PATH"
    $AzureUsersCsv="AZURE_PATH"
    

    GOOGLE_PATHAZURE_PATH 替换为您之前下载的 CSV 文件的文件路径。

  7. 确定在 Active Directory 中缺少对应项的用户帐号的列表:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv
        -Header FirstName,LastName,Email | Select-Object -Skip 1)
    
    $AzureUsers = (Import-Csv -Path $AzureUsersCsv)
    
    $GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}
    

    该命令会将 Cloud Identity 或 G Suite 中用户帐号的主电子邮件地址与 Azure AD 中的 userPrincipalName 属性进行比较。如果您在 Azure AD 用户与 Cloud Identity 或 G Suite 用户帐号之间使用不同的映射,则可能需要调整该命令。

    输出类似于以下内容:

    FirstName  LastName    Email
    ---------  --------    -----
    Alice      Admin       admin@example.org
    Olly       Orphaned    olly@example.org
    Matty      Mismatch    matty@wrongsubdomain.example.org
    

    输出中列出的每个项目都代表 Cloud Identity 或 G Suite 内的一个在 Active Directory 中缺少对应项的用户帐号。

    如果结果为空白,这表示您的 G Suite 或 Cloud Identity 中没有任何孤立的用户帐号。

  8. 从本地磁盘中删除这两个 CSV 文件。

协调孤立的用户帐号

为了协调孤立的用户帐号,您必须分析每个用户帐号,以确定其身份在权威来源系统中缺少对应项的原因。

如果您认为某个用户帐号已作废,请检查与该帐号关联的任何配置设置或数据是否值得保留:

  • 如需保留现有的 Google 云端硬盘数据,请将数据转移给其他用户。
  • 如果您不想保留任何现有配置设置或数据,请删除相应用户帐号。
  • 如需暂时保留该用户帐号,请暂停该用户帐号,并将其主电子邮件地址更改为不太可能导致冲突的地址。例如,可将 olly.obsolete@example.com 重命名为 obsolete-2019-11-10-olly.obsolete@example.com

对于仍然有效的每个用户帐号,请尝试修复主电子邮件地址,使其与您的权威来源中的某个身份相对应。这可能需要执行以下操作:

  • 更改主电子邮件地址的域名。
  • 将主电子邮件地址和别名地址互换。
  • 修正主电子邮件地址的大小写或拼写错误(例如,添加或移除点)。

最佳做法

我们建议在协调受管理用户帐号时采用以下最佳做法:

  • 如果您将消费者帐号迁移到 Cloud Identity 或 G Suite,请为每批迁移的用户帐号至少重复一次协调过程。