协调孤立的受管理用户账号

Last reviewed 2024-07-11 UTC

本文档介绍了如何识别并协调孤立的用户账号。

如果您使用外部身份提供方 (IdP),则身份的权威来源在 Cloud IdentityGoogle Workspace 外部。因此,Cloud Identity 或 Google Workspace 中的每个身份都应在外部权威来源中有对应项。您的 Cloud Identity 或 Google Workspace 账号中的某些身份可能在外部权威来源中缺少对应项;如果是这样的话,这些用户账号会被视为孤立的账号。在以下情况下,可能会出现孤立的账号:

  • Cloud Identity 或 Google Workspace 管理员手动创建了一个身份不匹配的用户账号。
  • 已将消费者账号迁移到 Cloud Identity 或 Google Workspace,但该账号使用的身份与外部来源中的任何现有身份均不匹配。

为协调孤立的受管理用户账号,您必须满足以下前提条件:

流程

如需协调孤立的用户账号,您必须先确定哪些用户账号是孤立的账号。对于每个用户账号,您必须决定如何最好地协调该账号。

识别孤立的用户账号

为找到孤立的用户账号,您必须将 Cloud Identity 或 Google Workspace 中用户账号的身份与您的权威来源认可的身份进行比较。

如需进行比较,您可以使用 Google Workspace 或 Cloud Identity 账号的导出功能来获取当前用户账号的列表:

  1. 在管理控制台中,前往用户页面。
  2. 选择下载用户信息
  3. 选择所有用户信息列和当前选择的列
  4. 点击下载

    几分钟后,您会看到一条通知,表明您可以下载用户信息 CSV 文件;具体等待时间取决于您拥有的用户账号数量。

  5. 点击下载 CSV 文件,然后将文件保存到本地磁盘。

如果您将 Active Directory 或 Azure Active Directory (Azure AD) 用作权威来源,请按照以下步骤比较身份:

  1. 登录有权访问 Active Directory 的工作站。
  2. 打开 PowerShell 控制台。
  3. 将变量设置为下载的文件所在的位置:

    $GoogleUsersCsv="GOOGLE_PATH"

    GOOGLE_PATH 替换为您之前下载的 CSV 文件的路径。

  4. 确定在 Active Directory 中缺少对应项的用户账号的列表:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1)
    $LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "")
    
    $GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter `
        | Select-Object -ExpandProperty UserPrincipalName
    
    $GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}
    

    该命令会将 Cloud Identity 或 Google Workspace 中用户账号的主电子邮件地址与 Active Directory 中的 userPrincipalName 特性进行比较。如果您在 Active Directory 用户与 Cloud Identity 或 Google Workspace 用户账号之间使用不同的映射,则可能需要调整该命令。

    输出类似于以下内容:

    FirstName LastName     Email
    --------- --------     -----
    Alice     Admin        admin@example.org
    Olly      Orphaned     olly@example.org
    Matty     Mismatch     matty@wrongsubdomain.example.org
    

    输出中列出的每个项目都代表 Cloud Identity 或 Google Workspace 内的一个在 Active Directory 中缺少对应项的用户账号。

    如果结果为空白,这表示您的 Google Workspace 或 Cloud Identity 中没有任何孤立的用户账号。

  5. 从本地磁盘中删除 CSV 文件。

  1. Azure 门户中,转到 Azure Active Directory 用户
  2. 点击下载用户信息
  3. 输入文件名,然后点击开始

    等待系统显示单击此处下载链接。

    根据您拥有的用户账号数的不同,此操作可能会需要几分钟才能完成。

  4. 点击单击此处下载,然后将文件保存到本地磁盘。

  5. 在安装了 PowerShell 的工作站上,打开 PowerShell 控制台。

  6. 设置两个环境变量:

    $GoogleUsersCsv="GOOGLE_PATH"
    $AzureUsersCsv="AZURE_PATH"
    

    GOOGLE_PATHAZURE_PATH 替换为您之前下载的 CSV 文件的文件路径。

  7. 确定在 Active Directory 中缺少对应项的用户账号的列表:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv
        -Header FirstName,LastName,Email | Select-Object -Skip 1)
    
    $AzureUsers = (Import-Csv -Path $AzureUsersCsv)
    
    $GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}
    

    该命令会将 Cloud Identity 或 Google Workspace 中用户账号的主电子邮件地址与 Azure AD 中的 userPrincipalName 特性进行比较。如果您在 Azure AD 用户与 Cloud Identity 或 Google Workspace 用户账号之间使用不同的映射,则可能需要调整该命令。

    输出内容类似如下:

    FirstName  LastName    Email
    ---------  --------    -----
    Alice      Admin       admin@example.org
    Olly       Orphaned    olly@example.org
    Matty      Mismatch    matty@wrongsubdomain.example.org
    

    输出中列出的每个项目都代表 Cloud Identity 或 Google Workspace 内的一个在 Active Directory 中缺少对应项的用户账号。

    如果结果为空白,这表示您的 Google Workspace 或 Cloud Identity 中没有任何孤立的用户账号。

  8. 从本地磁盘中删除这两个 CSV 文件。

协调孤立的用户账号

为了协调孤立的用户账号,您必须分析每个用户账号,以确定其身份在权威来源系统中缺少对应项的原因。

如果您认为某个用户账号已作废,请检查与该账号关联的任何配置设置或数据是否值得保留:

  • 如需保留现有的 Google 云端硬盘数据,请将数据转移给其他用户。
  • 如果您不想保留任何现有配置设置或数据,请删除相应用户账号。
  • 如需暂时保留该用户账号,请暂停该用户账号,并将其主电子邮件地址更改为不太可能导致冲突的地址。例如,可将 olly.obsolete@example.com 重命名为 obsolete-2019-11-10-olly.obsolete@example.com

对于仍然有效的每个用户账号,请尝试修复主电子邮件地址,使其与您的权威来源中的某个身份相对应。这可能需要执行以下操作:

  • 更改主电子邮件地址的域名。
  • 将主电子邮件地址和别名地址互换。
  • 修正主电子邮件地址的大小写或拼写错误(例如,添加或移除点)。

最佳做法

我们建议在协调受管理用户账号时采用以下最佳做法:

  • 如果您将消费者账号迁移到 Cloud Identity 或 Google Workspace,请为每批迁移的用户账号至少重复一次协调过程。