Compensar cuentas de usuario gestionadas huérfanas

Last reviewed 2024-07-11 UTC

En este documento se describe cómo identificar y conciliar cuentas de usuario huérfanas.

Si usas un proveedor de identidades (IdP) externo, la fuente autorizada de las identidades será externa a Cloud Identity o Google Workspace. Por lo tanto, cada identidad de Cloud Identity o Google Workspace debe tener una contraparte en la fuente oficial externa. Es posible que algunas de las identidades de tu cuenta de Cloud Identity o Google Workspace no tengan una contraparte en tu fuente externa autorizada. En ese caso, estas cuentas de usuario se consideran huérfanas. Las cuentas huérfanas pueden producirse en las siguientes circunstancias:

  • Un administrador de Cloud Identity o Google Workspace ha creado manualmente una cuenta de usuario que tiene una identidad que no coincide.
  • Has migrado una cuenta de consumidor a Cloud Identity o Google Workspace, pero la cuenta usa una identidad que no coincide con ninguna identidad de la fuente externa.

Antes de empezar

Para compensar cuentas de usuario gestionadas huérfanas, debes cumplir los siguientes requisitos:

Proceso

Para conciliar las cuentas de usuario huérfanas, primero debe identificar cuáles lo son. Después, debe decidir cómo conciliar cada cuenta de usuario de la mejor forma posible.

Identificar cuentas de usuario huérfanas

Para encontrar cuentas de usuario huérfanas, debes comparar las identidades de las cuentas de usuario de Cloud Identity o Google Workspace con las identidades reconocidas por tu fuente autorizada.

Para hacer una comparación, puedes usar la función de exportación de una cuenta de Google Workspace o Cloud Identity para obtener una lista de tus cuentas de usuario actuales:

  1. En la consola de administración, ve a la página Usuarios.
  2. Selecciona Descargar usuarios.
  3. Selecciona Todas las columnas de información de los usuarios y las columnas seleccionadas actualmente.

  4. Haz clic en Descargar.

    Al cabo de unos minutos, en función del número de cuentas de usuario que tengas, verás una notificación que indica que el archivo CSV con información de los usuarios está listo para descargarse.

  5. Haga clic en Descargar CSV y guarde el archivo en su disco local.

Si usas Active Directory o Microsoft Entra ID (anteriormente Azure Active Directory) como fuente autorizada, sigue estos pasos para comparar identidades:

Active Directory

  1. Inicia sesión en una estación de trabajo que tenga acceso a Active Directory.
  2. Abre una consola de PowerShell.

  3. Define una variable con la ubicación del archivo descargado:

    $GoogleUsersCsv="GOOGLE_PATH"

    Sustituye GOOGLE_PATH por la ruta del archivo CSV que has descargado antes.

  4. Determina la lista de cuentas de usuario que no tienen una cuenta equivalente en Active Directory:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1)
$LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "")

$GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter `
    | Select-Object -ExpandProperty UserPrincipalName

$GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}

    El comando compara la dirección de correo principal de las cuentas de usuario de Cloud Identity o Google Workspace con el atributo userPrincipalName de Active Directory. Si usas una asignación diferente entre los usuarios de Active Directory y las cuentas de usuario de Cloud Identity o Google Workspace, puede que tengas que ajustar el comando.

    El resultado es similar al siguiente:

    FirstName LastName     Email
--------- --------     -----
Alice     Admin        admin@example.org
Olly      Orphaned     olly@example.org
Matty     Mismatch     matty@wrongsubdomain.example.org

    Cada elemento de la salida representa una cuenta de usuario de Cloud Identity o Google Workspace que no tiene una cuenta correspondiente en Active Directory.

    Si no se devuelve ningún resultado, significa que no tienes ninguna cuenta de usuario huérfana en Google Workspace ni en Cloud Identity.

  5. Elimina el archivo CSV del disco local.

ID de Entra

  1. En el portal de Azure, ve a Usuarios de Azure Active Directory.
  2. Haz clic en Descargar usuarios.

  3. Escribe un nombre de archivo y haz clic en Iniciar.

    Espera hasta que aparezca el enlace Haz clic aquí para descargar.

    En función del número de cuentas de usuario que tengas, la operación puede tardar unos minutos en completarse.

  4. Haz clic en Haz clic aquí para descargar y guarda el archivo en tu disco local.

  5. En una estación de trabajo que tenga PowerShell instalado, abre una consola de PowerShell.

  6. Define dos variables de entorno:

    $GoogleUsersCsv="GOOGLE_PATH"
$AzureUsersCsv="AZURE_PATH"

    Sustituye GOOGLE_PATH y AZURE_PATH por las rutas de los archivos CSV que has descargado anteriormente.

  7. Determina la lista de cuentas de usuario que no tienen una cuenta equivalente en Active Directory:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv
    -Header FirstName,LastName,Email | Select-Object -Skip 1)

$AzureUsers = (Import-Csv -Path $AzureUsersCsv)

$GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}

    El comando compara la dirección de correo principal de las cuentas de usuario de Cloud Identity o Google Workspace con el atributo userPrincipalName de Entra ID. Si utilizas una asignación diferente entre los usuarios de Entra ID y las cuentas de usuario de Cloud Identity o Google Workspace, puede que tengas que ajustar el comando.

    El resultado debería ser similar al siguiente:

    FirstName  LastName    Email
---------  --------    -----
Alice      Admin       admin@example.org
Olly       Orphaned    olly@example.org
Matty      Mismatch    matty@wrongsubdomain.example.org

    Cada elemento de la salida representa una cuenta de usuario de Cloud Identity o Google Workspace que no tiene una cuenta correspondiente en Active Directory.

    Si no se devuelve ningún resultado, significa que no tienes ninguna cuenta de usuario huérfana en Google Workspace ni en Cloud Identity.

  8. Elimina ambos archivos CSV del disco local.

Compensar cuentas de usuario huérfanas

Para conciliar las cuentas de usuario huérfanas, debe analizar cada cuenta de usuario para determinar por qué su identidad no tiene una contraparte en su sistema de origen autorizado.

Si crees que una cuenta de usuario está obsoleta, comprueba si merece la pena conservar alguna configuración o dato asociado a la cuenta:

  • Para conservar los datos de Google Drive, transfiérelos a otro usuario.
  • Si no quieres conservar ningún ajuste de configuración ni dato, elimina la cuenta de usuario.
  • Para conservar temporalmente la cuenta de usuario, suspéndela y cambia su dirección de correo principal por una que sea poco probable que cause una colisión. Por ejemplo, cambia el nombre de olly.obsolete@example.com a obsolete-2019-11-10-olly.obsolete@example.com.

En el caso de cada cuenta de usuario que siga siendo válida, intenta corregir la dirección de correo principal para que coincida con una identidad de tu fuente autorizada. Para ello, es posible que tengas que hacer lo siguiente:

  • Cambiar el dominio de la dirección de correo principal.
  • Intercambiar la dirección de correo principal y una dirección de alias.
  • Corregir el uso de mayúsculas y minúsculas o la ortografía de la dirección de correo principal (por ejemplo, añadir o quitar puntos).

Prácticas recomendadas

Te recomendamos que sigas estas prácticas recomendadas al conciliar cuentas de usuario gestionadas:

  • Si migras cuentas de consumidor a Cloud Identity o Google Workspace, repite el proceso de conciliación al menos una vez por cada lote de cuentas de usuario que migres.