Riconciliare gli account utente gestiti orfani

Last reviewed 2024-07-11 UTC

Questo documento descrive come identificare e riconciliare gli account utente orfani.

Se utilizzi un provider di identità (IdP) esterno, l'origine autorevole per le identità è esterna a Cloud Identity o Google Workspace. Pertanto, ogni identità in Cloud Identity o Google Workspace deve avere una controparte nella sorgente autorevole esterna. È possibile che alcune identità nel tuo account Cloud Identity o Google Workspace non abbiano una controparte nella tua origine autorevole esterna. In questo caso, questi account utente sono considerati orfani. Gli account orfani possono verificarsi nelle seguenti circostanze:

  • Un amministratore di Cloud Identity o Google Workspace ha creato manualmente un account utente con un'identità non corrispondente.
  • Hai migrato un account consumer a Cloud Identity o Google Workspace, ma l'account utilizza un'identità che non corrisponde a nessuna identità esistente nell'origine esterna.

Prima di iniziare

Per riconciliare gli account utente gestiti orfani, devi soddisfare i seguenti prerequisiti:

Processo

Per riconciliare gli account utente orfani, devi prima identificare quali account utente sono orfani. Per ogni account utente, devi quindi decidere come riconciliarlo al meglio.

Identificare gli account utente orfani

Per trovare gli account utente orfani, devi confrontare le identità degli account utente in Cloud Identity o Google Workspace con le identità riconosciute dalla tua origine autorevole.

Per eseguire un confronto, puoi utilizzare la funzionalità di esportazione di un account Google Workspace o Cloud Identity per ottenere un elenco dei tuoi account utente attuali:

  1. Nella Console di amministrazione, vai alla pagina Utenti.
  2. Seleziona Scarica utenti.
  3. Seleziona Tutte le colonne di informazioni utente e le colonne attualmente selezionate.

  4. Fai clic su Scarica.

    Dopo alcuni minuti, a seconda del numero di account utente che hai, visualizzerai una notifica che ti informa che il file CSV con le informazioni degli utenti è pronto per essere scaricato.

  5. Fai clic su Scarica CSV e salva il file sul disco locale.

Se utilizzi Active Directory o Azure Active Directory (Azure AD) come origine autorevole, segui questi passaggi per confrontare le identità:

Active Directory

  1. Accedi a una workstation che abbia accesso ad Active Directory.
  2. Apri una console PowerShell.

  3. Imposta una variabile sulla posizione del file scaricato:

    $GoogleUsersCsv="GOOGLE_PATH"

    Sostituisci GOOGLE_PATH con il percorso del file CSV che hai scaricato in precedenza.

  4. Determina l'elenco degli account utente che non hanno una controparte in Active Directory:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1)
$LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "")

$GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter `
    | Select-Object -ExpandProperty UserPrincipalName

$GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}

    Il comando confronta l'indirizzo email principale degli account utente in Cloud Identity o Google Workspace con l'attributo userPrincipalName in Active Directory. Se utilizzi un mapping diverso tra gli utenti Active Directory e gli account utente Cloud Identity o Google Workspace, potresti dover modificare il comando.

    L'output è simile a questo:

    FirstName LastName     Email
--------- --------     -----
Alice     Admin        admin@example.org
Olly      Orphaned     olly@example.org
Matty     Mismatch     matty@wrongsubdomain.example.org

    Ogni elemento elencato nell'output rappresenta un account utente in Cloud Identity o Google Workspace che non ha una controparte in Active Directory.

    Un risultato vuoto indica che non hai account utente orfani in Google Workspace o Cloud Identity.

  5. Elimina il file CSV dal disco locale.

Azure AD

  1. Nel portale Azure, vai a Utenti di Azure Active Directory.
  2. Fai clic su Scarica utenti.

  3. Inserisci un nome file e fai clic su Avvia.

    Attendi che venga visualizzato il link Fai clic qui per scaricare.

    A seconda del numero di account utente che hai, potrebbero essere necessari alcuni minuti per completare l'operazione.

  4. Fai clic su Fai clic qui per scaricare e salva il file sul disco locale.

  5. Su una workstation su cui è installato PowerShell, apri una console PowerShell.

  6. Imposta due variabili di ambiente:

    $GoogleUsersCsv="GOOGLE_PATH"
$AzureUsersCsv="AZURE_PATH"

    Sostituisci GOOGLE_PATH e AZURE_PATH con i percorsi dei file CSV che hai scaricato in precedenza.

  7. Determina l'elenco degli account utente che non hanno una controparte in Active Directory:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv
    -Header FirstName,LastName,Email | Select-Object -Skip 1)

$AzureUsers = (Import-Csv -Path $AzureUsersCsv)

$GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}

    Il comando confronta l'indirizzo email principale degli account utente in Cloud Identity o Google Workspace con l'attributo userPrincipalName in Azure AD. Se utilizzi un mapping diverso tra gli utenti di Azure AD e gli account utente Cloud Identity o Google Workspace, potresti dover modificare il comando.

    L'output è simile al seguente:

    FirstName  LastName    Email
---------  --------    -----
Alice      Admin       admin@example.org
Olly       Orphaned    olly@example.org
Matty      Mismatch    matty@wrongsubdomain.example.org

    Ogni elemento elencato nell'output rappresenta un account utente in Cloud Identity o Google Workspace che non ha una controparte in Active Directory.

    Un risultato vuoto indica che non hai account utente orfani in Google Workspace o Cloud Identity.

  8. Elimina entrambi i file CSV dal disco locale.

Riconciliare gli account utente orfani

Per riconciliare gli account utente orfani, devi analizzare ogni account utente per determinare perché la sua identità non ha una controparte nel tuo sistema di origine autorevole.

Se ritieni che un account utente sia obsoleto, verifica se vale la pena conservare le impostazioni di configurazione o i dati associati all'account:

  • Per conservare i dati esistenti di Google Drive, trasferiscili a un altro utente.
  • Se non vuoi conservare impostazioni di configurazione o dati esistenti, elimina l'account utente.
  • Per conservare temporaneamente l'account utente, sospendilo e modifica il suo indirizzo email principale con un indirizzo che difficilmente causerà una collisione. Ad esempio, rinomina olly.obsolete@example.com in obsolete-2019-11-10-olly.obsolete@example.com.

Per ogni account utente ancora valido, prova a correggere l'indirizzo email principale in modo che corrisponda a un'identità nella tua origine autorevole. Per questo potrebbe essere necessario:

  • Modifica del dominio dell'indirizzo email principale.
  • Scambio dell'indirizzo email principale e di un indirizzo alias.
  • Correzione della capitalizzazione o dell'ortografia dell'indirizzo email principale (ad esempio, aggiunta o rimozione di punti).

Best practice

Ti consigliamo le seguenti best practice per la riconciliazione degli account utente gestiti:

  • Se esegui la migrazione degli account consumer a Cloud Identity o Google Workspace, ripeti la procedura di riconciliazione almeno una volta per ogni batch di account utente di cui esegui la migrazione.