調整缺乏對應身分的受控使用者帳戶

Last reviewed 2024-07-11 UTC

本文說明如何找出並比對孤立的使用者帳戶。

如果您使用外部識別資訊提供者 (IdP),身分授權來源就是 Cloud IdentityGoogle Workspace 外部的來源。因此,Cloud Identity 或 Google Workspace 中的每個身分都應在外部授權來源中對應一個身分。Cloud Identity 或 Google Workspace 帳戶中的部分身分可能缺少外部授權來源的對應項目,如果是這樣,這些使用者帳戶就會視為孤立。在下列情況下,可能會出現孤立帳戶:

  • Cloud Identity 或 Google Workspace 管理員手動建立的使用者帳戶身分不符。
  • 您已將個人帳戶遷移至 Cloud Identity 或 Google Workspace,但該帳戶使用的身分不符合外部來源中的任何現有身分。

事前準備

如要調整缺乏對應身分的受控使用者帳戶,必須符合下列先決條件:

程序

如要比對孤立的使用者帳戶,請先找出孤立的使用者帳戶。接著,您必須為每個使用者帳戶決定最佳的帳戶對帳方式。

找出缺乏對應身分的使用者帳戶

如要找出孤立使用者帳戶,您必須比較 Cloud Identity 或 Google Workspace 中使用者帳戶的身分,以及權威來源可辨識的身分。

如要進行比較,請使用 Google Workspace 或 Cloud Identity 帳戶的匯出功能,取得目前使用者帳戶的清單:

  1. 前往管理控制台的「使用者」頁面。
  2. 選取「下載使用者」
  3. 選取「所有使用者資訊欄和目前選取的欄」

  4. 點選 [下載]

    視使用者帳戶數量而定,幾分鐘後,您會收到通知,指出使用者資訊 CSV 檔案已可供下載。

  5. 按一下「下載 CSV」,然後將檔案儲存到本機磁碟。

如果您使用 Active Directory 或 Azure Active Directory (Azure AD) 做為授權來源,請按照下列步驟比較身分:

Active Directory

  1. 登入可存取 Active Directory 的工作站。
  2. 開啟 PowerShell 主控台。

  3. 將變數設為已下載檔案的位置:

    $GoogleUsersCsv="GOOGLE_PATH"

    GOOGLE_PATH 替換為您先前下載的 CSV 檔案路徑。

  4. 找出 Active Directory 中沒有對應項目的使用者帳戶清單:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1)
$LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "")

$GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter `
    | Select-Object -ExpandProperty UserPrincipalName

$GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}

    這項指令會比較 Cloud Identity 或 Google Workspace 中使用者帳戶的主要電子郵件地址,以及 Active Directory 中的 userPrincipalName 屬性。如果您在 Active Directory 使用者與 Cloud Identity 或 Google Workspace 使用者帳戶之間使用不同的對應,可能需要調整指令。

    輸出結果會與下列內容相似:

    FirstName LastName     Email
--------- --------     -----
Alice     Admin        admin@example.org
Olly      Orphaned     olly@example.org
Matty     Mismatch     matty@wrongsubdomain.example.org

    輸出內容中列出的每個項目,都代表 Cloud Identity 或 Google Workspace 中的使用者帳戶,在 Active Directory 中沒有對應項目。

    如果結果為空白,表示 Google Workspace 或 Cloud Identity 中沒有任何孤立使用者帳戶。

  5. 從本機磁碟刪除 CSV 檔案。

Azure AD

  1. Azure 入口網站中,前往「Azure Active Directory Users」
  2. 按一下「下載使用者」

  3. 輸入檔案名稱,然後按一下「開始」

    等到「按這裡下載」連結出現為止。

    視使用者帳戶數量而定,這項作業可能需要幾分鐘才能完成。

  4. 按一下「按這裡下載」,然後將檔案儲存到本機磁碟。

  5. 在安裝 PowerShell 的工作站上,開啟 PowerShell 主控台。

  6. 設定兩項環境變數:

    $GoogleUsersCsv="GOOGLE_PATH"
$AzureUsersCsv="AZURE_PATH"

    GOOGLE_PATHAZURE_PATH 替換為先前下載的 CSV 檔案路徑。

  7. 找出 Active Directory 中沒有對應項目的使用者帳戶清單:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv
    -Header FirstName,LastName,Email | Select-Object -Skip 1)

$AzureUsers = (Import-Csv -Path $AzureUsersCsv)

$GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}

    這項指令會比較 Cloud Identity 或 Google Workspace 中使用者帳戶的主要電子郵件地址,以及 Azure AD 中的 userPrincipalName 屬性。如果您在 Azure AD 使用者與 Cloud Identity 或 Google Workspace 使用者帳戶之間採用不同的對應方式,可能需要調整指令。

    輸出結果會與下列內容相似:

    FirstName  LastName    Email
---------  --------    -----
Alice      Admin       admin@example.org
Olly       Orphaned    olly@example.org
Matty      Mismatch    matty@wrongsubdomain.example.org

    輸出內容中列出的每個項目,都代表 Cloud Identity 或 Google Workspace 中的使用者帳戶,在 Active Directory 中沒有對應項目。

    如果結果為空白,表示 Google Workspace 或 Cloud Identity 中沒有任何孤立的使用者帳戶。

  8. 從本機磁碟刪除這兩個 CSV 檔案。

調整缺乏對應身分的使用者帳戶

如要比對孤立的使用者帳戶,您必須分析每個使用者帳戶,判斷其身分識別在權威來源系統中缺少對應項目的原因。

如果您認為使用者帳戶已過時,請檢查與該帳戶相關聯的設定或資料是否值得保留:

  • 如要保留現有的 Google 雲端硬碟資料,請將資料轉移給其他使用者。
  • 如要捨棄所有現有的設定或資料,請刪除使用者帳戶。
  • 如要暫時保留使用者帳戶,請將該帳戶停權,並將主要電子郵件地址變更為不太可能發生衝突的地址。 舉例來說,將 olly.obsolete@example.com 重新命名為 obsolete-2019-11-10-olly.obsolete@example.com

針對每個仍有效的帳戶,請嘗試修正主要電子郵件地址,使其與授權來源中的身分相符。這可能需要以下資訊:

  • 變更主要電子郵件地址的網域。
  • 交換主要電子郵件地址和別名地址。
  • 修正主要電子郵件地址的大小寫或拼字 (例如新增或移除點)。

最佳做法

調解受管理使用者帳戶時,建議採取下列最佳做法:

  • 如果將個人帳戶遷移至 Cloud Identity 或 Google Workspace,請為每批遷移的使用者帳戶至少重複一次對帳程序。