במאמר הזה מוסבר איך לזהות חשבונות משתמשים יתומים ולתקן אותם.
אם אתם משתמשים בספק זהויות חיצוני (IdP), המקור המוסמך לזהויות הוא חיצוני ל-Cloud Identity או ל-Google Workspace. לכן, לכל זהות ב-Cloud Identity או ב-Google Workspace צריכה להיות זהות מקבילה במקור הסמכות החיצוני. יכול להיות שלחלק מהזהויות בחשבון Cloud Identity או בחשבון Google Workspace אין מקבילה במקור החיצוני המוסמך שלכם. במקרה כזה, חשבונות המשתמש האלה נחשבים יתומים. מקרים שבהם חשבונות הופכים ליתומים:
- אדמין ב-Cloud Identity או ב-Google Workspace יצר באופן ידני חשבון משתמש עם זהות לא תואמת.
- העברתם חשבון פרטי ל-Cloud Identity או ל-Google Workspace, אבל החשבון משתמש בזהות שלא תואמת לאף זהות קיימת במקור החיצוני.
לפני שמתחילים
כדי ליישב חשבונות מנוהלים יתומים, צריך לעמוד בדרישות המוקדמות הבאות:
- זיהית תוכנית מתאימה להצטרפות והשלמת את כל הדרישות המוקדמות לאיחוד חשבונות המשתמשים הקיימים.
- יצרתם חשבון Cloud Identity או Google Workspace.
עיבוד
כדי לתקן חשבונות משתמשים יתומים, קודם צריך לזהות אילו חשבונות משתמשים הם יתומים. לאחר מכן, צריך להחליט איך הכי טוב ליישב כל חשבון משתמש.
זיהוי חשבונות משתמשים יתומים
כדי למצוא חשבונות משתמשים יתומים, צריך להשוות בין הזהויות של חשבונות המשתמשים ב-Cloud Identity או ב-Google Workspace לבין הזהויות שמזוהות על ידי המקור המוסמך.
כדי לבצע השוואה, אפשר להשתמש בפונקציית הייצוא של חשבון Google Workspace או Cloud Identity כדי לקבל רשימה של חשבונות המשתמשים הנוכחיים:
- במסוף Admin, עוברים לדף משתמשים.
- לוחצים על הורדת משתמשים.
- בוחרים באפשרות כל העמודות שכוללות פרטי משתמש והעמודות שנבחרו.
לוחצים על הורדה.
אחרי כמה דקות, בהתאם למספר חשבונות המשתמשים שיש לכם, תופיע הודעה שקובץ ה-CSV עם פרטי המשתמשים מוכן להורדה.
לוחצים על הורדת CSV ושומרים את הקובץ בדיסק המקומי.
אם אתם משתמשים ב-Active Directory או ב-Microsoft Entra ID (לשעבר Azure Active Directory) כמקור המוסמך שלכם, אתם יכולים לפעול לפי השלבים הבאים כדי להשוות בין הזהויות:
Active Directory
- נכנסים לתחנת עבודה שיש לה גישה ל-Active Directory.
- פותחים מסוף PowerShell.
מגדירים משתנה למיקום של הקובץ שהורדתם:
$GoogleUsersCsv="GOOGLE_PATH"
מחליפים את
GOOGLE_PATHבנתיב של קובץ ה-CSV שהורדתם קודם.קובעים את רשימת חשבונות המשתמשים שאין להם מקבילה ב-Active Directory:
$GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1) $LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "") $GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter ` | Select-Object -ExpandProperty UserPrincipalName $GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}הפקודה משווה בין כתובת האימייל הראשית של חשבונות משתמשים ב-Cloud Identity או ב-Google Workspace לבין מאפיין
userPrincipalNameב-Active Directory. אם אתם משתמשים במיפוי אחר בין משתמשי Active Directory לבין חשבונות משתמשים ב-Cloud Identity או ב-Google Workspace, יכול להיות שתצטרכו לשנות את הפקודה.הפלט אמור להיראות כך:
FirstName LastName Email --------- -------- ----- Alice Admin admin@example.org Olly Orphaned olly@example.org Matty Mismatch matty@wrongsubdomain.example.org
כל פריט שמופיע בפלט מייצג חשבון משתמש ב-Cloud Identity או ב-Google Workspace שאין לו מקבילה ב-Active Directory.
תוצאה ריקה מציינת שאין לכם חשבונות משתמשים יתומים ב-Google Workspace או ב-Cloud Identity.
מוחקים את קובץ ה-CSV מהדיסק המקומי.
Entra ID
- ב-Azure Portal, עוברים אל Azure Active Directory Users.
- לוחצים על הורדת משתמשים.
מזינים שם לקובץ ולוחצים על התחלה.
מחכים עד שמופיע הקישור כדי להוריד את הקובץ, לוחצים כאן.
יכול להיות שיעברו כמה דקות עד שהפעולה תושלם, תלוי במספר חשבונות המשתמשים שיש לכם.
לוחצים על כאן כדי להוריד את הקובץ ולשמור אותו בדיסק המקומי.
פותחים מסוף PowerShell בתחנת עבודה שמותקן בה PowerShell.
מגדירים שני משתני סביבה:
$GoogleUsersCsv="GOOGLE_PATH" $AzureUsersCsv="AZURE_PATH"
מחליפים את
GOOGLE_PATHואתAZURE_PATHבנתיבים לקובצי ה-CSV שהורדתם קודם.קובעים את רשימת חשבונות המשתמשים שאין להם מקבילה ב-Active Directory:
$GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1) $AzureUsers = (Import-Csv -Path $AzureUsersCsv) $GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}הפקודה משווה את כתובת האימייל הראשית של חשבונות משתמשים ב-Cloud Identity או ב-Google Workspace מול מאפיין
userPrincipalNameב-Entra ID. אם אתם משתמשים במיפוי שונה בין משתמשי Entra ID לבין חשבונות המשתמשים ב-Cloud Identity או ב-Google Workspace, יכול להיות שתצטרכו לשנות את הפקודה.הפלט אמור להיראות כך:
FirstName LastName Email --------- -------- ----- Alice Admin admin@example.org Olly Orphaned olly@example.org Matty Mismatch matty@wrongsubdomain.example.org
כל פריט שמופיע בפלט מייצג חשבון משתמש ב-Cloud Identity או ב-Google Workspace שאין לו מקבילה ב-Active Directory.
תוצאה ריקה מציינת שאין לכם חשבונות משתמשים יתומים ב-Google Workspace או ב-Cloud Identity.
מוחקים את שני קובצי ה-CSV מהדיסק המקומי.
איחוד של חשבונות משתמשים יתומים
כדי לפתור את הבעיה של חשבונות משתמשים יתומים, צריך לנתח כל חשבון משתמש כדי להבין למה אין זהות מקבילה במערכת המקורית המוסמכת.
אם אתם חושבים שחשבון משתמש כבר לא רלוונטי, כדאי לבדוק אם יש הגדרות או נתונים שמשויכים לחשבון שכדאי לשמור:
- כדי לשמור את הנתונים הקיימים ב-Google Drive, צריך להעביר את הנתונים למשתמש אחר.
- אם אתם לא רוצים לשמור הגדרות או נתונים קיימים, אתם יכולים למחוק את חשבון המשתמש.
- כדי לשמור את חשבון המשתמש באופן זמני, צריך להשעות אותו ולשנות את כתובת האימייל הראשית שלו לכתובת שסביר להניח שלעולם לא תגרום להתנגשות.
לדוגמה, משנים את השם
olly.obsolete@example.comל-obsolete-2019-11-10-olly.obsolete@example.com.
לכל חשבון משתמש שתקף עדיין, נסו לתקן את כתובת האימייל הראשית כך שתתאים לזהות במקור המוסמך. יכול להיות שיהיה צורך לבצע את הפעולות הבאות:
- שינוי הדומיין של כתובת האימייל הראשית.
- החלפה בין כתובת האימייל הראשית לבין כתובת אימייל חלופית.
- תיקון של אותיות רישיות או איות של כתובת האימייל הראשית (לדוגמה, הוספה או הסרה של נקודות).
שיטות מומלצות
כשמבצעים התאמה בין חשבונות משתמשים מנוהלים, מומלץ להשתמש בשיטות המומלצות הבאות:
- אם מעבירים חשבונות פרטיים אל Cloud Identity או אל Google Workspace, צריך לחזור על תהליך ההתאמה לפחות פעם אחת לכל קבוצה של חשבונות משתמשים שמעבירים.