Nutzersynchronisierung einrichten

1. Rufen Sie in der Google Admin-Konsole das Dreistrich-Menü  Verzeichnis Directory Sync auf.
   Zu Directory Sync

   Hierfür ist die Berechtigung „Einstellungen für Directory Sync verwalten“ erforderlich.

2. Klicken Sie auf den Namen Ihres externen Verzeichnisses.
3. Klicken Sie auf Nutzersynchronisierung einrichten.

4. Geben Sie den Namen der externen Verzeichnisgruppe ein und drücken Sie die Eingabetaste. Die Gruppenmitglieder werden in Directory Sync mit Ihrem Google Cloud-Verzeichnis synchronisiert.

   Hinweis:Gruppen müssen im externen Verzeichnis eine eigene zugehörige E‑Mail-Adresse haben.

5. Geben Sie bei Bedarf weitere Gruppennamen ein.

6. (Nur Active Directory) Geben Sie unter Basis-DN den Basis-DN ein. Die in den Schritten 4 und 5 angegebenen Gruppen sollten sich direkt unter dem Basis-DN befinden.

   Beispiel: ou=Vertrieb, dc=beispiel, dc=de. In diesem Beispiel sucht Directory Sync nach Gruppen unter der Organisationseinheit „Vertrieb“.

7. Klicken Sie auf Bestätigen, um zu prüfen, ob die Gruppen in Ihrem externen Verzeichnis vorhanden sind.
8. Klicken Sie auf Weiter.
9. Wenn Sie Nutzer einer einzelnen Organisationseinheit zuordnen möchten, wählen Sie die gewünschte Organisationseinheit aus Fertig.
10. Optional: Heben Sie die Auswahl des Kästchens Zuordnung zu einer Organisationseinheit erzwingen auf, damit der Nutzer in der Organisationseinheit Ihres Google Cloud-Verzeichnisses bleibt.
11. Klicken Sie auf Weiter.

1. Wählen Sie eine Option aus:
   • Wenn Sie Nutzer in eine einzelne Organisationseinheit aufnehmen möchten, klicken Sie auf Organisationseinheit auswählen, wählen Sie die Organisationseinheit aus klicken Sie auf Fertig.

   • Wenn Sie Nutzer in eine Organisationseinheit verschieben möchten, die in einem Attribut in Ihrem externen Verzeichnis definiert ist, geben Sie unter Nutzer der als Attribut gespeicherten OE zuordnen das Nutzerattribut in Ihrem externen Verzeichnis ein, das den vollständigen Pfad zur Organisationseinheit enthält.

     Eine Anleitung zum Erstellen des Pfads finden Sie weiter unten auf dieser Seite unter Organisationseinheit als Attribut im externen Verzeichnis hinzufügen.

2. Optional: Heben Sie die Auswahl des Kästchens Zuordnung zu einer Organisationseinheit erzwingen auf, damit der Nutzer in der Organisationseinheit Ihres Google Cloud-Verzeichnisses bleibt.
3. Klicken Sie auf Weiter.

Organisationseinheit als Attribut in Ihrem externen Verzeichnis hinzufügen

1. Richten Sie die Struktur der Organisationseinheiten in Ihrer Admin-Konsole ein. Weitere Informationen finden Sie im Hilfeartikel Eine Organisationseinheit hinzufügen.
2. Definieren Sie in Ihrem externen Verzeichnis mithilfe eines Standard- oder benutzerdefinierten Attributs den vorgesehenen Pfad der Organisationseinheit für jeden Nutzer. Verwenden Sie das folgende Format:
   • Die oberste Organisationseinheit darf nicht enthalten sein.
   • Trennen Sie die über- und untergeordneten Organisationseinheiten mit einem Schrägstrich (/).

Beispiel: Um den Nutzer yuri@example.com zur Organisationseinheit Vertrieb unter der Organisationseinheit Finanzen hinzuzufügen, gehen Sie so vor:

1. Legen Sie im externen Verzeichnis für yuri@beispiel.de das Attribut Abteilung auf Finanzen/Vertrieb fest.
2. Wenn Sie die Verzeichnissynchronisierung einrichten, klicken Sie auf Nutzer der als Attribut gespeicherten OE zuordnen und fügen Sie das Attribut Abteilung hinzu.

Erforderliche Attribute einrichten

Bestätigen oder geben Sie die Attribute des externen Verzeichnisses ein, die den folgenden Nutzerattributen in Ihrem Google Cloud-Verzeichnis zugeordnet sind:

• Vorname
• Nachname
• primäre E-Mail-Adresse

Wenn Sie die Attribute ändern, können Sie auf Als Standard festlegen  Fortfahren klicken, um sie auf die Standardwerte zurückzusetzen.

Optionale Attribute zuordnen

Sie können Standard- und benutzerdefinierte Nutzerattribute aus Ihrem externen Verzeichnis Ihrem Google Cloud-Verzeichnis zuordnen. Häufig verwendete Zuordnungen finden Sie unten auf dieser Seite unter Gängige Zuordnungen von Nutzerattributen.

1. Geben Sie unter Attribut eingeben das Nutzerattribut aus Ihrem externen Verzeichnis ein.

   Wenn das Nutzerattribut des externen Verzeichnisses verschachtelt ist, trennen Sie es durch einen Punkt (z. B. employeeOrgData.division).

2. Wählen Sie aus der Liste das Google Cloud-Verzeichnisnutzerattribut aus.

   Sie können ein einzelnes Attribut des externen Verzeichnisses mehreren Nutzerattributen des Google Cloud-Verzeichnisses zuordnen. Es ist jedoch nicht möglich, ein einzelnes Attribut des Google Cloud-Verzeichnisses mehreren externen Verzeichnisattributen zuzuordnen.

3. Optional: Wiederholen Sie die Schritte, um weitere Nutzerattribute zuzuordnen.

Gängige Zuordnungen von Nutzerattributen

Im Folgenden sind einige gängige Attributzuordnungen aufgeführt. Sie müssen diese Zuordnungen nicht verwenden. Sie können das Attribut im externen Verzeichnis ändern und einem anderen Attribut in Ihrem Google Cloud-Verzeichnis zuordnen.

Weitere Informationen

• AD-Attribute
• Azure AD-Attribute

1. Wählen Sie eine Option aus:

   • Aktivierungs-E-Mail senden: Nutzer erhalten eine E-Mail, in der sie aufgefordert werden, ihr neues Konto zu aktivieren und ein Passwort festzulegen.

     Wenn Sie diese Option auswählen, geben Sie an, ob die E‑Mail an die primäre E‑Mail-Adresse oder an die E‑Mail-Adresse zur Kontowiederherstellung gesendet werden soll. Wenn Sie die E-Mail-Adresse zur Kontowiederherstellung auswählen, müssen Sie in Schritt 3: Nutzerattribut zuordnen (oben auf dieser Seite) eine Zuordnung für die Adresse hinzufügen.

     Weitere Informationen dazu, was Nutzer tun müssen, finden Sie unter Was passiert, wenn ein Nutzer eine Aktivierungs-E-Mail erhält? (weiter unten auf dieser Seite).

   • Keine Aktivierungs-E-Mail senden: Nutzer erhalten keine E-Mail.

     Verwenden Sie diese Option, wenn Sie direkt mit Ihren Nutzern über neue Konten kommunizieren möchten oder wenn Sie einen externen Identitätsanbieter zur Authentifizierung verwenden. Wenn Sie einen Identitätsanbieter verwenden, müssen Nutzer kein Google-Passwort festlegen.

2. Klicken Sie auf Weiter.

Was passiert, wenn ein Nutzer eine Aktivierungs-E‑Mail erhält?

Nach der Synchronisierung erhalten Ihre Nutzer eine E-Mail mit Details zur Aktivierung ihres neuen verwalteten Google-Kontos. Wenn sie bereit sind, sich zum ersten Mal im neuen Konto anzumelden, müssen sie die folgenden Schritte ausführen:

1. Öffnen Sie die E‑Mail in Ihrem ursprünglichen E‑Mail-Konto und klicken Sie auf Anmelden. Weiter.
2. Klicken Sie auf Senden, um einen Bestätigungscode zu erhalten.
3. Im ursprünglichen Konto die Nachricht mit dem Bestätigungscode öffnen und den Code kopieren.
4. Im neuen Google-Konto den Bestätigungscode eingeben und auf Weiter klicken.
5. Akzeptieren Sie die Nutzungsbedingungen.
6. Erstellen Sie ein starkes Passwort und klicken Sie auf Passwort ändern.

Wenn ein Nutzer gesperrt oder nicht in Ihrem externen Verzeichnis gefunden wurde (z. B. weil die Gruppe des Nutzers im externen Verzeichnis gelöscht wurde), können Sie ihn in Ihrem Google Cloud-Verzeichnis sperren.

So sperren Sie Nutzer, die nicht im externen Verzeichnis enthalten sind:

1. Klicken Sie auf das Kästchen neben Nutzer in Google sperren.

   Wenn Sie die Nutzer nicht sperren möchten, entfernen Sie das Häkchen.

2. Klicken Sie auf Weiter.

Wichtig: Über Directory Sync wird der Status des Nutzers synchronisiert. Wenn Sie das Konto eines Nutzers sperren, aber das externe Verzeichniskonto aktiv ist, wird das Konto nach einer Synchronisierung aktiviert.

Hier können Sie die Bedingungen festlegen, unter denen eine Synchronisierung automatisch abgebrochen wird. Wenn die Synchronisierung die Grenzwerte für Sicherheitsmaßnahmen überschreitet, wird sie automatisch abgebrochen und Nutzer werden nicht gesperrt. Weitere Synchronisierungen werden erst ausgeführt, wenn Sie die Synchronisierung manuell aktiviert haben. Weitere Informationen finden Sie im nächsten Abschnitt auf dieser Seite unter Sicherheitsmaßnahmen festlegen.

So richten Sie eine Sicherheitsmaßnahme ein:

1. Wählen Sie für Sicherheitsmaßnahmen die Option einem von Ihnen festgelegten Prozentsatz oder einer von Ihnen festgelegten Anzahl aus und geben Sie einen Prozentsatz oder eine Anzahl ein.
2. Klicken Sie auf Synchronisierung simulieren.

3. Wenn eine Sicherheitsmaßnahme ausgelöst wird, erhalten Sie eine Benachrichtigung mit Details zur fehlgeschlagenen Synchronisierung. Sie können sich zusätzliche Details im Audit-Log ansehen.

   Weitere Informationen finden Sie unter Benachrichtigungszentrale verwenden und Protokollereignisse für Directory Sync prüfen.

So werden Sicherheitsmaßnahmen festgelegt

Bei der Verzeichnissynchronisierung wird ermittelt, wie viele Nutzerkonten in Ihrem externen Verzeichnis vorhanden sind. Das Ergebnis wird mit der Anzahl der Konten verglichen, die nach einer Synchronisierung gesperrt werden können. Falls es größer als der angegebene Prozentsatz oder die Anzahl ist, wird die Synchronisierung automatisch abgebrochen und es werden keine Maßnahmen ergriffen.

Beispiele

Sie haben 100 Nutzer des externen Verzeichnisses. Während der Synchronisierung wird von Directory Sync vorgeschlagen, die Bereitstellung von zwölf Nutzerkonten auszusetzen und drei neue Konten hinzuzufügen.

Beispiel 1: Sie haben als Sicherheitsmaßnahme ein numerisches Limit von 14 festgelegt. Da die Anzahl der Konten, deren Bereitstellung ausgesetzt werden soll (12), geringer ist als die Sicherheitsmaßnahme (14), wird die Synchronisierung in Directory Sync mit den vorgeschlagenen Änderungen fortgesetzt.

Beispiel 2: Sie haben als Sicherheitsmaßnahme ein prozentuales Limit von 10% festgelegt. Bei der Verzeichnissynchronisierung werden die vorgeschlagenen zwölf möglichen zu sperrenden Konten mit dem prozentualen Limit verglichen. Da der Prozentsatz der möglichen zu sperrenden Konten (12%) das Limit von 10% überschreitet, wird die Synchronisierung des Verzeichnisses gestoppt, ohne Änderungen vorzunehmen.