เมื่อคุณพร้อมตั้งค่าผู้ใช้ที่จะซิงค์ข้อมูลแล้ว ใน Directory Sync ให้ป้อนชื่อกลุ่มจากไดเรกทอรีภายนอกเพื่อซิงค์ผู้ใช้ ผู้ใช้แต่ละคนในกลุ่ม (ไม่ใช่กลุ่ม) จะซิงค์กับไดเรกทอรีในระบบคลาวด์ของ Google
ก่อนเริ่มต้น
ตรวจสอบว่าได้เพิ่มและทดสอบการเชื่อมต่อไดเรกทอรีภายนอกกับไดเรกทอรีระบบคลาวด์ของ Google แล้ว โปรดดูรายละเอียดที่หัวข้อเพิ่ม แก้ไข หรือนำไดเรกทอรีภายนอกออก
ตั้งค่าผู้ใช้เพื่อซิงค์ข้อมูล
ขั้นตอนที่ 1: เลือกผู้ใช้
-
ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู
ไดเรกทอรี
การซิงค์ไดเรกทอรี
- คลิกชื่อไดเรกทอรีภายนอก
- คลิกตั้งค่าการซิงค์ผู้ใช้
-
ป้อนชื่อกลุ่มไดเรกทอรีภายนอก แล้วกด Enter Directory Sync จะซิงค์สมาชิกกลุ่มกับไดเรกทอรีในระบบคลาวด์ของ Google
หมายเหตุ: กลุ่มต้องมีอีเมลที่เชื่อมโยงของตนเองในไดเรกทอรีภายนอก
- ป้อนชื่อกลุ่มเพิ่มเติม
-
(Active Directory เท่านั้น) สําหรับ DN ฐาน ให้ป้อนชื่อเฉพาะ (DN) พื้นฐาน กลุ่มที่ระบุในขั้นตอนที่ 4 และ 5 ควรอยู่ใน DN ฐานโดยตรง
ตัวอย่างเช่น ou=Sales, dc=example, dc=com ซึ่งในตัวอย่างนี้ Directory Sync จะค้นหากลุ่มในหน่วยขององค์กรฝ่ายขาย
- คลิกยืนยันเพื่อตรวจสอบว่ามีกลุ่มดังกล่าวอยู่ในไดเรกทอรีภายนอก
- คลิกต่อไป
- หากต้องการแมปผู้ใช้กับหน่วยขององค์กรเดียว ให้เลือกหน่วยขององค์กร
เสร็จสิ้น
- (ไม่บังคับ) ยกเลิกการเลือกช่องบังคับใช้การแมปหน่วยขององค์กรเพื่อให้แน่ใจว่าผู้ใช้ยังอยู่ในหน่วยขององค์กรในไดเรกทอรีระบบคลาวด์ของ Google หากมีการย้ายผู้ใช้ในไดเรกทอรีภายนอก
- คลิกต่อไป
ขั้นตอนที่ 2: นำผู้ใช้ไปไว้ในหน่วยขององค์กร
- เลือกตัวเลือกต่อไปนี้
- หากต้องการนำผู้ใช้ไปไว้ในหน่วยขององค์กรเดียว ให้คลิกเลือกหน่วยขององค์กร จากนั้นไปที่และเลือกหน่วยขององค์กรที่ต้องการ
คลิกเสร็จสิ้น
-
หากต้องการนำผู้ใช้ไปไว้ในหน่วยขององค์กรที่กำหนดไว้ในแอตทริบิวต์ในไดเรกทอรีภายนอก ในส่วนนำผู้ใช้ไปไว้ใน OU ที่เก็บเป็นแอตทริบิวต์ ให้ป้อนแอตทริบิวต์ผู้ใช้ในไดเรกทอรีภายนอกที่มีเส้นทางแบบเต็มไปยังหน่วยขององค์กร
ดูขั้นตอนการสร้างเส้นทางได้ที่เพิ่มหน่วยขององค์กรเป็นแอตทริบิวต์ในไดเรกทอรีภายนอก (ด้านล่างในหน้านี้)
- หากต้องการนำผู้ใช้ไปไว้ในหน่วยขององค์กรเดียว ให้คลิกเลือกหน่วยขององค์กร จากนั้นไปที่และเลือกหน่วยขององค์กรที่ต้องการ
- (ไม่บังคับ) ยกเลิกการเลือกช่องบังคับใช้การแมปหน่วยขององค์กรเพื่อให้แน่ใจว่าผู้ใช้ยังอยู่ในหน่วยขององค์กรในไดเรกทอรีระบบคลาวด์ของ Google หากมีการย้ายผู้ใช้ในไดเรกทอรีภายนอก
- คลิกต่อไป
เพิ่มหน่วยขององค์กรเป็นแอตทริบิวต์ในไดเรกทอรีภายนอก
- ตั้งค่าโครงสร้างหน่วยขององค์กรในคอนโซลผู้ดูแลระบบของ Google โปรดดูรายละเอียดที่หัวข้อเพิ่มหน่วยขององค์กร
- ในไดเรกทอรีภายนอก ให้กำหนดเส้นทางหน่วยขององค์กรที่ต้องการสำหรับผู้ใช้แต่ละรายโดยใช้แอตทริบิวต์มาตรฐานหรือแอตทริบิวต์ที่กำหนดเอง โดยใช้รูปแบบต่อไปนี้
- อย่ารวมหน่วยขององค์กรระดับบนสุด
- แยกหน่วยขององค์กรหลักและหน่วยขององค์กรย่อยด้วยเครื่องหมายทับ (/)
ตัวอย่าง: หากต้องการเพิ่มผู้ใช้ yuri@example.com ไปยังหน่วยขององค์กรฝ่ายขายที่อยู่ภายใต้หน่วยขององค์กรการเงิน ให้ดำเนินการตามขั้นตอนต่อไปนี้
- ในไดเรกทอรีภายนอก ให้ตั้งค่าแอตทริบิวต์ Department ของ yuri@example.com เป็น Finance/Sales
- เมื่อตั้งค่าการซิงค์ไดเรกทอรี ให้คลิกนำผู้ใช้ไปไว้ใน OU ที่เก็บเป็นแอตทริบิวต์ แล้วเพิ่มแอตทริบิวต์ Department
ขั้นตอนที่ 3: แมปแอตทริบิวต์ผู้ใช้
ตั้งค่าแอตทริบิวต์ที่จำเป็น
ยืนยันหรือป้อนแอตทริบิวต์ไดเรกทอรีภายนอกที่แมปกับแอตทริบิวต์ผู้ใช้ต่อไปนี้ในไดเรกทอรีระบบคลาวด์ของ Google
- ชื่อ
- นามสกุล
- อีเมลหลัก
หากเปลี่ยนแอตทริบิวต์ คุณสามารถคลิกตั้งเป็นค่าเริ่มต้น
ดำเนินการต่อ เพื่อรีเซ็ตแอตทริบิวต์กลับเป็นค่าเริ่มต้น
แมปแอตทริบิวต์ต่างๆ ตามต้องการ
คุณจะแมปแอตทริบิวต์ผู้ใช้มาตรฐานและที่กำหนดเองจากไดเรกทอรีภายนอกกับไดเรกทอรีระบบคลาวด์ของ Google ได้ หากต้องการดูการแมปที่ใช้บ่อย โปรดไปที่หัวข้อการแมปแอตทริบิวต์ผู้ใช้ที่พบบ่อย (ด้านล่างในหน้านี้)
-
สำหรับป้อนแอตทริบิวต์ ให้ป้อนแอตทริบิวต์ผู้ใช้จากไดเรกทอรีภายนอก
หากแอตทริบิวต์ผู้ใช้ของไดเรกทอรีภายนอกนั้นซ้อนกันอยู่ ให้แยกแอตทริบิวต์และแอตทริบิวต์ย่อยด้วยเครื่องหมายจุด (เช่น employeeOrgData.division)
-
เลือกแอตทริบิวต์ผู้ใช้ของไดเรกทอรีระบบคลาวด์ของ Google จากรายการ
คุณสามารถแมปแอตทริบิวต์ของไดเรกทอรีภายนอกรายการเดียวกับแอตทริบิวต์ผู้ใช้ของไดเรกทอรีระบบคลาวด์ของ Google ได้หลายรายการ แต่จะแมปแอตทริบิวต์ของไดเรกทอรีระบบคลาวด์ของ Google รายการเดียวกับแอตทริบิวต์ของไดเรกทอรีภายนอกหลายรายการไม่ได้
- (ไม่บังคับ) หากต้องการแมปแอตทริบิวต์ผู้ใช้เพิ่มเติม ให้ทำขั้นตอนดังกล่าวซ้ำ
การแมปแอตทริบิวต์ผู้ใช้ที่พบบ่อย
ด้านล่างนี้คือการแมปแอตทริบิวต์ที่พบบ่อยบางส่วน ซึ่งคุณไม่จำเป็นต้องดำเนินการแมปตามนี้ คุณสามารถเปลี่ยนแอตทริบิวต์ในไดเรกทอรีภายนอกและแมปกับแอตทริบิวต์อื่นในไดเรกทอรีระบบคลาวด์ของ Google ได้
| แอตทริบิวต์ของไดเรกทอรีภายนอกใน Active Directory (AD) หรือ Azure AD | โดยปกติแล้วจะแมปกับแอตทริบิวต์ผู้ใช้ของ Google นี้... |
|---|---|
| givenName (AD และ Azure AD) | ชื่อ |
| sn (AD) surname (Azure AD) |
นามสกุล |
| mail (AD) userPrincipalName (Azure AD) |
อีเมลหลัก |
| company (AD) companyName (Azure AD) |
ชื่อบริษัท |
| assistant (AD) | อีเมลของ Assistant |
| department (AD และ Azure AD) | แผนก |
| physicalDeliveryOfficeName (AD) officeLocation (Azure AD) |
ตำแหน่งของสำนักงาน |
| title (AD) jobTitle (Azure AD) |
ตำแหน่งงาน |
| employeeID (AD) employeeId (Azure AD) |
รหัสพนักงาน |
| telephoneNumber (AD) | หมายเลขโทรศัพท์ที่ทำงาน |
| homePhone (AD) | หมายเลขโทรศัพท์บ้าน |
| facsimileTelephoneNumber (AD) faxNumber (Azure AD) |
หมายเลขโทรสาร |
| mobile (AD) mobilePhone (Azure AD) |
หมายเลขโทรศัพท์มือถือ |
| pager (AD) | โทรศัพท์มือถือของที่ทำงาน |
| telephoneAssistant (AD) | หมายเลข Assistant |
| streetAddress (AD และ Azure AD) | ที่อยู่ |
| postOfficeBox (AD) | ตู้ ป.ณ. |
| l (ตัวพิมพ์เล็ก L ใน AD) city (Azure AD) |
เมือง |
| st (AD) state (Azure AD) |
รัฐ/จังหวัด |
| postalCode (AD และ Azure AD) | รหัสไปรษณีย์ |
| co (AD) country (Azure AD) |
ประเทศ |
| preferredLanguage (Azure AD) | ภาษา |
| aboutMe (Azure AD) | เกี่ยวกับ |
| employeeOrgData.costCenter (Azure AD) | ศูนย์ต้นทุน |
| uidNumber (AD) | POSIX UID |
| primaryGroupID (AD) | POSIX GID |
| sAMAccountName (AD) | ชื่อผู้ใช้ POSIX |
| unixHomeDirectory (AD) | ไดเรกทอรีหน้าแรกของ POSIX |
หัวข้อที่เกี่ยวข้อง
ขั้นตอนที่ 4: เลือกวิธีที่ผู้ใช้จะเปิดใช้งานบัญชี
- เลือกตัวเลือกต่อไปนี้
-
ส่งอีเมลเปิดใช้งาน ผู้ใช้จะได้รับข้อความอีเมลเกี่ยวกับการเปิดใช้งานบัญชีใหม่และตั้งรหัสผ่าน
หากเลือกตัวเลือกนี้ ให้เลือกว่าจะส่งอีเมลไปยังอีเมลหลักหรืออีเมลสำหรับการกู้คืนของผู้ใช้ หากเลือกอีเมลสำหรับการกู้คืน โปรดตรวจสอบว่าได้เพิ่มการแมปสำหรับอีเมลดังกล่าวในขั้นตอนที่ 3: แมปแอตทริบิวต์ผู้ใช้ (ด้านบนของหน้านี้)
โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับสิ่งที่ผู้ใช้ต้องดำเนินการได้ที่หัวข้อสิ่งที่จะเกิดขึ้นเมื่อผู้ใช้ได้รับอีเมลเปิดใช้งาน (ด้านล่างในหน้านี้)
-
ไม่ส่งอีเมลเปิดใช้งาน - ผู้ใช้จะไม่ได้รับอีเมล
ใช้ตัวเลือกนี้หากต้องการสื่อสารกับผู้ใช้โดยตรงเกี่ยวกับบัญชีใหม่ หรือเมื่อคุณใช้ผู้ให้บริการข้อมูลประจำตัว (IdP) ของบุคคลที่สามในการตรวจสอบสิทธิ์ (หากใช้ IdP ผู้ใช้ก็ไม่จำเป็นต้องตั้งรหัสผ่าน Google)
-
- คลิกต่อไป
สิ่งที่จะเกิดขึ้นเมื่อผู้ใช้ได้รับอีเมลเปิดใช้งาน
หลังจากการซิงค์ ผู้ใช้จะได้รับข้อความอีเมลระบุรายละเอียดเกี่ยวกับการเปิดใช้งานบัญชี Google ที่มีการจัดการใหม่ และเมื่อพร้อมลงชื่อเข้าใช้บัญชีใหม่เป็นครั้งแรก ผู้ใช้ต้องทำตามขั้นตอนต่อไปนี้
- ในบัญชีอีเมลเดิม ให้เปิดข้อความอีเมลแล้วคลิกลงชื่อเข้าใช้
ถัดไป
- คลิกส่งเพื่อรับรหัสยืนยัน
- เปิดข้อความที่มีรหัสยืนยันในบัญชีเดิม แล้วคัดลอกรหัสนั้น
- ป้อนรหัสยืนยันในบัญชี Google ใหม่ แล้วคลิกถัดไป
- ยอมรับข้อกำหนดในการให้บริการ
- สร้างรหัสผ่านที่รัดกุม แล้วคลิกเปลี่ยนรหัสผ่าน
ขั้นตอนที่ 5: ระงับผู้ใช้ที่ไม่พบในไดเรกทอรีภายนอก (ไม่บังคับ)
หากผู้ใช้ถูกระงับหรือไม่ปรากฏในไดเรกทอรีภายนอก (เช่น กลุ่มของผู้ใช้ถูกลบในไดเรกทอรีภายนอก) คุณจะระงับผู้ใช้ได้ในไดเรกทอรีระบบคลาวด์ของ Google
หากต้องการระงับผู้ใช้ที่ไม่พบในไดเรกทอรีภายนอก ให้ทำดังนี้
-
เลือกช่องระงับผู้ใช้ใน Google
หากไม่ต้องการระงับผู้ใช้ ให้ยกเลิกการเลือกช่อง
- คลิกต่อไป
สำคัญ: Directory Sync จะซิงค์สถานะของผู้ใช้ หากคุณระงับบัญชีผู้ใช้ แต่บัญชีไดเรกทอรีภายนอกยังใช้งานอยู่ ระบบจะเปิดใช้งานบัญชีผู้ใช้หลังจากการซิงค์
ขั้นตอนที่ 6: ตั้งค่าการป้องกัน
กำหนดเงื่อนไขที่จะให้ระบบยกเลิกการซิงค์โดยอัตโนมัติ หากการซิงค์เกินขีดจำกัดการป้องกัน การซิงค์จะถูกยกเลิกโดยอัตโนมัติและจะไม่มีการระงับผู้ใช้ โดยการซิงค์เพิ่มเติมจะไม่ทำงานจนกว่าคุณจะเปิดใช้การซิงค์ด้วยตนเอง ดูข้อมูลเพิ่มเติมเกี่ยวกับการป้องกันได้ในหัวข้อวิธีกำหนดการป้องกัน (ในส่วนถัดไปของหน้านี้)
วิธีกำหนดการป้องกัน
- สำหรับการป้องกัน ให้เลือกกำหนดเปอร์เซ็นต์ของผู้ใช้หรือกำหนดจำนวนรวมของผู้ใช้ แล้วป้อนเปอร์เซ็นต์หรือตัวเลข
- คลิกจำลองการซิงค์
-
หากระบบทริกเกอร์การป้องกัน คุณจะได้รับการแจ้งเตือนพร้อมรายละเอียดเกี่ยวกับการซิงค์ที่ล้มเหลว คุณสามารถดูรายละเอียดเพิ่มเติมในบันทึกการตรวจสอบได้ด้วย
โปรดดูข้อมูลเพิ่มเติมที่หัวข้อใช้ศูนย์แจ้งเตือนและตรวจสอบเหตุการณ์ในบันทึกของ Directory Sync
วิธีกำหนดการป้องกัน
Directory Sync คำนวณจำนวนบัญชีผู้ใช้ในไดเรกทอรีภายนอกแล้วเปรียบเทียบกับจำนวนบัญชีที่อาจถูกระงับหลังจากการซิงค์ หากจำนวนมากกว่าเปอร์เซ็นต์หรือตัวเลขที่ระบุ ระบบจะยกเลิกการซิงค์โดยอัตโนมัติและจะไม่ดำเนินการใดๆ
ตัวอย่าง
คุณมีผู้ใช้ไดเรกทอรีภายนอก 100 คน ระหว่างการซิงค์ Directory Sync ได้เสนอให้ระงับบัญชีผู้ใช้ 12 รายการและเพิ่มบัญชีใหม่ 3 รายการ
ตัวอย่างที่ 1: คุณได้ตั้งค่าขีดจำกัดตัวเลขไว้ที่ 14 เป็นการป้องกัน เนื่องจากจำนวนบัญชีที่เสนอให้ระงับ (12) น้อยกว่าการป้องกัน (14) การซิงค์ไดเรกทอรีจึงต้องทำการเปลี่ยนแปลงที่เสนอต่อไป
ตัวอย่างที่ 2: คุณได้ตั้งค่าขีดจำกัดเปอร์เซ็นต์ไว้ที่ 10% เพื่อเป็นการป้องกัน การซิงค์ไดเรกทอรีจะเปรียบเทียบจำนวนผู้ใช้ที่ระบบเสนอให้ระงับ 12 คนกับขีดจำกัดเปอร์เซ็นต์ เนื่องจากเปอร์เซ็นต์ของผู้ที่ถูกเสนอให้ระงับ (12%) เกินขีดจำกัด 10% ดังนั้นการซิงค์ไดเรกทอรีจึงหยุดการซิงค์โดยไม่ได้ทำการเปลี่ยนแปลงใดๆ
จะเกิดอะไรขึ้นในลำดับต่อไป
Directory Sync จะจำลองการซิงค์ การประมวลผลข้อมูลอาจใช้เวลาถึง 1 ชั่วโมง ทั้งนี้ขึ้นอยู่กับขนาดของข้อมูล
ดูสถานะของการจำลอง
คุณสามารถกลับไปที่หน้ารายละเอียดไดเรกทอรีเพื่อดูสถานะของการจำลองได้ นอกจากนี้คุณยังตรวจสอบได้ว่าการจำลองเสร็จสมบูรณ์หรือไม่ในเหตุการณ์บันทึกของ Directory Sync โดยทำดังนี้
- เปิดเหตุการณ์บันทึกของ Directory Sync
โปรดดูรายละเอียดที่หัวข้อเข้าถึงข้อมูลเหตุการณ์ในบันทึกของ Directory Sync
- คลิกเพิ่มตัวกรอง
เหตุการณ์
- เลือกซิงค์เสร็จสมบูรณ์แล้ว และคลิกใช้
หากระบุว่าใช่ในคอลัมน์การจำลอง แสดงว่าการจำลองเสร็จสิ้นแล้ว คุณอาจต้องเพิ่มคอลัมน์การจำลองเพื่อดูผลลัพธ์
ตรวจสอบผลลัพธ์ของการจำลองการซิงค์
เมื่อการจำลองเสร็จสิ้นแล้ว ให้คลิกดูบันทึกการจำลองในหน้ารายละเอียดของไดเรกทอรี
หัวข้อที่เกี่ยวข้อง
แทนที่ชื่อโดเมนสำหรับผู้ใช้ที่ซิงค์
ขั้นตอนถัดไป
Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง