Thiết lập tính năng đồng bộ hoá người dùng

Bây giờ, bạn đã sẵn sàng thiết lập những người dùng mà bạn sẽ đồng bộ hoá. Trong tính năng Đồng bộ hoá thư mục, bạn nhập tên nhóm từ thư mục bên ngoài để đồng bộ hoá người dùng. Từng người dùng trong nhóm (chứ không phải nhóm) sẽ được đồng bộ hoá với thư mục trên đám mây của Google.

Trước khi bắt đầu

Đảm bảo rằng bạn đã thêm và kiểm thử kết nối thư mục bên ngoài với thư mục đám mây của Google. Để biết thông tin chi tiết, hãy xem bài viết Thêm, chỉnh sửa hoặc xoá thư mục bên ngoài.

Thiết lập người dùng để đồng bộ hoá

Bước 1: Chọn người dùng

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn Thư mục Directory Sync.

    Bạn phải có đặc quyền Quản lý chế độ cài đặt Directory Sync.

  2. Nhấp vào tên thư mục bên ngoài.
  3. Nhấp vào Thiết lập tính năng đồng bộ hoá người dùng.

  4. Nhập tên của nhóm thư mục bên ngoài rồi nhấn Enter. Công cụ Directory Sync đồng bộ hoá các thành viên nhóm với thư mục Google trên đám mây.

    Lưu ý: Các nhóm phải có địa chỉ email riêng được liên kết trong thư mục bên ngoài.

  5. Nhập tên của các nhóm khác.

  6. (Chỉ Active Directory) Đối với Tên phân biệt cơ sở, hãy nhập tên phân biệt cơ sở (DN). Các nhóm được chỉ định trong bước 4 và 5 phải nằm ngay bên dưới tên phân biệt cơ sở.

    Ví dụ: ou=Sales, dc=example, dc=com. Trong ví dụ này, Directory Sync sẽ tìm kiếm các nhóm trong đơn vị tổ chức Sales.

  7. Nhấp vào Xác minh để kiểm tra xem các nhóm có tồn tại trong thư mục bên ngoài của bạn hay không.
  8. Nhấp vào Tiếp tục.
  9. Nếu bạn muốn liên kết người dùng với một đơn vị tổ chức, hãy chọn đơn vị tổ chức đó Xong.
  10. (Không bắt buộc) Để đảm bảo người dùng vẫn thuộc đơn vị tổ chức trong thư mục Google Cloud nếu họ được chuyển sang thư mục bên ngoài, hãy bỏ đánh dấu hộp Thực thi việc liên kết đơn vị tổ chức.
  11. Nhấp vào Tiếp tục.

Bước 2: Đưa người dùng vào một đơn vị tổ chức

  1. Chọn một mục:
    • Nếu bạn muốn đặt người dùng vào một đơn vị tổ chức duy nhất, hãy nhấp vào Chọn đơn vị tổ chức, chuyển đến và chọn đơn vị tổ chức nhấp vào Xong.

    • Nếu bạn muốn đưa người dùng vào một đơn vị tổ chức được xác định trong một thuộc tính trong thư mục bên ngoài, thì đối với Đưa người dùng vào đơn vị tổ chức được lưu trữ dưới dạng một thuộc tính, hãy nhập thuộc tính người dùng trong thư mục bên ngoài chứa đường dẫn đầy đủ đến đơn vị tổ chức.

      Để biết các bước tạo đường dẫn, hãy xem phần Thêm một đơn vị tổ chức làm thuộc tính trong thư mục bên ngoài (ở bên dưới trên trang này).

  2. (Không bắt buộc) Để đảm bảo người dùng vẫn thuộc đơn vị tổ chức trong thư mục Google Cloud nếu họ được chuyển trong thư mục bên ngoài, hãy bỏ đánh dấu hộp Thực thi việc liên kết đơn vị tổ chức.
  3. Nhấp vào Tiếp tục.

Thêm một đơn vị tổ chức làm thuộc tính trong thư mục bên ngoài

  1. Thiết lập cấu trúc đơn vị tổ chức trong Bảng điều khiển dành cho quản trị viên của Google. Để biết thông tin chi tiết, hãy chuyển đến bài viết Thêm một đơn vị tổ chức.
  2. Trong thư mục bên ngoài, hãy xác định đường dẫn đơn vị tổ chức dự kiến cho từng người dùng bằng cách sử dụng một thuộc tính chuẩn hoặc tuỳ chỉnh. Hãy dùng định dạng sau:
    • Không bao gồm đơn vị tổ chức cấp cao nhất.
    • Phân tách đơn vị tổ chức mẹ và đơn vị tổ chức con bằng dấu gạch chéo (/).

Ví dụ: Nếu muốn thêm người dùng yuri@example.com vào đơn vị tổ chức Sales (Bán hàng) nằm trong đơn vị tổ chức Finance (Tài chính), bạn có thể làm theo các bước sau:

  1. Trong thư mục bên ngoài, đối với yuri@example.com, hãy đặt thuộc tính Phòng ban thành Tài chính/Bán hàng.
  2. Khi bạn thiết lập tính năng Đồng bộ hoá thư mục, hãy nhấp vào Đưa người dùng vào đơn vị tổ chức được lưu trữ dưới dạng một thuộc tính rồi thêm thuộc tính Bộ phận.

Bước 3: Liên kết các thuộc tính người dùng

Thiết lập các thuộc tính bắt buộc

Xác nhận hoặc nhập các thuộc tính thư mục bên ngoài liên kết với các thuộc tính người dùng sau đây trong thư mục Google Cloud:

  • Tên
  • Họ
  • Địa chỉ email chính

Nếu thay đổi các thuộc tính, bạn có thể nhấp vào Đặt làm mặc định Tiếp tục để đặt lại các thuộc tính về mặc định.

Liên kết mọi thuộc tính không bắt buộc

Bạn có thể liên kết các thuộc tính người dùng tiêu chuẩn và tuỳ chỉnh trong thư mục bên ngoài với thư mục Google Cloud. Để xem các mối liên kết thường dùng, hãy chuyển đến phần Các mối liên kết thuộc tính người dùng thường dùng (ở bên dưới trên trang này).

  1. Đối với Nhập một thuộc tính, hãy nhập thuộc tính người dùng trong thư mục bên ngoài.

    Nếu thuộc tính người dùng thư mục bên ngoài được lồng trong thuộc tính khác, hãy phân tách thuộc tính và thuộc tính phụ bằng dấu chấm (ví dụ: employeeOrgData.division).

  2. Chọn thuộc tính người dùng trong thư mục Google Cloud trong danh sách.

    Bạn có thể liên kết một thuộc tính thư mục bên ngoài với nhiều thuộc tính người dùng thư mục trên Google Cloud. Tuy nhiên, bạn không thể liên kết một thuộc tính duy nhất của Google Cloud Directory với nhiều thuộc tính thư mục bên ngoài.

  3. (Không bắt buộc) Để liên kết các thuộc tính người dùng khác, hãy lặp lại các bước trên.

Các mối liên kết thuộc tính người dùng thường gặp

Sau đây là một số cách liên kết thuộc tính phổ biến. Bạn không bắt buộc phải tuân theo các mối liên kết này. Bạn có thể thay đổi thuộc tính trong thư mục bên ngoài và liên kết với một thuộc tính khác trong thư mục đám mây của Google.

Thuộc tính của thư mục bên ngoài trong Active Directory (AD) hoặc Azure AD Thường liên kết với thuộc tính người dùng này của Google...
givenName (AD và Azure AD) Tên
sn (AD)
họ (Azure AD)		 Họ
mail (AD)
userPrincipalName (Azure AD)		 Email chính
công ty (AD)
companyName (Azure AD)		 Tên công ty
trợ lý (AD) Email của Trợ lý
department (AD và Azure AD) Khu hành chính
physicalDeliveryOfficeName (AD)
officeLocation (Azure AD)		 Địa điểm văn phòng
title (AD)
jobTitle (Azure AD)		 Chức danh
employeeID (AD)
employeeId (Azure AD)		 Mã nhân viên
telephoneNumber (AD) Số điện thoại cơ quan
homePhone (AD) Số điện thoại nhà riêng
facsimileTelephoneNumber (AD)
faxNumber (Azure AD)		 Số fax
mobile (AD)
mobilePhone (Azure AD)		 Số điện thoại di động
máy nhắn tin (AD) Số điện thoại di động công việc
telephoneAssistant (AD) Số điện thoại của Trợ lý
streetAddress (AD và Azure AD) Địa chỉ đường phố
postOfficeBox (AD) Hộp thư bưu điện
l (chữ L viết thường trong AD)
thành phố (Azure AD)		 Thành phố
st (AD)
state (Azure AD)		 Tiểu bang/Tỉnh
postalCode (AD và Azure AD) Mã zip/Mã bưu chính
co (AD)
quốc gia (Azure AD)		 Quốc gia
preferredLanguage (Azure AD) Ngôn ngữ
aboutMe (Azure AD) Giới thiệu
employeeOrgData.costCenter (Azure AD) Trung tâm chi phí
uidNumber (AD) POSIX UID
primaryGroupID (AD) POSIX GID
sAMAccountName (AD) Tên người dùng POSIX
unixHomeDirectory (AD) Thư mục gốc POSIX

Bước 4: Chọn cách người dùng kích hoạt tài khoản

  1. Chọn một mục:

    • Gửi email kích hoạt – Người dùng sẽ nhận được một email về việc kích hoạt tài khoản mới và đặt mật khẩu.

      Nếu bạn chọn lựa chọn này, hãy chọn gửi email đến địa chỉ email chính hoặc địa chỉ email khôi phục của người dùng. Nếu bạn chọn địa chỉ email khôi phục, hãy nhớ thêm một mối liên kết cho địa chỉ đó trong Bước 3: Liên kết thuộc tính người dùng (ở trên trang này).

      Để biết thêm thông tin về những việc người dùng cần làm, hãy xem bài viết Điều gì xảy ra khi người dùng nhận được email kích hoạt? (ở bên dưới trên trang này).

    • Không gửi email kích hoạt – Người dùng sẽ không nhận được email.

      Hãy sử dụng lựa chọn này nếu bạn muốn giao tiếp trực tiếp với người dùng về tài khoản mới hoặc nếu bạn sử dụng nhà cung cấp danh tính (IdP) bên thứ ba để xác thực. (Nếu bạn sử dụng một IdP, thì người dùng không cần đặt mật khẩu Google.)

  2. Nhấp vào Tiếp tục.

Điều gì xảy ra khi người dùng nhận được email kích hoạt?

Sau khi đồng bộ hoá, người dùng sẽ nhận được một thông báo qua email có thông tin chi tiết về cách kích hoạt Tài khoản Google được quản lý mới của họ. Khi đã sẵn sàng đăng nhập vào tài khoản mới lần đầu tiên, người dùng cần hoàn tất các bước sau:

  1. Trong tài khoản email ban đầu, hãy mở thư rồi nhấp vào Đăng nhập Tiếp theo.
  2. Nhấp vào Gửi để nhận mã xác minh.
  3. Trong tài khoản ban đầu, hãy mở tin nhắn chứa mã xác minh rồi sao chép mã đó.
  4. Trong Tài khoản Google mới của trẻ, hãy nhập mã xác minh rồi nhấp vào Tiếp theo.
  5. Chấp nhận Điều khoản dịch vụ.
  6. Tạo mật khẩu mạnh rồi nhấp vào Thay đổi mật khẩu.

Bước 5: Tạm ngưng những người dùng không có trong thư mục bên ngoài (Không bắt buộc)

Nếu người dùng bị tạm ngưng hoặc không tìm thấy trong thư mục bên ngoài (ví dụ: nhóm của người dùng bị xoá trong thư mục bên ngoài), bạn có thể tạm ngưng họ trong thư mục trên đám mây của Google.

Cách tạm ngưng người dùng không có trong thư mục bên ngoài:

  1. Đánh dấu vào hộp Tạm ngưng người dùng trên Google.

    Nếu bạn không muốn tạm ngưng người dùng, hãy bỏ đánh dấu hộp này.

  2. Nhấp vào Tiếp tục.

Quan trọng: Dịch vụ Directory Sync đồng bộ hoá trạng thái của người dùng. Nếu bạn tạm ngưng tài khoản của người dùng nhưng tài khoản trong thư mục bên ngoài vẫn hoạt động, thì tài khoản của người dùng sẽ được kích hoạt sau khi đồng bộ hoá.

Bước 6: Thiết lập các biện pháp bảo vệ

Đặt các điều kiện mà theo đó quá trình đồng bộ hoá sẽ tự động bị huỷ. Nếu quá trình đồng bộ hoá vượt quá giới hạn bảo vệ, thì quá trình đồng bộ hoá sẽ tự động bị huỷ và không có người dùng nào bị tạm ngưng. Không có quá trình đồng bộ hoá nào khác diễn ra cho đến khi bạn bật tính năng đồng bộ hoá theo cách thủ công. Để biết thêm thông tin về các biện pháp bảo vệ, hãy xem phần Cách xác định các biện pháp bảo vệ (trong phần tiếp theo trên trang này).

Cách thiết lập biện pháp bảo vệ:

  1. Đối với Các biện pháp bảo vệ, hãy chọn Đặt tỷ lệ phần trăm người dùng hoặc Đặt tổng số người dùng rồi nhập tỷ lệ phần trăm hoặc số lượng.
  2. Nhấp vào Simulate Sync (Mô phỏng đồng bộ hoá).

  3. Nếu một biện pháp bảo vệ được kích hoạt, bạn sẽ nhận được thông báo kèm theo thông tin chi tiết về lỗi đồng bộ hoá. Bạn cũng có thể xem thêm thông tin chi tiết trong nhật ký kiểm tra.

    Để biết thêm thông tin, hãy xem bài viết Sử dụng trung tâm cảnh báoKiểm tra các sự kiện trong nhật ký của Directory Sync.

Cách xác định biện pháp bảo vệ

Tính năng Đồng bộ hoá thư mục tính toán số lượng tài khoản người dùng có trong thư mục bên ngoài của bạn và so sánh số lượng đó với số lượng tài khoản có thể bị tạm ngưng sau khi đồng bộ hoá. Nếu số lượng lớn hơn tỷ lệ phần trăm hoặc số lượng đã chỉ định, thì quá trình đồng bộ hoá sẽ tự động bị huỷ và không có hành động nào được thực hiện.

Ví dụ

Bạn có 100 người dùng thư mục bên ngoài. Trong quá trình đồng bộ hoá, tính năng Đồng bộ hoá thư mục đề xuất tạm ngưng 12 tài khoản người dùng và thêm 3 tài khoản mới.

Ví dụ 1: Bạn đặt giới hạn số là 14 để đảm bảo an toàn. Vì số lượng tài khoản mà công cụ này đề xuất tạm ngưng (12) ít hơn ngưỡng bảo vệ (14), nên tính năng Đồng bộ hoá thư mục sẽ tiếp tục với các thay đổi được đề xuất.

Ví dụ 2: Bạn đặt giới hạn tỷ lệ phần trăm là 10% để đảm bảo an toàn. Tính năng Đồng bộ hoá thư mục sẽ so sánh 12 ứng cử viên bị đề xuất tạm ngưng với giới hạn phần trăm. Vì tỷ lệ người dùng đủ điều kiện bị tạm ngưng (12%) vượt quá giới hạn 10%, nên tính năng Đồng bộ hoá thư mục sẽ dừng đồng bộ hoá mà không áp dụng bất kỳ thay đổi nào.

Điều gì xảy ra tiếp theo?

Directory Sync mô phỏng quá trình đồng bộ hoá. Tuỳ thuộc vào kích thước dữ liệu, quá trình này có thể mất đến một giờ để hoàn tất.

Xem trạng thái của một hoạt động mô phỏng

Bạn có thể quay lại trang chi tiết về thư mục để xem trạng thái của quá trình mô phỏng. Bạn cũng có thể kiểm tra xem quá trình mô phỏng đã hoàn tất hay chưa trong nhật ký sự kiện Directory Sync:

  1. Mở các sự kiện trong nhật ký Directory Sync.

    Để biết thông tin chi tiết, hãy xem bài viết Truy cập vào dữ liệu sự kiện trong nhật ký của Directory Sync.

  2. Nhấp vào Thêm bộ lọc Sự kiện.
  3. Chọn Đồng bộ hoá xong rồi nhấp vào Áp dụng.

    Nếu xuất hiện trong cột Mô phỏng, tức là quá trình mô phỏng đã hoàn tất. Bạn có thể cần thêm cột Mô phỏng để xem kết quả.

Kiểm tra kết quả của một lần đồng bộ hoá mô phỏng

Sau khi quá trình mô phỏng hoàn tất, trên trang chi tiết về thư mục, hãy nhấp vào Xem nhật ký mô phỏng.

Thay thế tên miền cho người dùng được đồng bộ hoá

Bước tiếp theo

Thiết lập tính năng đồng bộ hoá nhóm


Google, Google Workspace cũng như các nhãn hiệu và biểu trưng có liên quan là các nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.