設定使用者同步程序

您現在可以開始設定要同步處理的使用者。在 Directory Sync 中輸入外部目錄中的群組名稱,即可同步處理使用者。群組中的個別使用者 (而非群組本身) 會同步至您的 Google 雲端目錄。

事前準備

確認您已新增並測試連至 Google 雲端目錄的外部目錄連線。詳情請參閱「新增、編輯或移除外部目錄」。

設定要同步處理的使用者

步驟 1:選取使用者

  1. 在 Google 管理控制台中,依序點選「選單」 「目錄」 「Directory Sync」

    必須具備管理 Directory Sync 設定權限

  2. 按一下外部目錄名稱。
  3. 按一下「設定使用者同步程序」

  4. 輸入外部目錄群組名稱,然後按下 Enter 鍵。Directory Sync 會將群組成員同步至 Google 雲端目錄。

    注意:群組必須在外部目錄中擁有相關聯的電子郵件地址。

  5. 輸入其他群組名稱。

  6. (僅限 Active Directory) 在「基準 DN」部分,輸入基準辨別名稱 (DN)。步驟 4 和步驟 5 中指定的群組應直接隸屬於基準 DN 之下。

    範例:ou=Sales, dc=example, dc=com。在這個範例中,目錄同步會搜尋「Sales」機構單位下方的群組。

  7. 按一下「驗證」,確認群組位於外部目錄中。
  8. 按一下「繼續」
  9. 如要將使用者對應到單一機構單位,請選取該機構單位 按一下「完成」
  10. (選用) 如要確保使用者在移入外部目錄後,依然保留在 Google 雲端目錄中的機構單位,請取消勾選「強制執行機構單位對應」方塊。
  11. 按一下「繼續」

步驟 2:將使用者加入機構單位

  1. 選擇下列其中一種做法:
    • 如要將使用者加入單一機構單位,請按一下「選取機構單位」,然後前往並選取該機構單位 按一下「完成」

    • 如要將使用者加入外部目錄屬性中定義的機構單位,請在「將使用者加入儲存為屬性的機構單位」部分中,在含有機構單位路徑的完整外部目錄中,輸入使用者屬性。

      如需建立路徑的步驟,請參閱本頁下方的「在外部目錄中將機構單位新增為屬性」。

  2. (選用) 如要確保使用者在移入外部目錄後,依然保留在 Google 雲端目錄中的機構單位,請取消勾選「強制執行機構單位對應」方塊。
  3. 按一下「繼續」

在外部目錄中新增機構單位做為屬性

  1. 在 Google 管理控制台中設定機構單位結構。詳情請參閱「新增機構單位」。
  2. 在外部目錄中使用標準或自訂屬性,為每位使用者定義所需的機構單位路徑。請使用下列格式:
    • 請勿加入頂層機構單位。
    • 並使用正斜線 (/) 分隔上層和子機構單位。

範例:如果您要將使用者 yuri@example.com 加入隸屬於金融業機構單位的銷售機構單位,請按照下列步驟操作:

  1. 在外部目錄中,針對 yuri@example.com 將「部門」屬性設為「財務/銷售」
  2. 設定目錄同步時,請按一下「將使用者加入屬性中儲存的機構單位」,然後新增「部門」屬性。

步驟 3:對應使用者屬性

設定必要屬性

確認或輸入外部目錄屬性,該屬性會對應至 Google 雲端目錄中的下列使用者屬性:

  • 名字
  • 姓氏
  • 主要電子郵件地址

變更屬性後,按一下「設定預設值」「繼續」,即可將屬性重設為預設值。

對應任何選填屬性

您可以將外部目錄中的標準和自訂使用者屬性,對應至 Google 雲端目錄。如要查看常用的對應屬性,請參閱本頁下方的「常見的使用者屬性對應」。

  1. 在「輸入屬性」部分中輸入外部目錄中的使用者屬性。

    如果外部目錄使用者屬性是巢狀屬性,請以半形句號分隔屬性和子屬性,例如 employeeOrgData.division

  2. 從清單中選取 Google 雲端目錄使用者屬性。

    您可以將單一外部目錄屬性對應至多個 Google 雲端目錄使用者屬性。不過,您無法將單一 Google 雲端目錄屬性對應至多個外部目錄屬性。

  3. (選用) 如要對應其他使用者屬性,請重複上述步驟。

常見的使用者屬性對應

以下是一些常見的屬性對應。您不必遵循這些對應關係,您可以變更外部目錄中的屬性,並對應至 Google 雲端目錄中的其他屬性。

Active Directory (AD) 或 Azure AD 中的外部目錄屬性 通常對應至這項屬性的 Google 使用者屬性...
givenName (AD 與 Azure AD) 名字
sn (AD)
surname (Azure AD)		 姓氏
mail (AD)
userPrincipalName (Azure AD)		 主要電子郵件地址
company (AD)
companyName (Azure AD)		 公司名稱
assistant (AD) 助理的電子郵件
department (AD 與 Azure AD)
physicalDeliveryOfficeName (AD)
officeLocation (Azure AD)		 辦公室位置
title (AD)
jobTitle (Azure AD)		 職稱
employeeID (AD)
employeeId (Azure AD)		 員工 ID
telephoneNumber (AD) 公司電話號碼
homePhone (AD) 住家電話號碼
facsimileTelephoneNumber (AD)
faxNumber (Azure AD)		 傳真號碼
mobile (AD)
mobilePhone (Azure AD)		 手機號碼
pager (AD) 公司手機
telephoneAssistant (AD) 助理的電話號碼
streetAddress (AD 與 Azure AD) 街道地址
postOfficeBox (AD) 郵政信箱
l (AD 中 L 為小寫)
city (Azure AD)		 城市
st (AD)
state (Azure AD)		 州/省
postalCode (AD 與 Azure AD) 郵遞區號
co (AD)
country (Azure AD)		 國家/地區
preferredLanguage (Azure AD) 語言
aboutMe (Azure AD) 關於
employeeOrgData.costCenter (Azure AD) 成本中心
uidNumber (AD) POSIX UID
primaryGroupID (AD) POSIX GID
sAMAccountName (AD) POSIX 使用者名稱
unixHomeDirectory (AD) POSIX 主目錄

步驟 4:選擇使用者啟用帳戶的方式

  1. 選擇下列其中一種做法:

    • 傳送啟用電子郵件:使用者會收到關於如何啟用新帳戶及設定密碼的電子郵件。

      如果選取這個選項,您可以選擇是否將郵件傳送至使用者的主要電子郵件地址或備援電子郵件地址 如果選取備援電子郵件地址,請務必在「步驟 3:對應使用者屬性」 (位於本頁上方) 中新增該地址的對應。

      如要進一步瞭解使用者需要採取哪些行動,請參閱「使用者收到啟用電子郵件會有什麼影響」一文。(請參閱本頁下方)。

    • 不要傳送啟用電子郵件:使用者不會收到電子郵件。

      如果您想直接將新帳戶告訴使用者,或者透過第三方識別資訊提供者 (IdP) 驗證,請使用這個選項 (如果您使用 IdP,使用者就不必設定 Google 密碼)。

  2. 按一下「繼續」

使用者收到啟用電子郵件會有什麼影響?

同步完成後,使用者會收到電子郵件,內含啟用新受管理 Google 帳戶的詳細資訊。使用者初次登入新帳戶時,必須完成下列步驟:

  1. 在原本的電子郵件帳戶中開啟電子郵件,然後按一下「登入」 「下一步」
  2. 按一下「傳送」以取得驗證碼。
  3. 在原本的帳戶中,開啟驗證碼郵件並複製驗證碼。
  4. 在新的 Google 帳戶中輸入驗證碼,然後點選「下一步」
  5. 接受《服務條款》。
  6. 設定高強度密碼,然後按一下「變更密碼」

步驟 5:將外部目錄中找不到的使用者停權 (選用)

如果使用者遭到停權或不在外部目錄中 (例如使用者的群組已從外部目錄中刪除),您可以在 Google 雲端目錄中將使用者停權。

如要將外部目錄中找不到的使用者停權,請按照下列步驟操作:

  1. 勾選「在 Google 中將使用者停權」方塊。

    如不想將使用者停權,請取消勾選該方塊。

  2. 按一下「繼續」

重要事項:Directory Sync 會同步使用者的狀態。如果您將使用者帳戶停權,但外部目錄帳戶仍處於有效狀態,則使用者帳戶會在同步處理後啟用。

步驟 6:設定安全措施

您可以設定條件,讓系統自動取消同步程序。一旦同步程序數量超過保護措施數量上限,系統會自動取消同步程序,且不會將任何使用者停權。除非您手動啟用同步功能,否則系統不會執行進一步的同步作業。如要進一步瞭解保護措施,請參閱本頁下一節的「系統如何決定保護措施」。

如要設定保護措施,請按照下列步驟操作:

  1. 在「保護措施」部分,選取「設定使用者百分比」或「設定使用者總人數」,然後輸入百分比或數字。
  2. 按一下「模擬同步程序」

  3. 如果觸發了保護措施,您會收到通知,其中說明同步處理作業失敗的細節。您也可以在稽核記錄中查看其他詳細資料。

    詳情請參閱「使用快訊中心」和「查看 Directory Sync 的記錄事件」。

系統如何決定保護措施

目錄同步會計算外部目錄中的使用者帳戶數量,並與可能在同步程序後遭到停權的帳戶數量進行比較。如果數量超過指定百分比或數字,系統就會自動取消同步程序,且不會採取任何動作。

範例

您有 100 位外部目錄使用者,在同步處理期間,Directory Sync 會要求將 12 個使用者帳戶停權,並新增 3 個新帳戶。

範例 1:您已將保護措施的數量上限設為 14。由於要停權的帳戶數量 (12) 少於保護措施數量 (14),因此目錄同步會按計畫繼續執行變更。

範例 2:您已將保護措施的百分比上限設為 10%。目錄同步會將建議停權的 12 個候選項目與百分比上限進行比較。由於要停權的候選項目百分比 (12%) 超過 10% 這個上限,因此目錄同步會停止同步,且不會套用任何變更。

接下來呢?

Directory Sync 會模擬同步程序,這項程序最多可能需要一小時才能完成,視資料大小而定。

查看模擬作業狀態

您可以返回目錄詳細資料頁面查看模擬作業狀態,也可以在 Directory Sync 記錄事件中查看模擬作業是否已完成:

  1. 開啟 Directory Sync 記錄事件。

    詳情請參閱「存取 Directory Sync 記錄事件資料」。

  2. 按一下「新增篩選器」 「事件」
  3. 選取「同步處理作業已完成」,然後按一下「套用」

    如果「模擬」一欄顯示「是」,表示模擬作業已完成。您可能需要新增「模擬」資料欄才能查看結果。

查看模擬同步程序的結果

模擬作業完成後,請在目錄詳細資料頁面上按一下「查看模擬作業記錄」

為已同步使用者更換網域名稱

下一步

設定群組同步程序


Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。