Synchronisieren von Sammlungsmitgliedern mit Microsoft Entra-Gruppen
Sie können die Synchronisierung von Sammlungsmitgliedschaften mit einer Microsoft Entra-Gruppe aktivieren. Mit dieser Synchronisierung können Sie Ihre vorhandenen lokalen Gruppierungsregeln in der Cloud verwenden, indem Sie Microsoft Entra-Gruppenmitgliedschaften basierend auf den Ergebnissen der Sammlungsmitgliedschaft erstellen. Sie können Geräte- oder Benutzersammlungen synchronisieren. Nur Ressourcen mit einem Microsoft Entra ID-Datensatz werden in der Microsoft Entra-Gruppe angezeigt. Sowohl in Microsoft Entra hybrid eingebundene als auch in Microsoft Entra eingebundene Geräte werden unterstützt. Die Synchronisierung von Sammlungsmitgliedschaften ist ein unidirektionales Verfahren von Configuration Manager mit Microsoft Entra ID. Im Idealfall sollte Configuration Manager die Autorität für die Verwaltung der Mitgliedschaft für die Microsoft Entra-Zielgruppen sein.
Synchronisierungen können entweder vollständig oder inkrementell sein und verhalten sich etwas anders:
Vollständige Synchronisierung: Tritt bei der ersten Synchronisierung nach der Aktivierung auf. Sie können eine vollständige Synchronisierung erzwingen, indem Sie die Sammlung auswählen und dann im Menüband Mitgliedschaft synchronisieren auswählen. Eine vollständige Synchronisierung überschreibt Mitglieder der Microsoft Entra-Gruppe.
Inkrementelle Synchronisierung: Tritt alle 5 Minuten auf. Änderungen, die an der Microsoft Entra-ID vorgenommen werden, werden nicht in Configuration Manager-Sammlungen wider, aber sie werden nicht von Configuration Manager überschrieben.
Beispiel für ein Synchronisierungsszenario:
- Erstellen Sie aus Microsoft Entra ID eine Gruppe namens
Group1
, und fügen Sie ,DeviceB
undDeviceC
hinzuDeviceA
.- Im Idealfall würden Objekte nicht aus Microsoft Entra ID hinzugefügt, da Configuration Manager die Gruppenmitgliedschaft verwalten sollte.
- Erstellen Sie in Configuration Manager eine Sammlung mit dem Namen
Collection1
, und fügen SieDeviceB
dann hinzuDeviceC
. -
Aktivieren Sie die Synchronisierung für mit
Collection1
Group1
. - Die erste Synchronisierung ist eine vollständige Synchronisierung,
Group1
enthält also jetztDeviceB
, undDeviceC
.DeviceA
wurde während der vollständigen Synchronisierung aus der Gruppe entfernt. - Entfernen Sie
DeviceC
aus ,Collection1
und warten Sie auf eine inkrementelle Synchronisierung. -
Group1
enthält jetzt nurDeviceB
. - Fügen Sie von Microsoft Entra ID zu
Group1
hinzuDeviceD
, und warten Sie auf eine inkrementelle Synchronisierung. -
Group1
enthältDeviceB
jetzt undDeviceD
. - Wählen Sie in Configuration Manager die Option
Collection1
aus, und wählen Sie im Menüband Mitgliedschaft synchronisieren aus, um eine vollständige Synchronisierung zu erzwingen. -
Group1
enthält jetzt nurDeviceB
Voraussetzungen für die Microsoft Entra-Synchronisierung
Integration mit Microsoft Entra ID für die Cloudverwaltung. Die Option ** Microsoft Entra-Authentifizierung für diesen Mandanten deaktivieren** unter Azure Service for Cloud Management in der Konsole darf nicht aktiviert werden, da dies die Clientregistrierung mithilfe der Entra-ID-Authentifizierung verhindert.
Ein HTTPS- oder erweiterter HTTP-fähiger Verwaltungspunkt
Zugriff auf die Sammlung "Alle Systeme"
Erstellen einer Gruppe und Festlegen des Besitzers in Microsoft Entra ID
Melden Sie sich beim Azure-Portal an.
Navigieren Sie zu Microsoft Entra ID>Groups>Alle Gruppen.
Wählen Sie Neue Gruppe aus, geben Sie einen Gruppennamen ein, und geben Sie optional eine Gruppenbeschreibung ein.
Stellen Sie sicher, dass der MitgliedschaftstypZugewiesen ist.
Wählen Sie Besitzer aus, und fügen Sie dann die Identität hinzu, die die Synchronisierungsbeziehung in Configuration Manager erstellt.
Tipp
Die Server-App (Dienstprinzipal) des Microsoft Entra-Mandanten ist der Besitzer der erstellten Microsoft Entra-Gruppe.
Wählen Sie Erstellen aus, um die Erstellung der Microsoft Entra-Gruppe abzuschließen.
Aktivieren der Sammlungssynchronisierung für den Azure-Dienst
Navigieren Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung . Erweitern Sie Clouddienste, und wählen Sie den Knoten Azure-Dienste aus.
Wählen Sie den Cloudverwaltungsdienst für den Microsoft Entra-Mandanten aus, in dem Sie die Gruppe erstellt haben. Wählen Sie dann im Menüband Eigenschaften aus.
Wechseln Sie zur Registerkarte Sammlungssynchronisierung , und wählen Sie die Option Azure Directory-Gruppensynchronisierung aktivieren aus.
Wählen Sie OK aus, um die Einstellung zu speichern.
Aktivieren der Synchronisierung der Sammlung
Navigieren Sie in der Configuration Manager-Konsole zum Arbeitsbereich Bestand und Kompatibilität , und wählen Sie entweder den Knoten Gerätesammlungen oder Benutzersammlungen aus.
Wählen Sie die zu synchronisierende Sammlung aus. Wählen Sie dann im Menüband Eigenschaften aus.
Wechseln Sie zur Registerkarte Cloudsynchronisierung , und wählen Sie Hinzufügen aus.
Ändern Sie bei Bedarf den Mandanten in den Speicherort, an dem Sie die Microsoft Entra-Gruppe erstellt haben.
Geben Sie ihre Suchkriterien in das Feld Name beginnt mit ein, und wählen Sie dann Suchen aus. Wenn Sie die Kriterien leer lassen, gibt die Suche alle Gruppen aus dem Mandanten zurück. Wenn Sie aufgefordert werden, sich anzumelden, verwenden Sie die Identität, die Sie als Besitzer für die Microsoft Entra-Gruppe angegeben haben.
Wählen Sie die Zielgruppe und dann OK aus, um die Gruppe hinzuzufügen. Wählen Sie erneut OK aus, um die Eigenschaften der Sammlung zu beenden.
Warten Sie etwa fünf bis sieben Minuten, bevor Sie die Gruppenmitgliedschaften im Azure-Portal überprüfen können. Um eine vollständige Synchronisierung zu starten, wählen Sie die Sammlung und dann im Menüband Mitgliedschaft synchronisieren aus.
PowerShell verwenden
Sie können PowerShell verwenden, um Sammlungen zu synchronisieren. Weitere Informationen finden Sie im folgenden Cmdlet-Artikel:
Überwachen des Synchronisierungsstatus der Sammlung
Navigieren Sie in der Configuration Manager-Konsole zum Arbeitsbereich Überwachung .
Wählen Sie Sammlungscloudsynchronisierung und dann entweder den Knoten Gerätesammlungen oder Benutzersammlungen aus.
Die Ansicht listet alle Sammlungen auf, die für die Cloudsynchronisierung aktiviert sind, und relevante Details.
Klicken Sie mit der rechten Maustaste auf die Spaltenüberschrift, und fügen Sie zusätzliche Spalten hinzu, um weitere Informationen anzuzeigen.
Wenn Sie auf jede Sammlung klicken, können Sie den Status des Sammlungselements auf der unteren Registerkarte anzeigen.
Die Mitglieder werden basierend auf dem Synchronisierungsstatus "Erfolg", "Fehler", "In Bearbeitung" kategorisiert.
Wenn Sie auf die Registerkarte Fehler klicken, können Sie den Grund für den Fehler für jedes Mitglied finden.
Standardspalten:
Sammlungs-ID – ID der Sammlung
Sammlungsname – Name der Sammlung
Microsoft Entra-Gruppen-ID – Konfigurierte Microsoft Entra-Gruppen-ID
Microsoft Entra-Gruppenname – Konfigurierter Microsoft Entra-Gruppenname
Cloudsynchronisierungsstatus
Erfolg: Wenn alle Mitglieder mit der Microsoft Entra-Zielgruppe synchronisiert werden
Teilerfolg: Wenn mindestens ein Mitglied mit der Microsoft Entra-Gruppe synchronisiert wird
Fehler: Wenn alle Mitglieder nicht mit der Microsoft Entra-Zielgruppe synchronisiert werden konnten
In Bearbeitung: Die Synchronisierung wird ausgeführt.
Memberanzahl – Anzahl der Sammlungsmitglieder
Synchronisierung abgeschlossen – Anzahl der erfolgreich synchronisierten Mitglieder
Sync InProgress – Anzahl der Mitglieder, die die Synchronisierung ausstehen
Fehler bei der Synchronisierung: Anzahl der Mitglieder, die nicht synchronisiert werden konnten
Optionale Spalten:
Clouddienst-ID: Azure-Dienst-ID, die für die Cloudsynchronisierung verwendet wird
Sammlungstyp – Sammlungstyp (Gerät oder Benutzer)
Anzahl der Mitglieder der letzten vollständigen Synchronisierung: Anzahl der Mitglieder, die während der letzten vollständigen Synchronisierung synchronisiert wurden
Status der letzten vollständigen Synchronisierung: Status des letzten vollständigen Synchronisierungszyklus
Letzte vollständige Synchronisierungszeit – Zeitpunkt des letzten vollständigen Synchronisierungszyklus
Anzahl der Mitglieder der letzten Synchronisierung: Anzahl der Mitglieder, die während der letzten Synchronisierung synchronisiert wurden
Status der letzten Synchronisierung: Status des letzten Synchronisierungszyklus
Zeitpunkt der letzten Synchronisierung – Zeitpunkt des letzten Synchronisierungszyklus
Überprüfen der Microsoft Entra-Gruppenmitgliedschaft
Gehen Sie zum Azure-Portal.
Navigieren Sie zu Microsoft Entra ID>Groups>Alle Gruppen.
Suchen Sie die gruppe, die Sie erstellt haben, und wählen Sie Mitglieder aus.
Vergewissern Sie sich, dass die Elemente die Ressourcen in der Configuration Manager-Sammlung widerspiegeln. Nur Ressourcen mit Microsoft Entra-Identität werden in der Gruppe angezeigt.