Cómo sincronizar miembros de recopilación con grupos de Microsoft Entra

  • Artículo

Puede habilitar la sincronización de pertenencias de recopilación a un grupo de Microsoft Entra. Esta sincronización permite usar las reglas de agrupación locales existentes en la nube mediante la creación de Microsoft Entra pertenencias a grupos en función de los resultados de la pertenencia a la colección. Puede sincronizar colecciones de dispositivos o usuarios. Solo los recursos con un registro de identificador de Microsoft Entra se reflejan en el grupo de Microsoft Entra. Se admiten dispositivos unidos Microsoft Entra híbridos y unidos a Microsoft Entra. La sincronización de pertenencias a colecciones es un proceso unidireccional de Configuration Manager a Microsoft Entra identificador. Idealmente, Configuration Manager debe ser la autoridad para administrar la pertenencia a los grupos de Microsoft Entra de destino.

Las sincronizaciones pueden ser completas o incrementales y tienen comportamientos ligeramente diferentes:

  • Sincronización completa: se produce en la primera sincronización después de habilitarla. Para forzar una sincronización completa, seleccione la colección y, a continuación, elija Sincronizar pertenencia en la cinta de opciones. Una sincronización completa sobrescribirá los miembros del grupo de Microsoft Entra.

  • Sincronización incremental: se produce cada 5 minutos. Los cambios realizados en Microsoft Entra id. no se reflejan en las colecciones de Configuration Manager, pero Configuration Manager no los sobrescriben.

Escenario de sincronización de ejemplo:

  1. Desde Microsoft Entra identificador, cree un grupo denominado Group1 y agregue DeviceA, DeviceBy DeviceC.
    • Idealmente, los objetos no se agregarían desde Microsoft Entra identificador, ya que Configuration Manager debería administrar la pertenencia a grupos.
  2. A partir de Configuration Manager, cree una colección denominada Collection1 y agregue DeviceBy DeviceC.
  3. Habilite la sincronización para Collection1 en Group1.
  4. La primera sincronización es una sincronización completa, Group1 por lo que ahora contiene DeviceB, y DeviceC. DeviceA se quitó del grupo durante la sincronización completa.
  5. Quite DeviceC de Collection1 y espere una sincronización incremental.
  6. Group1 ahora solo DeviceBcontiene .
  7. En Microsoft Entra identificador, agregue DeviceD a y espere a Group1 una sincronización incremental.
  8. Group1 ahora contiene DeviceB y DeviceD.
  9. En Configuration Manager, seleccione Collection1y elija Sincronizar pertenencia en la cinta de opciones para forzar una sincronización completa.
  10. Group1 ahora solo contiene DeviceB

Requisitos previos para la sincronización de Microsoft Entra

Crear un grupo y establecer el propietario en Microsoft Entra id.

  1. Inicie sesión en el portal de Azure.

  2. Vaya a Microsoft Entragrupos> de identificadores>Todos los grupos.

  3. Seleccione Nuevo grupo, escriba un nombre de grupo y, opcionalmente, escriba una descripción de grupo.

  4. Asegúrese de que el tipo de pertenencia es Asignado.

  5. Seleccione Propietarios y agregue la identidad que creará la relación de sincronización en Configuration Manager.

    Sugerencia

    La aplicación de servidor (principio de servicio) de Microsoft Entra inquilino será el propietario del grupo de Microsoft Entra creado.

  6. Seleccione Crear para terminar de crear el grupo de Microsoft Entra.

Habilitación de la sincronización de recopilación para el servicio de Azure

  1. En la consola de Configuration Manager, vaya al área de trabajo Administración. Expanda Cloud Services y seleccione el nodo Servicios de Azure.

  2. Seleccione el servicio de administración en la nube para el inquilino de Microsoft Entra donde creó el grupo. A continuación, en la cinta de opciones, seleccione Propiedades.

  3. Cambie a la pestaña Sincronización de recopilación y seleccione la opción Habilitar sincronización de grupo de Azure Directory.

  4. Seleccione Aceptar para guardar la configuración.

Habilitación de la sincronización de la colección

  1. En la consola de Configuration Manager, vaya al área de trabajo Activos y compatibilidad y seleccione el nodo Recopilaciones de dispositivos o Recopilaciones de usuarios.

  2. Seleccione la colección que se va a sincronizar. A continuación, en la cinta de opciones, seleccione Propiedades.

  3. Cambie a la pestaña Cloud Sync y seleccione Agregar.

  4. Si es necesario, cambie el inquilino al lugar donde creó el grupo de Microsoft Entra.

  5. Escriba los criterios de búsqueda en el campo Nombre empieza por y, a continuación, seleccione Buscar. Si deja los criterios en blanco, la búsqueda devuelve todos los grupos del inquilino. Si le pide que inicie sesión, use la identidad que especificó como propietario del grupo de Microsoft Entra.

  6. Elija el grupo de destino y, a continuación, seleccione Aceptar para agregar el grupo. Seleccione Aceptar de nuevo para salir de las propiedades de la colección.

Espere entre cinco y siete minutos antes de poder comprobar las pertenencias a grupos en el Azure Portal. Para iniciar una sincronización completa, seleccione la colección y, a continuación, en la cinta de opciones, seleccione Sincronizar pertenencia.

Captura de pantalla de Sincronizar colecciones con Microsoft Entra identificador.

Usar PowerShell

Puede usar PowerShell para sincronizar colecciones. Para obtener más información, consulte el siguiente artículo sobre cmdlets:

Set-CMCollectionCloudSync

Supervisión del estado de sincronización de recopilación

  1. En la consola de Configuration Manager, vaya al área de trabajo Supervisión.

  2. seleccione Sincronización en la nube de recopilación y seleccione el nodo Recopilaciones de dispositivos o Recopilaciones de usuarios.

  3. En la vista se enumeran todas las colecciones habilitadas para la sincronización en la nube y los detalles pertinentes.

  4. Haga clic con el botón derecho en el encabezado de columna y agregue columnas adicionales para ver más información.

  5. Al hacer clic en cada colección, puede ver el estado del miembro de la colección en la pestaña inferior.

  6. Los miembros se clasifican en función del estado de sincronización: Correcto, Erróneo, En curso.

  7. Al hacer clic en la pestaña Error, puede encontrar el motivo del error en cada miembro.

Captura de pantalla del estado de sincronización en la nube de colecciones.

Columnas predeterminadas:

  • Id. de colección: id. de colección

  • Nombre de la colección: nombre de la colección

  • Id. de grupo de Microsoft Entra: id. de grupo Microsoft Entra configurado

  • Microsoft Entra nombre del grupo: nombre del grupo Microsoft Entra configurado

  • Estado de sincronización en la nube

    Correcto: si todos los miembros están sincronizados con Microsoft Entra grupo de destino

    Éxito parcial: si al menos un miembro está sincronizado con el destino Microsoft Entra grupo

    Error: si todos los miembros no se pudieron sincronizar con el grupo de Microsoft Entra de destino

    En curso: la sincronización está en curso.

  • Recuento de miembros: recuento de miembros de la colección

  • Sincronización completada: recuento de miembros sincronizados correctamente

  • Sincronización de InProgress: recuento de miembros pendientes de sincronización

  • Error de sincronización: el recuento de miembros no se pudo sincronizar

Columnas opcionales:

  • Id. de servicio en la nube: identificador de servicio de Azure que se usa para Cloud Sync

  • Tipo de colección: tipo de colección (dispositivo o usuario)

  • Último recuento de miembros de sincronización completa: recuento de miembros sincronizados durante la última sincronización completa

  • Último estado de sincronización completa: estado del último ciclo de sincronización completo

  • Última hora de sincronización completa: hora del último ciclo de sincronización completo

  • Recuento de miembros de última sincronización: recuento de miembros sincronizados durante la última sincronización

  • Último estado de sincronización: estado del último ciclo de sincronización

  • Hora de la última sincronización: hora del último ciclo de sincronización

Comprobación de la pertenencia a grupos Microsoft Entra

  1. Vaya a Azure Portal.

  2. Vaya a Microsoft Entragrupos> de identificadores>Todos los grupos.

  3. Busque el grupo que creó y seleccione Miembros.

  4. Confirme que los miembros reflejan los recursos de la colección Configuration Manager. Solo los recursos con Microsoft Entra identidad se muestran en el grupo.