Compartir vía


Cómo sincronizar los miembros de la colección con grupos de Microsoft Entra

Puede habilitar la sincronización de pertenencias a colecciones a un grupo de Microsoft Entra. Esta sincronización le permite usar las reglas de agrupación locales existentes en la nube mediante la creación de pertenencias a grupos de Microsoft Entra en función de los resultados de la pertenencia a la colección. Puede sincronizar colecciones de dispositivos o usuarios. Solo los recursos con un registro de id. de Microsoft Entra se reflejan en el grupo Microsoft Entra. Se admiten dispositivos híbridos unidos a Microsoft Entra y unidos a Microsoft Entra. La sincronización de pertenencias a colecciones es un proceso unidireccional de Configuration Manager a Microsoft Entra ID. Lo ideal es que Configuration Manager sea la autoridad para administrar la pertenencia a los grupos de Microsoft Entra de destino.

Las sincronizaciones pueden ser completas o incrementales y tienen comportamientos ligeramente diferentes:

  • Sincronización completa: se produce en la primera sincronización después de habilitarla. Para forzar una sincronización completa, seleccione la colección y, a continuación, elija Sincronizar pertenencia en la cinta de opciones. Una sincronización completa sobrescribirá los miembros del grupo Microsoft Entra.

  • Sincronización incremental: se produce cada 5 minutos. Los cambios realizados en Microsoft Entra ID no se reflejan en las colecciones de Configuration Manager, pero Configuration Manager no los sobrescribe.

Escenario de sincronización de ejemplo:

  1. Desde Microsoft Entra ID, cree un grupo denominado Group1 y agregue DeviceA, DeviceBy DeviceC.
    • Idealmente, los objetos no se agregarían desde el identificador de Microsoft Entra, ya que Configuration Manager debe administrar la pertenencia al grupo.
  2. En Configuration Manager, cree una colección denominada Collection1 y agregue DeviceBy DeviceC.
  3. Habilite la sincronización para Collection1 en Group1.
  4. La primera sincronización es una sincronización completa, Group1 por lo que ahora contiene DeviceB, y DeviceC. DeviceA se quitó del grupo durante la sincronización completa.
  5. Quite DeviceC de Collection1 y espere una sincronización incremental.
  6. Group1 ahora solo DeviceBcontiene .
  7. En Microsoft Entra ID, agregue DeviceD a y espere a Group1 una sincronización incremental.
  8. Group1 ahora contiene DeviceB y DeviceD.
  9. En Configuration Manager, seleccione Collection1y elija Sincronizar pertenencia en la cinta de opciones para forzar una sincronización completa.
  10. Group1 ahora solo contiene DeviceB

Requisitos previos para la sincronización de Microsoft Entra

  • Integración con Microsoft Entra ID para la administración en la nube. La opción para ** Deshabilitar la autenticación de Microsoft Entra para este inquilino** en Azure Service for Cloud Management en la consola no debe comprobarse, ya que esto impide el registro de cliente mediante la autenticación de id. de entra.

  • Detección de usuarios de Microsoft Entra

  • Un punto de administración habilitado para HTTPS o HTTP mejorado

  • Acceso a la colección Todos los sistemas

Creación de un grupo y establecimiento del propietario en el identificador de Microsoft Entra

  1. Inicie sesión en el portal de Azure.

  2. Vaya aGrupos> de identificadores> de entrada de MicrosoftTodos los grupos.

  3. Seleccione Nuevo grupo, escriba un nombre de grupo y, opcionalmente, escriba una descripción de grupo.

  4. Asegúrese de que el tipo de pertenencia es Asignado.

  5. Seleccione Propietarios y agregue la identidad que creará la relación de sincronización en Configuration Manager.

    Sugerencia

    La aplicación de servidor (principio de servicio) del inquilino de Microsoft Entra será el propietario del grupo Microsoft Entra creado.

  6. Seleccione Crear para terminar de crear el grupo Microsoft Entra.

Habilitación de la sincronización de recopilación para el servicio de Azure

  1. En la consola de Configuration Manager, vaya al área de trabajo Administración . Expanda Cloud Services y seleccione el nodo Servicios de Azure .

  2. Seleccione el servicio de administración en la nube para el inquilino de Microsoft Entra donde creó el grupo. A continuación, en la cinta de opciones, seleccione Propiedades.

  3. Cambie a la pestaña Sincronización de recopilación y seleccione la opción Habilitar sincronización de grupo de Azure Directory.

  4. Seleccione Aceptar para guardar la configuración.

Habilitación de la sincronización de la colección

  1. En la consola de Configuration Manager, vaya al área de trabajo Activos y compatibilidad y seleccione el nodo Recopilaciones de dispositivos o Recopilaciones de usuarios.

  2. Seleccione la colección que se va a sincronizar. A continuación, en la cinta de opciones, seleccione Propiedades.

  3. Cambie a la pestaña Cloud Sync y seleccione Agregar.

  4. Si es necesario, cambie el inquilino al lugar donde creó el grupo Microsoft Entra.

  5. Escriba los criterios de búsqueda en el campo Nombre empieza por y, a continuación, seleccione Buscar. Si deja los criterios en blanco, la búsqueda devuelve todos los grupos del inquilino. Si le pide que inicie sesión, use la identidad que especificó como propietario del grupo Microsoft Entra.

  6. Elija el grupo de destino y, a continuación, seleccione Aceptar para agregar el grupo. Seleccione Aceptar de nuevo para salir de las propiedades de la colección.

Espere entre cinco y siete minutos antes de poder comprobar las pertenencias a grupos en Azure Portal. Para iniciar una sincronización completa, seleccione la colección y, a continuación, en la cinta de opciones, seleccione Sincronizar pertenencia.

Captura de pantalla de Synchronize collections to Microsoft Entra ID (Sincronizar colecciones con el identificador de Microsoft Entra).

Usar PowerShell

Puede usar PowerShell para sincronizar colecciones. Para obtener más información, consulte el siguiente artículo sobre cmdlets:

Set-CMCollectionCloudSync

Supervisión del estado de sincronización de recopilación

  1. En la consola de Configuration Manager, vaya al área de trabajo Supervisión .

  2. seleccione Sincronización en la nube de recopilación y seleccione el nodo Recopilaciones de dispositivos o Recopilaciones de usuarios.

  3. En la vista se enumeran todas las colecciones habilitadas para la sincronización en la nube y los detalles pertinentes.

  4. Haga clic con el botón derecho en el encabezado de columna y agregue columnas adicionales para ver más información.

  5. Al hacer clic en cada colección, puede ver el estado del miembro de la colección en la pestaña inferior.

  6. Los miembros se clasifican en función del estado de sincronización: Correcto, Erróneo, En curso.

  7. Al hacer clic en la pestaña Error, puede encontrar el motivo del error en cada miembro.

Captura de pantalla del estado de sincronización en la nube de colecciones.

Columnas predeterminadas:

  • Id. de colección: id. de colección

  • Nombre de la colección: nombre de la colección

  • Id. de grupo de Microsoft Entra: id. de grupo de Microsoft Entra configurado

  • Nombre del grupo de Microsoft Entra: nombre de grupo de Microsoft Entra configurado

  • Estado de sincronización en la nube

    Correcto: si todos los miembros están sincronizados para tener como destino el grupo Microsoft Entra

    Éxito parcial: si al menos un miembro está sincronizado para dirigirse al grupo Microsoft Entra

    Error: si todos los miembros no se sincronizaron para dirigirse al grupo Microsoft Entra

    En curso: la sincronización está en curso.

  • Recuento de miembros: recuento de miembros de la colección

  • Sincronización completada: recuento de miembros sincronizados correctamente

  • Sincronización de InProgress: recuento de miembros pendientes de sincronización

  • Error de sincronización: el recuento de miembros no se pudo sincronizar

Columnas opcionales:

  • Id. de servicio en la nube: identificador de servicio de Azure que se usa para Cloud Sync

  • Tipo de colección: tipo de colección (dispositivo o usuario)

  • Último recuento de miembros de sincronización completa: recuento de miembros sincronizados durante la última sincronización completa

  • Último estado de sincronización completa: estado del último ciclo de sincronización completo

  • Última hora de sincronización completa: hora del último ciclo de sincronización completo

  • Recuento de miembros de última sincronización: recuento de miembros sincronizados durante la última sincronización

  • Último estado de sincronización: estado del último ciclo de sincronización

  • Hora de la última sincronización: hora del último ciclo de sincronización

Comprobación de la pertenencia al grupo Microsoft Entra

  1. Vaya a Azure Portal.

  2. Vaya aGrupos> de identificadores> de entrada de MicrosoftTodos los grupos.

  3. Busque el grupo que creó y seleccione Miembros.

  4. Confirme que los miembros reflejan los recursos de la colección de Configuration Manager. Solo se muestran en el grupo los recursos con la identidad de Microsoft Entra.