Partage via

Comment synchroniser des membres de collection avec des groupes Microsoft Entra

  • Article

Vous pouvez activer la synchronisation des appartenances aux regroupements avec un groupe Microsoft Entra. Cette synchronisation vous permet d’utiliser vos règles de regroupement locales existantes dans le cloud en créant des appartenances aux groupes Microsoft Entra basées sur les résultats de l’appartenance à la collection. Vous pouvez synchroniser des regroupements d’appareils ou d’utilisateurs. Seules les ressources avec un enregistrement d’ID Microsoft Entra sont reflétées dans le groupe Microsoft Entra. Les appareils joints hybrides Microsoft Entra et Microsoft Entra sont tous deux pris en charge. La synchronisation des appartenances aux regroupements est un processus unidirectionnel de Configuration Manager à l’ID Microsoft Entra. Dans l’idéal, Configuration Manager doit être l’autorité pour gérer l’appartenance des groupes Microsoft Entra cibles.

Les synchronisations peuvent être complètes ou incrémentielles et ont des comportements légèrement différents :

  • Synchronisation complète : se produit lors de la première synchronisation après son activation. Vous pouvez forcer une synchronisation complète en sélectionnant la collection, puis en choisissant Synchroniser l’appartenance dans le ruban. Une synchronisation complète remplace les membres du groupe Microsoft Entra.

  • Synchronisation incrémentielle : se produit toutes les 5 minutes. Les modifications apportées à l’ID Microsoft Entra ne sont pas répercutées dans les collections Configuration Manager, mais elles ne sont pas remplacées par Configuration Manager.

Exemple de scénario de synchronisation :

  1. À partir de l’ID Microsoft Entra, créez un groupe appelé Group1 et ajoutez DeviceA, DeviceBet DeviceC.
    • Dans l’idéal, les objets ne seraient pas ajoutés à partir de l’ID Microsoft Entra, car Configuration Manager doit gérer l’appartenance au groupe.
  2. À partir de Configuration Manager, créez une collection appelée Collection1 , puis ajoutez DeviceB, et DeviceC.
  3. Activez la synchronisation pour Collection1 sur Group1.
  4. La première synchronisation est une synchronisation complète, donc contient Group1DeviceBmaintenant , et DeviceC. DeviceA a été supprimé du groupe pendant la synchronisation complète.
  5. Supprimez DeviceC de Collection1 et attendez une synchronisation incrémentielle.
  6. Group1 contient désormais uniquement DeviceB.
  7. À partir de l’ID Microsoft Entra, ajoutez DeviceD à Group1 et attendez une synchronisation incrémentielle.
  8. Group1 contient DeviceB maintenant et DeviceD.
  9. Dans Configuration Manager, sélectionnez Collection1, puis choisissez Synchroniser l’appartenance dans le ruban pour forcer une synchronisation complète.
  10. Group1 contient désormais uniquement DeviceB

Prérequis pour la synchronisation Microsoft Entra

  • Intégration à l’ID Microsoft Entra pour la gestion cloud. L’option ** Désactiver l’authentification Microsoft Entra pour ce locataire** sous Service Azure pour la gestion cloud dans la console ne doit pas être cochée, car cela empêche l’inscription du client à l’aide de l’authentification d’ID Entra.

  • Découverte d’utilisateurs Microsoft Entra

  • Un point de gestion HTTPS ou HTTP amélioré

  • Accès à la collection Tous les systèmes

Créer un groupe et définir le propriétaire dans l’ID Microsoft Entra

  1. Connectez-vous au Portail Azure.

  2. Accédez àGroupes>d’ID> Microsoft EntraTous les groupes.

  3. Sélectionnez Nouveau groupe, entrez un nom de groupe, puis entrez éventuellement une description du groupe.

  4. Assurez-vous que le type d’appartenance est Affecté.

  5. Sélectionnez Propriétaires, puis ajoutez l’identité qui créera la relation de synchronisation dans Configuration Manager.

    Conseil

    L’application serveur (principe du service) du locataire Microsoft Entra sera le propriétaire du groupe Microsoft Entra créé.

  6. Sélectionnez Créer pour terminer la création du groupe Microsoft Entra.

Activer la synchronisation des regroupements pour le service Azure

  1. Dans la console Configuration Manager, accédez à l’espace de travail Administration . Développez Services cloud, puis sélectionnez le nœud Services Azure .

  2. Sélectionnez le service de gestion cloud pour le locataire Microsoft Entra dans lequel vous avez créé le groupe. Ensuite, dans le ruban, sélectionnez Propriétés.

  3. Basculez vers l’onglet Synchronisation de regroupements, puis sélectionnez l’option Activer Azure Directory Group Sync.

  4. Sélectionnez OK pour enregistrer le paramètre.

Activer la synchronisation de la collection

  1. Dans la console Configuration Manager, accédez à l’espace de travail Ressources et conformité , puis sélectionnez le nœud Regroupementsd’appareils ou Regroupements d’utilisateurs .

  2. Sélectionnez la collection à synchroniser. Ensuite, dans le ruban, sélectionnez Propriétés.

  3. Basculez vers l’onglet Synchronisation cloud , puis sélectionnez Ajouter.

  4. Si nécessaire, remplacez le locataire par l’emplacement où vous avez créé le groupe Microsoft Entra.

  5. Tapez vos critères de recherche dans le champ Nom commence par , puis sélectionnez Rechercher. Si vous laissez les critères vides, la recherche renvoie tous les groupes du locataire. S’il vous invite à vous connecter, utilisez l’identité que vous avez spécifiée en tant que propriétaire du groupe Microsoft Entra.

  6. Choisissez le groupe cible, puis sélectionnez OK pour ajouter le groupe. Sélectionnez à nouveau OK pour quitter les propriétés de la collection.

Attendez environ cinq à sept minutes avant de pouvoir vérifier les appartenances aux groupes dans le portail Azure. Pour démarrer une synchronisation complète, sélectionnez le regroupement, puis, dans le ruban, sélectionnez Synchroniser l’appartenance.

Capture d’écran de Synchroniser les collections avec l’ID Microsoft Entra.

Utiliser PowerShell

Vous pouvez utiliser PowerShell pour synchroniser les regroupements. Pour plus d’informations, consultez l’article suivant sur les applets de commande :

Set-CMCollectionCloudSync

Surveiller l’état de synchronisation des regroupements

  1. Dans la console Configuration Manager, accédez à l’espace de travail Surveillance

  2. Sélectionnez Regroupement Cloud Sync et sélectionnez le nœud Regroupementsd’appareils ou Regroupements d’utilisateurs .

  3. La vue répertorie tous les regroupements qui sont activés pour la synchronisation cloud et les détails pertinents.

  4. Cliquez avec le bouton droit sur l’en-tête de colonne et ajoutez des colonnes supplémentaires pour afficher plus d’informations.

  5. En cliquant sur chaque collection, vous pouvez afficher l’état des membres du regroupement dans l’onglet inférieur.

  6. Les membres sont classés en fonction de l’état de synchronisation : Réussite, Échec, En cours.

  7. En cliquant sur l’onglet Échec, vous pouvez trouver la raison de l’échec dans chaque membre.

Capture d’écran de l’état de la synchronisation cloud des collections.

Colonnes par défaut :

  • ID de collection : ID de la collection

  • Nom de la collection : nom de la collection

  • ID de groupe Microsoft Entra – ID de groupe Microsoft Entra configuré

  • Nom du groupe Microsoft Entra – Nom du groupe Microsoft Entra configuré

  • État de la synchronisation cloud

    Réussite : si tous les membres sont synchronisés avec le groupe Microsoft Entra cible

    Réussite partielle : si au moins un membre est synchronisé avec le groupe Microsoft Entra cible

    Échec : si tous les membres n’ont pas pu se synchroniser avec le groupe Microsoft Entra cible

    En cours : la synchronisation est en cours.

  • Nombre de membres : nombre de membres de la collection

  • Synchronisation terminée : nombre de membres correctement synchronisés

  • Sync InProgress : nombre de membres en attente de synchronisation

  • Échec de la synchronisation : nombre de membres qui n’ont pas pu être synchronisés

Colonnes facultatives :

  • ID de service cloud : ID de service Azure utilisé pour la synchronisation cloud

  • Type de collection : type de collection (appareil ou utilisateur)

  • Nombre de membres de la dernière synchronisation complète : nombre de membres synchronisés lors de la dernière synchronisation complète

  • État de la dernière synchronisation complète : état du dernier cycle de synchronisation complet

  • Heure de la dernière synchronisation complète : heure du dernier cycle de synchronisation complet

  • Nombre de membres de la dernière synchronisation : nombre de membres synchronisés lors de la dernière synchronisation

  • État de la dernière synchronisation : état du dernier cycle de synchronisation

  • Heure de la dernière synchronisation : heure du dernier cycle de synchronisation

Vérifier l’appartenance au groupe Microsoft Entra

  1. Accédez au Portail Azure.

  2. Accédez àGroupes>d’ID> Microsoft EntraTous les groupes.

  3. Recherchez le groupe que vous avez créé et sélectionnez Membres.

  4. Vérifiez que les membres reflètent les ressources de la collection Configuration Manager. Seules les ressources avec l’identité Microsoft Entra s’affichent dans le groupe.