Comment synchroniser les membres d’une collection avec des groupes Microsoft Entra

  • Article

Vous pouvez activer la synchronisation des appartenances aux regroupements avec un groupe Microsoft Entra. Cette synchronisation vous permet d’utiliser vos règles de regroupement locales existantes dans le cloud en créant Microsoft Entra appartenances aux groupes en fonction des résultats de l’appartenance à la collection. Vous pouvez synchroniser des regroupements d’appareils ou d’utilisateurs. Seules les ressources avec un enregistrement d’ID Microsoft Entra sont reflétées dans le groupe Microsoft Entra. Les appareils joints Microsoft Entra hybrides et Microsoft Entra joints sont pris en charge. La synchronisation des appartenances aux regroupements est un processus unidirectionnel de Configuration Manager à Microsoft Entra ID. Dans l’idéal, Configuration Manager doit être l’autorité de gestion de l’appartenance des groupes Microsoft Entra cibles.

Les synchronisations peuvent être complètes ou incrémentielles et ont des comportements légèrement différents :

  • Synchronisation complète : se produit lors de la première synchronisation après son activation. Vous pouvez forcer une synchronisation complète en sélectionnant la collection, puis en choisissant Synchroniser l’appartenance dans le ruban. Une synchronisation complète remplace les membres du groupe Microsoft Entra.

  • Synchronisation incrémentielle : se produit toutes les 5 minutes. Les modifications apportées à Microsoft Entra’ID ne sont pas répercutées dans Configuration Manager collections, mais elles ne sont pas remplacées par Configuration Manager.

Exemple de scénario de synchronisation :

  1. À partir de Microsoft Entra ID, créez un groupe appelé Group1 et ajoutez DeviceA, DeviceBet DeviceC.
    • Dans l’idéal, les objets ne seraient pas ajoutés à partir de Microsoft Entra’ID, car Configuration Manager devez gérer l’appartenance au groupe.
  2. À partir Configuration Manager, créez une collection appeléeCollection1, puis ajoutez DeviceB, et DeviceC.
  3. Activez la synchronisation pour Collection1 sur Group1.
  4. La première synchronisation est une synchronisation complète, donc contient Group1DeviceBmaintenant , et DeviceC. DeviceA a été supprimé du groupe pendant la synchronisation complète.
  5. Supprimez DeviceC de Collection1 et attendez une synchronisation incrémentielle.
  6. Group1 contient désormais uniquement DeviceB.
  7. À partir de Microsoft Entra’ID, ajoutez DeviceD à Group1 et attendez une synchronisation incrémentielle.
  8. Group1 contient DeviceB maintenant et DeviceD.
  9. Dans Configuration Manager, sélectionnez Collection1, puis choisissez Synchroniser l’appartenance dans le ruban pour forcer une synchronisation complète.
  10. Group1 contient désormais uniquement DeviceB

Prérequis pour la synchronisation Microsoft Entra

Créer un groupe et définir le propriétaire dans Microsoft Entra’ID

  1. Connectez-vous au Portail Azure.

  2. Accédezà Microsoft Entra GROUPES >D’ID>Tous les groupes.

  3. Sélectionnez Nouveau groupe, entrez un nom de groupe, puis entrez éventuellement une description du groupe.

  4. Assurez-vous que le type d’appartenance est Affecté.

  5. Sélectionnez Propriétaires, puis ajoutez l’identité qui créera la relation de synchronisation dans Configuration Manager.

    Conseil

    L’application serveur (principe de service) de Microsoft Entra locataire sera le propriétaire du groupe Microsoft Entra créé.

  6. Sélectionnez Créer pour terminer la création du groupe Microsoft Entra.

Activer la synchronisation des regroupements pour le service Azure

  1. Dans la console Configuration Manager, accédez à l’espace de travail Administration. Développez Services cloud, puis sélectionnez le nœud Services Azure.

  2. Sélectionnez le service de gestion cloud pour le locataire Microsoft Entra où vous avez créé le groupe. Ensuite, dans le ruban, sélectionnez Propriétés.

  3. Basculez vers l’onglet Synchronisation de regroupements, puis sélectionnez l’option Activer Azure Directory Group Sync.

  4. Sélectionnez OK pour enregistrer le paramètre.

Activer la synchronisation de la collection

  1. Dans la console Configuration Manager, accédez à l’espace de travail Ressources et conformité, puis sélectionnez le nœud Regroupementsd’appareils ou Regroupements d’utilisateurs.

  2. Sélectionnez la collection à synchroniser. Ensuite, dans le ruban, sélectionnez Propriétés.

  3. Basculez vers l’onglet Synchronisation cloud , puis sélectionnez Ajouter.

  4. Si nécessaire, remplacez le locataire par où vous avez créé le groupe Microsoft Entra.

  5. Tapez vos critères de recherche dans le champ Nom commence par , puis sélectionnez Rechercher. Si vous laissez les critères vides, la recherche renvoie tous les groupes du locataire. S’il vous invite à vous connecter, utilisez l’identité que vous avez spécifiée en tant que propriétaire du groupe Microsoft Entra.

  6. Choisissez le groupe cible, puis sélectionnez OK pour ajouter le groupe. Sélectionnez à nouveau OK pour quitter les propriétés de la collection.

Attendez environ cinq à sept minutes avant de pouvoir vérifier les appartenances aux groupes dans le Portail Azure. Pour démarrer une synchronisation complète, sélectionnez le regroupement, puis, dans le ruban, sélectionnez Synchroniser l’appartenance.

Capture d’écran de Synchroniser les collections avec l’ID Microsoft Entra.

Utiliser PowerShell

Vous pouvez utiliser PowerShell pour synchroniser les regroupements. Pour plus d’informations, consultez l’article suivant sur les applets de commande :

Set-CMCollectionCloudSync

Surveiller le status de synchronisation de regroupement

  1. Dans la console Configuration Manager, accédez à l’espace de travail Surveillance

  2. Sélectionnez Regroupement Cloud Sync et sélectionnez le nœud Regroupementsd’appareils ou Regroupements d’utilisateurs .

  3. La vue répertorie tous les regroupements qui sont activés pour la synchronisation cloud et les détails pertinents.

  4. Cliquez avec le bouton droit sur l’en-tête de colonne et ajoutez des colonnes supplémentaires pour afficher plus d’informations.

  5. En cliquant sur chaque collection, vous pouvez afficher les status membres du regroupement dans l’onglet inférieur.

  6. Les membres sont classés en fonction de la synchronisation status - Réussite, Échec, En cours.

  7. En cliquant sur l’onglet Échec, vous pouvez trouver la raison de l’échec dans chaque membre.

Capture d’écran de l’état de la synchronisation cloud des collections.

Colonnes par défaut :

  • ID de collection : ID de la collection

  • Nom de la collection : nom de la collection

  • ID de groupe Microsoft Entra : ID de groupe Microsoft Entra configuré

  • Nom du groupe Microsoft Entra : nom du groupe Microsoft Entra configuré

  • État de la synchronisation cloud

    Réussite : si tous les membres sont synchronisés avec Microsoft Entra groupe cible

    Réussite partielle : si au moins un membre est synchronisé avec Microsoft Entra groupe cible

    Échec : si tous les membres n’ont pas pu se synchroniser avec Microsoft Entra groupe cible

    En cours : la synchronisation est en cours.

  • Nombre de membres : nombre de membres de la collection

  • Synchronisation terminée : nombre de membres correctement synchronisés

  • Sync InProgress : nombre de membres en attente de synchronisation

  • Échec de la synchronisation : nombre de membres qui n’ont pas pu être synchronisés

Colonnes facultatives :

  • ID de service cloud : ID de service Azure utilisé pour la synchronisation cloud

  • Type de collection : type de collection (appareil ou utilisateur)

  • Nombre de membres de la dernière synchronisation complète : nombre de membres synchronisés lors de la dernière synchronisation complète

  • État de la dernière synchronisation complète : état du dernier cycle de synchronisation complet

  • Heure de la dernière synchronisation complète : heure du dernier cycle de synchronisation complet

  • Nombre de membres de la dernière synchronisation : nombre de membres synchronisés lors de la dernière synchronisation

  • État de la dernière synchronisation : état du dernier cycle de synchronisation

  • Heure de la dernière synchronisation : heure du dernier cycle de synchronisation

Vérifier l’appartenance au groupe Microsoft Entra

  1. Accédez au Portail Azure.

  2. Accédezà Microsoft Entra GROUPES >D’ID>Tous les groupes.

  3. Recherchez le groupe que vous avez créé et sélectionnez Membres.

  4. Vérifiez que les membres reflètent les ressources de la collection Configuration Manager. Seules les ressources avec Microsoft Entra identité s’affichent dans le groupe.