Come sincronizzare i membri della raccolta con i gruppi Microsoft Entra

  • Articolo

È possibile abilitare la sincronizzazione delle appartenenze alla raccolta in un gruppo Microsoft Entra. Questa sincronizzazione consente di usare le regole di raggruppamento locali esistenti nel cloud creando appartenenze a gruppi Microsoft Entra in base ai risultati dell'appartenenza alla raccolta. È possibile sincronizzare le raccolte di dispositivi o utenti. Solo le risorse con un record ID Microsoft Entra vengono riflesse nel gruppo Microsoft Entra. Sono supportati sia Microsoft Entra dispositivi aggiunti ibridi che Microsoft Entra aggiunti. La sincronizzazione delle appartenenze alla raccolta è un processo unidirezionale dalla Configuration Manager all'ID Microsoft Entra. Idealmente, Configuration Manager deve essere l'autorità per la gestione dell'appartenenza per i gruppi di Microsoft Entra di destinazione.

Le sincronizzazioni possono essere complete o incrementali e presentano comportamenti leggermente diversi:

  • Sincronizzazione completa: si verifica alla prima sincronizzazione dopo l'abilitazione. È possibile forzare una sincronizzazione completa selezionando la raccolta e quindi scegliendo Sincronizza appartenenza dalla barra multifunzione. Una sincronizzazione completa sovrascriverà i membri del gruppo Microsoft Entra.

  • Sincronizzazione incrementale: si verifica ogni 5 minuti. Le modifiche apportate in Microsoft Entra'ID non vengono riflesse nelle raccolte Configuration Manager, ma non vengono sovrascritte da Configuration Manager.

Scenario di sincronizzazione di esempio:

  1. Da Microsoft Entra ID creare un gruppo denominato Group1 e aggiungere DeviceA, DeviceBe DeviceC.
    • Idealmente, gli oggetti non verranno aggiunti da Microsoft Entra ID perché Configuration Manager deve gestire l'appartenenza al gruppo.
  2. Da Configuration Manager creare una raccolta denominata Collection1 quindi aggiungere DeviceBe DeviceC.
  3. Abilitare la sincronizzazione da Collection1 a Group1.
  4. La prima sincronizzazione è una sincronizzazione completa, Group1 quindi ora contiene DeviceB, e DeviceC. DeviceA è stato rimosso dal gruppo durante la sincronizzazione completa.
  5. Rimuovere DeviceC da Collection1 e attendere una sincronizzazione incrementale.
  6. Group1 ora contiene solo DeviceB.
  7. Da Microsoft Entra ID aggiungere DeviceD a Group1 e attendere una sincronizzazione incrementale.
  8. Group1 contiene DeviceB ora e DeviceD.
  9. In Configuration Manager selezionare Collection1e scegliere Sincronizza appartenenza dalla barra multifunzione per forzare una sincronizzazione completa.
  10. Group1 ora contiene solo DeviceB

Prerequisiti per la sincronizzazione Microsoft Entra

Creare un gruppo e impostare il proprietario nell'ID Microsoft Entra

  1. Accedere al portale di Azure.

  2. Passare a Microsoft EntraGruppi>ID>Tutti i gruppi.

  3. Selezionare Nuovo gruppo, immettere un nome di gruppo e, facoltativamente, immettere una descrizione del gruppo.

  4. Assicurarsi che il tipo di appartenenza sia Assegnato.

  5. Selezionare Proprietari, quindi aggiungere l'identità che creerà la relazione di sincronizzazione in Configuration Manager.

    Consiglio

    L'app server (principio di servizio) di Microsoft Entra tenant sarà il proprietario del gruppo di Microsoft Entra creato.

  6. Selezionare Crea per completare la creazione del gruppo Microsoft Entra.

Abilitare la sincronizzazione delle raccolte per il servizio di Azure

  1. Nella console Configuration Manager passare all'area di lavoro Amministrazione. Espandere Servizi cloud e selezionare il nodo Servizi di Azure.

  2. Selezionare il servizio di gestione cloud per il tenant Microsoft Entra in cui è stato creato il gruppo. Quindi nella barra multifunzione selezionare Proprietà.

  3. Passare alla scheda Sincronizzazione raccolta e selezionare l'opzione Abilita Sincronizzazione gruppo di directory di Azure.

  4. Selezionare OK per salvare l'impostazione.

Abilitare la sincronizzazione della raccolta

  1. Nella console Configuration Manager passare all'area di lavoro Asset e conformità e selezionare il nodo Raccolte dispositivi o Raccolte utenti.

  2. Selezionare la raccolta da sincronizzare. Quindi nella barra multifunzione selezionare Proprietà.

  3. Passare alla scheda Sincronizzazione cloud e selezionare Aggiungi.

  4. Se necessario, modificare il tenant in cui è stato creato il gruppo di Microsoft Entra.

  5. Digitare i criteri di ricerca nel campo Nome inizia con e quindi selezionare Cerca. Se si lasciano vuoti i criteri, la ricerca restituisce tutti i gruppi dal tenant. Se viene richiesto di accedere, usare l'identità specificata come proprietario per il gruppo Microsoft Entra.

  6. Scegliere il gruppo di destinazione e quindi selezionare OK per aggiungere il gruppo. Selezionare di nuovo OK per uscire dalle proprietà della raccolta.

Attendere circa 5-7 minuti prima di poter verificare le appartenenze ai gruppi nel portale di Azure. Per avviare una sincronizzazione completa, selezionare la raccolta e quindi nella barra multifunzione selezionare Sincronizza appartenenza.

Screenshot di Synchronize collections to Microsoft Entra ID (Sincronizza raccolte con ID Microsoft Entra).

Usare PowerShell.

È possibile usare PowerShell per sincronizzare le raccolte. Per altre informazioni, vedere l'articolo cmdlet seguente:

Set-CMCollectionCloudSync

Monitorare lo stato di sincronizzazione della raccolta

  1. Nella console Configuration Manager passare all'area di lavoro Monitoraggio

  2. selezionare Sincronizzazione cloud raccolta e selezionare il nodo Raccolte dispositivi o Raccolte utenti .

  3. La visualizzazione elenca tutte le raccolte abilitate per la sincronizzazione cloud e i dettagli pertinenti.

  4. Fare clic con il pulsante destro del mouse sull'intestazione di colonna e aggiungere altre colonne per visualizzare altre informazioni.

  5. Facendo clic su ogni raccolta, è possibile visualizzare lo stato dei membri della raccolta nella scheda inferiore.

  6. I membri sono categorizzati in base allo stato di sincronizzazione- Operazione riuscita, Non riuscita, In corso.

  7. Facendo clic sulla scheda Non riuscito è possibile trovare il motivo dell'errore in ogni membro.

Screenshot dello stato della sincronizzazione cloud delle raccolte.

Colonne predefinite:

  • ID raccolta - ID della raccolta

  • Nome raccolta : nome della raccolta

  • ID gruppo Microsoft Entra : ID gruppo Microsoft Entra configurato

  • Microsoft Entra nome del gruppo : nome gruppo configurato Microsoft Entra

  • Stato Sincronizzazione cloud

    Operazione riuscita: se tutti i membri sono sincronizzati con Microsoft Entra gruppo di destinazione

    Esito positivo parziale: se almeno un membro è sincronizzato con Microsoft Entra gruppo di destinazione

    Non riuscito: se tutti i membri non sono riusciti a eseguire la sincronizzazione con il gruppo di destinazione Microsoft Entra

    In corso: la sincronizzazione è in corso.

  • Member Count - Conteggio dei membri della raccolta

  • Sincronizzazione completata : numero di membri sincronizzati correttamente

  • Sync InProgress - Conteggio dei membri in attesa di sincronizzazione

  • Sincronizzazione non riuscita: il numero di membri non è riuscito a eseguire la sincronizzazione

Colonne facoltative:

  • ID servizio cloud - ID servizio di Azure usato per la sincronizzazione cloud

  • Tipo di raccolta : tipo di raccolta (dispositivo o utente)

  • Ultimo numero di membri di sincronizzazione completa : numero di membri sincronizzati durante l'ultima sincronizzazione completa

  • Ultimo stato di sincronizzazione completa - Stato dell'ultimo ciclo di sincronizzazione completo

  • Ora ultima sincronizzazione completa - Ora dell'ultimo ciclo di sincronizzazione completo

  • Conteggio membri ultima sincronizzazione - Numero di membri sincronizzati durante l'ultima sincronizzazione

  • Stato ultima sincronizzazione - Stato dell'ultimo ciclo di sincronizzazione

  • Ora ultima sincronizzazione - Ora dell'ultimo ciclo di sincronizzazione

Verificare l'appartenenza al gruppo Microsoft Entra

  1. Andare al portale di Azure.

  2. Passare a Microsoft EntraGruppi>ID>Tutti i gruppi.

  3. Trovare il gruppo creato e selezionare Membri.

  4. Verificare che i membri riflettano le risorse nella raccolta Configuration Manager. Nel gruppo vengono visualizzate solo le risorse con identità Microsoft Entra.