Delen via

Verzamelingsleden synchroniseren met Microsoft Entra-groepen

  • Artikel

U kunt de synchronisatie van verzamelingslidmaatschappen met een Microsoft Entra-groep inschakelen. Met deze synchronisatie kunt u uw bestaande on-premises groeperingsregels in de cloud gebruiken door Microsoft Entra-groepslidmaatschappen te maken op basis van de resultaten van het verzamelingslidmaatschap. U kunt apparaat- of gebruikersverzamelingen synchroniseren. Alleen resources met een Microsoft Entra ID-record worden weergegeven in de Microsoft Entra-groep. Zowel aan Microsoft Entra hybride gekoppelde als aan Microsoft Entra gekoppelde apparaten worden ondersteund. De synchronisatie van verzamelingslidmaatschappen is een eenrichtingsproces van Configuration Manager naar Microsoft Entra ID. In het ideale geval moet Configuration Manager de instantie zijn voor het beheren van het lidmaatschap voor de doel-Microsoft Entra-groepen.

Synchronisaties kunnen volledig of incrementeel zijn en ze hebben enigszins ander gedrag:

  • Volledige synchronisatie: vindt plaats bij de eerste synchronisatie nadat deze is ingeschakeld. U kunt een volledige synchronisatie afdwingen door de verzameling te selecteren en vervolgens Lidmaatschap synchroniseren te kiezen op het lint. Een volledige synchronisatie overschrijft leden van de Microsoft Entra-groep.

  • Incrementele synchronisatie: vindt elke 5 minuten plaats. Wijzigingen in Microsoft Entra ID worden niet weergegeven in Configuration Manager-verzamelingen, maar ze worden niet overschreven door Configuration Manager.

Voorbeeld van synchronisatiescenario:

  1. Maak vanuit Microsoft Entra ID een groep met de naam Group1 en voeg , DeviceBen DeviceCtoeDeviceA.
    • In het ideale geval worden objecten niet toegevoegd vanuit Microsoft Entra ID, omdat Configuration Manager het groepslidmaatschap moet beheren.
  2. Maak vanuit Configuration Manager een verzameling met de naam Collection1 en voeg vervolgens toe DeviceBen DeviceC.
  3. Schakel synchronisatie in voor Collection1 naar Group1.
  4. De eerste synchronisatie is een volledige synchronisatie, Group1 dus bevat DeviceBnu , en DeviceC. DeviceA is verwijderd uit de groep tijdens de volledige synchronisatie.
  5. Verwijder DeviceC uit Collection1 en wacht op een incrementele synchronisatie.
  6. Group1 bevat nu alleen DeviceB.
  7. Voeg vanuit Microsoft Entra ID toe DeviceD aan Group1 en wacht op een incrementele synchronisatie.
  8. Group1 bevat DeviceB nu en DeviceD.
  9. Selecteer in Configuration Manager de optie Collection1en kies Lidmaatschap synchroniseren op het lint om een volledige synchronisatie af te dwingen.
  10. Group1 bevat nu alleen DeviceB

Vereisten voor Microsoft Entra-synchronisatie

  • Integratie met Microsoft Entra ID voor cloudbeheer. Optie voor ** Microsoft Entra-verificatie uitschakelen voor deze tenant** onder Azure Service for Cloud Management in de console moet niet worden ingeschakeld, omdat hiermee clientregistratie met Entra ID-verificatie wordt voorkomen.

  • Microsoft Entra-gebruikersdetectie

  • Een HTTPS- of uitgebreid HTTP-beheerpunt

  • Toegang tot de verzameling Alle systemen

Een groep maken en de eigenaar instellen in Microsoft Entra ID

  1. Meld u aan bij Azure Portal.

  2. Ga naar Microsoft EntraID-groepen>>Alle groepen.

  3. Selecteer Nieuwe groep, voer een groepsnaam in en voer eventueel een groepsbeschrijving in.

  4. Zorg ervoor dat lidmaatschapstypeis toegewezen.

  5. Selecteer Eigenaren en voeg vervolgens de identiteit toe waarmee de synchronisatierelatie in Configuration Manager wordt gemaakt.

    Tip

    De server-app (service-principe) van De Microsoft Entra-tenant is de eigenaar van de gemaakte Microsoft Entra-groep.

  6. Selecteer Maken om het maken van de Microsoft Entra-groep te voltooien.

Verzamelingssynchronisatie inschakelen voor de Azure-service

  1. Ga in de Configuration Manager-console naar de werkruimte Beheer . Vouw CloudServices uit en selecteer het knooppunt Azure-services .

  2. Selecteer de cloudbeheerservice voor de Microsoft Entra-tenant waar u de groep hebt gemaakt. Selecteer vervolgens eigenschappen op het lint.

  3. Ga naar het tabblad Synchronisatie van verzamelingen en selecteer de optie Azure Directory Group Sync inschakelen.

  4. Selecteer OK om de instelling op te slaan.

De verzameling inschakelen om te synchroniseren

  1. Ga in de Configuration Manager-console naar de werkruimte Activa en naleving en selecteer het knooppunt Apparaatverzamelingen of Gebruikersverzamelingen .

  2. Selecteer de verzameling die u wilt synchroniseren. Selecteer vervolgens eigenschappen op het lint.

  3. Ga naar het tabblad Cloudsynchronisatie en selecteer Toevoegen.

  4. Wijzig indien nodig de Tenant in waar u de Microsoft Entra-groep hebt gemaakt.

  5. Typ uw zoekcriteria in het veld Naam begint met en selecteer vervolgens Zoeken. Als u de criteria leeg laat, retourneert de zoekopdracht alle groepen uit de tenant. Als u wordt gevraagd u aan te melden, gebruikt u de identiteit die u hebt opgegeven als de eigenaar voor de Microsoft Entra-groep.

  6. Kies de doelgroep en selecteer vervolgens OK om de groep toe te voegen. Selecteer nogmaals OK om de eigenschappen van de verzameling af te sluiten.

Wacht ongeveer vijf tot zeven minuten voordat u de groepslidmaatschappen in Azure Portal kunt controleren. Als u een volledige synchronisatie wilt starten, selecteert u de verzameling en selecteert u vervolgens lidmaatschap synchroniseren op het lint.

Schermopname van Verzamelingen synchroniseren met Microsoft Entra ID.

PowerShell gebruiken

U kunt PowerShell gebruiken om verzamelingen te synchroniseren. Zie het volgende cmdlet-artikel voor meer informatie:

Set-CMCollectionCloudSync

De synchronisatiestatus van de verzameling bewaken

  1. Ga in de Configuration Manager-console naar de werkruimte Bewaking

  2. selecteer Verzameling cloudsynchronisatie en selecteer het knooppunt Apparaatverzamelingen of Gebruikersverzamelingen .

  3. De weergave bevat alle verzamelingen die zijn ingeschakeld voor cloudsynchronisatie en relevante details.

  4. Klik met de rechtermuisknop op de kolomkop en voeg extra kolommen toe om meer informatie weer te geven.

  5. Als u op elke verzameling klikt, kunt u de status van het lid van de verzameling weergeven op het onderste tabblad.

  6. De leden worden gecategoriseerd op basis van de synchronisatiestatus - Geslaagd, Mislukt, In uitvoering.

  7. Op het tabblad Mislukt kunt u de reden voor de fout voor elk lid vinden.

Schermopname van de cloudsynchronisatiestatus van verzamelingen.

Standaardkolommen:

  • Verzamelings-id : id van verzameling

  • Verzamelingsnaam : naam van verzameling

  • Microsoft Entra-groeps-id : geconfigureerde Microsoft Entra-groeps-id

  • Microsoft Entra-groepsnaam : geconfigureerde Microsoft Entra-groepsnaam

  • Cloudsynchronisatiestatus

    Geslaagd: als alle leden zijn gesynchroniseerd met de Microsoft Entra-doelgroep

    Gedeeltelijk geslaagd: als ten minste één lid is gesynchroniseerd met de Microsoft Entra-doelgroep

    Mislukt: als alle leden niet kunnen synchroniseren met de Microsoft Entra-doelgroep

    Wordt uitgevoerd: de synchronisatie wordt uitgevoerd.

  • Aantal leden : aantal leden van de verzameling

  • Synchronisatie voltooid : aantal leden is gesynchroniseerd

  • Sync InProgress : aantal leden dat synchronisatie in behandeling is

  • Synchronisatie is mislukt: het aantal leden kan niet worden gesynchroniseerd

Optionele kolommen:

  • Cloud Service-id: Azure-service-id die wordt gebruikt voor Cloud Sync

  • Verzamelingstype: type verzameling (apparaat of gebruiker)

  • Aantal leden van laatste volledige synchronisatie: het aantal leden dat is gesynchroniseerd tijdens de laatste volledige synchronisatie

  • Status van laatste volledige synchronisatie : status van laatste volledige synchronisatiecyclus

  • Laatste volledige synchronisatietijd : tijd van de laatste volledige synchronisatiecyclus

  • Aantal laatste synchronisatielid : aantal leden dat tijdens de laatste synchronisatie is gesynchroniseerd

  • Laatste synchronisatiestatus - Status van laatste synchronisatiecyclus

  • Laatste synchronisatietijd - Tijdstip van laatste synchronisatiecyclus

Het Microsoft Entra-groepslidmaatschap controleren

  1. Ga naar Azure Portal.

  2. Ga naar Microsoft EntraID-groepen>>Alle groepen.

  3. Zoek de groep die u hebt gemaakt en selecteer Leden.

  4. Controleer of de leden de resources in de Configuration Manager-verzameling weerspiegelen. Alleen resources met Microsoft Entra-identiteit worden weergegeven in de groep.