Udostępnij za pośrednictwem

Jak synchronizować członków kolekcji z grupami usługi Microsoft Entra

  • Artykuł

Możesz włączyć synchronizację członkostwa w kolekcji w grupie Microsoft Entra. Ta synchronizacja umożliwia korzystanie z istniejących lokalnych reguł grupowania w chmurze przez utworzenie członkostwa w grupie Microsoft Entra na podstawie wyników członkostwa w kolekcji. Kolekcje urządzeń lub użytkowników można synchronizować. Tylko zasoby z rekordem identyfikatora Entra firmy Microsoft są odzwierciedlane w grupie Microsoft Entra. Obsługiwane są zarówno urządzenia przyłączone hybrydowo do usługi Microsoft Entra, jak i dołączone do usługi Microsoft Entra. Synchronizacja członkostwa w kolekcji jest procesem jednokierunkowym od programu Configuration Manager do identyfikatora Microsoft Entra. W idealnym przypadku program Configuration Manager powinien być urzędem do zarządzania członkostwem dla docelowych grup Microsoft Entra.

Synchronizacje mogą być pełne lub przyrostowe i mają nieco inne zachowania:

  • Pełna synchronizacja: występuje podczas pierwszej synchronizacji po jej włączeniu. Możesz wymusić pełną synchronizację, wybierając kolekcję, a następnie wybierając pozycję Synchronizuj członkostwo na wstążce. Pełna synchronizacja spowoduje zastąpienie członków grupy Microsoft Entra.

  • Synchronizacja przyrostowa: występuje co 5 minut. Zmiany wprowadzone w identyfikatorze Microsoft Entra nie są odzwierciedlane w kolekcjach programu Configuration Manager, ale nie są zastępowane przez program Configuration Manager.

Przykładowy scenariusz synchronizacji:

  1. Na podstawie identyfikatora Entra firmy Microsoft utwórz grupę o nazwie Group1 i dodaj DeviceAelementy , DeviceBi DeviceC.
    • W idealnym przypadku obiekty nie zostaną dodane z identyfikatora Entra firmy Microsoft, ponieważ program Configuration Manager powinien zarządzać członkostwem w grupie.
  2. W programie Configuration Manager utwórz kolekcję o nazwie Collection1 , a następnie dodaj DeviceBelementy , i DeviceC.
  3. Włącz synchronizację dla obiektu Collection1 do Group1.
  4. Pierwsza synchronizacja jest pełną synchronizacją, Group1 więc teraz zawiera DeviceBelementy , i DeviceC. DeviceA została usunięta z grupy podczas pełnej synchronizacji.
  5. Usuń DeviceC element i Collection1 zaczekaj na synchronizację przyrostową.
  6. Group1 teraz zawiera tylko DeviceB.
  7. W usłudze Microsoft Entra ID dodaj DeviceD element i Group1 zaczekaj na synchronizację przyrostową.
  8. Group1 teraz zawiera DeviceB i DeviceD.
  9. W programie Configuration Manager wybierz pozycję Collection1i wybierz pozycję Synchronizuj członkostwo na wstążce, aby wymusić pełną synchronizację.
  10. Group1 teraz zawiera tylko DeviceB

Wymagania wstępne dotyczące synchronizacji usługi Microsoft Entra

  • Integracja z identyfikatorem Microsoft Entra na potrzeby zarządzania chmurą. Nie można sprawdzić opcji ** Wyłącz uwierzytelnianie w usłudze Microsoft Entra dla tej dzierżawy** w obszarze Azure Service for Cloud Management w konsoli programu , ponieważ uniemożliwia to rejestrację klienta przy użyciu uwierzytelniania entra ID.

  • Odnajdywanie użytkowników w usłudze Microsoft Entra

  • Punkt zarządzania https lub rozszerzony punkt zarządzania z obsługą protokołu HTTP

  • Dostęp do kolekcji Wszystkie systemy

Tworzenie grupy i ustawianie właściciela w identyfikatorze Microsoft Entra

  1. Zaloguj się do witryny Azure Portal.

  2. Przejdź do pozycji Microsoft Entra ID> Groups All groups (Grupy>wszystkich grup w usłudze Microsoft Entra).

  3. Wybierz pozycję Nowa grupa, wprowadź nazwę grupy i opcjonalnie wprowadź opis grupy.

  4. Upewnij się, że typ członkostwa jest przypisany.

  5. Wybierz pozycję Właściciele, a następnie dodaj tożsamość, która utworzy relację synchronizacji w programie Configuration Manager.

    Porada

    Aplikacja serwera (zasada usługi) dzierżawy usługi Microsoft Entra będzie właścicielem utworzonej grupy Microsoft Entra.

  6. Wybierz pozycję Utwórz , aby zakończyć tworzenie grupy Microsoft Entra.

Włączanie synchronizacji kolekcji dla usługi platformy Azure

  1. W konsoli programu Configuration Manager przejdź do obszaru roboczego Administracja . Rozwiń węzeł Cloud Services i wybierz węzeł Usługi platformy Azure .

  2. Wybierz usługę zarządzania chmurą dla dzierżawy usługi Microsoft Entra, w której utworzono grupę. Następnie na wstążce wybierz pozycję Właściwości.

  3. Przejdź do karty Synchronizacja kolekcji i wybierz opcję Włącz synchronizację grupy usługi Azure Directory.

  4. Wybierz przycisk OK , aby zapisać ustawienie.

Włączanie synchronizacji kolekcji

  1. W konsoli programu Configuration Manager przejdź do obszaru roboczego Zasoby i zgodność i wybierz węzeł Kolekcje urządzeń lub Kolekcje użytkowników .

  2. Wybierz kolekcję do zsynchronizowania. Następnie na wstążce wybierz pozycję Właściwości.

  3. Przejdź do karty Synchronizacja w chmurze i wybierz pozycję Dodaj.

  4. W razie potrzeby zmień dzierżawę na miejsce, w którym została utworzona grupa Microsoft Entra.

  5. Wpisz kryteria wyszukiwania w polu Nazwa zaczyna się od pola, a następnie wybierz pozycję Wyszukaj. Jeśli pozostawisz kryteria puste, wyszukiwanie zwróci wszystkie grupy z dzierżawy. Jeśli zostanie wyświetlony monit o zalogowanie się, użyj tożsamości określonej jako właściciel grupy Microsoft Entra.

  6. Wybierz grupę docelową, a następnie wybierz przycisk OK , aby dodać grupę. Ponownie wybierz przycisk OK , aby zamknąć właściwości kolekcji.

Poczekaj około pięciu do siedmiu minut, zanim będzie można zweryfikować członkostwo w grupie w witrynie Azure Portal. Aby rozpocząć pełną synchronizację, wybierz kolekcję, a następnie na wstążce wybierz pozycję Synchronizuj członkostwo.

Zrzut ekranu przedstawiający synchronizowanie kolekcji z identyfikatorem Entra firmy Microsoft.

Korzystanie z programu PowerShell

Do synchronizowania kolekcji można użyć programu PowerShell. Aby uzyskać więcej informacji, zobacz następujący artykuł polecenia cmdlet:

Set-CMCollectionCloudSync

Monitorowanie stanu synchronizacji kolekcji

  1. W konsoli programu Configuration Manager przejdź do obszaru roboczego Monitorowanie

  2. Wybierz pozycję Kolekcja synchronizacji w chmurze i wybierz węzeł Kolekcje urządzeń lub Kolekcje użytkowników .

  3. Widok zawiera listę wszystkich kolekcji, które są włączone na potrzeby synchronizacji w chmurze, oraz odpowiednie szczegóły.

  4. Kliknij prawym przyciskiem myszy nagłówek kolumny i dodaj dodatkowe kolumny, aby wyświetlić więcej informacji.

  5. Po kliknięciu każdej kolekcji możesz wyświetlić stan członka kolekcji na dolnej karcie.

  6. Członkowie są kategoryzowani na podstawie stanu synchronizacji — Powodzenie, Niepowodzenie, W toku.

  7. Po kliknięciu karty Niepowodzenie można znaleźć przyczynę niepowodzenia dla każdego elementu członkowskiego.

Zrzut ekranu przedstawiający stan synchronizacji w chmurze kolekcji.

Kolumny domyślne:

  • Identyfikator kolekcji — identyfikator kolekcji

  • Nazwa kolekcji — nazwa kolekcji

  • Identyfikator grupy Microsoft Entra — skonfigurowany identyfikator grupy Microsoft Entra

  • Nazwa grupy Microsoft Entra — skonfigurowana nazwa grupy Microsoft Entra

  • Stan synchronizacji w chmurze

    Powodzenie: jeśli wszyscy członkowie są synchronizowane z docelową grupą Microsoft Entra

    Częściowy sukces: jeśli co najmniej jeden członek jest zsynchronizowany z docelową grupą Microsoft Entra

    Niepowodzenie: jeśli nie można zsynchronizować wszystkich członków w celu lokalizacji docelowej grupy Microsoft Entra

    W toku: trwa synchronizacja.

  • Liczba elementów członkowskich — liczba elementów członkowskich kolekcji

  • Ukończono synchronizację — liczba elementów członkowskich pomyślnie zsynchronizowanych

  • Sync InProgress — liczba członków oczekujących na synchronizację

  • Synchronizacja nie powiodła się — nie można zsynchronizować liczby elementów członkowskich

Kolumny opcjonalne:

  • Identyfikator usługi w chmurze — identyfikator usługi platformy Azure używany do synchronizacji z chmurą

  • Typ kolekcji — typ kolekcji (urządzenie lub użytkownik)

  • Liczba ostatnich członków pełnej synchronizacji — liczba elementów członkowskich zsynchronizowanych podczas ostatniej pełnej synchronizacji

  • Stan ostatniej pełnej synchronizacji — stan ostatniego pełnego cyklu synchronizacji

  • Czas ostatniej pełnej synchronizacji — czas ostatniego pełnego cyklu synchronizacji

  • Liczba członków ostatniej synchronizacji — liczba elementów członkowskich zsynchronizowanych podczas ostatniej synchronizacji

  • Stan ostatniej synchronizacji — stan ostatniego cyklu synchronizacji

  • Czas ostatniej synchronizacji — czas ostatniego cyklu synchronizacji

Weryfikowanie członkostwa w grupie Microsoft Entra

  1. Przejdź do witryny Azure Portal.

  2. Przejdź do pozycji Microsoft Entra ID> Groups All groups (Grupy>wszystkich grup w usłudze Microsoft Entra).

  3. Znajdź utworzoną grupę i wybierz pozycję Członkowie.

  4. Upewnij się, że elementy członkowskie odzwierciedlają zasoby w kolekcji programu Configuration Manager. W grupie są wyświetlane tylko zasoby z tożsamością Microsoft Entra.