Синхронизация элементов коллекции с группами Microsoft Entra

Вы можете включить синхронизацию членства в коллекции с группой Microsoft Entra. Эта синхронизация позволяет использовать существующие локальные правила группирования в облаке, создавая членство в группах Microsoft Entra на основе результатов членства в коллекциях. Вы можете синхронизировать коллекции устройств или пользователей. В группе Microsoft Entra отражаются только ресурсы с записью идентификатора Microsoft Entra. Поддерживаются устройства с гибридным присоединением к Microsoft Entra и Устройства, присоединенные к Microsoft Entra. Синхронизация членства в коллекциях — это односторонний процесс из Configuration Manager в Microsoft Entra ID. В идеале Configuration Manager должен быть центром управления членством в целевых группах Microsoft Entra.

Синхронизации могут быть полными или добавочными, и они немного отличаются от поведения:

• Полная синхронизация. Выполняется при первой синхронизации после ее включения. Вы можете принудительно выполнить полную синхронизацию, выбрав коллекцию, а затем выбрав Синхронизировать членство на ленте. Полная синхронизация перезапишет члены группы Microsoft Entra.

• Добавочная синхронизация: выполняется каждые 5 минут. Изменения, внесенные в идентификатор Microsoft Entra, не отражаются в коллекциях Configuration Manager, но не перезаписываются Configuration Manager.

Пример сценария синхронизации:

1. На основе Идентификатора Microsoft Entra создайте группу с именем Group1 и добавьте DeviceA, DeviceBи DeviceC.
   • В идеале объекты не будут добавляться из Идентификатора Microsoft Entra, так как Configuration Manager должен управлять членством в группе.
2. В Configuration Manager создайте коллекцию с именем Collection1 , а затем добавьте DeviceBи DeviceC.
3. Включите синхронизацию для Collection1 .Group1
4. Первая синхронизация является полной, Group1 поэтому теперь содержит DeviceB, и DeviceC. DeviceA был удален из группы во время полной синхронизации.
5. Удалите DeviceC из Collection1 и дождитесь добавочной синхронизации.
6. Group1 теперь содержит только DeviceB.
7. Из идентификатора Microsoft Entra добавьте DeviceD в Group1 и дождитесь добавочной синхронизации.
8. Group1 теперь содержит DeviceB и DeviceD.
9. В Configuration Manager выберите Collection1и выберите Синхронизировать членство на ленте, чтобы принудительно выполнить полную синхронизацию.
10. Group1 теперь содержит только DeviceB

Предварительные требования для синхронизации Microsoft Entra

• Интеграция с Microsoft Entra ID для управления облаком. Параметр ** Отключить проверку подлинности Microsoft Entra для этого клиента** в разделе Служба Azure для управления облаком в консоли не должен быть установлен, так как это предотвращает регистрацию клиента с помощью проверки подлинности entra ID.

• Обнаружение пользователей Microsoft Entra

• Точка управления с поддержкой HTTPS или расширенная точка управления с поддержкой HTTP

• Доступ к коллекции "Все системы"

Создание группы и установка владельца в идентификаторе Microsoft Entra

1. Войдите на портал Azure.

2. Перейдите в разделГруппы> идентификаторов >Microsoft EntraВсе группы.

3. Выберите Создать группу, введите имя группы и при необходимости введите описание группы.

4. Убедитесь, что тип членства имеет значение Назначено.

5. Выберите Владельцы, а затем добавьте удостоверение, которое создаст связь синхронизации в Configuration Manager.

   Совет

   Серверное приложение (принцип службы) клиента Microsoft Entra будет владельцем созданной группы Microsoft Entra.

6. Выберите Создать , чтобы завершить создание группы Microsoft Entra.

Включение синхронизации коллекций для службы Azure

1. В консоли Configuration Manager перейдите в рабочую область Администрирование . Разверните узел Облачные службы и выберите узел Службы Azure .

2. Выберите службу управления облаком для клиента Microsoft Entra, в котором вы создали группу. Затем на ленте выберите Свойства.

3. Перейдите на вкладку Синхронизация коллекции и выберите параметр Включить синхронизацию групп каталогов Azure.

4. Нажмите кнопку ОК , чтобы сохранить параметр.

Включение синхронизации коллекции

1. В консоли Configuration Manager перейдите в рабочую область Активы и соответствие и выберите узел Коллекции устройств или Коллекции пользователей .

2. Выберите коллекцию для синхронизации. Затем на ленте выберите Свойства.

3. Перейдите на вкладку Облачная синхронизация и нажмите кнопку Добавить.

4. При необходимости измените клиент на место, где вы создали группу Microsoft Entra.

5. Введите критерии поиска в поле Имя начинается с , а затем выберите Поиск. Если оставить условие пустым, поиск вернет все группы из клиента. Если вам будет предложено выполнить вход, используйте удостоверение, указанное в качестве владельца группы Microsoft Entra.

6. Выберите целевую группу и нажмите кнопку ОК , чтобы добавить группу. Нажмите кнопку ОК еще раз, чтобы выйти из свойств коллекции.

Подождите около пяти-семи минут, прежде чем сможете проверить членство в группах на портале Azure. Чтобы запустить полную синхронизацию, выберите коллекцию, а затем на ленте выберите Синхронизировать членство.

Воспользуйтесь PowerShell

Для синхронизации коллекций можно использовать PowerShell. Дополнительные сведения см. в следующей статье о командлетах:

Set-CMCollectionCloudSync

Мониторинг состояния синхронизации коллекции

1. В консоли Configuration Manager перейдите в рабочую область Мониторинг .

2. Выберите Коллекция Облачная синхронизация и выберите узел Коллекции устройств или Коллекции пользователей .

3. В представлении перечислены все коллекции, для которых включена облачная синхронизация, и соответствующие сведения.

4. Щелкните правой кнопкой мыши заголовок столбца и добавьте дополнительные столбцы, чтобы просмотреть дополнительные сведения.

5. Щелкнув каждую коллекцию, можно просмотреть состояние члена коллекции на нижней вкладке.

6. Члены классифицируются по состоянию синхронизации : Успешно, Сбой, Выполняется.

7. Щелкнув вкладку Сбой, можно найти причину сбоя в каждом элементе.

Столбцы по умолчанию:

• Идентификатор коллекции — идентификатор коллекции

• Имя коллекции — имя коллекции

• Идентификатор группы Microsoft Entra — настроенный идентификатор группы Microsoft Entra

• Имя группы Microsoft Entra — настроенное имя группы Microsoft Entra

• Состояние облачной синхронизации

  Успешно: если все участники синхронизированы с целевой группой Microsoft Entra

  Частичный успех: если хотя бы один член синхронизирован с целевой группой Microsoft Entra

  Сбой: если всем участникам не удалось синхронизироваться с целевой группой Microsoft Entra

  Выполняется: выполняется синхронизация.

• Количество элементов — количество членов коллекции

• Синхронизация завершена — число членов, успешно синхронизированных

• Sync InProgress — количество членов, ожидающих синхронизации

• Сбой синхронизации — число участников, не удалось синхронизировать

Необязательные столбцы:

• Идентификатор облачной службы — идентификатор службы Azure, используемый для облачной синхронизации

• Тип коллекции — тип коллекции (устройство или пользователь)

• Число участников последней полной синхронизации — количество элементов, синхронизированных во время последней полной синхронизации

• Состояние последней полной синхронизации — состояние последнего цикла полной синхронизации

• Время последней полной синхронизации — время последнего цикла полной синхронизации

• Число участников последней синхронизации — количество элементов, синхронизированных во время последней синхронизации

• Состояние последней синхронизации — состояние последнего цикла синхронизации

• Время последней синхронизации — время последнего цикла синхронизации

Проверка членства в группе Microsoft Entra

1. Перейдите на портал Azure.

2. Перейдите в разделГруппы> идентификаторов >Microsoft EntraВсе группы.

3. Найдите созданную группу и выберите Участники.

4. Убедитесь, что элементы отражают ресурсы в коллекции Configuration Manager. В группе отображаются только ресурсы с удостоверениями Microsoft Entra.