Синхронизация членов коллекции с Microsoft Entra группами

  • Статья

Вы можете включить синхронизацию членства в коллекции с Microsoft Entra группой. Эта синхронизация позволяет использовать существующие локальные правила группирования в облаке, создавая Microsoft Entra членства в группах на основе результатов членства в коллекции. Вы можете синхронизировать коллекции устройств или пользователей. В группе Microsoft Entra отражаются только ресурсы с записью идентификатора Microsoft Entra. Поддерживаются устройства Microsoft Entra гибридное присоединение и Microsoft Entra. Синхронизация членства в коллекциях — это односторонний процесс от Configuration Manager до Microsoft Entra идентификатора. В идеале Configuration Manager должны быть полномочиями по управлению членством в целевых Microsoft Entra группах.

Синхронизации могут быть полными или добавочными, и они немного отличаются от поведения:

  • Полная синхронизация. Выполняется при первой синхронизации после ее включения. Вы можете принудительно выполнить полную синхронизацию, выбрав коллекцию, а затем выбрав Синхронизировать членство на ленте. Полная синхронизация перезапишет члены группы Microsoft Entra.

  • Добавочная синхронизация: выполняется каждые 5 минут. Изменения, внесенные в идентификатор Microsoft Entra, не отражаются в Configuration Manager коллекциях, но не перезаписываются Configuration Manager.

Пример сценария синхронизации:

  1. На основе идентификатора Microsoft Entra создайте группу с именем Group1 и добавьте DeviceA, DeviceBи DeviceC.
    • В идеале объекты не будут добавляться из идентификатора Microsoft Entra, так как Configuration Manager должны управлять членством в группе.
  2. На Configuration Manager создайте коллекцию с именем Collection1 , а затем добавьте DeviceBи DeviceC.
  3. Включите синхронизацию для Collection1 .Group1
  4. Первая синхронизация является полной, Group1 поэтому теперь содержит DeviceB, и DeviceC. DeviceA был удален из группы во время полной синхронизации.
  5. Удалите DeviceC из Collection1 и дождитесь добавочной синхронизации.
  6. Group1 теперь содержит только DeviceB.
  7. Из идентификатора Microsoft Entra добавьте DeviceD в Group1 и дождитесь добавочной синхронизации.
  8. Group1 теперь содержит DeviceB и DeviceD.
  9. В Configuration Manager выберите Collection1и выберите Синхронизировать членство на ленте, чтобы принудительно выполнить полную синхронизацию.
  10. Group1 теперь содержит только DeviceB

Необходимые условия для синхронизации Microsoft Entra

Создайте группу и задайте владельца в Microsoft Entra id

  1. Войдите на портал Azure.

  2. Перейдите к Microsoft Entra Группы идентификаторов>>Все группы.

  3. Выберите Создать группу, введите имя группы и при необходимости введите описание группы.

  4. Убедитесь, что тип членства имеет значение Назначено.

  5. Выберите Владельцы, а затем добавьте удостоверение, которое создаст связь синхронизации в Configuration Manager.

    Совет

    Серверное приложение (принцип службы) клиента Microsoft Entra будет владельцем созданной Microsoft Entra группы.

  6. Нажмите кнопку Создать, чтобы завершить создание группы Microsoft Entra.

Включение синхронизации коллекций для службы Azure

  1. В консоли Configuration Manager перейдите в рабочую область Администрирование. Разверните узел Облачные службы и выберите узел Службы Azure.

  2. Выберите облачную службу управления для клиента Microsoft Entra, в котором вы создали группу. Затем на ленте выберите Свойства.

  3. Перейдите на вкладку Синхронизация коллекции и выберите параметр Включить синхронизацию групп каталогов Azure.

  4. Нажмите кнопку ОК , чтобы сохранить параметр.

Включение синхронизации коллекции

  1. В консоли Configuration Manager перейдите в рабочую область Активы и соответствие и выберите узел Коллекции устройств или Коллекции пользователей.

  2. Выберите коллекцию для синхронизации. Затем на ленте выберите Свойства.

  3. Перейдите на вкладку Облачная синхронизация и нажмите кнопку Добавить.

  4. При необходимости измените клиент на место, где вы создали группу Microsoft Entra.

  5. Введите критерии поиска в поле Имя начинается с , а затем выберите Поиск. Если оставить условие пустым, поиск вернет все группы из клиента. Если вам будет предложено выполнить вход, используйте удостоверение, указанное в качестве владельца группы Microsoft Entra.

  6. Выберите целевую группу и нажмите кнопку ОК , чтобы добавить группу. Нажмите кнопку ОК еще раз, чтобы выйти из свойств коллекции.

Подождите около пяти-семи минут, прежде чем сможете проверить членство в группах в портал Azure. Чтобы запустить полную синхронизацию, выберите коллекцию, а затем на ленте выберите Синхронизировать членство.

Снимок экрана: синхронизация коллекций с идентификатором Microsoft Entra.

Воспользуйтесь PowerShell

Для синхронизации коллекций можно использовать PowerShell. Дополнительные сведения см. в следующей статье о командлетах:

Set-CMCollectionCloudSync

Мониторинг состояния синхронизации коллекции

  1. В консоли Configuration Manager перейдите в рабочую область Мониторинг.

  2. Выберите Коллекция Облачная синхронизация и выберите узел Коллекции устройств или Коллекции пользователей .

  3. В представлении перечислены все коллекции, для которых включена облачная синхронизация, и соответствующие сведения.

  4. Щелкните правой кнопкой мыши заголовок столбца и добавьте дополнительные столбцы, чтобы просмотреть дополнительные сведения.

  5. Щелкнув каждую коллекцию, можно просмотреть состояние члена коллекции на нижней вкладке.

  6. Члены классифицируются по состоянию синхронизации : Успешно, Сбой, Выполняется.

  7. Щелкнув вкладку Сбой, можно найти причину сбоя в каждом элементе.

Снимок экрана: состояние облачной синхронизации коллекций.

Столбцы по умолчанию:

  • Идентификатор коллекции — идентификатор коллекции

  • Имя коллекции — имя коллекции

  • идентификатор группы Microsoft Entra — настроенный идентификатор группы Microsoft Entra

  • имя группы Microsoft Entra — настроенное имя группы Microsoft Entra

  • Состояние облачной синхронизации

    Успешно. Если все члены синхронизированы с целевой Microsoft Entra группой

    Частичный успех. Если хотя бы один член синхронизирован с целевой группой Microsoft Entra

    Сбой: если всем участникам не удалось синхронизироваться с целевой группой Microsoft Entra

    Выполняется: выполняется синхронизация.

  • Количество элементов — количество членов коллекции

  • Синхронизация завершена — число членов, успешно синхронизированных

  • Sync InProgress — количество членов, ожидающих синхронизации

  • Сбой синхронизации — число участников, не удалось синхронизировать

Необязательные столбцы:

  • Идентификатор облачной службы — идентификатор службы Azure, используемый для облачной синхронизации

  • Тип коллекции — тип коллекции (устройство или пользователь)

  • Число участников последней полной синхронизации — количество элементов, синхронизированных во время последней полной синхронизации

  • Состояние последней полной синхронизации — состояние последнего цикла полной синхронизации

  • Время последней полной синхронизации — время последнего цикла полной синхронизации

  • Число участников последней синхронизации — количество элементов, синхронизированных во время последней синхронизации

  • Состояние последней синхронизации — состояние последнего цикла синхронизации

  • Время последней синхронизации — время последнего цикла синхронизации

Проверка членства в группе Microsoft Entra

  1. Перейдите на портал Azure.

  2. Перейдите к Microsoft Entra Группы идентификаторов>>Все группы.

  3. Найдите созданную группу и выберите Участники.

  4. Убедитесь, что элементы отражают ресурсы в коллекции Configuration Manager. В группе отображаются только ресурсы с Microsoft Entra удостоверениями.