Dela via

Så här synkroniserar du samlingsmedlemmar till Microsoft Entra -grupper

  • Artikel

Du kan aktivera synkronisering av samlingsmedlemskap till en Microsoft Entra-grupp. Med den här synkroniseringen kan du använda dina befintliga lokala grupperingsregler i molnet genom att skapa Microsoft Entra-gruppmedlemskap baserat på resultat från samlingsmedlemskap. Du kan synkronisera enhets- eller användarsamlingar. Endast resurser med en Microsoft Entra-ID-post återspeglas i Microsoft Entra-gruppen. Både Microsoft Entra-hybridanslutning och Microsoft Entra-anslutna enheter stöds. Synkroniseringen av samlingsmedlemskap är en enkelriktad process från Configuration Manager till Microsoft Entra ID. Helst bör Configuration Manager vara utfärdare för att hantera medlemskapet för Microsoft Entra-målgrupperna.

Synkroniseringar kan antingen vara fullständiga eller inkrementella och de har något olika beteenden:

  • Fullständig synkronisering: Sker vid den första synkroniseringen när den har aktiverats. Du kan framtvinga en fullständig synkronisering genom att välja samlingen och sedan välja Synkronisera medlemskap i menyfliksområdet. En fullständig synkronisering skriver över medlemmar i Microsoft Entra-gruppen.

  • Inkrementell synkronisering: Sker var femte minut. Ändringar som görs i Microsoft Entra-ID återspeglas inte i Configuration Manager-samlingar, men de skrivs inte över av Configuration Manager.

Exempel på synkroniseringsscenario:

  1. Från Microsoft Entra ID skapar du en grupp med namnet Group1 och lägger till DeviceA, DeviceBoch DeviceC.
    • Helst skulle objekt inte läggas till från Microsoft Entra-ID eftersom Configuration Manager bör hantera gruppmedlemskapet.
  2. Från Configuration Manager skapar du en samling med namnet Collection1 och lägger sedan till DeviceBoch DeviceC.
  3. Aktivera synkronisering för Collection1 till Group1.
  4. Den första synkroniseringen är en fullständig synkronisering, Group1 så nu innehåller DeviceB, och DeviceC. DeviceA togs bort från gruppen under den fullständiga synkroniseringen.
  5. Ta bort DeviceC från Collection1 och vänta på en inkrementell synkronisering.
  6. Group1 innehåller nu bara DeviceB.
  7. Från Microsoft Entra ID lägger du till DeviceDGroup1 i och väntar på en inkrementell synkronisering.
  8. Group1 innehåller DeviceB nu och DeviceD.
  9. Från Configuration Manager väljer du Collection1och väljer Synkronisera medlemskap från menyfliksområdet för att framtvinga en fullständig synkronisering.
  10. Group1 innehåller nu endast DeviceB

Krav för Microsoft Entra-synkronisering

  • Integrering med Microsoft Entra ID för molnhantering. Alternativet ** Inaktivera Microsoft Entra-autentisering för den här klientorganisationen** under Azure Service for Cloud Management i konsolen får inte kontrolleras eftersom detta förhindrar klientregistrering med entra-ID-autentisering.

  • Microsoft Entra-användaridentifiering

  • En HTTPS- eller utökad HTTP-aktiverad hanteringsplats

  • Åtkomst till samlingen Alla system

Skapa en grupp och ange ägaren i Microsoft Entra-ID

  1. Logga in på Azure-portalen.

  2. Gå till Microsoft Entra ID-grupper>>Alla grupper.

  3. Välj Ny grupp, ange ett gruppnamn och ange en gruppbeskrivning om du vill.

  4. Kontrollera att Medlemskapstyp är Tilldelad.

  5. Välj Ägare och lägg sedan till den identitet som ska skapa synkroniseringsrelationen i Configuration Manager.

    Tips

    Serverappen (tjänstprincip) för Microsoft Entra-klientorganisationen kommer att vara ägare till den skapade Microsoft Entra-gruppen.

  6. Välj Skapa för att slutföra skapandet av Microsoft Entra-gruppen.

Aktivera samlingssynkronisering för Azure-tjänsten

  1. I Configuration Manager-konsolen går du till arbetsytan Administration . Expandera Cloud Services och välj noden Azure-tjänster .

  2. Välj molnhanteringstjänsten för Microsoft Entra-klientorganisationen där du skapade gruppen. Välj sedan Egenskaper i menyfliksområdet.

  3. Växla till fliken Samlingssynkronisering och välj alternativet Aktivera Azure Directory Group Sync.

  4. Spara inställningen genom att välja OK .

Aktivera samlingen för synkronisering

  1. I Configuration Manager-konsolen går du till arbetsytan Tillgångar och efterlevnad och väljer antingen noden Enhetssamlingar eller Användarsamlingar .

  2. Välj den samling som ska synkroniseras. Välj sedan Egenskaper i menyfliksområdet.

  3. Växla till fliken Molnsynkronisering och välj Lägg till.

  4. Om det behövs ändrar du klientorganisationen till platsen där du skapade Microsoft Entra-gruppen.

  5. Skriv in dina sökvillkor i fältet Namn börjar med och välj sedan Sök. Om du lämnar villkoret tomt returnerar sökningen alla grupper från klientorganisationen. Om du uppmanas att logga in använder du den identitet som du angav som ägare för Microsoft Entra-gruppen.

  6. Välj målgruppen och välj sedan OK för att lägga till gruppen. Välj OK igen för att avsluta samlingens egenskaper.

Vänta ungefär fem till sju minuter innan du kan verifiera gruppmedlemskapen i Azure-portalen. Om du vill starta en fullständig synkronisering väljer du samlingen och väljer sedan Synkronisera medlemskap i menyfliksområdet.

Skärmbild av Synkronisera samlingar till Microsoft Entra-ID.

Använda PowerShell

Du kan använda PowerShell för att synkronisera samlingar. Mer information finns i följande cmdlet-artikel:

Set-CMCollectionCloudSync

Övervaka synkroniseringsstatus för samlingen

  1. I Configuration Manager-konsolen går du till arbetsytan Övervakning

  2. välj Samlingsmolnsynkronisering och välj antingen noden Enhetssamlingar eller Användarsamlingar .

  3. Vyn visar alla samlingar som är aktiverade för molnsynkronisering och relevant information.

  4. Högerklicka på kolumnrubriken och lägg till ytterligare kolumner om du vill visa mer information.

  5. När du klickar på varje samling kan du visa medlemsstatus för samlingen på den nedre fliken.

  6. Medlemmarna kategoriseras baserat på synkroniseringsstatus – Lyckades, Misslyckades, Pågår.

  7. När du klickar på fliken Misslyckades hittar du orsaken till felet för varje medlem.

Skärmbild av molnsynkroniseringsstatus för samlingar.

Standardkolumner:

  • Samlings-ID – samlings-ID

  • Samlingsnamn – samlingsnamn

  • Microsoft Entra-grupp-ID – Konfigurerat Microsoft Entra-grupp-ID

  • Microsoft Entra-gruppnamn – Konfigurerat Microsoft Entra-gruppnamn

  • Status för molnsynkronisering

    Lyckades: Om alla medlemmar synkroniseras för att rikta in sig på Microsoft Entra-gruppen

    Partiell lyckad: Om minst en medlem synkroniseras för att rikta in sig på Microsoft Entra-gruppen

    Misslyckades: Om alla medlemmar inte kunde synkronisera till Microsoft Entra-målgruppen

    Pågår: Synkronisering pågår.

  • Antal medlemmar – antal medlemmar i samlingen

  • Synkroniseringen har slutförts – antalet medlemmar har synkroniserats

  • Sync InProgress – Antalet medlemmar som väntar på synkronisering

  • Synkroniseringen misslyckades – Antalet medlemmar kunde inte synkroniseras

Valfria kolumner:

  • Molntjänst-ID – Azure-tjänst-ID som används för Cloud Sync

  • Samlingstyp – typ av samling (enhet eller användare)

  • Antal medlemmar för senaste fullständiga synkronisering – antal medlemmar som synkroniserats under den senaste fullständiga synkroniseringen

  • Senaste fullständiga synkroniseringsstatus – status för den senaste fullständiga synkroniseringscykeln

  • Senaste heltidssynkroniseringstid – tiden för den senaste fullständiga synkroniseringscykeln

  • Antal senaste synkroniseringsmedlemmar – antalet medlemmar som synkroniserats under den senaste synkroniseringen

  • Senaste synkroniseringsstatus – Status för senaste synkroniseringscykel

  • Senaste synkroniseringstid – tid för senaste synkroniseringscykel

Verifiera Microsoft Entra-gruppmedlemskapet

  1. Gå till Azure-portalen.

  2. Gå till Microsoft Entra ID-grupper>>Alla grupper.

  3. Leta upp den grupp som du skapade och välj Medlemmar.

  4. Bekräfta att medlemmarna återspeglar resurserna i Configuration Manager-samlingen. Endast resurser med Microsoft Entra-identitet visas i gruppen.