如何將集合成員同步到 Microsoft Entra 群組

您可以將集合成員資格同步處理至 Microsoft Entra 群組。 此同步處理可讓您根據集合成員資格結果建立 Microsoft Entra 群組成員資格，以使用雲端中現有的內部部署群組規則。 您可以同步處理裝置或使用者集合。 只有具有 Microsoft Entra ID 記錄的資源會反映在 Microsoft Entra 群組中。 同時支援已加入 Microsoft Entra 的 Microsoft Entra 和已加入 Microsoft Entra 的裝置。 集合成員資格的同步處理是從 Configuration Manager 到 Microsoft Entra ID 的單向程式。 在理想情況下，Configuration Manager 應該是管理目標 Microsoft Entra 群組成員資格的授權單位。

同步處理可以是完整或累加的，而且其行為稍有不同：

• 完整同步處理：在啟用之後的第一次同步處理時發生。 您可以選取集合，然後從功能區選擇 [ 同步成員資格 ]，強制執行完整同步處理。 完整同步處理會覆寫 Microsoft Entra 群組的成員。

• 累加式同步處理：每隔 5 分鐘發生一次。 在 Microsoft Entra ID 中所做的變更不會反映在 Configuration Manager 集合中，但 Configuration Manager 不會覆寫這些變更。

範例同步處理案例：

1. 從 Microsoft Entra ID 建立名為 的 Group1 群組，並新增 DeviceA、 DeviceB和 DeviceC。
   • 在理想的情況下，不會從 Microsoft Entra ID 新增對象，因為 Configuration Manager 應該管理群組成員資格。
2. 從 Configuration Manager 建立名為 的 Collection1 集合，然後新增 DeviceB、 和 DeviceC。
3. 啟用 對的 Collection1 同步處理 Group1。
4. 第一個同步處理是完整同步處理，因此， Group1 現在包含 DeviceB、 和 DeviceC。 DeviceA 已在完整同步處理期間從群組中移除。
5. 從 Collection1 移除DeviceC並等候累加式同步處理。
6. Group1 現在只 DeviceB包含 。
7. 從 Microsoft Entra ID，新增 DeviceD 並 Group1 等候累加式同步處理。
8. Group1 現在包含 DeviceB 與 DeviceD。
9. 從 Configuration Manager 中選取 Collection1，然後從功能區選擇 [同步處理成員資格 ]，以強制執行完整同步處理。
10. Group1 現在只包含 DeviceB

Microsoft Entra 同步處理的必要條件

• 與 Microsoft Entra ID 整合以進行 雲端管理。在控制台的 [適用於雲端管理的 Azure 服務] 下，不得核取 [停用此租使用者的 Microsoft Entra 驗證] 選項，因為這會防止使用 Entra ID 驗證進行客戶端註冊。

• Microsoft Entra 使用者探索

• 已啟用 HTTPS 或 增強 HTTP 的管理點

• 所有系統集合的 存 取權

在 Microsoft Entra ID 中建立群組並設定擁有者

1. 登入 Azure 入口網站。

2. 流覽至 [Microsoft Entra ID>群組>][所有群組]。

3. 選取 [新增群組]，輸入 組名，然後選擇性地輸入 群組描述。

4. 請確定 [成員資格] 類型 為 [已指派]。

5. 選取 [擁有者]，然後新增將在 Configuration Manager 中建立同步處理關聯性的身分識別。

   提示

   Microsoft Entra 租使用者的伺服器應用程式 (服務主體) 將是所建立 Microsoft Entra 群組的擁有者。

6. 選 取 [建立 ] 以完成建立 Microsoft Entra 群組。

啟用 Azure 服務的集合同步處理

1. 在 Configuration Manager 控制台中，移至 [ 系統管理 ] 工作區。 展開 [雲端服務]，然後選取 [Azure 服務 ] 節點。

2. 為您建立群組的 Microsoft Entra 租用戶選取雲端管理服務。 然後在功能區中，選取 [ 屬性]。

3. 切換至 [ 集合同步處理] 索引 標籤，然後選取 [ 啟用 Azure 目錄群組同步] 選項。

4. 選取 [確定 ] 以儲存設定。

啟用集合以進行同步處理

1. 在 Configuration Manager 控制台中，移至 [ 資產與相容性 ] 工作區，然後選取 [ 裝置集合 ] 或 [ 使用者集合] 節點。

2. 選取要同步處理的集合。然後在功能區中，選取 [ 屬性]。

3. 切換至 [ 雲端同步] 索引 標籤，然後選取 [ 新增]。

4. 如有必要，請將 租用戶 變更為您建立 Microsoft Entra 群組的位置。

5. 在 [ 名稱開頭 為] 字段中輸入搜尋準則，然後選取 [ 搜尋]。 如果您將準則保留空白，搜尋會從租用戶傳回所有群組。 如果提示您登入，請使用您指定為 Microsoft Entra 群組擁有者的身分識別。

6. 選擇目標群組，然後選取 [ 確定 ] 以新增群組。 再次選取 [確定 ] 以結束集合的屬性。

等候大約五到七分鐘，您才能在 Azure 入口網站中確認群組成員資格。 若要開始完整同步處理，請選取集合，然後在功能區中選取 [同步處理成員資格]。

使用 PowerShell

您可以使用 PowerShell 來同步處理集合。 如需詳細資訊，請參閱下列 Cmdlet 文章：

Set-CMCollectionCloudSync

監視集合同步處理狀態

1. 在 Configuration Manager 控制台中，移至 [監視 ] 工作區

2. 選 取 [集合雲端同步 ]，然後選取 [ 裝置集合 ] 或 [ 使用者集合] 節點。

3. 檢視會列出已啟用雲端同步處理的所有集合和相關詳細數據。

4. 以滑鼠右鍵按兩下資料行標頭，然後新增其他資料行以檢視詳細資訊。

5. 按兩下每個集合時，您可以在底部索引標籤中檢視集合成員狀態。

6. 成員會根據同步狀態進行分類 - 成功、失敗、進行中。

7. 按兩下 [失敗] 索引標籤時，您可以找到每個成員失敗的原因。

預設資料列：

• 集合識別碼 – 集合的識別碼

• 集合名稱 – 集合的名稱

• Microsoft Entra 群組識別符 – 已設定 Microsoft Entra 群組識別符

• Microsoft Entra 組名 – 已設定 Microsoft Entra 組名

• 雲端同步狀態

  成功：如果所有成員都同步處理為以 Microsoft Entra 群組為目標

  部分成功：如果至少有一個成員同步至目標 Microsoft Entra 群組

  失敗：如果所有成員都無法同步處理為以 Microsoft Entra 群組為目標

  進行中：同步處理正在進行中。

• 成員計數 – 集合成員的計數

• 同步完成 – 成功同步處理的成員計數

• 同步輸入 – 擱置同步處理的成員計數

• 同步失敗 – 成員無法同步處理的計數

選擇性資料列：

• 雲端服務標識碼 – 用於雲端同步處理的 Azure 服務識別碼

• 集合類型 – 裝置或使用者) (集合類型

• 上次完整同步成員計數 – 上次完整同步處理期間同步的成員計數

• 上次完整同步處理狀態 – 上次完整同步處理週期的狀態

• 上次完整同步處理時間 – 上次完整同步處理周期的時間

• 上次同步處理成員計數 - 上次同步處理期間同步的成員計數

• 上次同步狀態 - 上次同步處理週期的狀態

• 上次同步處理時間 - 上次同步處理周期的時間

確認 Microsoft Entra 群組成員資格

1. 前往 Azure 入口網站。

2. 流覽至 [Microsoft Entra ID>群組>][所有群組]。

3. 尋找您建立的群組，然後選取 [成員]。

4. 確認成員反映 Configuration Manager 集合中的資源。 群組中只會顯示具有 Microsoft Entra 身分識別的資源。