如何将集合成员同步到 Microsoft Entra 组

可以启用集合成员身份与 Microsoft Entra 组的同步。 通过此同步，可以根据集合成员身份结果创建 Microsoft Entra 组成员身份，从而使用云中现有的本地分组规则。 可以同步设备或用户集合。 只有具有 Microsoft Entra ID 记录的资源才会反映在 Microsoft Entra 组中。 支持已加入 Microsoft Entra 混合和已加入 Microsoft Entra 的设备。 集合成员身份的同步是从 Configuration Manager 到 Microsoft Entra ID 的单向过程。 理想情况下，Configuration Manager 应是管理目标 Microsoft Entra 组的成员身份的权限。

同步可以是完全同步，也可以是增量同步，其行为略有不同：

• 完全同步：在启用后首次同步时发生。 可以通过选择集合，然后从功能区中选择 “同步成员身份” 来强制完全同步。 完全同步将覆盖 Microsoft Entra 组的成员。

• 增量同步：每 5 分钟发生一次。 在 Microsoft Entra ID 中所做的更改不会反映在 Configuration Manager 集合中，但 Configuration Manager 不会覆盖这些更改。

示例同步方案：

1. 从 Microsoft Entra ID 创建名为 的 Group1 组，并添加 DeviceA、 DeviceB和 DeviceC。
   • 理想情况下，不会从 Microsoft Entra ID 添加对象，因为 Configuration Manager 应管理组成员身份。
2. 在 Configuration Manager 中创建名为 的 Collection1 集合，然后添加 DeviceB、 和 DeviceC。
3. 启用 到 的Collection1Group1同步。
4. 第一次同步是完全同步，因此现在 Group1 包含 DeviceB、 和 DeviceC。 DeviceA 在完全同步期间从组中删除。
5. 从 Collection1 中删除DeviceC并等待增量同步。
6. Group1 现在仅 DeviceB包含 。
7. 在 Microsoft Entra ID 中，将 Group1 添加到 DeviceD 并等待增量同步。
8. Group1 现在包含 DeviceB 和 DeviceD。
9. 在 Configuration Manager 中，选择 Collection1，然后从功能区中选择 “同步成员身份 ”以强制完全同步。
10. Group1 现在仅包含 DeviceB

Microsoft Entra 同步的先决条件

• 与 Microsoft Entra ID 集成，用于 云管理。不得选中控制台中 Azure Cloud Management 服务下**为此租户禁用 Microsoft Entra 身份验证**的选项，因为这样会阻止使用 Entra ID 身份验证进行客户端注册。

• Microsoft Entra 用户发现

• HTTPS 或 已启用 HTTP 的增强型管理点

• 访问 All Systems 集合

在 Microsoft Entra ID 中创建组并设置所有者

1. 登录 Azure 门户。

2. 导航到 “Microsoft Entra ID>组>”“所有组”。

3. 选择“ 新建组”，输入 组名称，并根据需要输入 组说明。

4. 确保 成员身份类型 为 “已分配”。

5. 选择“ 所有者”，然后添加将在 Configuration Manager 中创建同步关系的标识。

   提示

   Microsoft Entra 租户的服务器应用 (服务主体) 将是创建的 Microsoft Entra 组的所有者。

6. 选择“ 创建 ”以完成 Microsoft Entra 组的创建。

为 Azure 服务启用集合同步

1. 在 Configuration Manager 控制台中，转到 “管理 ”工作区。 展开 “云服务”，然后选择“ Azure 服务 ”节点。

2. 为创建组的 Microsoft Entra 租户选择云管理服务。 然后在功能区中，选择“属性”。

3. 切换到“ 集合同步 ”选项卡，然后选择 “启用 Azure 目录组同步”选项。

4. 选择 “确定” 以保存设置。

启用集合以同步

1. 在 Configuration Manager 控制台中，转到 “资产和符合性” 工作区，然后选择“ 设备集合 ”或“ 用户集合” 节点。

2. 选择要同步的集合。然后在功能区中，选择“属性”。

3. 切换到“ 云同步 ”选项卡，然后选择“ 添加”。

4. 如有必要，请将 租户 更改为创建 Microsoft Entra 组的位置。

5. 在 “名称开头” 字段中键入搜索条件，然后选择“ 搜索”。 如果将条件留空，搜索将返回租户中的所有组。 如果提示登录，请使用指定为 Microsoft Entra 组所有者的标识。

6. 选择目标组，然后选择“ 确定 ”以添加该组。 再次选择“ 确定 ”退出集合的属性。

请等待大约 5 到 7 分钟，然后才能在 Azure 门户中验证组成员身份。 若要开始完全同步，请选择集合，然后在功能区中选择“ 同步成员身份”。

使用 PowerShell

可以使用 PowerShell 同步集合。 有关详细信息，请参阅以下 cmdlet 文章：

Set-CMCollectionCloudSync

监视集合同步状态

1. 在 Configuration Manager 控制台中，转到 “监视 ”工作区

2. 选择“ 集合云同步 ”，然后选择“ 设备集合 ”或“ 用户集合” 节点。

3. 该视图列出了启用云同步的所有集合和相关详细信息。

4. 右键单击列标题并添加其他列以查看详细信息。

5. 单击每个集合后，可以在底部选项卡中查看集合成员状态。

6. 成员根据同步状态（成功、失败、正在进行）进行分类。

7. 单击“失败”选项卡时，可以找到每个成员失败的原因。

默认列：

• 集合 ID – 集合 ID

• 集合名称 - 集合的名称

• Microsoft Entra 组 ID - 配置的 Microsoft Entra 组 ID

• Microsoft Entra 组名称 - 配置的 Microsoft Entra 组名称

• 云同步状态

  成功：如果所有成员都同步到目标 Microsoft Entra 组

  部分成功：如果至少有一个成员同步到目标 Microsoft Entra 组

  失败：如果所有成员未能同步到目标 Microsoft Entra 组

  正在进行：同步正在进行中。

• 成员计数 - 集合成员的计数

• 同步已完成 - 已成功同步的成员计数

• Sync InProgress - 挂起同步的成员计数

• 同步失败 - 无法同步的成员计数

可选列：

• 云服务 ID - 用于云同步的 Azure 服务 ID

• 集合类型 – 设备或用户) (集合类型

• 上次完全同步成员计数 - 上次完全同步期间同步的成员计数

• 上次完全同步状态 - 上次完全同步周期的状态

• 上次完全同步时间 – 上次完全同步周期的时间

• 上次同步成员计数 - 上次同步期间同步的成员计数

• 上次同步状态 - 上次同步周期的状态

• 上次同步时间 - 上次同步周期的时间

验证 Microsoft Entra 组成员身份

1. 转到“Azure 门户”。

2. 导航到 “Microsoft Entra ID>组>”“所有组”。

3. 找到创建的组，然后选择“ 成员”。

4. 确认成员是否反映了 Configuration Manager 集合中的资源。 组中仅显示具有 Microsoft Entra 标识的资源。