Synchronisieren von Sammlungsmitgliedern mit Microsoft Entra Gruppen

  • Artikel

Sie können die Synchronisierung von Sammlungsmitgliedschaften mit einer Microsoft Entra Gruppe aktivieren. Mit dieser Synchronisierung können Sie Ihre vorhandenen lokalen Gruppierungsregeln in der Cloud verwenden, indem Sie Microsoft Entra Gruppenmitgliedschaften basierend auf den Ergebnissen der Sammlungsmitgliedschaft erstellen. Sie können Geräte- oder Benutzersammlungen synchronisieren. Nur Ressourcen mit einem Microsoft Entra ID-Datensatz werden in der Microsoft Entra-Gruppe angezeigt. Sowohl Microsoft Entra hybrid eingebundene als auch Microsoft Entra eingebundene Geräte werden unterstützt. Die Synchronisierung von Sammlungsmitgliedschaften ist ein unidirektionales Verfahren von Configuration Manager zu Microsoft Entra ID. Idealerweise sollten Configuration Manager die Autorität für die Verwaltung der Mitgliedschaft für die Ziel-Microsoft Entra-Gruppen sein.

Synchronisierungen können entweder vollständig oder inkrementell sein und verhalten sich etwas anders:

  • Vollständige Synchronisierung: Tritt bei der ersten Synchronisierung nach der Aktivierung auf. Sie können eine vollständige Synchronisierung erzwingen, indem Sie die Sammlung auswählen und dann im Menüband Mitgliedschaft synchronisieren auswählen. Eine vollständige Synchronisierung überschreibt Mitglieder der Microsoft Entra Gruppe.

  • Inkrementelle Synchronisierung: Tritt alle 5 Minuten auf. Änderungen, die an Microsoft Entra ID vorgenommen werden, werden nicht in Configuration Manager Auflistungen wider, aber sie werden nicht von Configuration Manager überschrieben.

Beispiel für ein Synchronisierungsszenario:

  1. Erstellen Sie über Microsoft Entra-ID eine Gruppe namens Group1 , und fügen Sie , DeviceBund DeviceChinzuDeviceA.
    • Im Idealfall werden Objekte nicht aus Microsoft Entra ID hinzugefügt, da Configuration Manager die Gruppenmitgliedschaft verwalten sollte.
  2. Erstellen Sie in Configuration Manager eine Auflistung mit dem Namen Collection1 , und fügen Sie DeviceBdann hinzuDeviceC.
  3. Aktivieren Sie die Synchronisierung für mit Collection1Group1.
  4. Die erste Synchronisierung ist eine vollständige Synchronisierung, Group1 enthält also jetzt DeviceB, und DeviceC. DeviceA wurde während der vollständigen Synchronisierung aus der Gruppe entfernt.
  5. Entfernen Sie DeviceC aus , Collection1 und warten Sie auf eine inkrementelle Synchronisierung.
  6. Group1 enthält jetzt nur DeviceB.
  7. Fügen Sie Microsoft Entra ID hinzu DeviceDGroup1, und warten Sie auf eine inkrementelle Synchronisierung.
  8. Group1 enthält DeviceB jetzt und DeviceD.
  9. Wählen Sie Configuration Manager ausCollection1, und wählen Sie im Menüband Mitgliedschaft synchronisieren aus, um eine vollständige Synchronisierung zu erzwingen.
  10. Group1 enthält jetzt nur DeviceB

Voraussetzungen für Microsoft Entra Synchronisierung

Erstellen einer Gruppe und Festlegen des Besitzers in Microsoft Entra ID

  1. Melden Sie sich beim Azure-Portal an.

  2. Navigieren Sie zu Microsoft Entra ID-Gruppen>>Alle Gruppen.

  3. Wählen Sie Neue Gruppe aus, geben Sie einen Gruppennamen ein, und geben Sie optional eine Gruppenbeschreibung ein.

  4. Stellen Sie sicher, dass der MitgliedschaftstypZugewiesen ist.

  5. Wählen Sie Besitzer aus, und fügen Sie dann die Identität hinzu, die die Synchronisierungsbeziehung in Configuration Manager erstellt.

    Tipp

    Die Server-App (Dienstprinzipal) Microsoft Entra Mandanten ist der Besitzer der erstellten Microsoft Entra Gruppe.

  6. Wählen Sie Erstellen aus, um die Erstellung der Microsoft Entra Gruppe abzuschließen.

Aktivieren der Sammlungssynchronisierung für den Azure-Dienst

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung. Erweitern Sie Cloud Services, und wählen Sie den Knoten Azure-Dienste aus.

  2. Wählen Sie den Cloudverwaltungsdienst für den Microsoft Entra Mandanten aus, in dem Sie die Gruppe erstellt haben. Wählen Sie dann im Menüband Eigenschaften aus.

  3. Wechseln Sie zur Registerkarte Sammlungssynchronisierung , und wählen Sie die Option Azure Directory-Gruppensynchronisierung aktivieren aus.

  4. Wählen Sie OK aus, um die Einstellung zu speichern.

Aktivieren der Synchronisierung der Sammlung

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Bestand und Kompatibilität, und wählen Sie entweder den Knoten Gerätesammlungen oder Benutzersammlungen aus.

  2. Wählen Sie die zu synchronisierende Sammlung aus. Wählen Sie dann im Menüband Eigenschaften aus.

  3. Wechseln Sie zur Registerkarte Cloudsynchronisierung , und wählen Sie Hinzufügen aus.

  4. Ändern Sie bei Bedarf den Mandanten in den Speicherort, an dem Sie die Microsoft Entra Gruppe erstellt haben.

  5. Geben Sie ihre Suchkriterien in das Feld Name beginnt mit ein, und wählen Sie dann Suchen aus. Wenn Sie die Kriterien leer lassen, gibt die Suche alle Gruppen aus dem Mandanten zurück. Wenn Sie aufgefordert werden, sich anzumelden, verwenden Sie die Identität, die Sie als Besitzer für die Microsoft Entra Gruppe angegeben haben.

  6. Wählen Sie die Zielgruppe und dann OK aus, um die Gruppe hinzuzufügen. Wählen Sie erneut OK aus, um die Eigenschaften der Sammlung zu beenden.

Warten Sie etwa fünf bis sieben Minuten, bevor Sie die Gruppenmitgliedschaften im Azure-Portal überprüfen können. Um eine vollständige Synchronisierung zu starten, wählen Sie die Sammlung und dann im Menüband Mitgliedschaft synchronisieren aus.

Screenshot: Synchronisieren von Sammlungen mit Microsoft Entra ID

PowerShell verwenden

Sie können PowerShell verwenden, um Sammlungen zu synchronisieren. Weitere Informationen finden Sie im folgenden Cmdlet-Artikel:

Set-CMCollectionCloudSync

Überwachen der status der Sammlungssynchronisierung

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Überwachung.

  2. Wählen Sie Sammlungscloudsynchronisierung und dann entweder den Knoten Gerätesammlungen oder Benutzersammlungen aus.

  3. Die Ansicht listet alle Sammlungen auf, die für die Cloudsynchronisierung aktiviert sind, und relevante Details.

  4. Klicken Sie mit der rechten Maustaste auf die Spaltenüberschrift, und fügen Sie zusätzliche Spalten hinzu, um weitere Informationen anzuzeigen.

  5. Wenn Sie auf jede Sammlung klicken, können Sie auf der unteren Registerkarte status sammlungselement anzeigen.

  6. Die Mitglieder werden basierend auf Synchronisierungs-status – Erfolg, Fehler, In Bearbeitung kategorisiert.

  7. Wenn Sie auf die Registerkarte Fehler klicken, können Sie den Grund für den Fehler für jedes Mitglied finden.

Screenshot: Cloudsynchronisierungsstatus von Sammlungen.

Standardspalten:

  • Sammlungs-ID – ID der Sammlung

  • Sammlungsname – Name der Sammlung

  • Microsoft Entra Gruppen-ID– Konfigurierte Microsoft Entra Gruppen-ID

  • Microsoft Entra Gruppenname– Konfigurierter Microsoft Entra Gruppenname

  • Cloudsynchronisierungsstatus

    Erfolg: Wenn alle Mitglieder mit Microsoft Entra Zielgruppe synchronisiert werden

    Teilerfolg: Wenn mindestens ein Mitglied mit Microsoft Entra Zielgruppe synchronisiert wird

    Fehler: Wenn alle Mitglieder nicht mit Microsoft Entra Gruppe synchronisiert werden konnten

    In Bearbeitung: Die Synchronisierung wird ausgeführt.

  • Memberanzahl – Anzahl der Sammlungsmitglieder

  • Synchronisierung abgeschlossen – Anzahl der erfolgreich synchronisierten Mitglieder

  • Sync InProgress – Anzahl der Mitglieder, die die Synchronisierung ausstehen

  • Fehler bei der Synchronisierung: Anzahl der Mitglieder, die nicht synchronisiert werden konnten

Optionale Spalten:

  • Clouddienst-ID: Azure-Dienst-ID, die für die Cloudsynchronisierung verwendet wird

  • Sammlungstyp – Sammlungstyp (Gerät oder Benutzer)

  • Anzahl der Mitglieder der letzten vollständigen Synchronisierung: Anzahl der Mitglieder, die während der letzten vollständigen Synchronisierung synchronisiert wurden

  • Status der letzten vollständigen Synchronisierung: Status des letzten vollständigen Synchronisierungszyklus

  • Letzte vollständige Synchronisierungszeit – Zeitpunkt des letzten vollständigen Synchronisierungszyklus

  • Anzahl der Mitglieder der letzten Synchronisierung: Anzahl der Mitglieder, die während der letzten Synchronisierung synchronisiert wurden

  • Status der letzten Synchronisierung: Status des letzten Synchronisierungszyklus

  • Zeitpunkt der letzten Synchronisierung – Zeitpunkt des letzten Synchronisierungszyklus

Überprüfen der Microsoft Entra Gruppenmitgliedschaft

  1. Gehen Sie zum Azure-Portal.

  2. Navigieren Sie zu Microsoft Entra ID-Gruppen>>Alle Gruppen.

  3. Suchen Sie die gruppe, die Sie erstellt haben, und wählen Sie Mitglieder aus.

  4. Vergewissern Sie sich, dass die Elemente die Ressourcen in der Configuration Manager-Auflistung widerspiegeln. Nur Ressourcen mit Microsoft Entra Identität werden in der Gruppe angezeigt.