コレクション メンバーをMicrosoft Entra グループに同期する方法

  • [アーティクル]

Microsoft Entra グループへのコレクション メンバーシップの同期を有効にすることができます。 この同期を使用すると、コレクション メンバーシップの結果に基づいてMicrosoft Entraグループ メンバーシップを作成することで、クラウド内の既存のオンプレミスグループ化ルールを使用できます。 デバイスまたはユーザー コレクションを同期できます。 Microsoft Entra グループには、Microsoft Entra ID レコードを持つリソースのみが反映されます。 Microsoft Entraハイブリッド参加済みデバイスとMicrosoft Entra参加済みデバイスの両方がサポートされています。 コレクション メンバーシップの同期は、Configuration Managerから Microsoft Entra ID への一方向のプロセスです。 理想的には、Configuration Managerは、ターゲット Microsoft Entra グループのメンバーシップを管理するための権限である必要があります。

同期は完全または増分のいずれかであり、動作が若干異なります。

  • 完全同期: 有効にした後の最初の同期で発生します。 コレクションを選択し、リボンから [ メンバーシップの同期 ] を選択することで、完全同期を強制できます。 完全同期によって、Microsoft Entra グループのメンバーが上書きされます。

  • 増分同期: 5 分ごとに発生します。 Microsoft Entra ID で行われた変更は、Configuration Manager コレクションには反映されませんが、Configuration Managerによって上書きされることはありません。

同期シナリオの例:

  1. Microsoft Entra ID から、 という名前Group1のグループを作成し、、、DeviceB、 を追加DeviceAしますDeviceC
    • Configuration Managerはグループ メンバーシップを管理する必要があるため、Microsoft Entra ID からオブジェクトを追加することが理想的です。
  2. Configuration Managerから、 という名前Collection1のコレクションを作成し、 と を追加DeviceBしますDeviceC
  3. への同期をCollection1Group1有効にします
  4. 最初の同期は完全同期であるため、 には、 Group1DeviceCが含まれていますDeviceBDeviceA は、完全同期中にグループから削除されました。
  5. からCollection1削除DeviceCし、増分同期を待機します。
  6. Group1 には のみが DeviceB含まれるようになりました。
  7. Microsoft Entra ID から を Group1 に追加DeviceDし、増分同期を待機します。
  8. Group1には と がDeviceBDeviceD含まれるようになりました。
  9. Configuration Managerから、 を選択Collection1し、リボンから [メンバーシップの同期] を選択して、完全同期を強制します。
  10. Group1 が含まれるようになりました DeviceB

Microsoft Entra同期の前提条件

グループを作成し、Microsoft Entra ID で所有者を設定する

  1. Azure portal にサインインし

  2. [MICROSOFT ENTRA ID> グループ] [すべてのグループ]> に移動します。

  3. [ 新しいグループ] を選択し、[ グループ名] を入力し、必要に応じて [グループの説明] を入力します。

  4. [メンバーシップの種類] が [割り当て済み] になっていることを確認します。

  5. [所有者] を選択し、Configuration Managerに同期関係を作成する ID を追加します。

    ヒント

    Microsoft Entra テナントのサーバー アプリ (サービス 原則) は、作成されたMicrosoft Entra グループの所有者になります。

  6. [作成] を選択して、Microsoft Entra グループの作成を完了します。

Azure サービスのコレクション同期を有効にする

  1. Configuration Manager コンソールで、[管理] ワークスペースに移動します。 [Cloud Services] を展開し、[Azure Services] ノードを選択します。

  2. グループを作成したMicrosoft Entra テナントのクラウド管理サービスを選択します。 次に、リボンで [ プロパティ] を選択します。

  3. [ コレクション同期 ] タブに切り替え、[ Azure Directory グループ同期を有効にする] オプションを選択します。

  4. [ OK] を選択 して設定を保存します。

コレクションの同期を有効にする

  1. Configuration Manager コンソールで、[資産とコンプライアンス] ワークスペースに移動し、[デバイス コレクション] ノードまたは [ユーザー コレクション] ノードを選択します。

  2. 同期するコレクションを選択します。次に、リボンで [ プロパティ] を選択します。

  3. [ クラウド同期 ] タブに切り替えて、[ 追加] を選択します。

  4. 必要に応じて、テナントを Microsoft Entra グループを作成した場所に変更します。

  5. [ 名前 ] フィールドに検索条件を入力し、[ 検索] を選択します。 条件を空白のままにすると、テナントからすべてのグループが返されます。 サインインを求めるメッセージが表示された場合は、Microsoft Entra グループの所有者として指定した ID を使用します。

  6. ターゲット グループを選択し、[ OK] を 選択してグループを追加します。 もう一度 [OK] を 選択して、コレクションのプロパティを終了します。

Azure portalでグループ メンバーシップを確認するには、約 5 ~ 7 分待ちます。 完全同期を開始するには、コレクションを選択し、リボンで [メンバーシップの 同期] を選択します。

[コレクションを Microsoft Entra ID に同期する] のスクリーンショット。

PowerShell を使う

PowerShell を使用してコレクションを同期できます。 詳細については、次のコマンドレットの記事を参照してください。

Set-CMCollectionCloudSync

コレクション同期の状態を監視する

  1. Configuration Manager コンソールで、[監視] ワークスペースに移動します

  2. [ コレクション クラウド同期 ] を選択し、[ デバイス コレクション ] ノードまたは [ ユーザー コレクション ] ノードを選択します。

  3. このビューには、クラウド同期と関連する詳細に対して有効になっているすべてのコレクションが一覧表示されます。

  4. 列ヘッダーを右クリックし、追加の列を追加して詳細を表示します。

  5. 各コレクションをクリックすると、下部のタブでコレクション メンバーの状態を表示できます。

  6. メンバーは、同期状態 (成功、失敗、進行中) に基づいて分類されます。

  7. [失敗] タブをクリックすると、各メンバーで失敗の理由を確認できます。

コレクション クラウド同期の状態のスクリーンショット。

既定の列:

  • コレクション ID – コレクションの ID

  • コレクション名 – コレクションの名前

  • Microsoft Entra グループ ID – グループ ID Microsoft Entra構成済み

  • Microsoft Entra グループ名 – 構成済みMicrosoft Entraグループ名

  • クラウド同期の状態

    成功: すべてのメンバーがターゲット Microsoft Entra グループに同期されている場合

    部分的な成功: 少なくとも 1 つのメンバーがターゲット Microsoft Entra グループに同期されている場合

    失敗: すべてのメンバーがターゲット Microsoft Entra グループへの同期に失敗した場合

    進行中: 同期が進行中です。

  • メンバー数 – コレクションのメンバーの数

  • 同期完了 – 正常に同期されたメンバーの数

  • 同期 InProgress – 同期が保留中のメンバーの数

  • 同期に失敗 – メンバーの数が同期に失敗しました

オプションの列:

  • クラウド サービス ID – Cloud Sync に使用される Azure サービス ID

  • コレクションの種類 – コレクションの種類 (デバイスまたはユーザー)

  • 最後の完全同期メンバー数 – 最後の完全同期中に同期されたメンバーの数

  • 最後の完全同期の状態 – 最後の完全同期サイクルの状態

  • 最終完全同期時間 – 最後の完全同期サイクルの時刻

  • 最終同期メンバー数 - 最後の同期中に同期されたメンバーの数

  • 最終同期の状態 - 最後の同期サイクルの状態

  • 最終同期時刻 - 最終同期サイクルの時刻

Microsoft Entra グループ メンバーシップを確認する

  1. Azure portal にアクセスします。

  2. [MICROSOFT ENTRA ID> グループ] [すべてのグループ]> に移動します。

  3. 作成したグループを見つけて、[ メンバー] を選択します。

  4. メンバーがConfiguration Manager コレクション内のリソースを反映していることを確認します。 Microsoft Entra ID を持つリソースのみがグループに表示されます。