如何将集合成员同步到Microsoft Entra组

  • 项目

可以启用集合成员身份与Microsoft Entra组的同步。 通过此同步,可以根据集合成员身份结果创建Microsoft Entra组成员身份,从而使用云中现有的本地分组规则。 可以同步设备或用户集合。 只有具有Microsoft Entra ID 记录的资源才会反映在Microsoft Entra组中。 支持Microsoft Entra混合联接和已加入Microsoft Entra的设备。 集合成员身份的同步是从Configuration Manager到Microsoft Entra ID 的单向过程。 理想情况下,Configuration Manager应该是管理目标Microsoft Entra组的成员身份的权限。

同步可以是完全同步,也可以是增量同步,其行为略有不同:

  • 完全同步:在启用后首次同步时发生。 可以通过选择集合,然后从功能区中选择 “同步成员身份” 来强制完全同步。 完全同步将覆盖Microsoft Entra组的成员。

  • 增量同步:每 5 分钟发生一次。 Microsoft Entra ID 中所做的更改不会反映在Configuration Manager集合中,但不会被Configuration Manager覆盖。

示例同步方案:

  1. 从Microsoft Entra ID 创建名为 的Group1组,并添加 DeviceADeviceBDeviceC
    • 理想情况下,不会从Microsoft Entra ID 添加对象,因为Configuration Manager应管理组成员身份。
  2. 从 Configuration Manager 创建名为 的Collection1集合,然后添加 DeviceB、 和 DeviceC
  3. 启用 到 的Collection1Group1同步。
  4. 第一次同步是完全同步,因此现在 Group1 包含 DeviceB、 和 DeviceCDeviceA 在完全同步期间从组中删除。
  5. Collection1 中删除DeviceC并等待增量同步。
  6. Group1 现在仅 DeviceB包含 。
  7. 从Microsoft Entra ID,将 Group1 添加到 DeviceD 并等待增量同步。
  8. Group1 现在包含 DeviceBDeviceD
  9. 从Configuration Manager选择 Collection1,然后从功能区中选择“同步成员身份”以强制完全同步。
  10. Group1 现在仅包含 DeviceB

Microsoft Entra同步的先决条件

创建组并在Microsoft Entra ID 中设置所有者

  1. 登录 Azure 门户

  2. 导航到Microsoft Entra ID>>所有组

  3. 选择“ 新建组”,输入 组名称,并根据需要输入 组说明

  4. 确保 成员身份类型“已分配”。

  5. 选择“所有者”,然后添加将在 Configuration Manager 中创建同步关系的标识。

    提示

    Microsoft Entra租户的服务器应用 (服务主体) 将是所创建Microsoft Entra组的所有者。

  6. 选择“创建”以完成Microsoft Entra组的创建。

为 Azure 服务启用集合同步

  1. 在Configuration Manager控制台中,转到“管理”工作区。 展开云服务,然后选择“Azure 服务”节点。

  2. 为创建组的Microsoft Entra租户选择云管理服务。 然后在功能区中,选择“属性”。

  3. 切换到“ 集合同步 ”选项卡,然后选择 “启用 Azure 目录组同步”选项。

  4. 选择 “确定” 以保存设置。

启用集合以同步

  1. 在Configuration Manager控制台中,转到“资产和符合性”工作区,然后选择“设备集合”或“用户集合”节点。

  2. 选择要同步的集合。然后在功能区中,选择“属性”。

  3. 切换到“ 云同步 ”选项卡,然后选择“ 添加”。

  4. 如有必要,请将租户更改为创建Microsoft Entra组的位置。

  5. “名称开头” 字段中键入搜索条件,然后选择“ 搜索”。 如果将条件留空,搜索将返回租户中的所有组。 如果提示登录,请使用指定为Microsoft Entra组所有者的标识。

  6. 选择目标组,然后选择“ 确定 ”以添加该组。 再次选择“ 确定 ”退出集合的属性。

请等待大约 5 到 7 分钟,然后才能验证Azure 门户中的组成员身份。 若要开始完全同步,请选择集合,然后在功能区中选择“ 同步成员身份”。

将集合同步到Microsoft Entra ID 的屏幕截图。

使用 PowerShell

可以使用 PowerShell 同步集合。 有关详细信息,请参阅以下 cmdlet 文章:

Set-CMCollectionCloudSync

监视集合同步状态

  1. 在Configuration Manager控制台中,转到“监视”工作区

  2. 选择“ 集合云同步 ”,然后选择“ 设备集合 ”或“ 用户集合” 节点。

  3. 该视图列出了启用云同步的所有集合和相关详细信息。

  4. 右键单击列标题并添加其他列以查看详细信息。

  5. 单击每个集合后,可以在底部选项卡中查看集合成员状态。

  6. 成员根据同步状态(成功、失败、正在进行)进行分类。

  7. 单击“失败”选项卡时,可以找到每个成员失败的原因。

集合云同步状态的屏幕截图。

默认列:

  • 集合 ID – 集合 ID

  • 集合名称 - 集合的名称

  • Microsoft Entra组 ID - 配置Microsoft Entra组 ID

  • Microsoft Entra组名称 - 配置Microsoft Entra组名称

  • 云同步状态

    成功:如果所有成员都同步到目标Microsoft Entra组

    部分成功:如果至少有一个成员同步到目标Microsoft Entra组

    失败:如果所有成员未能同步到目标Microsoft Entra组

    正在进行:同步正在进行中。

  • 成员计数 - 集合成员的计数

  • 同步已完成 - 已成功同步的成员计数

  • Sync InProgress - 挂起同步的成员计数

  • 同步失败 - 无法同步的成员计数

可选列:

  • 云服务 ID - 用于云同步的 Azure 服务 ID

  • 集合类型 – 设备或用户) (集合类型

  • 上次完全同步成员计数 - 上次完全同步期间同步的成员计数

  • 上次完全同步状态 - 上次完全同步周期的状态

  • 上次完全同步时间 – 上次完全同步周期的时间

  • 上次同步成员计数 - 上次同步期间同步的成员计数

  • 上次同步状态 - 上次同步周期的状态

  • 上次同步时间 - 上次同步周期的时间

验证Microsoft Entra组成员身份

  1. 转到“Azure 门户”。

  2. 导航到Microsoft Entra ID>>所有组

  3. 找到创建的组,然后选择“ 成员”。

  4. 确认成员是否反映了 Configuration Manager 集合中的资源。 组中仅显示具有Microsoft Entra标识的资源。