Come sincronizzare i membri della raccolta con i gruppi di Microsoft Entra

  • Articolo

È possibile abilitare la sincronizzazione delle appartenenze alla raccolta con un gruppo Microsoft Entra. Questa sincronizzazione consente di usare le regole di raggruppamento locali esistenti nel cloud creando appartenenze al gruppo Microsoft Entra in base ai risultati dell'appartenenza alla raccolta. È possibile sincronizzare le raccolte di dispositivi o utenti. Solo le risorse con un record DI Microsoft Entra vengono riflesse nel gruppo Microsoft Entra. Sono supportati sia i dispositivi aggiunti a Microsoft Entra ibrido che i dispositivi aggiunti a Microsoft Entra. La sincronizzazione delle appartenenze alla raccolta è un processo unidirezionale da Configuration Manager a Microsoft Entra ID. In teoria, Configuration Manager deve essere l'autorità per gestire l'appartenenza ai gruppi di Microsoft Entra di destinazione.

Le sincronizzazioni possono essere complete o incrementali e presentano comportamenti leggermente diversi:

  • Sincronizzazione completa: si verifica alla prima sincronizzazione dopo l'abilitazione. È possibile forzare una sincronizzazione completa selezionando la raccolta e quindi scegliendo Sincronizza appartenenza dalla barra multifunzione. Una sincronizzazione completa sovrascriverà i membri del gruppo Microsoft Entra.

  • Sincronizzazione incrementale: si verifica ogni 5 minuti. Le modifiche apportate in Microsoft Entra ID non si riflettono nelle raccolte di Configuration Manager, ma non vengono sovrascritte da Configuration Manager.

Scenario di sincronizzazione di esempio:

  1. Da Microsoft Entra ID creare un gruppo denominato Group1 e aggiungere DeviceA, DeviceBe DeviceC.
    • Idealmente, gli oggetti non verranno aggiunti da Microsoft Entra ID perché Configuration Manager deve gestire l'appartenenza al gruppo.
  2. Da Configuration Manager creare una raccolta denominata Collection1 quindi aggiungere DeviceBe DeviceC.
  3. Abilitare la sincronizzazione da Collection1 a Group1.
  4. La prima sincronizzazione è una sincronizzazione completa, Group1 quindi ora contiene DeviceB, e DeviceC. DeviceA è stato rimosso dal gruppo durante la sincronizzazione completa.
  5. Rimuovere DeviceC da Collection1 e attendere una sincronizzazione incrementale.
  6. Group1 ora contiene solo DeviceB.
  7. Da Microsoft Entra ID aggiungere DeviceD a Group1 e attendere una sincronizzazione incrementale.
  8. Group1 contiene DeviceB ora e DeviceD.
  9. In Configuration Manager selezionare Collection1e scegliere Sincronizza appartenenza dalla barra multifunzione per forzare una sincronizzazione completa.
  10. Group1 ora contiene solo DeviceB

Prerequisiti per la sincronizzazione di Microsoft Entra

  • Integrazione con Microsoft Entra ID per la gestione cloud. L'opzione ** Disabilitare l'autenticazione di Microsoft Entra per questo tenant** in Servizio di Azure per la gestione cloud nella console non deve essere controllata perché ciò impedisce la registrazione client tramite l'autenticazione ID entra.

  • Individuazione utente di Microsoft Entra

  • Un punto di gestione https o migliorato abilitato per HTTP

  • Accesso alla raccolta Tutti i sistemi

Creare un gruppo e impostare il proprietario in Microsoft Entra ID

  1. Accedere al portale di Azure.

  2. Passare a Microsoft Entra ID> Groups All groups (Tutti>i gruppi).

  3. Selezionare Nuovo gruppo, immettere un nome di gruppo e, facoltativamente, immettere una descrizione del gruppo.

  4. Assicurarsi che il tipo di appartenenza sia Assegnato.

  5. Selezionare Proprietari, quindi aggiungere l'identità che creerà la relazione di sincronizzazione in Configuration Manager.

    Consiglio

    L'app server (principio di servizio) del tenant di Microsoft Entra sarà il proprietario del gruppo Microsoft Entra creato.

  6. Selezionare Crea per completare la creazione del gruppo Microsoft Entra.

Abilitare la sincronizzazione delle raccolte per il servizio di Azure

  1. Nella console di Configuration Manager passare all'area di lavoro Amministrazione . Espandere Servizi cloud e selezionare il nodo Servizi di Azure .

  2. Selezionare il servizio di gestione cloud per il tenant di Microsoft Entra in cui è stato creato il gruppo. Quindi nella barra multifunzione selezionare Proprietà.

  3. Passare alla scheda Sincronizzazione raccolta e selezionare l'opzione Abilita Sincronizzazione gruppo di directory di Azure.

  4. Selezionare OK per salvare l'impostazione.

Abilitare la sincronizzazione della raccolta

  1. Nella console di Configuration Manager passare all'area di lavoro Asset e conformità e selezionare il nodo Raccolte dispositivi o Raccolte utenti .

  2. Selezionare la raccolta da sincronizzare. Quindi nella barra multifunzione selezionare Proprietà.

  3. Passare alla scheda Sincronizzazione cloud e selezionare Aggiungi.

  4. Se necessario, modificare il tenant in cui è stato creato il gruppo Microsoft Entra.

  5. Digitare i criteri di ricerca nel campo Nome inizia con e quindi selezionare Cerca. Se si lasciano vuoti i criteri, la ricerca restituisce tutti i gruppi dal tenant. Se viene richiesto di accedere, usare l'identità specificata come proprietario per il gruppo Microsoft Entra.

  6. Scegliere il gruppo di destinazione e quindi selezionare OK per aggiungere il gruppo. Selezionare di nuovo OK per uscire dalle proprietà della raccolta.

Attendere circa 5-7 minuti prima di poter verificare le appartenenze ai gruppi nel portale di Azure. Per avviare una sincronizzazione completa, selezionare la raccolta e quindi nella barra multifunzione selezionare Sincronizza appartenenza.

Screenshot di Synchronize collections to Microsoft Entra ID (Sincronizza raccolte con l'ID Microsoft Entra).

Usare PowerShell.

È possibile usare PowerShell per sincronizzare le raccolte. Per altre informazioni, vedere l'articolo cmdlet seguente:

Set-CMCollectionCloudSync

Monitorare lo stato di sincronizzazione della raccolta

  1. Nella console di Configuration Manager passare all'area di lavoro Monitoraggio

  2. selezionare Sincronizzazione cloud raccolta e selezionare il nodo Raccolte dispositivi o Raccolte utenti .

  3. La visualizzazione elenca tutte le raccolte abilitate per la sincronizzazione cloud e i dettagli pertinenti.

  4. Fare clic con il pulsante destro del mouse sull'intestazione di colonna e aggiungere altre colonne per visualizzare altre informazioni.

  5. Facendo clic su ogni raccolta, è possibile visualizzare lo stato dei membri della raccolta nella scheda inferiore.

  6. I membri sono categorizzati in base allo stato di sincronizzazione- Operazione riuscita, Non riuscita, In corso.

  7. Facendo clic sulla scheda Non riuscito è possibile trovare il motivo dell'errore in ogni membro.

Screenshot dello stato della sincronizzazione cloud delle raccolte.

Colonne predefinite:

  • ID raccolta - ID della raccolta

  • Nome raccolta : nome della raccolta

  • ID gruppo Microsoft Entra - ID gruppo Microsoft Entra configurato

  • Nome gruppo Microsoft Entra - Nome gruppo Microsoft Entra configurato

  • Stato Sincronizzazione cloud

    Operazione riuscita: se tutti i membri sono sincronizzati per il gruppo Microsoft Entra di destinazione

    Esito positivo parziale: se almeno un membro è sincronizzato per il gruppo Microsoft Entra di destinazione

    Non riuscito: se tutti i membri non sono riusciti a eseguire la sincronizzazione per il gruppo Microsoft Entra di destinazione

    In corso: la sincronizzazione è in corso.

  • Member Count - Conteggio dei membri della raccolta

  • Sincronizzazione completata : numero di membri sincronizzati correttamente

  • Sync InProgress - Conteggio dei membri in attesa di sincronizzazione

  • Sincronizzazione non riuscita: il numero di membri non è riuscito a eseguire la sincronizzazione

Colonne facoltative:

  • ID servizio cloud - ID servizio di Azure usato per la sincronizzazione cloud

  • Tipo di raccolta : tipo di raccolta (dispositivo o utente)

  • Ultimo numero di membri di sincronizzazione completa : numero di membri sincronizzati durante l'ultima sincronizzazione completa

  • Ultimo stato di sincronizzazione completa - Stato dell'ultimo ciclo di sincronizzazione completo

  • Ora ultima sincronizzazione completa - Ora dell'ultimo ciclo di sincronizzazione completo

  • Conteggio membri ultima sincronizzazione - Numero di membri sincronizzati durante l'ultima sincronizzazione

  • Stato ultima sincronizzazione - Stato dell'ultimo ciclo di sincronizzazione

  • Ora ultima sincronizzazione - Ora dell'ultimo ciclo di sincronizzazione

Verificare l'appartenenza al gruppo Microsoft Entra

  1. Andare al portale di Azure.

  2. Passare a Microsoft Entra ID> Groups All groups (Tutti>i gruppi).

  3. Trovare il gruppo creato e selezionare Membri.

  4. Verificare che i membri riflettano le risorse nella raccolta di Configuration Manager. Nel gruppo vengono visualizzate solo le risorse con identità di Microsoft Entra.