如何将设备集合成员同步到Microsoft Entra组

可以启用集合成员身份与Microsoft Entra组的同步。 通过此同步，可以根据集合成员身份结果创建Microsoft Entra组成员身份，从而使用云中现有的本地分组规则。 可以同步设备或用户集合。 只有具有Microsoft Entra ID记录的资源才会反映在Microsoft Entra组中。 支持Microsoft Entra混合联接和已加入Microsoft Entra的设备。 集合成员身份的同步是从Configuration Manager到Microsoft Entra ID的单向过程。 理想情况下，Configuration Manager应该是管理目标Microsoft Entra组的成员身份的权限。

同步可以是完全同步，也可以是增量同步，其行为略有不同：

• 完全同步：在启用后首次同步时发生。 可以通过选择集合，然后从功能区中选择 “同步成员身份” 来强制完全同步。 完全同步将覆盖Microsoft Entra组的成员。

• 增量同步：每 5 分钟发生一次。 Microsoft Entra ID中所做的更改不会反映在Configuration Manager集合中，但不会被Configuration Manager覆盖。

示例同步方案：

1. 从 Microsoft Entra ID 创建名为 的Group1组，并添加 DeviceA、 DeviceB和 DeviceC。
   • 理想情况下，不会从Microsoft Entra ID添加对象，因为Configuration Manager应管理组成员身份。
2. 从 Configuration Manager 创建名为 的Collection1集合，然后添加 DeviceB、 和 DeviceC。
3. 启用 到 的Collection1Group1同步。
4. 第一次同步是完全同步，因此现在 Group1 包含 DeviceB、 和 DeviceC。 DeviceA 在完全同步期间从组中删除。
5. 从 Collection1 中删除DeviceC并等待增量同步。
6. Group1 现在仅 DeviceB包含 。
7. 从 Microsoft Entra ID，将 Group1 添加到 DeviceD 并等待增量同步。
8. Group1 现在包含 DeviceB 和 DeviceD。
9. 从Configuration Manager选择 Collection1，然后从功能区中选择“同步成员身份”以强制完全同步。
10. Group1 现在仅包含 DeviceB

先决条件

• Windows 10 (x64) 或 Windows 11 (x64) 支持的版本

• Windows Server OS 2019 及更高版本 (Standard 或Datacenter)

• 与用于云管理的 Microsoft Entra ID 集成。

• Microsoft Entra用户发现

• HTTPS 或 已启用 HTTP 的增强型管理点

• 访问 All Systems 集合

  注意

  在控制台Azure Services for Cloud Management 下，不能选中“为此租户禁用Microsoft Entra身份验证”选项，因为这样会阻止使用 Entra ID 身份验证进行客户端注册。

在 Microsoft Entra ID 中创建组并设置所有者

1. 登录 Azure 门户。

2. 导航到“Microsoft Entra ID>组>”“所有组”。

3. 选择“ 新建组”，输入 组名称，并根据需要输入 组说明。

4. 确保 成员身份类型 为 “已分配”。

5. 选择“所有者”，然后添加将在 Configuration Manager 中创建同步关系的标识。

   提示

   Microsoft Entra租户的服务器应用 (服务主体) 将是所创建Microsoft Entra组的所有者。

6. 选择“创建”以完成Microsoft Entra组的创建。

为Azure服务启用集合同步

1. 在Configuration Manager控制台中，转到“管理”工作区。 展开云服务，然后选择“Azure服务”节点。

2. 为创建组的Microsoft Entra租户选择云管理服务。 然后在功能区中，选择“属性”。

3. 切换到“集合同步”选项卡，然后选择“启用Azure目录组同步”选项。

4. 选择 “确定” 以保存设置。

启用集合以同步

1. 在Configuration Manager控制台中，转到“资产和符合性”工作区，然后选择“设备集合”或“用户集合”节点。

2. 选择要同步的集合。然后在功能区中，选择“属性”。

3. 切换到“ 云同步 ”选项卡，然后选择“ 添加”。

4. 如有必要，请将租户更改为创建Microsoft Entra组的位置。

5. 在 “名称开头” 字段中键入搜索条件，然后选择“ 搜索”。 如果将条件留空，搜索将返回租户中的所有组。 如果提示登录，请使用指定为Microsoft Entra组所有者的标识。

6. 选择目标组，然后选择“ 确定 ”以添加该组。 再次选择“ 确定 ”退出集合的属性。

请等待大约 5 到 7 分钟，然后才能验证Azure 门户中的组成员身份。 若要开始完全同步，请选择集合，然后在功能区中选择“ 同步成员身份”。

使用 PowerShell

可以使用 PowerShell 同步集合。 有关详细信息，请参阅以下 cmdlet 文章：

Set-CMCollectionCloudSync

监视集合同步状态

1. 在Configuration Manager控制台中，转到“监视”工作区

2. 选择“ 集合云同步 ”，然后选择“ 设备集合 ”或“ 用户集合” 节点。

3. 该视图列出了启用云同步的所有集合和相关详细信息。

4. 右键单击列标题并添加其他列以查看详细信息。

5. 单击每个集合后，可以在底部选项卡中查看集合成员状态。

6. 成员根据同步状态（成功、失败、正在进行）进行分类。

7. 单击“失败”选项卡时，可以找到每个成员失败的原因。

默认列：

• 集合 ID – 集合 ID

• 集合名称 - 集合的名称

• Microsoft Entra组 ID - 配置Microsoft Entra组 ID

• Microsoft Entra组名称 - 配置Microsoft Entra组名称

• 云同步状态

  成功：如果所有成员都同步到目标Microsoft Entra组

  部分成功：如果至少有一个成员同步到目标Microsoft Entra组

  失败：如果所有成员未能同步到目标Microsoft Entra组

  正在进行：同步正在进行中。

• 成员计数 - 集合成员的计数

• 同步已完成 - 已成功同步的成员计数

• Sync InProgress - 挂起同步的成员计数

• 同步失败 - 无法同步的成员计数

可选列：

• 云服务 ID - Azure用于云同步的服务 ID

• 集合类型 – 设备或用户) (集合类型

• 上次完全同步成员计数 - 上次完全同步期间同步的成员计数

• 上次完全同步状态 - 上次完全同步周期的状态

• 上次完全同步时间 – 上次完全同步周期的时间

• 上次同步成员计数 - 上次同步期间同步的成员计数

• 上次同步状态 - 上次同步周期的状态

• 上次同步时间 - 上次同步周期的时间

验证Microsoft Entra组成员身份

1. 转到“Azure 门户”。

2. 导航到“Microsoft Entra ID>组>”“所有组”。

3. 找到创建的组，然后选择“ 成员”。

4. 确认成员是否反映了 Configuration Manager 集合中的资源。 组中仅显示具有Microsoft Entra标识的资源。