コレクション メンバーを Microsoft Entra グループに同期する方法
Microsoft Entra グループへのコレクション メンバーシップの同期を有効にすることができます。 この同期を使用すると、コレクション メンバーシップの結果に基づいて Microsoft Entra グループ メンバーシップを作成することで、クラウド内の既存のオンプレミスグループ化ルールを使用できます。 デバイスまたはユーザー コレクションを同期できます。 Microsoft Entra ID レコードを持つリソースのみが Microsoft Entra グループに反映されます。 Microsoft Entra ハイブリッド参加済みデバイスと Microsoft Entra 参加済みデバイスの両方がサポートされています。 コレクション メンバーシップの同期は、Configuration Manager から Microsoft Entra ID への一方向のプロセスです。 理想的には、Configuration Manager は、対象の Microsoft Entra グループのメンバーシップを管理するための権限である必要があります。
同期は完全または増分のいずれかであり、動作が若干異なります。
完全同期: 有効にした後の最初の同期で発生します。 コレクションを選択し、リボンから [ メンバーシップの同期 ] を選択することで、完全同期を強制できます。 完全同期では、Microsoft Entra グループのメンバーが上書きされます。
増分同期: 5 分ごとに発生します。 Microsoft Entra ID で行われた変更は Configuration Manager コレクションには反映されませんが、Configuration Manager によって上書きされることはありません。
同期シナリオの例:
- Microsoft Entra ID から、 という名前
Group1
のグループを作成し、、、DeviceB
、 を追加DeviceA
しますDeviceC
。- Configuration Manager がグループ メンバーシップを管理する必要があるため、理想的には、オブジェクトは Microsoft Entra ID から追加されません。
- Configuration Manager から、 という名前
Collection1
のコレクションを作成し、 と を追加DeviceB
しますDeviceC
。 - への同期を
Collection1
Group1
有効にします。 - 最初の同期は完全同期であるため、 には、
Group1
とDeviceC
が含まれていますDeviceB
。DeviceA
は、完全同期中にグループから削除されました。 - から
Collection1
削除DeviceC
し、増分同期を待機します。 -
Group1
には のみがDeviceB
含まれるようになりました。 - Microsoft Entra ID から を に
Group1
追加DeviceD
し、増分同期を待機します。 -
Group1
には と がDeviceB
DeviceD
含まれるようになりました。 - Configuration Manager で、 を選択
Collection1
し、リボンから [メンバーシップの同期 ] を選択して、完全同期を強制します。 -
Group1
が含まれるようになりましたDeviceB
Microsoft Entra 同期の前提条件
クラウド管理のための Microsoft Entra ID との統合。コンソールの Azure Service for Cloud Management で ** このテナントの Microsoft Entra 認証を無効にする** オプションをオンにしないでください。これにより、Entra ID 認証を使用したクライアント登録が妨げられます。
HTTPS または 拡張 HTTP 対応管理ポイント
All Systems コレクションへのアクセス
グループを作成し、Microsoft Entra ID で所有者を設定する
Azure portal にサインインし
[Microsoft Entra IDGroups All groups]\(Microsoft Entra ID > グループ\) [すべてのグループ] > に移動します。
[ 新しいグループ] を選択し、[ グループ名] を入力し、必要に応じて [グループの説明] を入力します。
[メンバーシップの種類] が [割り当て済み] になっていることを確認します。
[ 所有者] を選択し、Configuration Manager で同期関係を作成する ID を追加します。
ヒント
Microsoft Entra テナントのサーバー アプリ (サービス 原則) は、作成された Microsoft Entra グループの所有者になります。
[ 作成] を 選択して、Microsoft Entra グループの作成を完了します。
Azure サービスのコレクション同期を有効にする
Configuration Manager コンソールで、[ 管理 ] ワークスペースに移動します。 [ Cloud Services] を展開し、[ Azure Services ] ノードを選択します。
グループを作成した Microsoft Entra テナントのクラウド管理サービスを選択します。 次に、リボンで [ プロパティ] を選択します。
[ コレクション同期 ] タブに切り替え、[ Azure Directory グループ同期を有効にする] オプションを選択します。
[ OK] を選択 して設定を保存します。
コレクションの同期を有効にする
Configuration Manager コンソールで、[ 資産とコンプライアンス ] ワークスペースに移動し、[ デバイス コレクション ] ノードまたは [ ユーザー コレクション ] ノードを選択します。
同期するコレクションを選択します。次に、リボンで [ プロパティ] を選択します。
[ クラウド同期 ] タブに切り替えて、[ 追加] を選択します。
必要に応じて、 テナント を Microsoft Entra グループを作成した場所に変更します。
[ 名前 ] フィールドに検索条件を入力し、[ 検索] を選択します。 条件を空白のままにすると、テナントからすべてのグループが返されます。 サインインを求めるメッセージが表示された場合は、Microsoft Entra グループの所有者として指定した ID を使用します。
ターゲット グループを選択し、[ OK] を 選択してグループを追加します。 もう一度 [OK] を 選択して、コレクションのプロパティを終了します。
Azure portal でグループ メンバーシップを確認できるようになるまで、約 5 ~ 7 分待ちます。 完全同期を開始するには、コレクションを選択し、リボンで [メンバーシップの 同期] を選択します。
PowerShell を使う
PowerShell を使用してコレクションを同期できます。 詳細については、次のコマンドレットの記事を参照してください。
コレクション同期の状態を監視する
Configuration Manager コンソールで、[ 監視 ] ワークスペースに移動します
[ コレクション クラウド同期 ] を選択し、[ デバイス コレクション ] ノードまたは [ ユーザー コレクション ] ノードを選択します。
このビューには、クラウド同期と関連する詳細に対して有効になっているすべてのコレクションが一覧表示されます。
列ヘッダーを右クリックし、追加の列を追加して詳細を表示します。
各コレクションをクリックすると、下部のタブでコレクション メンバーの状態を表示できます。
メンバーは、同期状態 (成功、失敗、進行中) に基づいて分類されます。
[失敗] タブをクリックすると、各メンバーで失敗の理由を確認できます。
既定の列:
コレクション ID – コレクションの ID
コレクション名 – コレクションの名前
Microsoft Entra グループ ID – 構成済みの Microsoft Entra グループ ID
Microsoft Entra グループ名 – 構成済みの Microsoft Entra グループ名
クラウド同期の状態
成功: すべてのメンバーがターゲット Microsoft Entra グループに同期されている場合
部分的な成功: 少なくとも 1 人のメンバーがターゲット Microsoft Entra グループに同期されている場合
失敗: すべてのメンバーがターゲット Microsoft Entra グループへの同期に失敗した場合
進行中: 同期が進行中です。
メンバー数 – コレクションのメンバーの数
同期完了 – 正常に同期されたメンバーの数
同期 InProgress – 同期が保留中のメンバーの数
同期に失敗 – メンバーの数が同期に失敗しました
オプションの列:
クラウド サービス ID – Cloud Sync に使用される Azure サービス ID
コレクションの種類 – コレクションの種類 (デバイスまたはユーザー)
最後の完全同期メンバー数 – 最後の完全同期中に同期されたメンバーの数
最後の完全同期の状態 – 最後の完全同期サイクルの状態
最終完全同期時間 – 最後の完全同期サイクルの時刻
最終同期メンバー数 - 最後の同期中に同期されたメンバーの数
最終同期の状態 - 最後の同期サイクルの状態
最終同期時刻 - 最終同期サイクルの時刻
Microsoft Entra グループ メンバーシップを確認する
Azure portal にアクセスします。
[Microsoft Entra IDGroups All groups]\(Microsoft Entra ID > グループ\) [すべてのグループ] > に移動します。
作成したグループを見つけて、[ メンバー] を選択します。
メンバーが Configuration Manager コレクション内のリソースを反映していることを確認します。 Microsoft Entra ID を持つリソースのみがグループに表示されます。