Teilen über


Regeln für dynamische Mitgliedschaftsgruppen in Microsoft Entra ID verwalten

Sie können auf Benutzer- oder Geräteattributen basierende Regeln erstellen, um die Mitgliedschaft für dynamische Mitgliedschaftsgruppen in Microsoft Entra ID, Teil von Microsoft Entra, zu aktivieren. Sie können dynamische Mitgliedschaftsgruppen automatisch hinzufügen und entfernen, indem Sie Mitgliedschaftsregeln verwenden, die Mitgliederattributen basieren. In Microsoft Entra kann ein einzelner Mandant maximal 15.000 dynamische Mitgliedschaftsgruppen aufweisen.

In diesem Artikel werden die Eigenschaften und die Syntax zum Erstellen der Regeln für dynamische Mitgliedschaftsgruppen erläutert, die auf Benutzenden oder Geräten basieren.

Hinweis

Sicherheitsgruppen können für Geräte oder Benutzer verwendet werden, Microsoft 365-Gruppen dagegen können nur Benutzer umfassen.

Wenn sich die Attribute eines Benutzer oder Geräts ändern, bewertet das System alle Regeln für dynamische Mitgliedschaftsgruppen in einem Verzeichnis, um zu ermitteln, ob die Änderung irgendwelche Vorgänge zum Hinzufügen oder Löschen von Gruppen auslöst. Wenn ein Benutzer oder ein Gerät eine Regel für eine Gruppe erfüllt, wird dieser/dieses als Mitglied dieser Gruppe hinzugefügt. Wenn sie die Regel nicht mehr erfüllen, werden sie entfernt. Sie können ein Mitglied einer dynamischen Mitgliedschaftsgruppe nicht manuell hinzufügen oder entfernen.

  • Sie können zwar eine dynamische Mitgliedschaftsgruppe für Benutzer oder Geräte erstellen, jedoch keine Regel festlegen, die sowohl Benutzer als auch Geräte enthält.
  • Sie können keine Gerätemitgliedschaftsgruppe basierend auf den Benutzerattributen der Gerätebesitzenden erstellen. Die Regeln für die Gerätemitgliedschaft können sich nur auf Geräteattribute beziehen.

Hinweis

Dieses Feature erfordert für jeden eindeutigen Benutzer, der Mitglied mindestens einer dynamischen Mitgliedschaftsgruppe ist, eine Microsoft Entra ID P1-Lizenz oder Intune for Education. Sie müssen den Benutzern keine Lizenzen zuweisen, damit sie Mitglieder dynamischer Mitgliedschaftsgruppen werden können, aber Sie müssen die Mindestanzahl von Lizenzen in der Microsoft Entra-Organisation haben, um alle diese Benutzer abzudecken. Beispiel: Wenn Sie über insgesamt 1.000 eindeutige Benutzer in allen dynamischen Mitgliedschaftsgruppen Ihrer Organisation verfügen, benötigen Sie mindestens 1.000 Lizenzen für Microsoft Entra ID P1, um die Lizenzanforderung zu erfüllen. Für Geräte, die Mitglied einer dynamischen Mitgliedschaftsgruppe sind, ist keine Lizenz erforderlich.

Regel-Generator im Azure-Portal

Microsoft Entra ID stellt einen Regel-Generator bereit, mit dem Sie wichtige Regeln schneller erstellen und aktualisieren können. Der Regel-Generator unterstützt die Erstellung von bis zu fünf Ausdrücken. Die Erstellung einer Regel mit einigen einfachen Ausdrücken wird durch den Regel-Generator vereinfacht, aber er kann nicht verwendet werden, um jede Regel zu reproduzieren. Falls der Regel-Generator die zu erstellende Regel nicht unterstützt, können Sie das Textfeld verwenden.

Hier finden Sie einige Beispiele für erweiterte Regeln oder Syntax, die die Verwendung des Textfelds erfordern:

Hinweis

Der Regel-Generator kann ggf. einige Regeln, die über das Textfeld erstellt wurden, nicht anzeigen. Unter Umständen wird eine Meldung angezeigt, falls die Regel vom Regel-Generator nicht angezeigt werden kann. Der Regel-Generator nimmt keinerlei Änderungen an der unterstützten Syntax, Überprüfung oder Verarbeitung von Regeln für dynamische Mitgliedschaftsgruppen vor.

Schrittweise Anweisungen dazu finden Sie unter Erstellen oder Aktualisieren einer dynamischen Mitgliedschaftsgruppe.

Screenshot der Mitgliedschaftsregel zum Hinzufügen einer dynamischen Mitgliedschaftsgruppe.

Regelsyntax für einen einzelnen Ausdruck

Ein einzelner Ausdruck ist die einfachste Form einer Mitgliedschaftsregel, und sie besteht nur aus den drei oben genannten Teilen. Eine Regel mit einem einzelnen Ausdruck sieht ähnlich wie in diesem Beispiel aus: Property Operator Value, wobei die Syntax für die Eigenschaft der Name der object.property ist.

Das folgende Beispiel zeigt eine richtig aufgebaute Mitgliedschaftsregel mit einem einzelnen Ausdruck:

user.department -eq "Sales"

Bei einem einzelnen Ausdruck sind Klammern optional. Die Gesamtlänge des Texts der Mitgliedschaftsregel darf 3072 Zeichen nicht überschreiten.

Erstellen des Texts einer Mitgliedschaftsregel

Eine Mitgliedschaftsregel, die eine Gruppe automatisch mit Benutzern oder Geräten auffüllt, ist ein binärer Ausdruck, der als Ergebnis true oder false ergibt. Die drei Teile einer einfachen Regel sind:

  • Eigenschaft
  • Operator
  • Wert

Die Reihenfolge der Teile in einem Ausdruck ist wichtig, um Syntaxfehler zu vermeiden.

Unterstützte Eigenschaften

Es gibt drei Arten von Eigenschaften, die verwendet werden können, um eine Mitgliedschaftsregel zu erstellen.

  • Boole'sche
  • DateTime
  • Zeichenkette
  • Zeichenketten-Sammlung

Im Folgenden sind die Benutzereigenschaften aufgelistet, die Sie verwenden können, um einen einzelnen Ausdruck zu erstellen.

Eigenschaften vom Typ Boole'sche

Eigenschaften Zulässige Werte Verbrauch
accountEnabled true false user.accountEnabled -eq true
dirSyncEnabled true false user.dirSyncEnabled -eq true

Eigenschaften vom Typ DateTime

Eigenschaften Zulässige Werte Verbrauch
employeeHireDate (Vorschau) Beliebiger DateTimeOffset-Wert oder Schlüsselwort system.now user.employeeHireDate -eq "Wert"

Eigenschaften vom Typ Zeichenkette

Eigenschaften Zulässige Werte Verbrauch
Stadt Ein beliebiger Zeichenkettenwert oder null user.city -eq "value"
Country Ein beliebiger Zeichenkettenwert oder null user.country -eq "value"
companyName Ein beliebiger Zeichenkettenwert oder null user.companyName -eq "value"
department Ein beliebiger Zeichenkettenwert oder null user.department -eq "value"
displayName Ein beliebiger Zeichenkettenwert user.displayName -eq "value"
employeeId Ein beliebiger Zeichenkettenwert user.employeeId -eq "value"
user.employeeId -ne null
facsimileTelephoneNumber Ein beliebiger Zeichenkettenwert oder null user.facsimileTelephoneNumber -eq "value"
givenName Ein beliebiger Zeichenkettenwert oder null user.givenName -eq "value"
jobTitle Ein beliebiger Zeichenkettenwert oder null user.jobTitle -eq "value"
mail Ein beliebiger Zeichenkettenwert oder null (SMTP-Adresse des Benutzers) user.mail -eq "value"
mailNickname Ein beliebiger Zeichenkettenwert (E-Mail-Alias des Benutzers) user.mailNickName -eq "value"
memberOf Ein beliebiger Zeichenkettenwert (gültige Gruppenobjekt-ID) user.memberOf -any (group.objectId -in ['value'])
mobile Ein beliebiger Zeichenkettenwert oder null user.mobile -eq "Wert"
objectId GUID des Benutzerobjekts user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbbbb"
onPremisesDistinguishedName Ein beliebiger Zeichenkettenwert oder null user.onPremisesDistinguishedName -eq "value"
onPremisesSecurityIdentifier Lokale Sicherheits-ID (SID) für Benutzer, deren Daten von einem lokalen Standort in die Cloud synchronisiert wurden. user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111"
passwordPolicies Keine
DisableStrongPassword
DisablePasswordExpiration
DisablePasswordExpiration, DisableStrongPassword
user.passwordPolicies -eq "DisableStrongPassword"
physicalDeliveryOfficeName Ein beliebiger Zeichenkettenwert oder null user.physicalDeliveryOfficeName -eq "value"
postalCode Ein beliebiger Zeichenkettenwert oder null user.postalCode -eq "value"
preferredLanguage ISO 639-1 code user.preferredLanguage -eq "en-US"
sipProxyAddress Ein beliebiger Zeichenkettenwert oder null user.sipProxyAddress -eq "value"
state Ein beliebiger Zeichenkettenwert oder null user.state -eq "value"
streetAddress Ein beliebiger Zeichenkettenwert oder null user.streetAddress -eq "value"
Nachname Ein beliebiger Zeichenkettenwert oder null user.surname -eq "value"
telephoneNumber Ein beliebiger Zeichenkettenwert oder null user.telephoneNumber -eq "value"
usageLocation Zwei Buchstaben Land- oder Regionscode user.usageLocation -eq "US"
userPrincipalName Ein beliebiger Zeichenkettenwert user.userPrincipalName -eq "alias@domain"
userType member-Gast null user.userType -eq "Member"

Eigenschaften vom Typ "string collection"

Eigenschaften Zulässige Werte Beispiel
otherMails Ein beliebiger Zeichenkettenwert user.otherMails -startsWith "alias@domain"
proxyAddresses SMTP: alias@domain smtp: alias@domain user.proxyAddresses -startsWith "SMTP: alias@domain"

Die für Geräteregeln verwendeten Eigenschaften finden Sie unter Regeln für Geräte.

Unterstützte Ausdrucksoperatoren

Die folgende Tabelle enthält alle unterstützten Operatoren und deren Syntax für einen einzelnen Ausdruck. Alle Operatoren können mit oder ohne vorangestellten Bindestrich (-) verwendet werden. Der Operator Contains führt teilweise Zeichenketten-Übereinstimmungen durch, aber keine Übereinstimmungen von Elementen in einer Sammlung.

Operator Syntax
Ungleich -ne
Entspricht -eq
Startet nicht mit -notStartsWith
Startet mit -startsWith
Beinhaltet nicht -notContains
Beinhaltet -contains
Keine Übereinstimmung -notMatch
Übereinstimmung -match
In -in
Nicht In -notIn

Mithilfe der Operatoren -in und -notIn

Wenn Sie den Wert eines Benutzerattributs mit einer Reihe mehrerer Werte vergleichen möchten, können Sie die Operatoren -in oder -notIn verwenden. Verwenden Sie die Klammersymbole "[" und "]" für den Anfang und das Ende der Liste von Werten.

Im folgenden Beispiel wird der Ausdruck als true ausgewertet, wenn der Wert von user.department einem der Werte in der Liste entspricht:

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

Verwenden der Operatoren -le und -ge

Sie können die Operatoren für kleiner als (-le) oder größer als (-ge) verwenden, wenn Sie das employeeHireDate-Attribut in Regeln für dynamische Mitgliedschaftsgruppen verwenden.
Beispiele:

user.employeehiredate -ge system.now -plus p1d 

user.employeehiredate -le 2020-06-10T18:13:20Z 

Mithilfe des Operators -match

Der Operator -match wird für Übereinstimmungen mit beliebigen regulären Ausdrücken verwendet. Beispiele:

user.displayName -match "^Da.*"   

Da, Dav, David werden mit true ausgewertet, aDa hingegen mit false.

user.displayName -match ".*vid"

David wird mit true ausgewertet, Da hingegen mit false.

Unterstützte Werte

Die in einem Ausdruck verwendeten Werte können aus mehreren Typen bestehen, Beispiele:

  • Zeichenfolgen
  • Boole'sche - true, false
  • Zahlen
  • Arrays - Zahlenarray, Zeichenkettenarray

Wenn Sie einen Wert in einem Ausdruck angeben, ist es wichtig, die richtige Syntax zu verwenden, um Fehler zu vermeiden. Einige Tipps für die Syntax:

  • Doppelte Anführungszeichen sind optional, es sei denn, der Wert ist eine Zeichenfolge.
  • Bei RegEx und Vorgängen mit Zeichenketten wird die Groß- und Kleinschreibung nicht beachtet.
  • Stellen Sie sicher, dass Eigenschaftennamen ordnungsgemäß wie dargestellt formatiert sind, da die Groß-/Kleinschreibung beachtet wird.
  • Wenn ein Zeichenkettenwert doppelte Anführungszeichen enthält, sollten beide Anführungszeichen mit dem Zeichen ` maskiert werden, z. B. user.department -eq `„Sales`“ ist die richtige Syntax, wenn "Sales" der Wert ist. Einfache Anführungszeichen sollten jeweils mit zwei einfachen Anführungszeichen statt mit nur einem als Escapezeichen versehen werden.
  • Sie können auch NULL-Überprüfungen durchführen, indem Sie NULL als Wert verwenden, Beispiel: user.department -eq null.

Verwenden von NULL-Werten

Zum Angeben eines NULL-Werts in einer Regel können Sie den Wert NULL verwenden.

  • Verwenden Sie -eq oder -ne zum Vergleichen des NULL-Werts in einem Ausdruck.
  • Setzen Sie das Wort NULL nur dann in Anführungszeichen, wenn es als wörtlicher Zeichenkettenwert interpretiert werden soll.
  • Der -not-Operator kann nicht als Vergleichsoperator für NULL verwendet werden. Wenn Sie ihn verwenden, erhalten Sie eine Fehlermeldung, egal ob Sie NULL oder $NULL verwenden.

Die richtige Referenzierung des NULL-Werts erfolgt auf diese Weise:

   user.mail –ne null

Regeln mit mehreren Ausdrücken

Verwaltungsregeln für dynamische Mitgliedschaftsgruppen können aus mehreren Ausdrücken bestehen, die durch die logischen Operatoren -and, -or und -not verbunden sind. Logische Operatoren können auch in Kombination verwendet werden.

Im Folgenden sehen Sie Beispiele für ordnungsgemäß konstruierte Mitgliedschaftsregeln mit mehreren Ausdrücken:

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")

Rangfolge der Operatoren

Alle Operatoren sind unten in der Rangfolge von oben nach unten aufgeführt. Operatoren in der gleichen Zeile haben den gleichen Rang:

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all

Das folgende Beispiel zeigt die Rangfolge der Operatoren, bei dem zwei Ausdrücke für den Benutzer ausgewertet werden:

   user.department –eq "Marketing" –and user.country –eq "US"

Klammern sind nur erforderlich, wenn die Rangfolge nicht Ihren Anforderungen entspricht. Wenn die Abteilung zuerst ausgewertet werden soll, zeigt folgendes Beispiel, wie Klammern verwendet werden können, um die Reihenfolge zu bestimmen:

   user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

Regeln mit komplexen Ausdrücken

Eine Mitgliedschaftsregel kann aus komplexen Ausdrücken bestehen, in denen die Eigenschaften, Operatoren und Werte komplexere Formen annehmen. Ausdrücke werden als komplex angesehen, wenn eine der folgenden Bedingungen zutrifft:

  • Die Eigenschaft besteht aus einer Sammlung von Werten, insbesondere mehrwertigen Eigenschaften
  • In den Ausdrücken werden die Operatoren -any und -all verwendet
  • Der Wert des Ausdrucks kann selbst ein Ausdruck oder mehrere Ausdrücke sein

Mehrwertige Eigenschaften

Mehrwertige Eigenschaften sind Sammlungen von Objekten desselben Typs. Sie können verwendet werden, um mithilfe der logischen Operatoren -any und -all Mitgliedschaftsregel zu erstellen.

Eigenschaften Werte Verbrauch
assignedPlans Jedes Objekt in der Sammlung stellt folgende Zeichenketten-Eigenschaften zur Verfügung: capabilityStatus, service, servicePlanId user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled")
proxyAddresses SMTP: alias@domain smtp: alias@domain (user.proxyAddresses -any (_ -startsWith "contoso"))

Verwenden der Operatoren -any und -all

Sie können die Operatoren -any und -all verwenden, um eine Bedingung auf ein Element oder alle Elemente in der Sammlung anzuwenden.

  • -any (erfüllt, wenn mindestens ein Element in der Auflistung der Bedingung entspricht)
  • -all (erfüllt, wenn alle Elemente in der Auflistung der Bedingung entsprechen)

Beispiel 1

assignedPlans ist eine mehrwertige Eigenschaft, die alle Service-Pläne auflistet, die dem Benutzer zugewiesen sind. Der folgende Ausdruck wählt Benutzer aus, die über einen Serviceplan von Exchange Online (Plan 2) verfügen (als GUID-Wert), der sich im Status Enabled befindet:

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

Mit einer Regel wie dieser können alle Benutzer gruppiert werden, für die eine Microsoft 365-Funktion (oder einen anderen Microsoft-Onlinedienst) aktiviert ist. Sie könnten dann einen Satz von Richtlinien auf die Gruppe anwenden.

Beispiel 2

Der folgende Ausdruck wählt alle Benutzer aus, die über einen Serviceplan verfügen, der mit dem Intune-Dienst (identifizierbar anhand des Dienstnamens "SCO") verknüpft ist:

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")

Beispiel 3

Mit dem folgenden Ausdruck werden alle Benutzer ausgewählt, die über keinen zugewiesenen Dienstplan verfügen:

user.assignedPlans -all (assignedPlan.servicePlanId -eq null)

Verwenden der Syntax mit Unterstrich (_)

Die Syntax mit Unterstrich (_) entspricht dem Vorkommen eines bestimmten Werts in einer mehrwertigen Eigenschaft der Zeichenketten-Sammlung, um Benutzer oder Geräte einer dynamischen Mitgliedschaftsgruppe hinzuzufügen. Die Syntax wird mit den Operatoren -any oder -all verwendet.

Im Folgenden sehen Sie ein Beispiel für die Verwendung des Unterstrichs (_) in einer Regel zum Hinzufügen von Mitgliedern basierend auf user.proxyAddress (identische Funktionsweise wie user.otherMails). Diese Regel fügt der Gruppe jeden Benutzer mit einer Proxyadresse hinzu, die mit „contoso“ beginnt.

(user.proxyAddresses -any (_ -startsWith "contoso"))

Andere Eigenschaften und allgemeine Regeln

Erstellen einer „Mitarbeiter“-Regel

Sie können eine Gruppe erstellen, die alle Mitarbeiter enthält, die einem Manager direkt unterstellt sind. Wenn sich die direkt unterstellten Mitarbeiter eines Managers in der Zukunft ändern, wird die Mitgliedschaft in der Gruppe automatisch angepasst.

Die Mitarbeiterregel wird mithilfe der folgenden Syntax erstellt:

Direct Reports for "{objectID_of_manager}"

Hier ist ein Beispiel für eine gültige Regel, wobei „aaaaaa-0000-1111-2222-bbbbbbbbbbbbbb“ die Objekt-ID des Managers ist:

Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"

Die folgenden Tipps können helfen, die Regel ordnungsgemäß zu verwenden.

  • Die Manager-ID ist die Objekt-ID des Managers. Sie finden sie im Profil des Managers.
  • Damit diese Regel funktioniert, stellen Sie sicher, dass die Eigenschaft Manager für die Benutzer in Ihrer Organisation korrekt festgelegt ist. Sie können den aktuellen Wert im Profil des Benutzers überprüfen.
  • Diese Regel unterstützt nur die dem Manager direkt unterstellten Mitarbeiter. Sie können also keine Gruppe mit dem Manager direkt unterstellten Mitarbeitern und den ihnen unterstellten Mitarbeitern erstellen.
  • Diese Regel kann nicht mit anderen Mitgliedschaftsregeln kombiniert werden.

Erstellen einer Regel für „alle Benutzer“

Sie können mithilfe einer Mitgliedschaftsregel eine Gruppe mit allen Benutzern innerhalb einer Organisation erstellen. Wenn Benutzer in Zukunft zur Organisation hinzugefügt oder daraus entfernt werden, wird die Mitgliedschaft in der Gruppe automatisch angepasst.

Die Regel für „alle Benutzer“ wird mit einem einzelnen Ausdruck mit dem -ne-Operator und dem NULL-Wert erstellt. Mit dieser Regel werden B2B-Gastbenutzer und Mitgliedsbenutzer der Gruppe hinzugefügt.

user.objectId -ne null

Wenn Ihre Gruppe Gastbenutzer ausschließen und nur Mitglieder Ihrer Organisation enthalten soll, können Sie die folgende Syntax verwenden:

(user.objectId -ne null) -and (user.userType -eq "Member")

Erstellen einer Regel für „alle Geräte“

Sie können mithilfe einer Mitgliedschaftsregel eine Gruppe mit allen Geräten innerhalb einer Organisation erstellen. Wenn Geräte in Zukunft zur Organisation hinzugefügt oder daraus entfernt werden, wird die Mitgliedschaft in der Gruppe automatisch angepasst.

Die Regel für „alle Geräte“ wird mit einem einzelnen Ausdruck mit dem -ne-Operator und dem NULL-Wert erstellt:

device.objectId -ne null

Erweiterungseigenschaften und benutzerdefinierte Erweiterungseigenschaften

Erweiterungsattribute und benutzerdefinierte Erweiterungseigenschaften werden als Zeichenketten-Eigenschaften in den Regeln für dynamische Mitgliedschaftsgruppen unterstützt. Erweiterungsattribute können von einer lokalen Windows Server Active Directory-Instanz synchronisiert oder über Microsoft Graph aktualisiert werden und das Format „ExtensionAttributeX“ erhalten, wobei X den Zahlen 1 bis 15 entspricht. Erweiterungseigenschaften mit mehreren Werten werden in dynamischen Mitgliedschaftsgruppen nicht unterstützt.

Dies ist ein Beispiel für eine Regel, die ein Erweiterungsattribut als Eigenschaft verwendet:

(user.extensionAttribute15 -eq "Marketing")

Benutzerdefinierte Erweiterungseigenschaften können von einer lokalen Windows Server Active Directory-Instanz, von einer verbundenen SaaS-Anwendung synchronisiert oder über Microsoft Graph erstellt werden und weisen das Format user.extension_[GUID]_[Attribute] auf. Dabei gilt Folgendes:

  • [GUID] ist die Kurzfassung des eindeutigen Bezeichners in Microsoft Entra ID für die Anwendung, die die Eigenschaft erstellt hat. Sie enthält nur die Zeichen 0–9 und A–Z
  • [Attribute] ist der Name der Eigenschaft bei ihrer Erstellung

Beispiel für eine Regel, die eine benutzerdefinierte Erweiterungseigenschaft verwendet:

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

Benutzerdefinierte Erweiterungseigenschaften werden auch als Verzeichnis- oder Microsoft Entra-Erweiterungseigenschaften bezeichnet.

Den Namen der benutzerdefinierten Eigenschaft finden Sie im Verzeichnis. Fragen Sie dazu die Eigenschaft eines Benutzers mithilfe des Graph-Explorers ab, und suchen Sie nach dem Eigenschaftennamen. Sie können jetzt im Regel-Generator für dynamische Mitgliedschaftsgruppen auf den Link Benutzerdefinierte Erweiterungseigenschaften abrufen klicken, um Ihre eindeutige App-ID einzugeben und die vollständige Liste mit benutzerdefinierten Erweiterungseigenschaften abzurufen, die Sie beim Erstellen einer dynamischen Mitgliedschaftsgruppe verwenden. Diese Liste kann auch aktualisiert werden, um neue benutzerdefinierte Erweiterungseigenschaften für diese App zu erhalten. Erweiterungsattribute und benutzerdefinierte Erweiterungseigenschaften müssen aus Anwendungen in Ihrem Mandanten stammen.

Weitere Informationen finden Sie unter Verwenden der Attribute in dynamischen Mitgliedschaftsgruppen im Artikel Microsoft Entra Connect-Synchronisierung: Verzeichniserweiterungen.

Regeln für Geräte

Sie können auch eine Regel erstellen, die Geräteobjekte für die Mitgliedschaft in einer Gruppe auswählt. Benutzer und Geräte können nicht gleichzeitig Gruppenmitglieder sein.

Hinweis

Das Attribut organizationalUnit ist nicht mehr aufgelistet und sollte nicht verwendet werden. Diese Zeichenkette wird von Intune in bestimmten Fällen festgelegt, aber nicht durch Microsoft Entra ID erkannt, sodass Gruppen keine Geräte basierend auf diesem Attribut hinzugefügt werden.

Das Attribut systemlabels ist schreibgeschützt und kann nicht mit Intune festgelegt werden.

Bei Windows 10 lautet das richtige Format des Attributs deviceOSVersion wie folgt: (device.deviceOSVersion -startsWith "10.0.1"). Die Formatierung kann mit dem PowerShell-Cmdlet Get-MgDevice überprüft werden:

Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'

Die folgenden Geräteattribute können verwendet werden.

Geräteattribut Werte Beispiel
accountEnabled true false device.accountEnabled -eq true
deviceCategory ein gültiger Gerätekategoriename device.deviceCategory -eq "BYOD"
deviceId eine gültige Microsoft Entra Geräte-ID device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d"
deviceManagementAppId eine gültige MDM-Anwendungs-ID in Microsoft Entra ID device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" für Microsoft Intune-verwaltete Geräte oder "54b943f8-d761-4f8d-951e-9cea1846db5a" für mit dem System Center Configuration Manager gemeinsam verwaltete Geräte
deviceManufacturer Ein beliebiger Zeichenkettenwert device.deviceManufacturer -eq "Samsung"
deviceModel Ein beliebiger Zeichenkettenwert device.deviceModel -eq "iPad Air"
displayName Ein beliebiger Zeichenkettenwert device.displayName -eq "Rob iPhone"
deviceOSType Ein beliebiger Zeichenkettenwert (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iPhone")
device.deviceOSType -startsWith "AndroidEnterprise"
device.deviceOSType -eq "AndroidForWork"
device.deviceOSType -eq "Windows"
deviceOSVersion Ein beliebiger Zeichenkettenwert device.deviceOSVersion -eq "9.1"
device.deviceOSVersion -startsWith "10.0.1"
deviceOwnership Personal, Unternehmen, Unbekannt device.deviceOwnership -eq "Company"
devicePhysicalIds Ein beliebiger, von Autopilot verwendete Zeichenkettenwert, z.B. alle Autopilotgeräte, OrderID oder PurchaseOrderID device.devicePhysicalIDs -any _ -startsWith "[ZTDId]"
(device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881"
(device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342"
deviceTrustType AzureAD, ServerAD, Workplace device.deviceTrustType -eq "AzureAD"
enrollmentProfileName Profilname für Apple-Geräteregistrierung, Android Enterprise-Profilname für die Registrierung firmeneigener dedizierter Geräte oder Name des Windows Autopilot-Profils device.enrollmentProfileName -eq "DEP iPhones"
extensionAttribute1 Ein beliebiger Zeichenkettenwert device.extensionAttribute1 -eq "some string value"
extensionAttribute2 Ein beliebiger Zeichenkettenwert device.extensionAttribute2 -eq "some string value"
extensionAttribute3 Ein beliebiger Zeichenkettenwert device.extensionAttribute3 -eq "some string value"
extensionAttribute4 Ein beliebiger Zeichenkettenwert device.extensionAttribute4 -eq "some string value"
extensionAttribute5 Ein beliebiger Zeichenkettenwert device.extensionAttribute5 -eq "some string value"
extensionAttribute6 Ein beliebiger Zeichenkettenwert device.extensionAttribute6 -eq "some string value"
extensionAttribute7 Ein beliebiger Zeichenkettenwert device.extensionAttribute7 -eq "some string value"
extensionAttribute8 Ein beliebiger Zeichenkettenwert device.extensionAttribute8 -eq "some string value"
extensionAttribute9 Ein beliebiger Zeichenkettenwert device.extensionAttribute9 -eq "some string value"
extensionAttribute10 Ein beliebiger Zeichenkettenwert device.extensionAttribute10 -eq "some string value"
extensionAttribute11 Ein beliebiger Zeichenkettenwert device.extensionAttribute11 -eq "some string value"
extensionAttribute12 Ein beliebiger Zeichenkettenwert device.extensionAttribute12 -eq "some string value"
extensionAttribute13 Ein beliebiger Zeichenkettenwert device.extensionAttribute13 -eq "some string value"
extensionAttribute14 Ein beliebiger Zeichenkettenwert device.extensionAttribute14 -eq "some string value"
extensionAttribute15 Ein beliebiger Zeichenkettenwert device.extensionAttribute15 -eq "some string value"
isRooted true false device.isRooted -eq true
managementType MDM (bei mobilen Geräten) device.managementType -eq "MDM"
memberOf Ein beliebiger Zeichenkettenwert (gültige Gruppenobjekt-ID) device.memberOf -any (group.objectId -in ['value'])
objectId eine gültige Microsoft Entra-Objekt-ID device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
profileType ein gültiger Profiltyp in Microsoft Entra ID device.profileType -eq "RegisteredDevice"
systemLabels eine schreibgeschützte Zeichenkette, die mit der Intune-Geräteeigenschaft zum Kennzeichnen von modernen Arbeitsplatzgeräten übereinstimmt device.systemLabels -startsWith "M365Managed" SystemLabels

Hinweis

Bei Verwendung von systemLabels kann ein schreibgeschütztes Attribut, das in verschiedenen Kontexten verwendet wird, z.B. für Geräteverwaltung und Vertraulichkeitsbezeichnung, nicht über Intune bearbeitet werden.
Wenn Sie deviceOwnership verwenden, um dynamische Mitgliedschaftsgruppen für Geräte zu erstellen, müssen Sie den Wert auf Company setzen. In Intune wird der Gerätebesitz dagegen mit „Corporate“ angegeben. Weitere Informationen finden Sie unter OwnerTypes.
Wenn Sie deviceTrustType verwenden, um dynamische Mitgliedschaftsgruppen für Geräte zu erstellen, müssen Sie den Wert gleich AzureAD setzen, um Microsoft Entra-verbundene Geräte zu repräsentieren, ServerAD, um Microsoft Entra-hybrid-verbundene Geräte zu repräsentieren oder Workplace, um Microsoft Entra-registrierte Geräte zu repräsentieren.
Wenn Sie extensionAttribute1-15 verwenden, um dynamische Mitgliedschaftsgruppen für Geräte zu erstellen, müssen Sie den Wert für extensionAttribute1-15 auf dem Gerät einstellen. Weitere Informationen zum Schreiben extensionAttributes auf einem Microsoft Entra-Geräteobjekt

Nächste Schritte

Diese Artikel enthalten zusätzliche Informationen zu Gruppen in Microsoft Entra ID.