Regeln für eine dynamische Mitgliedschaft für Gruppen in Azure Active Directory
Sie können attributbasierte Regeln erstellen, um die dynamische Mitgliedschaft für eine Gruppe in Azure Active Directory (Azure AD), Teil von Microsoft Entra, zu aktivieren. Die dynamische Gruppenmitgliedschaft fügt Gruppenmitglieder automatisch mithilfe von Mitgliedschaftsregeln basierend auf Mitgliedsattributen hinzu und entfernt sie. In diesem Artikel werden die Eigenschaften und die Syntax zum Erstellen der Regeln für eine dynamische Mitgliedschaft für Benutzer oder Geräte erläutert. Sie können eine Regel für die dynamische Mitgliedschaft für Sicherheits- oder Microsoft 365-Gruppen einrichten.
Wenn sich die Attribute eines Benutzers oder Geräts ändern, bewertet das System alle dynamischen Gruppenregel in einem Verzeichnis, um zu ermitteln, ob die Änderung irgendwelche Vorgänge zum Hinzufügen oder Löschen von Gruppen auslöst. Falls ein Benutzer oder Gerät wird als Mitglied zu einer Gruppe hinzugefügt, wenn eine Regel dieser Gruppe erfüllt wird. Wenn sie die Regel nicht mehr erfüllen, werden sie entfernt. Sie können ein Mitglied einer dynamischen Gruppe nicht manuell hinzufügen oder entfernen.
- Sie können zwar eine dynamische Gruppe für Geräte oder Benutzer erstellen, jedoch keine Regel festlegen, die sowohl Benutzer als auch Geräte enthält.
- Sie können keine Gerätegruppe basierend auf den Benutzerattributen der Gerätebesitzer erstellen. Regeln für die Gerätemitgliedschaft können nur Geräteattribute referenzieren.
Hinweis
Dieses Feature erfordert für jeden eindeutigen Benutzer, der Mitglied mindestens einer dynamischen Gruppe ist, eine Azure AD Premium P1-Lizenz oder Intune for Education. Sie müssen den Benutzern keine Lizenzen zuweisen, damit sie Mitglieder dynamischer Gruppen werden können, aber Sie müssen die Mindestanzahl von Lizenzen in der Azure AD-Organisation haben, um alle diese Benutzer abzudecken. Beispiel: Wenn Sie über insgesamt 1.000 eindeutige Benutzer in allen dynamischen Gruppen Ihrer Organisation verfügen, benötigen Sie mindestens 1.000 Lizenzen für Azure AD Premium P1 oder höher, um die Lizenzanforderung zu erfüllen. Für Geräte, die Mitglied einer dynamischen Gerätegruppe sind, ist keine Lizenz erforderlich.
Regel-Generator im Azure-Portal
Azure AD stellt einen Regel-Generator bereit, mit dem Sie wichtige Regeln schneller erstellen und aktualisieren können. Der Regel-Generator unterstützt die Erstellung von bis zu fünf Ausdrücken. Die Erstellung einer Regel mit einigen einfachen Ausdrücken wird durch den Regel-Generator vereinfacht, aber er kann nicht verwendet werden, um jede Regel zu reproduzieren. Falls der Regel-Generator die zu erstellende Regel nicht unterstützt, können Sie das Textfeld verwenden.
Im Anschluss folgen einige Beispiele für erweiterte Regeln oder für Syntax, für die die Erstellung über das Textfeld empfohlen wird:
- Regel mit mehr als fünf Ausdrücken
- Mitarbeiterregel
- Festlegen der Rangfolge der Operatoren
- Regeln mit komplexen Ausdrücken, z. B.
(user.proxyAddresses -any (_ -contains "contoso"))
Hinweis
Der Regel-Generator kann ggf. einige Regeln, die über das Textfeld erstellt wurden, nicht anzeigen. Unter Umständen wird eine Meldung angezeigt, falls die Regel vom Regel-Generator nicht angezeigt werden kann. Der Regel-Generator nimmt keinerlei Änderungen an der unterstützten Syntax, Überprüfung oder Verarbeitung von Regeln für dynamische Gruppen vor.
Schrittweise Anweisungen dazu finden Sie unter Erstellen oder Aktualisieren einer dynamischen Gruppe.
Regelsyntax für einen einzelnen Ausdruck
Ein einzelner Ausdruck ist die einfachste Form einer Mitgliedschaftsregel, und sie besteht nur aus den drei oben genannten Teilen. Eine Regel mit einem einzelnen Ausdruck sieht ähnlich wie in diesem Beispiel aus: Property Operator Value, wobei die Syntax für die Eigenschaft der Name von „object.property“ ist.
Das folgende Beispiel zeigt eine richtig aufgebaute Mitgliedschaftsregel mit einem einzelnen Ausdruck:
user.department -eq "Sales"
Bei einem einzelnen Ausdruck sind Klammern optional. Die Gesamtlänge des Texts der Mitgliedschaftsregel darf 3072 Zeichen nicht überschreiten.
Erstellen des Texts einer Mitgliedschaftsregel
Eine Mitgliedschaftsregel, die eine Gruppe automatisch mit Benutzern oder Geräten auffüllt, ist ein binärer Ausdruck, der als Ergebnis „true“ oder „false“ ergibt. Die drei Teile einer einfachen Regel sind:
- Eigenschaft
- Operator
- Wert
Die Reihenfolge der Teile in einem Ausdruck ist wichtig, um Syntaxfehler zu vermeiden.
Unterstützte Eigenschaften
Es gibt drei Arten von Eigenschaften, die verwendet werden können, um eine Mitgliedschaftsregel zu erstellen.
- Boolean
- String
- Zeichenfolgensammlung
Im Folgenden sind die Benutzereigenschaften aufgelistet, die Sie verwenden können, um einen einzelnen Ausdruck zu erstellen.
Eigenschaften vom Typ "boolesch"
| Eigenschaften | Zulässige Werte | Verwendung |
|---|---|---|
| accountEnabled | true false | user.accountEnabled -eq true |
| dirSyncEnabled | true false | user.dirSyncEnabled -eq true |
Eigenschaften vom Typ "string"
| Eigenschaften | Zulässige Werte | Verwendung |
|---|---|---|
| city | Jeder string-Wert oder null | user.city -eq "value" |
| country | Jeder string-Wert oder null | user.country -eq "value" |
| companyName | Jeder string-Wert oder null | user.companyName -eq "value" |
| department | Jeder string-Wert oder null | user.department -eq "value" |
| displayName | Ein beliebiger Zeichenfolgenwert | user.displayName -eq "value" |
| employeeId | Ein beliebiger Zeichenfolgenwert | user.employeeId -eq "value" user.employeeId -ne null |
| facsimileTelephoneNumber | Jeder string-Wert oder null | user.facsimileTelephoneNumber -eq "value" |
| givenName | Jeder string-Wert oder null | user.givenName -eq "value" |
| jobTitle | Jeder string-Wert oder null | user.jobTitle -eq "value" |
| Jeder string-Wert oder null (SMTP-Adresse des Benutzers) | user.mail -eq "value" | |
| mailNickName | Jeder string-Wert (E-Mail-Alias des Benutzers) | user.mailNickName -eq "value" |
| memberOf | Beliebiger Zeichenfolgenwert (gültige Gruppenobjekt-ID) | user.memberof -any (group.objectId -in ['value']) |
| mobile | Jeder string-Wert oder null | user.mobile -eq "value" |
| objectId | GUID des Benutzerobjekts. | user.objectId -eq "11111111-1111-1111-1111-111111111111" |
| onPremisesDistinguishedName | Jeder string-Wert oder null | user.onPremisesDistinguishedName -eq "value" |
| onPremisesSecurityIdentifier | Lokale Sicherheits-ID (SID) für Benutzer, deren Daten von einem lokalen Standort in die Cloud synchronisiert wurden. | user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111" |
| passwordPolicies | Keine DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
| physicalDeliveryOfficeName | Jeder string-Wert oder null | user.physicalDeliveryOfficeName -eq "value" |
| postalCode | Jeder string-Wert oder null | user.postalCode -eq "value" |
| preferredLanguage | ISO 639-1 code | user.preferredLanguage -eq "en-US" |
| sipProxyAddress | Jeder string-Wert oder null | user.sipProxyAddress -eq "value" |
| state | Jeder string-Wert oder null | user.state -eq "value" |
| streetAddress | Jeder string-Wert oder null | user.streetAddress -eq "value" |
| surname | Jeder string-Wert oder null | user.surname -eq "value" |
| telephoneNumber | Jeder string-Wert oder null | user.telephoneNumber -eq "value" |
| usageLocation | Zwei Buchstaben Land- oder Regionscode | user.usageLocation -eq "US" |
| userPrincipalName | Ein beliebiger Zeichenfolgenwert | user.userPrincipalName -eq "alias@domain" |
| userType | member-Gast null | user.userType -eq "Member" |
Eigenschaften vom Typ "string collection"
| Eigenschaften | Zulässige Werte | Beispiel |
|---|---|---|
| otherMails | Ein beliebiger Zeichenfolgenwert | user.otherMails -contains "alias@domain" |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | user.proxyAddresses -contains "SMTP: alias@domain" |
Die für Geräteregeln verwendeten Eigenschaften finden Sie unter Regeln für Geräte.
Unterstützte Ausdrucksoperatoren
Die folgende Tabelle enthält alle unterstützten Operatoren und deren Syntax für einen einzelnen Ausdruck. Alle Operatoren können mit oder ohne vorangestellten Bindestrich (-) verwendet werden. Der Operator Contains führt Teilübereinstimmungen von Zeichenfolgen durch, aber keine Übereinstimmungen von Elementen in einer Sammlung.
| Operator | Syntax |
|---|---|
| Not Equals | -ne |
| Equals | -eq |
| Not Starts With | -notStartsWith |
| Starts With | -startsWith |
| Not Contains | -notContains |
| Enthält | -contains |
| Not Match | -notMatch |
| Match | -match |
| Geben Sie in | -in |
| Not In | -notIn |
Mithilfe der Operatoren „-in“ und „-notIn“
Wenn Sie den Wert eines Benutzerattributs mit einer Reihe mehrerer Werte vergleichen möchten, können Sie die Operatoren „-in“ oder „-notIn“ verwenden. Verwenden Sie die Klammersymbole „[“ und „]“ für den Anfang und das Ende der Liste von Werten.
Im folgenden Beispiel wird der Ausdruck als „true“ ausgewertet, wenn der Wert von „user.department“ einem der Werte in der Liste entspricht:
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
Mithilfe des Operators „-match“
Der Operator -match wird für Übereinstimmungen mit beliebigen regulären Ausdrücken verwendet. Beispiele:
user.displayName -match "Da.*"
Da, Dav, David werden mit TRUE ausgewertet, „aDa“ hingegen mit FALSE.
user.displayName -match ".*vid"
David wird mit TRUE ausgewertet, Da hingegen mit FALSE.
Unterstützte Werte
Die in einem Ausdruck verwendeten Werte können aus mehreren Typen bestehen, Beispiele:
- Zeichenfolgen
- Boolesch: true, false
- Zahlen
- Arrays: Zahlenarray, Zeichenfolgenarray
Wenn Sie einen Wert in einem Ausdruck angeben, ist es wichtig, die richtige Syntax zu verwenden, um Fehler zu vermeiden. Einige Tipps für die Syntax:
- Doppelte Anführungszeichen sind optional, es sei denn, der Wert ist eine Zeichenfolge.
- Bei Vorgängen mit Zeichenfolgen und regulären Ausdrücken wird die Groß- und Kleinschreibung nicht beachtet.
- Wenn ein Zeichenfolgenwert doppelte Anführungszeichen enthält, müssen beide Anführungszeichen mit dem Escapezeichen (`) versehen werden. Beispiel: user.department -eq `"Sales`" ist die richtige Syntax, wenn der Wert „Sales“ lautet. Einfache Anführungszeichen sollten jeweils mit zwei einfachen Anführungszeichen statt mit nur einem als Escapezeichen versehen werden.
- Sie können auch NULL-Überprüfungen durchführen, indem Sie „null“ als Wert verwenden, Beispiel:
user.department -eq null.
Verwenden von NULL-Werten
Zum Angeben eines NULL-Werts in einer Regel können Sie den Wert null verwenden.
- Verwenden Sie „-eq“ oder „-ne“ zum Vergleichen des null-Werts in einem Ausdruck.
- Verwenden Sie nur Anführungszeichen um das Wort null, wenn es als literaler Zeichenfolgenwert interpretiert werden soll.
- Der -not-Operator kann nicht als Vergleichsoperator für NULL verwendet werden. Wenn Sie ihn verwenden, erhalten Sie eine Fehlermeldung, egal ob Sie „null“ oder „$null“ verwenden.
Die richtige Referenzierung des NULL-Werts erfolgt auf diese Weise:
user.mail –ne null
Regeln mit mehreren Ausdrücken
Eine Gruppenmitgliedschaftsregel kann aus mehreren Ausdrücken bestehen, die durch die logischen Operatoren „-and“, „-or“ und „-not“ verbunden sind. Logische Operatoren können auch in Kombination verwendet werden.
Im Folgenden sehen Sie Beispiele für ordnungsgemäß konstruierte Mitgliedschaftsregeln mit mehreren Ausdrücken:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -contains "SDE")
Rangfolge der Operatoren
Alle Operatoren sind unten in der Rangfolge von oben nach unten aufgeführt. Operatoren in der gleichen Zeile haben den gleichen Rang:
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
Das folgende Beispiel zeigt die Rangfolge der Operatoren, bei dem zwei Ausdrücke für den Benutzer ausgewertet werden:
user.department –eq "Marketing" –and user.country –eq "US"
Klammern sind nur erforderlich, wenn die Rangfolge nicht Ihren Anforderungen entspricht. Wenn die Abteilung zuerst ausgewertet werden soll, zeigt folgendes Beispiel, wie Klammern verwendet werden können, um die Reihenfolge zu bestimmen:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Regeln mit komplexen Ausdrücken
Eine Mitgliedschaftsregel kann aus komplexen Ausdrücken bestehen, in denen die Eigenschaften, Operatoren und Werte komplexere Formen annehmen. Ausdrücke werden als komplex angesehen, wenn eine der folgenden Bedingungen zutrifft:
- Die Eigenschaft besteht aus einer Sammlung von Werten, insbesondere mehrwertigen Eigenschaften.
- In den Ausdrücken werden die Operatoren „-any“ und „-all“ verwendet.
- Der Wert des Ausdrucks kann selbst ein Ausdruck oder mehrere Ausdrücke sein.
Mehrwertige Eigenschaften
Mehrwertige Eigenschaften sind Sammlungen von Objekten desselben Typs. Sie können verwendet werden, um mithilfe der logischen Operatoren „-any“ und „-all“ Mitgliedschaftsregel zu erstellen.
| Eigenschaften | Werte | Verwendung |
|---|---|---|
| assignedPlans | Jedes Objekt in der Sammlung macht folgende Zeichenfolgeneigenschaften verfügbar: capabilityStatus, service, servicePlanId | user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled") |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | (user.proxyAddresses -any (_ -contains "contoso")) |
Verwenden der Operatoren „-any“ und „-all“
Sie können die Operatoren „-any“ und „-all“ verwenden, um eine Bedingung auf ein Element oder alle Elemente in der Sammlung anzuwenden.
- „-any“ (erfüllt, wenn mindestens ein Element in der Auflistung der Bedingung entspricht)
- „-all“ (erfüllt, wenn alle Elemente in der Auflistung der Bedingung entsprechen)
Beispiel 1
assignedPlans ist eine mehrwertige-Eigenschaft, die alle Service-Pläne auflistet, die dem Benutzer zugewiesen sind. Der folgende Ausdruck wählt Benutzer aus, die über einen Serviceplan von Exchange Online verfügen (Plan 2, als GUID-Wert), der sich im Status „Enabled“ befindet:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
Mit einer Regel wie dieser können alle Benutzer gruppiert werden, für die eine Microsoft 365-Funktion (oder ein anderer Microsoft-Onlinedienst) aktiviert ist. Sie könnten dann einen Satz von Richtlinien auf die Gruppe anwenden.
Beispiel 2
Der folgende Ausdruck wählt alle Benutzer aus, die über einen Serviceplan verfügen, der mit dem Intune-Dienst (identifizierbar anhand des Dienstnamens „SCO“) verknüpft ist:
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Beispiel 3
Mit dem folgenden Ausdruck werden alle Benutzer ausgewählt, die über keinen zugewiesenen Dienstplan verfügen:
user.assignedPlans -all (assignedPlan.servicePlanId -eq "")
Verwenden der Syntax mit Unterstrich (_)
Die Syntax mit Unterstrich (_) entspricht dem Vorkommen eines bestimmten Werts in einer mehrwertigen Eigenschaft der Zeichenfolgensammlung, um Benutzer oder Geräte einer dynamischen Gruppe hinzuzufügen. Die Syntax wird mit den Operatoren „-any“ oder „-all“ verwendet.
Im Folgenden sehen Sie ein Beispiel für die Verwendung des Unterstrichs (_) in einer Regel zum Hinzufügen von Mitgliedern basierend auf „user.proxyAddress“ (identische Funktionsweise wie „user.otherMails“). Diese Regel fügt der Gruppe jeden Benutzer mit einer Proxyadresse hinzu, die „contoso“ enthält.
(user.proxyAddresses -any (_ -contains "contoso"))
Andere Eigenschaften und allgemeine Regeln
Erstellen einer Mitarbeiterregel
Sie können eine Gruppe erstellen, die alle einem Manager direkt unterstellten Mitarbeiter enthält. Wenn sich die direkt unterstellten Mitarbeiter eines Managers in der Zukunft ändern, wird die Mitgliedschaft in der Gruppe automatisch angepasst.
Die Mitarbeiterregel wird mithilfe der folgenden Syntax erstellt:
Direct Reports for "{objectID_of_manager}"
Dies ist ein Beispiel einer gültigen Regel, bei der „62e19b97-8b3d-4d4a-a106-4ce66896a863“ die Objekt-ID des Managers ist:
Direct Reports for "62e19b97-8b3d-4d4a-a106-4ce66896a863"
Die folgenden Tipps können helfen, die Regel ordnungsgemäß zu verwenden.
- Die Manager-ID ist die Objekt-ID des Managers. Sie finden sie im Profil des Managers.
- Damit diese Regel funktioniert, stellen Sie sicher, dass die Eigenschaft Manager für die Benutzer in Ihrer Organisation korrekt festgelegt ist. Sie können den aktuellen Wert im Profil des Benutzers überprüfen.
- Diese Regel unterstützt nur die dem Manager direkt unterstellten Mitarbeiter. Sie können also keine Gruppe mit dem Manager direkt unterstellten Mitarbeitern und den ihnen unterstellten Mitarbeitern erstellen.
- Diese Regel kann nicht mit anderen Mitgliedschaftsregeln kombiniert werden.
Erstellen einer Regel für alle Benutzer
Sie können mithilfe einer Mitgliedschaftsregel eine Gruppe mit allen Benutzern innerhalb einer Organisation erstellen. Wenn Benutzer in Zukunft zur Organisation hinzugefügt oder daraus entfernt werden, wird die Mitgliedschaft in der Gruppe automatisch angepasst.
Die Regel für alle Benutzer wird mit einem einzelnen Ausdruck mit dem -ne-Operator und dem null-Wert erstellt. Mit dieser Regel werden B2B-Gastbenutzer und Mitgliedsbenutzer der Gruppe hinzugefügt.
user.objectId -ne null
Wenn Ihre Gruppe Gastbenutzer ausschließen und nur Mitglieder Ihrer Organisation enthalten soll, können Sie die folgende Syntax verwenden:
(user.objectId -ne null) -and (user.userType -eq "Member")
Erstellen einer Regel für alle Geräte
Sie können mithilfe einer Mitgliedschaftsregel eine Gruppe mit allen Geräten innerhalb einer Organisation erstellen. Wenn Geräte in Zukunft zur Organisation hinzugefügt oder daraus entfernt werden, wird die Mitgliedschaft in der Gruppe automatisch angepasst.
Die Regel für alle Geräte wird mit einem einzelnen Ausdruck mit dem -ne-Operator und dem null-Wert erstellt:
device.objectId -ne null
Erweiterungseigenschaften und benutzerdefinierte Erweiterungseigenschaften
Erweiterungsattribute und benutzerdefinierte Erweiterungsattribute werden als Zeichenfolgeneigenschaften in den Regeln für eine dynamische Mitgliedschaft unterstützt. Erweiterungsattribute können von einer lokalen Windows Server Active Directory-Instanz synchronisiert oder über Microsoft Graph aktualisiert werden und das Format „ExtensionAttributeX“ erhalten, wobei X den Zahlen 1 bis 15 entspricht. Erweiterungseigenschaften mit mehreren Werten werden in dynamischen Mitgliedschaftsregeln nicht unterstützt. Dies ist ein Beispiel für eine Regel, die ein Erweiterungsattribut als Eigenschaft verwendet:
(user.extensionAttribute15 -eq "Marketing")
Benutzerdefinierte Erweiterungseigenschaften können von einer lokalen Windows Server Active Directory-Instanz, von einer verbundenen SaaS-Anwendung synchronisiert oder über Microsoft Graph erstellt werden und weisen das Format user.extension_[GUID]_[Attribute] auf. Dabei gilt Folgendes:
- [GUID] ist die Kurzfassung des eindeutigen Bezeichners in Azure AD für die Anwendung, die die Eigenschaft erstellt hat. Sie enthält nur die Zeichen 0–9 und A–Z.
- [Attribute] ist der Name der Eigenschaft bei ihrer Erstellung.
Beispiel für eine Regel, die eine benutzerdefinierte Erweiterungseigenschaft verwendet:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Benutzerdefinierte Erweiterungseigenschaften werden auch als Verzeichnis- oder Azure AD-Erweiterungseigenschaften bezeichnet.
Den Namen der benutzerdefinierten Eigenschaft finden Sie im Verzeichnis. Fragen Sie dazu die Eigenschaft eines Benutzers mithilfe des Graph-Explorers ab, und suchen Sie nach dem Eigenschaftennamen. Sie können jetzt im Regel-Generator für dynamische Benutzergruppen auf den Link Get custom extension properties (Benutzerdefinierte Erweiterungseigenschaften abrufen) klicken, um Ihre eindeutige App-ID einzugeben und die vollständige Liste mit benutzerdefinierten Erweiterungseigenschaften abzurufen, die Sie beim Erstellen einer dynamischen Mitgliedschaftsregel verwenden. Diese Liste kann auch aktualisiert werden, um neue benutzerdefinierte Erweiterungseigenschaften für diese App zu erhalten. Erweiterungsattribute und benutzerdefinierte Erweiterungseigenschaften müssen aus Anwendungen in Ihrem Mandanten stammen.
Weitere Informationen finden Sie unter Verwenden der Attribute in dynamischen Gruppen im Artikel Azure AD Connect-Synchronisierung: Verzeichniserweiterungen.
Regeln für Geräte
Sie können auch eine Regel erstellen, die Geräteobjekte für die Mitgliedschaft in einer Gruppe auswählt. Benutzer und Geräte können nicht gleichzeitig Gruppenmitglieder sein.
Hinweis
Das Attribut organizationalUnit wird nicht mehr aufgelistet und sollte nicht verwendet werden. Diese Zeichenfolge wird von Intune in bestimmten Fällen festgelegt, aber nicht durch Azure AD erkannt, sodass Gruppen keine Geräte basierend auf diesem Attribut hinzugefügt werden.
Hinweis
„systemlabels“ ist ein schreibgeschütztes Attribut, das mit Intune nicht festgelegt werden kann.
Bei Windows 10 lautet das richtige Format des deviceOSVersion-Attributs wie folgt: (device.deviceOSVersion -startsWith "10.0.1"). Die Formatierung kann mit dem PowerShell-Cmdlet „Get-MgDevice“ überprüft werden:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
Die folgenden Geräteattribute können verwendet werden.
| Geräteattribut | Werte | Beispiel |
|---|---|---|
| accountEnabled | true false | device.accountEnabled -eq true |
| deviceCategory | ein gültiger Gerätekategoriename | device.deviceCategory -eq "BYOD" |
| deviceId | eine gültige Azure AD-Geräte-ID | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
| deviceManagementAppId | eine gültige MDM-Anwendungs-ID in Azure AD | device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" für Microsoft Intune-verwaltete Geräte oder „54b943f8-d761-4f8d-951e-9cea1846db5a“ für mit dem System Center Configuration Manager gemeinsam verwaltete Geräte |
| deviceManufacturer | Jeder string-Wert. | device.deviceManufacturer -eq "Samsung" |
| deviceModel | Jeder string-Wert. | device.deviceModel -eq "iPad Air" |
| displayName | Jeder string-Wert. | device.displayName -eq "Rob iPhone" |
| deviceOSType | Jeder string-Wert. | (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iPhone") device.deviceOSType -contains "AndroidEnterprise" device.deviceOSType -eq "AndroidForWork" device.deviceOSType -eq "Windows" |
| deviceOSVersion | Jeder string-Wert. | device.deviceOSVersion -eq "9.1" device.deviceOSVersion -startsWith "10.0.1" |
| deviceOwnership | Personal, Unternehmen, Unbekannt | device.deviceOwnership -eq "Company" |
| devicePhysicalIds | Jeder von Autopilot verwendete Zeichenfolgenwert, z. B. alle Autopilotgeräte, OrderID oder PurchaseOrderID | device.devicePhysicalIDs -any _ -contains "[ZTDId]" (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881" (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
| deviceTrustType | AzureAD, ServerAD, Workplace | device.deviceTrustType -eq "AzureAD" |
| enrollmentProfileName | Profilname für Apple-Geräteregistrierung, Android Enterprise-Profilname für die Registrierung firmeneigener dedizierter Geräte oder Name des Windows Autopilot-Profils | device.enrollmentProfileName -eq "DEP iPhones" |
| extensionAttribute1 | Jeder string-Wert. | device.extensionAttribute1 -eq "some string value" |
| extensionAttribute2 | Jeder string-Wert. | device.extensionAttribute2 -eq "some string value" |
| extensionAttribute3 | Jeder string-Wert. | device.extensionAttribute3 -eq "some string value" |
| extensionAttribute4 | Jeder string-Wert. | device.extensionAttribute4 -eq "some string value" |
| extensionAttribute5 | Jeder string-Wert. | device.extensionAttribute5 -eq "some string value" |
| extensionAttribute6 | Jeder string-Wert. | device.extensionAttribute6 -eq "some string value" |
| extensionAttribute7 | Jeder string-Wert. | device.extensionAttribute7 -eq "some string value" |
| extensionAttribute8 | Jeder string-Wert. | device.extensionAttribute8 -eq "some string value" |
| extensionAttribute9 | Jeder string-Wert. | device.extensionAttribute9 -eq "some string value" |
| extensionAttribute10 | Jeder string-Wert. | device.extensionAttribute10 -eq "some string value" |
| extensionAttribute11 | Jeder string-Wert. | device.extensionAttribute11 -eq "some string value" |
| extensionAttribute12 | Jeder string-Wert. | device.extensionAttribute12 -eq "some string value" |
| extensionAttribute13 | Jeder string-Wert. | device.extensionAttribute13 -eq "some string value" |
| extensionAttribute14 | Jeder string-Wert. | device.extensionAttribute14 -eq "some string value" |
| extensionAttribute15 | Jeder string-Wert. | device.extensionAttribute15 -eq "some string value" |
| isRooted | true false | device.isRooted -eq true |
| managementType | MDM (bei mobilen Geräten) | device.managementType -eq "MDM" |
| memberOf | Beliebiger Zeichenfolgenwert (gültige Gruppenobjekt-ID) | device.memberof -any (group.objectId -in ['value']) |
| objectId | eine gültige Azure AD-Objekt-ID | device.objectId -eq "76ad43c9-32c5-45e8-a272-7b58b58f596d" |
| profileType | ein gültiger Profiltyp in Azure AD | device.profileType -eq "RegisteredDevice" |
| systemLabels | Eine beliebige Zeichenfolge, die mit der Intune-Geräteeigenschaft zum Kennzeichnen von Geräten der modernen Arbeitswelt übereinstimmt | device.systemLabels -contains "M365Managed" |
Hinweis
Wenn Sie deviceOwnership zum Erstellen dynamischer Gruppen für Geräte verwenden, müssen Sie den Wert auf „Company“ festlegen. Auf Intune wird stattdessen der Gerätebesitz als „Corporate“ dargestellt. Weitere Informationen finden Sie unter OwnerTypes. Wenn Sie „deviceTrustType“ verwenden, um dynamische Gruppen für Geräte zu erstellen, müssen Sie den Wert auf „AzureAD“ festlegen, um mit Azure AD verbundene Geräte zu repräsentieren, „ServerAD“, um mit Azure AD Hybrid verbundene Geräte zu repräsentieren oder „Workplace“, um Azure AD-registrierte Geräte zu repräsentieren. Wenn Sie „extensionAttribute1-15“ verwenden, um dynamische Gruppen für Geräte zu erstellen, müssen Sie den Wert für „extensionAttribute1-15“ auf dem Gerät festlegen. Erfahren Sie mehr dazu, wie Sie extensionAttributes auf einem Azure AD-Geräteobjekt schreiben.
Nächste Schritte
Diese Artikel enthalten zusätzliche Informationen zu Gruppen in Azure Active Directory.