Compartir a través de


Administración de reglas de grupos de pertenencia dinámicos en Microsoft Entra ID

Puede crear reglas basadas en atributos de dispositivo o basadas en usuarios para habilitar la pertenencia a grupos de pertenencia dinámica en el identificador de Microsoft Entra. Puede agregar y quitar grupos de pertenencia dinámicos automáticamente mediante reglas de pertenencia basadas en atributos de miembro. En Microsoft Entra, un único inquilino puede tener un máximo de 15 000 grupos de pertenencia dinámica.

En este artículo se detallan las propiedades y la sintaxis para crear reglas de grupos de pertenencia dinámicos basados en usuarios o dispositivos.

Nota

Los grupos de seguridad pueden incluir dispositivos o usuarios, pero los grupos de Microsoft 365 solo pueden incluir usuarios.

Consideraciones para grupos de pertenencia dinámica

Cuando cambian los atributos de un usuario o un dispositivo, el sistema evalúa todas las reglas de los grupos de pertenencia dinámica en un directorio para ver si el cambio desencadenaría cualquier adición o eliminación de grupos. Si los usuarios o dispositivos cumplen una regla en un grupo, se agregan como miembros de ese grupo. Si ya no cumple la regla, se quita del grupo. No puedes agregar o quitar de forma manual un miembro de un grupo de pertenencia dinámico.

Tenga en cuenta también estas limitaciones:

  • Puede crear grupos de pertenencia dinámicos para usuarios o dispositivos, pero no puedes crear una regla que contenga tanto usuarios como dispositivos.
  • No puede crear un grupo de pertenencia de dispositivo basado en los atributos de usuario del propietario del dispositivo. Las reglas de pertenencia de dispositivo solo pueden hacer referencia a atributos de dispositivos.

Requisitos de licencia

La característica de grupos de pertenencia dinámica requiere una licencia de Microsoft Entra ID P1 o una licencia de Intune for Education para cada usuario único que sea miembro de uno o varios grupos de pertenencia dinámica. No es necesario asignar licencias a los usuarios para que sean miembros de grupos de pertenencia dinámica. Pero debe tener el número mínimo de licencias en la organización de Microsoft Entra para cubrir todos estos usuarios.

Por ejemplo, si tiene un total de 1000 usuarios únicos en todos los grupos de pertenencia dinámica de su organización, necesita al menos 1000 licencias para microsoft Entra ID P1 para cumplir el requisito de licencia.

No es necesaria ninguna licencia para los dispositivos que son miembros de un grupo de pertenencia dinámico basado en un dispositivo.

Generador de reglas en Azure Portal

Microsoft Entra ID proporciona un generador de reglas para crear y actualizar las reglas importantes con mayor rapidez. El generador de reglas admite la construcción de hasta cinco expresiones. Puede usar el generador de reglas para formar una regla con algunas expresiones simples, pero no puede usarla para reproducir todas las reglas. Si el generador de reglas no admite la regla que desea crear, puede usar el cuadro de texto.

Captura de pantalla que muestra el generador de reglas, con la acción para agregar una expresión resaltada.

Para obtener instrucciones paso a paso, consulte Creación o actualización de un grupo de pertenencia dinámica.

Importante

El generador de reglas solo está disponible para grupos de pertenencia dinámica basados en usuarios. Solo puede crear grupos de pertenencia dinámica basados en dispositivos mediante el cuadro de texto.

Estos son algunos ejemplos de reglas avanzadas o sintaxis que requieren el uso del cuadro de texto:

Nota

Es posible que el generador de reglas no pueda mostrar algunas reglas construidas en el cuadro de texto. Es posible que vea un mensaje cuando el generador de reglas no pueda mostrar la regla. El generador de reglas no cambia la sintaxis admitida, la validación ni el procesamiento de reglas de grupos de pertenencia dinámica de ninguna manera.

Sintaxis de regla para una sola expresión

Una expresión única es la forma más sencilla de una regla de pertenencia. Una regla con una sola expresión toma la forma de <Property> <Operator> <Value>, donde la sintaxis de la propiedad es el nombre de <object>.<property>.

El ejemplo siguiente muestra una regla de pertenencia creada correctamente con una expresión única:

user.department -eq "Sales"

Los paréntesis son opcionales para una expresión única. La longitud total del cuerpo de la regla de pertenencia no puede superar los 3072 caracteres.

Construcción del cuerpo de una regla de pertenencia

Una regla de pertenencia que rellena automáticamente un grupo con usuarios o dispositivos es una expresión binaria que genera un resultado true o false. Los tres elementos de una regla simple son:

  • Propiedad
  • Operador
  • Valor

El orden de los elementos de una expresión es importante para evitar errores de sintaxis.

Propiedades admitidas

Puede usar tres tipos de propiedades para definir una regla de pertenencia.

  • Booleano
  • Fecha y hora
  • Cadena
  • Colección de cadenas

Puede usar las siguientes propiedades de usuario para crear una sola expresión.

Propiedades de tipo Boolean

Propiedad Valores permitidos Uso
accountEnabled true, false user.accountEnabled -eq true
dirSyncEnabled true, false user.dirSyncEnabled -eq true

Propiedades de tipo fecha y hora

Propiedad Valores permitidos Uso
employeeHireDate (versión preliminar) Cualquier DateTimeOffset valor o palabra clave system.now user.employeeHireDate -eq "value"

Propiedades de tipo cadena

Propiedad Valores permitidos Uso
city Cualquier valor de cadena o null user.city -eq "value"
country Cualquier valor de cadena o null user.country -eq "value"
companyName Cualquier valor de cadena o null user.companyName -eq "value"
department Cualquier valor de cadena o null user.department -eq "value"
displayName Cualquier valor de cadena user.displayName -eq "value"
employeeId Cualquier valor de cadena user.employeeId -eq "value"

user.employeeId -ne "null"
facsimileTelephoneNumber Cualquier valor de cadena o null user.facsimileTelephoneNumber -eq "value"
givenName Cualquier valor de cadena o null user.givenName -eq "value"
jobTitle Cualquier valor de cadena o null user.jobTitle -eq "value"
mail Cualquier valor de cadena o null (dirección SMTP del usuario) user.mail -eq "value"

user.mail -notEndsWith "@Contoso.com"
mailNickName Cualquier valor de cadena (alias de correo electrónico del usuario) user.mailNickName -eq "value"

user.mailNickname -endsWith "-vendor"
memberOf Cualquier valor de cadena (identificador de objeto de grupo válido) user.memberOf -any (group.objectId -in ['value'])
mobile Cualquier valor de cadena o null user.mobile -eq "value"
objectId GUID del objeto de usuario user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
onPremisesDistinguishedName Cualquier valor de cadena o null user.onPremisesDistinguishedName -eq "value"
onPremisesSecurityIdentifier Identificador de seguridad local (SID) para los usuarios que se sincronizaron desde el entorno local a la nube user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111"
passwordPolicies None, DisableStrongPassword, DisablePasswordExpiration, , DisablePasswordExpiration, DisableStrongPassword user.passwordPolicies -eq "DisableStrongPassword"
physicalDeliveryOfficeName Cualquier valor de cadena o null user.physicalDeliveryOfficeName -eq "value"
postalCode Cualquier valor de cadena o null user.postalCode -eq "value"
preferredLanguage Código ISO 639-1 user.preferredLanguage -eq "en-US"
sipProxyAddress Cualquier valor de cadena o null user.sipProxyAddress -eq "value"
state Cualquier valor de cadena o null user.state -eq "value"
streetAddress Cualquier valor de cadena o null user.streetAddress -eq "value"
surname Cualquier valor de cadena o null user.surname -eq "value"
telephoneNumber Cualquier valor de cadena o null user.telephoneNumber -eq "value"
usageLocation Código de país o región de dos letras user.usageLocation -eq "US"
userPrincipalName Cualquier valor de cadena user.userPrincipalName -eq "alias@domain"
userType member, , guest, null user.userType -eq "Member"

Propiedades de colección de cadenas de tipo

Propiedad Valores permitidos Ejemplos
otherMails Cualquier valor de cadena user.otherMails -startsWith "alias@domain"

user.otherMails -endsWith"@contoso.com"
proxyAddresses SMTP: alias@domain, smtp: alias@domain user.proxyAddresses -startsWith "SMTP: alias@domain"

user.proxyAddresses -notEndsWith "@outlook.com"

Para más información sobre las propiedades que se usan para las reglas de dispositivos, consulte Reglas de dispositivos.

Operadores de expresión admitidos

En la tabla siguiente se enumeran todos los operadores admitidos y su sintaxis para una expresión única. Puede usar operadores con o sin el prefijo de guion (-). El operador Contains realiza coincidencias parciales de cadenas, pero no realiza coincidencias con elementos de una colección.

Cautela

Para obtener los mejores resultados, minimice el uso de Match o Contains tanto como sea posible. En el artículo Creación de reglas más sencillas y eficaces para grupos de pertenencia dinámica se proporcionan instrucciones sobre cómo crear reglas que dan lugar a mejores tiempos de procesamiento dinámicos de grupos. El memberOf operador está en versión preliminar y tiene algunas limitaciones, así que úsela con precaución.

Operador Sintaxis
Ends With -endsWith
Not Ends With -notEndsWith
Not Equals -ne
Equals -eq
Not Starts With -notStartsWith
Starts With -startsWith
Not Contains -notContains
Contains -contains
Not Match -notMatch
Match -match
In -in
Not In -notIn

Uso de los operadores -in y -notIn

Si desea comparar el valor de un atributo de usuario con varios valores, puede usar el -in operador o -notIn . Use los símbolos de corchetes ([ y ]) para comenzar y finalizar la lista de valores.

En el ejemplo siguiente, la expresión se evalúa a true si el valor de user.department es igual a cualquiera de los valores de la lista.

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

Uso de los operadores -le y -ge

Puede usar el operador menor que (-le) o mayor que (-ge) cuando esté usando el atributo employeeHireDate en reglas para grupos de pertenencia dinámica.

Estos son unos ejemplos:

user.employeehiredate -ge system.now -plus p1d 

user.employeehiredate -le 2020-06-10T18:13:20Z 

Uso del operador -match

Puede usar el -match operador para buscar coincidencias con cualquier expresión regular.

En el ejemplo siguiente, Da, Davy David se evalúan como true. aDa se evalúa como false.

user.displayName -match "^Da.*"   

En el ejemplo siguiente, David se evalúa como true. Da se evalúa como false.

user.displayName -match ".*vid"

Valores admitidos

Los valores que se usan en una expresión pueden constar de varios tipos:

  • Cadenas
  • Booleano (true, false)
  • Números
  • Matrices (matriz de números, matriz de cadenas)

Al especificar un valor dentro de una expresión, es importante usar la sintaxis correcta para evitar errores. Estas son algunas sugerencias de sintaxis:

  • Las comillas dobles son opcionales a menos que el valor sea una cadena.
  • Las operaciones de regex y cadenas no distinguen entre mayúsculas y minúsculas.
  • Asegúrese de que los nombres de propiedad tengan el formato correcto, como se muestra, ya que distinguen mayúsculas de minúsculas.
  • Cuando un valor de cadena contiene comillas dobles, debe escapar ambas comillas mediante el carácter de barra diagonal inversa (\). Por ejemplo, user.department -eq "Sales" es la sintaxis adecuada cuando Sales es el valor. Escapa los caracteres de comillas simples utilizando dos comillas simples en lugar de una.
  • También puede realizar comprobaciones nulas mediante null como valor; por ejemplo, user.department -eq null.

Uso de valores NULL

Para especificar un null valor en una regla:

  • Utiliza -eq o -ne cuando compares el valor null en una expresión.
  • Use comillas alrededor de la palabra null solo si desea que se interprete como un valor de cadena literal.
  • No use el -not operador como operador comparativo para el valor NULL. Si lo usa, recibirá un error tanto si usa null como $null.

La manera correcta de hacer referencia al valor es la null siguiente:

   user.mail –ne null

Reglas con varias expresiones

Las reglas de los grupos de pertenencia dinámica pueden constar de más de una sola expresión conectada por los -andoperadores lógicos , -ory -not . También puede usar operadores lógicos en combinación.

Los siguientes son ejemplos de reglas de pertenencia construidas correctamente con varias expresiones:

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")

Precedencia de operadores

En la lista siguiente se muestran todos los operadores en orden de prioridad de mayor a menor. Los operadores de la misma línea tienen la misma prioridad.

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all

El ejemplo siguiente muestra la prioridad de operador cuando se evalúan dos expresiones para el usuario:

   user.department –eq "Marketing" –and user.country –eq "US"

Solo necesita paréntesis cuando la prioridad no cumple sus requisitos. Por ejemplo, si desea que el departamento se evalúe primero, el código siguiente muestra cómo puede usar paréntesis para determinar el orden:

   user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

Reglas con expresiones complejas

Una regla de pertenencia puede constar de expresiones complejas donde las propiedades, los operadores y los valores pueden adoptar formas más complejas. Las expresiones se consideran complejas cuando se cumple cualquiera de los siguientes puntos:

  • La propiedad consta de una colección de valores; específicamente, propiedades de varios valores.
  • Las expresiones usan los -any operadores y -all .
  • El valor de la expresión puede ser una o varias expresiones.

Propiedades de varios valores

Las propiedades de varios valores son colecciones de objetos del mismo tipo. Puede usarlos para crear reglas de pertenencia mediante los -any operadores lógicos y -all .

Propiedad Valores Uso
assignedPlans Cada objeto de la colección expone las siguientes propiedades de cadena: capabilityStatus, service, servicePlanId user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled")
proxyAddresses SMTP: alias@domain, smtp: alias@domain (user.proxyAddresses -any (\_ -startsWith "contoso"))

Uso de los operadores -any y -all

Puede usar los operadores siguientes para aplicar una condición a uno o todos los elementos de la colección:

  • -any: se cumple cuando al menos un elemento de la colección coincide con la condición.
  • -all: se cumple cuando todos los elementos de la colección coinciden con la condición.
Ejemplo 1

assignedPlans es una propiedad de varios valores que enumera todos los planes de servicio asignados al usuario. La expresión siguiente selecciona los usuarios que tienen el plan de servicio de Exchange Online (plan 2) (como un valor GUID) que también está en un Enabled estado:

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

Puede usar una regla como esta para agrupar todos los usuarios para los que está habilitada una funcionalidad de Microsoft 365 u otros servicios en línea de Microsoft. Después, podría aplicar la regla con un conjunto de políticas al grupo.

Ejemplo 2

La expresión siguiente selecciona todos los usuarios que tienen cualquier plan de servicio asociado al servicio de Intune (identificado por el nombre SCOdel servicio ):

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Ejemplo 3

La expresión siguiente selecciona todos los usuarios que no tienen ningún plan de servicio asignado:

user.assignedPlans -all (assignedPlan.servicePlanId -eq null)

Con la sintaxis de guión bajo (_)

La sintaxis de subrayado (_) coincide con las apariciones de un valor específico en una de las propiedades de colección de cadenas de varios valores para agregar usuarios o dispositivos a un grupo de pertenencia dinámica. Se usa con el operador -any o -all.

Este es un ejemplo del uso del carácter de subrayado en una regla para agregar miembros basados en user.proxyAddress. (Funciona igual para user.otherMails.) Esta regla agrega cualquier usuario que tenga una dirección de proxy que comience por contoso el grupo.

(user.proxyAddresses -any (_ -startsWith "contoso"))

Otras propiedades y reglas habituales

Creación de una regla para informes directos

Puede crear un grupo que contenga todos los informes directos de un administrador. Cuando los subordinados directos de un administrador cambien en el futuro, la pertenencia del grupo se ajustará automáticamente.

La regla de informes directos se crea mediante la sintaxis siguiente:

Direct Reports for "{objectID_of_manager}"

Este es un ejemplo de una regla válida, donde aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb es el identificador de objeto del administrador:

Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"

Las siguientes sugerencias pueden ayudarle a usar la regla correctamente:

  • El identificador del administrador es el identificador de objeto del administrador. Puede encontrarlo en el perfil del administrador.
  • Para que la regla funcione, asegúrese de que la Manager propiedad está establecida correctamente para los usuarios de su organización. Puede comprobar el valor actual en el perfil del usuario.
  • Esta regla admite solo subordinados directos del administrador. No se puede crear un grupo que tenga los informes directos del administrador y sus informes.
  • No puede combinar esta regla con ninguna otra regla de pertenencia.

Creación de una regla para todos los usuarios

Puede crear un grupo que contenga todos los usuarios de una organización mediante una regla de pertenencia. Cuando se agreguen o eliminen usuarios de la organización en el futuro, la pertenencia al grupo se ajustará automáticamente.

La regla se crea para todos los usuarios mediante una expresión única que incluye el -ne operador y el null valor. Esta regla agrega usuarios invitados de negocio a negocio y usuarios miembros al grupo.

user.objectId -ne null

Si quiere que el grupo excluya los usuarios invitados e incluya solo los miembros de la organización, puede usar la siguiente sintaxis:

(user.objectId -ne null) -and (user.userType -eq "Member")

Creación de una regla para todos los dispositivos

Puede crear un grupo que contenga todos los dispositivos de una organización mediante una regla de pertenencia. Cuando se agreguen o eliminen dispositivos de la organización en el futuro, la pertenencia al grupo se ajustará automáticamente.

La regla se crea para todos los dispositivos mediante una expresión única que incluye el -ne operador y el null valor:

device.objectId -ne null

Atributos de extensión y propiedades de extensión personalizadas

Los atributos de extensión y las propiedades de extensión personalizadas se admiten como propiedades de cadena en las reglas de los grupos de pertenencia dinámica.

Puede sincronizar atributos de extensión desde Windows Server Active Directory local. O bien, puede actualizar los atributos de extensión mediante Microsoft Graph.

Los atributos de extensión toman el formato de ExtensionAttribute<X>, donde <X> es igual a 1-15. Las propiedades de extensión de varios valores no se admiten en las reglas de los grupos de pertenencia dinámica.

Este es un ejemplo de una regla que utiliza un atributo de extensión como propiedad:

(user.extensionAttribute15 -eq "Marketing")

Puede sincronizar propiedades de extensión personalizadas desde Windows Server Active Directory local o desde una aplicación de software como servicio (SaaS) conectada. Puede crear propiedades de extensión personalizadas mediante Microsoft Graph.

Las propiedades de extensión personalizadas toman el formato de user.extension_[GUID]_[Attribute], donde:

  • [GUID] es la versión simplificada del identificador único de Microsoft Entra ID para la aplicación que creó la propiedad. Solo contiene caracteres 0-9 y A-Z.
  • [Attribute] es el nombre de la propiedad tal como fue creado.

Un ejemplo de una regla que utiliza una propiedad de extensión personalizada es:

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

Las propiedades de extensión personalizadas también se denominan propiedades de directorio o de la extensión de Microsoft Entra.

Puede encontrar el nombre de la propiedad personalizada en el directorio consultando la propiedad de un usuario en el Explorador de Graph y buscando el nombre de la propiedad. Además, ahora puede seleccionar el vínculo Obtener propiedades de extensión personalizadas en el generador de reglas dinámicas para escribir un identificador de aplicación único y recibir la lista completa de propiedades de extensión personalizadas que se usarán al crear una regla para grupos de pertenencia dinámica. Puede actualizar esta lista para obtener las nuevas propiedades de extensión personalizadas para esa aplicación. Los atributos de extensión y las propiedades de extensión personalizadas deben ser de aplicaciones del inquilino.

Para obtener más información, consulte Uso de los atributos en grupos de pertenencia dinámica.

Reglas de dispositivos

Puede crear una regla que seleccione objetos de dispositivo para la pertenencia a un grupo. No puede tener usuarios y dispositivos como miembros del grupo a la vez.

Nota

El organizationalUnit atributo ya no aparece y no debe usarlo. Intune establece esta cadena en casos específicos, pero microsoft Entra ID no lo reconoce. No se agregan dispositivos a grupos basados en este atributo.

El systemlabels atributo es de solo lectura. No puedes configurarlo con Intune.

Para Windows 10, el formato correcto del deviceOSVersion atributo es device.deviceOSVersion -startsWith "10.0.1". Puede validar el formato mediante el Get-MgDevice cmdlet de PowerShell:

Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'

Puede usar los siguientes atributos de dispositivo.

Atributo de dispositivo Valores Ejemplos
accountEnabled true, false device.accountEnabled -eq true
deviceCategory Un nombre de categoría de dispositivo válido device.deviceCategory -eq "BYOD"
deviceId Un identificador de dispositivo de Microsoft Entra válido device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d"
deviceManagementAppId Un identificador de aplicación válido para la administración de dispositivos móviles en microsoft Entra ID device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" para dispositivos gestionados por Microsoft Intune

"54b943f8-d761-4f8d-951e-9cea1846db5a" para dispositivos con administración conjunta de System Center Configuration Manager
deviceManufacturer Cualquier valor de cadena device.deviceManufacturer -eq "Samsung"
deviceModel Cualquier valor de cadena device.deviceModel -eq "iPad Air"
displayName Cualquier valor de cadena device.displayName -eq "Rob iPhone"
deviceOSType Cualquier valor de cadena (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iOS")

device.deviceOSType -startsWith "AndroidEnterprise"

device.deviceOSType -eq "AndroidForWork"

device.deviceOSType -eq "Windows"
deviceOSVersion Cualquier valor de cadena device.deviceOSVersion -eq "9.1"

device.deviceOSVersion -startsWith "10.0.1"
deviceOwnership 1 Personal, , Company, Unknown device.deviceOwnership -eq "Company"
devicePhysicalIds Cualquier valor de cadena que use Windows Autopilot, como todos los dispositivos de Windows Autopilot, OrderID, o PurchaseOrderID device.devicePhysicalIDs -any _ -startsWith "[ZTDId]"

device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881"

device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342"
deviceTrustType 2 AzureAD, , ServerAD, Workplace device.deviceTrustType -eq "AzureAD"
enrollmentProfileName Nombre del perfil para la Inscripción Automatizada de Dispositivos de Apple, la Inscripción de Dispositivos Dedicados de Propiedad Corporativa de Android Enterprise o Windows Autopilot. device.enrollmentProfileName -eq "DEP iPhones"
extensionAttribute1 3 Cualquier valor de cadena device.extensionAttribute1 -eq "some string value"
extensionAttribute2 Cualquier valor de cadena device.extensionAttribute2 -eq "some string value"
extensionAttribute3 Cualquier valor de cadena device.extensionAttribute3 -eq "some string value"
extensionAttribute4 Cualquier valor de cadena device.extensionAttribute4 -eq "some string value"
extensionAttribute5 Cualquier valor de cadena device.extensionAttribute5 -eq "some string value"
extensionAttribute6 Cualquier valor de cadena device.extensionAttribute6 -eq "some string value"
extensionAttribute7 Cualquier valor de cadena device.extensionAttribute7 -eq "some string value"
extensionAttribute8 Cualquier valor de cadena device.extensionAttribute8 -eq "some string value"
extensionAttribute9 Cualquier valor de cadena device.extensionAttribute9 -eq "some string value"
extensionAttribute10 Cualquier valor de cadena device.extensionAttribute10 -eq "some string value"
extensionAttribute11 Cualquier valor de cadena device.extensionAttribute11 -eq "some string value"
extensionAttribute12 Cualquier valor de cadena device.extensionAttribute12 -eq "some string value"
extensionAttribute13 Cualquier valor de cadena device.extensionAttribute13 -eq "some string value"
extensionAttribute14 Cualquier valor de cadena device.extensionAttribute14 -eq "some string value"
extensionAttribute15 Cualquier valor de cadena device.extensionAttribute15 -eq "some string value"
isRooted true, false device.isRooted -eq true
managementType Administración de dispositivos móviles (para dispositivos móviles) device.managementType -eq "MDM"
memberOf Cualquier valor de cadena (identificador de objeto de grupo válido) device.memberOf -any (group.objectId -in ['value'])
objectId Un identificador de objeto de Microsoft Entra válido device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
profileType Un tipo de perfil válido en Microsoft Entra ID device.profileType -eq "RegisteredDevice"
systemLabels 4 Cadena de solo lectura que coincide con la propiedad de un dispositivo de Intune para etiquetar dispositivos Modern Workplace. device.systemLabels -startsWith "M365Managed" SystemLabels

1 Cuando se usa deviceOwnership para crear grupos de pertenencia dinámica para dispositivos, debe establecer el valor igual a Company. En Intune, la propiedad del dispositivo se representa en su lugar como Corporate. Para obtener más información, consulte ownerTypes.

2 Cuando se usa deviceTrustType para crear grupos de pertenencia dinámica para dispositivos, debe establecer el valor igual a AzureAD para representar dispositivos unidos a Microsoft Entra, ServerAD para representar dispositivos unidos a Microsoft Entra híbridos o Workplace para representar dispositivos registrados de Microsoft Entra.

3 Cuando se usa extensionAttribute1-15 para crear grupos de pertenencia dinámica para dispositivos, debe establecer el valor de extensionAttribute1-15 en el dispositivo. Obtenga más información sobre cómo escribir extensionAttributes en un objeto de dispositivo Microsoft Entra.

4 Cuando se usa systemLabels, un atributo de solo lectura que se usa en varios contextos (como la administración de dispositivos y el etiquetado de confidencialidad) no se puede editar a través de Intune.