Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Puede crear reglas basadas en atributos de dispositivo o basadas en usuarios para habilitar la pertenencia a grupos de pertenencia dinámica en el identificador de Microsoft Entra. Puede agregar y quitar grupos de pertenencia dinámicos automáticamente mediante reglas de pertenencia basadas en atributos de miembro. En Microsoft Entra, un único inquilino puede tener un máximo de 15 000 grupos de pertenencia dinámica.
En este artículo se detallan las propiedades y la sintaxis para crear reglas de grupos de pertenencia dinámicos basados en usuarios o dispositivos.
Nota
Los grupos de seguridad pueden incluir dispositivos o usuarios, pero los grupos de Microsoft 365 solo pueden incluir usuarios.
Consideraciones para grupos de pertenencia dinámica
Cuando cambian los atributos de un usuario o un dispositivo, el sistema evalúa todas las reglas de los grupos de pertenencia dinámica en un directorio para ver si el cambio desencadenaría cualquier adición o eliminación de grupos. Si los usuarios o dispositivos cumplen una regla en un grupo, se agregan como miembros de ese grupo. Si ya no cumple la regla, se quita del grupo. No puedes agregar o quitar de forma manual un miembro de un grupo de pertenencia dinámico.
Tenga en cuenta también estas limitaciones:
- Puede crear grupos de pertenencia dinámicos para usuarios o dispositivos, pero no puedes crear una regla que contenga tanto usuarios como dispositivos.
- No puede crear un grupo de pertenencia de dispositivo basado en los atributos de usuario del propietario del dispositivo. Las reglas de pertenencia de dispositivo solo pueden hacer referencia a atributos de dispositivos.
Requisitos de licencia
La característica de grupos de pertenencia dinámica requiere una licencia de Microsoft Entra ID P1 o una licencia de Intune for Education para cada usuario único que sea miembro de uno o varios grupos de pertenencia dinámica. No es necesario asignar licencias a los usuarios para que sean miembros de grupos de pertenencia dinámica. Pero debe tener el número mínimo de licencias en la organización de Microsoft Entra para cubrir todos estos usuarios.
Por ejemplo, si tiene un total de 1000 usuarios únicos en todos los grupos de pertenencia dinámica de su organización, necesita al menos 1000 licencias para microsoft Entra ID P1 para cumplir el requisito de licencia.
No es necesaria ninguna licencia para los dispositivos que son miembros de un grupo de pertenencia dinámico basado en un dispositivo.
Generador de reglas en Azure Portal
Microsoft Entra ID proporciona un generador de reglas para crear y actualizar las reglas importantes con mayor rapidez. El generador de reglas admite la construcción de hasta cinco expresiones. Puede usar el generador de reglas para formar una regla con algunas expresiones simples, pero no puede usarla para reproducir todas las reglas. Si el generador de reglas no admite la regla que desea crear, puede usar el cuadro de texto.
Para obtener instrucciones paso a paso, consulte Creación o actualización de un grupo de pertenencia dinámica.
Importante
El generador de reglas solo está disponible para grupos de pertenencia dinámica basados en usuarios. Solo puede crear grupos de pertenencia dinámica basados en dispositivos mediante el cuadro de texto.
Estos son algunos ejemplos de reglas avanzadas o sintaxis que requieren el uso del cuadro de texto:
- Regla con más de cinco expresiones
- Regla para informes directos
- Regla con un operador
-contains
o-notContains
- Configuración de la precedencia de operadores
-
Regla con expresiones complejas; por ejemplo
(user.proxyAddresses -any (_ -startsWith "contoso"))
Nota
Es posible que el generador de reglas no pueda mostrar algunas reglas construidas en el cuadro de texto. Es posible que vea un mensaje cuando el generador de reglas no pueda mostrar la regla. El generador de reglas no cambia la sintaxis admitida, la validación ni el procesamiento de reglas de grupos de pertenencia dinámica de ninguna manera.
Sintaxis de regla para una sola expresión
Una expresión única es la forma más sencilla de una regla de pertenencia. Una regla con una sola expresión toma la forma de <Property> <Operator> <Value>
, donde la sintaxis de la propiedad es el nombre de <object>.<property>
.
El ejemplo siguiente muestra una regla de pertenencia creada correctamente con una expresión única:
user.department -eq "Sales"
Los paréntesis son opcionales para una expresión única. La longitud total del cuerpo de la regla de pertenencia no puede superar los 3072 caracteres.
Construcción del cuerpo de una regla de pertenencia
Una regla de pertenencia que rellena automáticamente un grupo con usuarios o dispositivos es una expresión binaria que genera un resultado true o false. Los tres elementos de una regla simple son:
- Propiedad
- Operador
- Valor
El orden de los elementos de una expresión es importante para evitar errores de sintaxis.
Propiedades admitidas
Puede usar tres tipos de propiedades para definir una regla de pertenencia.
- Booleano
- Fecha y hora
- Cadena
- Colección de cadenas
Puede usar las siguientes propiedades de usuario para crear una sola expresión.
Propiedades de tipo Boolean
Propiedad | Valores permitidos | Uso |
---|---|---|
accountEnabled |
true , false |
user.accountEnabled -eq true |
dirSyncEnabled |
true , false |
user.dirSyncEnabled -eq true |
Propiedades de tipo fecha y hora
Propiedad | Valores permitidos | Uso |
---|---|---|
employeeHireDate (versión preliminar) |
Cualquier DateTimeOffset valor o palabra clave system.now |
user.employeeHireDate -eq "value" |
Propiedades de tipo cadena
Propiedad | Valores permitidos | Uso |
---|---|---|
city |
Cualquier valor de cadena o null |
user.city -eq "value" |
country |
Cualquier valor de cadena o null |
user.country -eq "value" |
companyName |
Cualquier valor de cadena o null |
user.companyName -eq "value" |
department |
Cualquier valor de cadena o null |
user.department -eq "value" |
displayName |
Cualquier valor de cadena | user.displayName -eq "value" |
employeeId |
Cualquier valor de cadena | user.employeeId -eq "value" user.employeeId -ne "null" |
facsimileTelephoneNumber |
Cualquier valor de cadena o null |
user.facsimileTelephoneNumber -eq "value" |
givenName |
Cualquier valor de cadena o null |
user.givenName -eq "value" |
jobTitle |
Cualquier valor de cadena o null |
user.jobTitle -eq "value" |
mail |
Cualquier valor de cadena o null (dirección SMTP del usuario) |
user.mail -eq "value" user.mail -notEndsWith "@Contoso.com" |
mailNickName |
Cualquier valor de cadena (alias de correo electrónico del usuario) | user.mailNickName -eq "value" user.mailNickname -endsWith "-vendor" |
memberOf |
Cualquier valor de cadena (identificador de objeto de grupo válido) | user.memberOf -any (group.objectId -in ['value']) |
mobile |
Cualquier valor de cadena o null |
user.mobile -eq "value" |
objectId |
GUID del objeto de usuario | user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
onPremisesDistinguishedName |
Cualquier valor de cadena o null |
user.onPremisesDistinguishedName -eq "value" |
onPremisesSecurityIdentifier |
Identificador de seguridad local (SID) para los usuarios que se sincronizaron desde el entorno local a la nube | user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111" |
passwordPolicies |
None , DisableStrongPassword , DisablePasswordExpiration , , DisablePasswordExpiration , DisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
physicalDeliveryOfficeName |
Cualquier valor de cadena o null |
user.physicalDeliveryOfficeName -eq "value" |
postalCode |
Cualquier valor de cadena o null |
user.postalCode -eq "value" |
preferredLanguage |
Código ISO 639-1 | user.preferredLanguage -eq "en-US" |
sipProxyAddress |
Cualquier valor de cadena o null |
user.sipProxyAddress -eq "value" |
state |
Cualquier valor de cadena o null |
user.state -eq "value" |
streetAddress |
Cualquier valor de cadena o null |
user.streetAddress -eq "value" |
surname |
Cualquier valor de cadena o null |
user.surname -eq "value" |
telephoneNumber |
Cualquier valor de cadena o null |
user.telephoneNumber -eq "value" |
usageLocation |
Código de país o región de dos letras | user.usageLocation -eq "US" |
userPrincipalName |
Cualquier valor de cadena | user.userPrincipalName -eq "alias@domain" |
userType |
member , , guest , null |
user.userType -eq "Member" |
Propiedades de colección de cadenas de tipo
Propiedad | Valores permitidos | Ejemplos |
---|---|---|
otherMails |
Cualquier valor de cadena | user.otherMails -startsWith "alias@domain" user.otherMails -endsWith"@contoso.com" |
proxyAddresses |
SMTP: alias@domain , smtp: alias@domain |
user.proxyAddresses -startsWith "SMTP: alias@domain" user.proxyAddresses -notEndsWith "@outlook.com" |
Para más información sobre las propiedades que se usan para las reglas de dispositivos, consulte Reglas de dispositivos.
Operadores de expresión admitidos
En la tabla siguiente se enumeran todos los operadores admitidos y su sintaxis para una expresión única. Puede usar operadores con o sin el prefijo de guion (-
). El operador Contains
realiza coincidencias parciales de cadenas, pero no realiza coincidencias con elementos de una colección.
Cautela
Para obtener los mejores resultados, minimice el uso de Match
o Contains
tanto como sea posible. En el artículo Creación de reglas más sencillas y eficaces para grupos de pertenencia dinámica se proporcionan instrucciones sobre cómo crear reglas que dan lugar a mejores tiempos de procesamiento dinámicos de grupos. El memberOf
operador está en versión preliminar y tiene algunas limitaciones, así que úsela con precaución.
Operador | Sintaxis |
---|---|
Ends With |
-endsWith |
Not Ends With |
-notEndsWith |
Not Equals |
-ne |
Equals |
-eq |
Not Starts With |
-notStartsWith |
Starts With |
-startsWith |
Not Contains |
-notContains |
Contains |
-contains |
Not Match |
-notMatch |
Match |
-match |
In |
-in |
Not In |
-notIn |
Uso de los operadores -in y -notIn
Si desea comparar el valor de un atributo de usuario con varios valores, puede usar el -in
operador o -notIn
. Use los símbolos de corchetes ([
y ]
) para comenzar y finalizar la lista de valores.
En el ejemplo siguiente, la expresión se evalúa a true
si el valor de user.department
es igual a cualquiera de los valores de la lista.
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
Uso de los operadores -le y -ge
Puede usar el operador menor que (-le
) o mayor que (-ge
) cuando esté usando el atributo employeeHireDate
en reglas para grupos de pertenencia dinámica.
Estos son unos ejemplos:
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
Uso del operador -match
Puede usar el -match
operador para buscar coincidencias con cualquier expresión regular.
En el ejemplo siguiente, Da
, Dav
y David
se evalúan como true
.
aDa
se evalúa como false
.
user.displayName -match "^Da.*"
En el ejemplo siguiente, David
se evalúa como true
.
Da
se evalúa como false
.
user.displayName -match ".*vid"
Valores admitidos
Los valores que se usan en una expresión pueden constar de varios tipos:
- Cadenas
- Booleano (
true
,false
) - Números
- Matrices (matriz de números, matriz de cadenas)
Al especificar un valor dentro de una expresión, es importante usar la sintaxis correcta para evitar errores. Estas son algunas sugerencias de sintaxis:
- Las comillas dobles son opcionales a menos que el valor sea una cadena.
- Las operaciones de regex y cadenas no distinguen entre mayúsculas y minúsculas.
- Asegúrese de que los nombres de propiedad tengan el formato correcto, como se muestra, ya que distinguen mayúsculas de minúsculas.
- Cuando un valor de cadena contiene comillas dobles, debe escapar ambas comillas mediante el carácter de barra diagonal inversa (
\
). Por ejemplo, user.department -eq "Sales" es la sintaxis adecuada cuandoSales
es el valor. Escapa los caracteres de comillas simples utilizando dos comillas simples en lugar de una. - También puede realizar comprobaciones nulas mediante
null
como valor; por ejemplo,user.department -eq null
.
Uso de valores NULL
Para especificar un null
valor en una regla:
- Utiliza
-eq
o-ne
cuando compares el valornull
en una expresión. - Use comillas alrededor de la palabra
null
solo si desea que se interprete como un valor de cadena literal. - No use el
-not
operador como operador comparativo para el valor NULL. Si lo usa, recibirá un error tanto si usanull
como$null
.
La manera correcta de hacer referencia al valor es la null
siguiente:
user.mail –ne null
Reglas con varias expresiones
Las reglas de los grupos de pertenencia dinámica pueden constar de más de una sola expresión conectada por los -and
operadores lógicos , -or
y -not
. También puede usar operadores lógicos en combinación.
Los siguientes son ejemplos de reglas de pertenencia construidas correctamente con varias expresiones:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
Precedencia de operadores
En la lista siguiente se muestran todos los operadores en orden de prioridad de mayor a menor. Los operadores de la misma línea tienen la misma prioridad.
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
El ejemplo siguiente muestra la prioridad de operador cuando se evalúan dos expresiones para el usuario:
user.department –eq "Marketing" –and user.country –eq "US"
Solo necesita paréntesis cuando la prioridad no cumple sus requisitos. Por ejemplo, si desea que el departamento se evalúe primero, el código siguiente muestra cómo puede usar paréntesis para determinar el orden:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Reglas con expresiones complejas
Una regla de pertenencia puede constar de expresiones complejas donde las propiedades, los operadores y los valores pueden adoptar formas más complejas. Las expresiones se consideran complejas cuando se cumple cualquiera de los siguientes puntos:
- La propiedad consta de una colección de valores; específicamente, propiedades de varios valores.
- Las expresiones usan los
-any
operadores y-all
. - El valor de la expresión puede ser una o varias expresiones.
Propiedades de varios valores
Las propiedades de varios valores son colecciones de objetos del mismo tipo. Puede usarlos para crear reglas de pertenencia mediante los -any
operadores lógicos y -all
.
Propiedad | Valores | Uso |
---|---|---|
assignedPlans |
Cada objeto de la colección expone las siguientes propiedades de cadena: capabilityStatus , service , servicePlanId |
user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled") |
proxyAddresses |
SMTP: alias@domain , smtp: alias@domain |
(user.proxyAddresses -any (\_ -startsWith "contoso")) |
Uso de los operadores -any y -all
Puede usar los operadores siguientes para aplicar una condición a uno o todos los elementos de la colección:
-
-any
: se cumple cuando al menos un elemento de la colección coincide con la condición. -
-all
: se cumple cuando todos los elementos de la colección coinciden con la condición.
Ejemplo 1
assignedPlans
es una propiedad de varios valores que enumera todos los planes de servicio asignados al usuario. La expresión siguiente selecciona los usuarios que tienen el plan de servicio de Exchange Online (plan 2) (como un valor GUID) que también está en un Enabled
estado:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
Puede usar una regla como esta para agrupar todos los usuarios para los que está habilitada una funcionalidad de Microsoft 365 u otros servicios en línea de Microsoft. Después, podría aplicar la regla con un conjunto de políticas al grupo.
Ejemplo 2
La expresión siguiente selecciona todos los usuarios que tienen cualquier plan de servicio asociado al servicio de Intune (identificado por el nombre SCO
del servicio ):
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Ejemplo 3
La expresión siguiente selecciona todos los usuarios que no tienen ningún plan de servicio asignado:
user.assignedPlans -all (assignedPlan.servicePlanId -eq null)
Con la sintaxis de guión bajo (_)
La sintaxis de subrayado (_
) coincide con las apariciones de un valor específico en una de las propiedades de colección de cadenas de varios valores para agregar usuarios o dispositivos a un grupo de pertenencia dinámica. Se usa con el operador -any
o -all
.
Este es un ejemplo del uso del carácter de subrayado en una regla para agregar miembros basados en user.proxyAddress
. (Funciona igual para user.otherMails
.) Esta regla agrega cualquier usuario que tenga una dirección de proxy que comience por contoso
el grupo.
(user.proxyAddresses -any (_ -startsWith "contoso"))
Otras propiedades y reglas habituales
Creación de una regla para informes directos
Puede crear un grupo que contenga todos los informes directos de un administrador. Cuando los subordinados directos de un administrador cambien en el futuro, la pertenencia del grupo se ajustará automáticamente.
La regla de informes directos se crea mediante la sintaxis siguiente:
Direct Reports for "{objectID_of_manager}"
Este es un ejemplo de una regla válida, donde aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
es el identificador de objeto del administrador:
Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
Las siguientes sugerencias pueden ayudarle a usar la regla correctamente:
- El identificador del administrador es el identificador de objeto del administrador. Puede encontrarlo en el perfil del administrador.
- Para que la regla funcione, asegúrese de que la
Manager
propiedad está establecida correctamente para los usuarios de su organización. Puede comprobar el valor actual en el perfil del usuario. - Esta regla admite solo subordinados directos del administrador. No se puede crear un grupo que tenga los informes directos del administrador y sus informes.
- No puede combinar esta regla con ninguna otra regla de pertenencia.
Creación de una regla para todos los usuarios
Puede crear un grupo que contenga todos los usuarios de una organización mediante una regla de pertenencia. Cuando se agreguen o eliminen usuarios de la organización en el futuro, la pertenencia al grupo se ajustará automáticamente.
La regla se crea para todos los usuarios mediante una expresión única que incluye el -ne
operador y el null
valor. Esta regla agrega usuarios invitados de negocio a negocio y usuarios miembros al grupo.
user.objectId -ne null
Si quiere que el grupo excluya los usuarios invitados e incluya solo los miembros de la organización, puede usar la siguiente sintaxis:
(user.objectId -ne null) -and (user.userType -eq "Member")
Creación de una regla para todos los dispositivos
Puede crear un grupo que contenga todos los dispositivos de una organización mediante una regla de pertenencia. Cuando se agreguen o eliminen dispositivos de la organización en el futuro, la pertenencia al grupo se ajustará automáticamente.
La regla se crea para todos los dispositivos mediante una expresión única que incluye el -ne
operador y el null
valor:
device.objectId -ne null
Atributos de extensión y propiedades de extensión personalizadas
Los atributos de extensión y las propiedades de extensión personalizadas se admiten como propiedades de cadena en las reglas de los grupos de pertenencia dinámica.
Puede sincronizar atributos de extensión desde Windows Server Active Directory local. O bien, puede actualizar los atributos de extensión mediante Microsoft Graph.
Los atributos de extensión toman el formato de ExtensionAttribute<X>
, donde <X>
es igual a 1
-15
. Las propiedades de extensión de varios valores no se admiten en las reglas de los grupos de pertenencia dinámica.
Este es un ejemplo de una regla que utiliza un atributo de extensión como propiedad:
(user.extensionAttribute15 -eq "Marketing")
Puede sincronizar propiedades de extensión personalizadas desde Windows Server Active Directory local o desde una aplicación de software como servicio (SaaS) conectada. Puede crear propiedades de extensión personalizadas mediante Microsoft Graph.
Las propiedades de extensión personalizadas toman el formato de user.extension_[GUID]_[Attribute]
, donde:
-
[GUID]
es la versión simplificada del identificador único de Microsoft Entra ID para la aplicación que creó la propiedad. Solo contiene caracteres 0-9 y A-Z. -
[Attribute]
es el nombre de la propiedad tal como fue creado.
Un ejemplo de una regla que utiliza una propiedad de extensión personalizada es:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Las propiedades de extensión personalizadas también se denominan propiedades de directorio o de la extensión de Microsoft Entra.
Puede encontrar el nombre de la propiedad personalizada en el directorio consultando la propiedad de un usuario en el Explorador de Graph y buscando el nombre de la propiedad. Además, ahora puede seleccionar el vínculo Obtener propiedades de extensión personalizadas en el generador de reglas dinámicas para escribir un identificador de aplicación único y recibir la lista completa de propiedades de extensión personalizadas que se usarán al crear una regla para grupos de pertenencia dinámica. Puede actualizar esta lista para obtener las nuevas propiedades de extensión personalizadas para esa aplicación. Los atributos de extensión y las propiedades de extensión personalizadas deben ser de aplicaciones del inquilino.
Para obtener más información, consulte Uso de los atributos en grupos de pertenencia dinámica.
Reglas de dispositivos
Puede crear una regla que seleccione objetos de dispositivo para la pertenencia a un grupo. No puede tener usuarios y dispositivos como miembros del grupo a la vez.
Nota
El organizationalUnit
atributo ya no aparece y no debe usarlo. Intune establece esta cadena en casos específicos, pero microsoft Entra ID no lo reconoce. No se agregan dispositivos a grupos basados en este atributo.
El systemlabels
atributo es de solo lectura. No puedes configurarlo con Intune.
Para Windows 10, el formato correcto del deviceOSVersion
atributo es device.deviceOSVersion -startsWith "10.0.1"
. Puede validar el formato mediante el Get-MgDevice
cmdlet de PowerShell:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
Puede usar los siguientes atributos de dispositivo.
Atributo de dispositivo | Valores | Ejemplos |
---|---|---|
accountEnabled |
true , false |
device.accountEnabled -eq true |
deviceCategory |
Un nombre de categoría de dispositivo válido | device.deviceCategory -eq "BYOD" |
deviceId |
Un identificador de dispositivo de Microsoft Entra válido | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
deviceManagementAppId |
Un identificador de aplicación válido para la administración de dispositivos móviles en microsoft Entra ID |
device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" para dispositivos gestionados por Microsoft Intune"54b943f8-d761-4f8d-951e-9cea1846db5a" para dispositivos con administración conjunta de System Center Configuration Manager |
deviceManufacturer |
Cualquier valor de cadena | device.deviceManufacturer -eq "Samsung" |
deviceModel |
Cualquier valor de cadena | device.deviceModel -eq "iPad Air" |
displayName |
Cualquier valor de cadena | device.displayName -eq "Rob iPhone" |
deviceOSType |
Cualquier valor de cadena | (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iOS") device.deviceOSType -startsWith "AndroidEnterprise" device.deviceOSType -eq "AndroidForWork" device.deviceOSType -eq "Windows" |
deviceOSVersion |
Cualquier valor de cadena | device.deviceOSVersion -eq "9.1" device.deviceOSVersion -startsWith "10.0.1" |
deviceOwnership
1 |
Personal , , Company , Unknown |
device.deviceOwnership -eq "Company" |
devicePhysicalIds |
Cualquier valor de cadena que use Windows Autopilot, como todos los dispositivos de Windows Autopilot, OrderID , o PurchaseOrderID |
device.devicePhysicalIDs -any _ -startsWith "[ZTDId]" device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881" device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
deviceTrustType
2 |
AzureAD , , ServerAD , Workplace |
device.deviceTrustType -eq "AzureAD" |
enrollmentProfileName |
Nombre del perfil para la Inscripción Automatizada de Dispositivos de Apple, la Inscripción de Dispositivos Dedicados de Propiedad Corporativa de Android Enterprise o Windows Autopilot. | device.enrollmentProfileName -eq "DEP iPhones" |
extensionAttribute1
3 |
Cualquier valor de cadena | device.extensionAttribute1 -eq "some string value" |
extensionAttribute2 |
Cualquier valor de cadena | device.extensionAttribute2 -eq "some string value" |
extensionAttribute3 |
Cualquier valor de cadena | device.extensionAttribute3 -eq "some string value" |
extensionAttribute4 |
Cualquier valor de cadena | device.extensionAttribute4 -eq "some string value" |
extensionAttribute5 |
Cualquier valor de cadena | device.extensionAttribute5 -eq "some string value" |
extensionAttribute6 |
Cualquier valor de cadena | device.extensionAttribute6 -eq "some string value" |
extensionAttribute7 |
Cualquier valor de cadena | device.extensionAttribute7 -eq "some string value" |
extensionAttribute8 |
Cualquier valor de cadena | device.extensionAttribute8 -eq "some string value" |
extensionAttribute9 |
Cualquier valor de cadena | device.extensionAttribute9 -eq "some string value" |
extensionAttribute10 |
Cualquier valor de cadena | device.extensionAttribute10 -eq "some string value" |
extensionAttribute11 |
Cualquier valor de cadena | device.extensionAttribute11 -eq "some string value" |
extensionAttribute12 |
Cualquier valor de cadena | device.extensionAttribute12 -eq "some string value" |
extensionAttribute13 |
Cualquier valor de cadena | device.extensionAttribute13 -eq "some string value" |
extensionAttribute14 |
Cualquier valor de cadena | device.extensionAttribute14 -eq "some string value" |
extensionAttribute15 |
Cualquier valor de cadena | device.extensionAttribute15 -eq "some string value" |
isRooted |
true , false |
device.isRooted -eq true |
managementType |
Administración de dispositivos móviles (para dispositivos móviles) | device.managementType -eq "MDM" |
memberOf |
Cualquier valor de cadena (identificador de objeto de grupo válido) | device.memberOf -any (group.objectId -in ['value']) |
objectId |
Un identificador de objeto de Microsoft Entra válido | device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
profileType |
Un tipo de perfil válido en Microsoft Entra ID | device.profileType -eq "RegisteredDevice" |
systemLabels
4 |
Cadena de solo lectura que coincide con la propiedad de un dispositivo de Intune para etiquetar dispositivos Modern Workplace. | device.systemLabels -startsWith "M365Managed" SystemLabels |
1 Cuando se usa deviceOwnership
para crear grupos de pertenencia dinámica para dispositivos, debe establecer el valor igual a Company
. En Intune, la propiedad del dispositivo se representa en su lugar como Corporate
. Para obtener más información, consulte ownerTypes
.
2 Cuando se usa deviceTrustType
para crear grupos de pertenencia dinámica para dispositivos, debe establecer el valor igual a AzureAD
para representar dispositivos unidos a Microsoft Entra, ServerAD
para representar dispositivos unidos a Microsoft Entra híbridos o Workplace
para representar dispositivos registrados de Microsoft Entra.
3 Cuando se usa extensionAttribute1-15
para crear grupos de pertenencia dinámica para dispositivos, debe establecer el valor de extensionAttribute1-15
en el dispositivo.
Obtenga más información sobre cómo escribir extensionAttributes
en un objeto de dispositivo Microsoft Entra.
4 Cuando se usa systemLabels
, un atributo de solo lectura que se usa en varios contextos (como la administración de dispositivos y el etiquetado de confidencialidad) no se puede editar a través de Intune.