Dinamikus tagsági csoportok szabályainak kezelése a Microsoft Entra-azonosítóban
Felhasználói vagy eszközattribútum-alapú szabályokat hozhat létre, amelyek lehetővé teszik a tagságot dinamikus tagsági csoportok számára a Microsoft Entra-azonosítóban, a Microsoft Entra részeként. A dinamikus tagsági csoportokat a tagattribútumok alapján automatikusan felveheti és eltávolíthatja a tagsági szabályokat. A Microsoft Entra-ban egyetlen bérlő legfeljebb 15 000 dinamikus tagsági csoporttal rendelkezhet.
Ez a cikk részletesen ismerteti a tulajdonságokat és a szintaxist, amelyek felhasználók vagy eszközök alapján hozhatnak létre szabályokat a dinamikus tagsági csoportokhoz.
Jegyzet
A biztonsági csoportok eszközökhöz vagy felhasználókhoz is használhatók, de a Microsoft 365-csoportok csak felhasználókat tartalmazhatnak.
Amikor egy felhasználó vagy egy eszköz attribútumai megváltoznak, a rendszer kiértékeli a címtár dinamikus tagsági csoportjaira vonatkozó összes szabályt, és ellenőrzi, hogy a módosítás aktiválja-e a csoport hozzáadását vagy eltávolítását. Ha egy felhasználó vagy eszköz megfelel egy csoportra vonatkozó szabálynak, az adott csoport tagjaként lesz hozzáadva. Ha már nem felelnek meg a szabálynak, a rendszer eltávolítja őket. Nem vehet fel vagy távolíthat el manuálisan egy dinamikus tagsági csoport tagját.
- Dinamikus tagsági csoportokat hozhat létre felhasználók vagy eszközök számára, de nem hozhat létre olyan szabályt, amely felhasználókat és eszközöket is tartalmaz.
- Az eszköztulajdonos felhasználói attribútumai alapján nem hozhat létre eszköztagságcsoportot. Az eszköztagság szabályai csak eszközattribútumokra hivatkozhatnak.
Jegyzet
Ehhez a funkcióhoz p1 Microsoft Entra-azonosítójú licencre vagy Intune for Educationre van szükség minden olyan egyedi felhasználóhoz, aki egy vagy több dinamikus tagsági csoport tagja. Nem kell licenceket hozzárendelnie a felhasználókhoz ahhoz, hogy dinamikus tagsági csoportok tagjai legyenek, de a Microsoft Entra-szervezetben a minimális számú licenccel kell rendelkeznie ahhoz, hogy az összes ilyen felhasználót lefedje. Ha például összesen 1000 egyedi felhasználóval rendelkezik a szervezet összes dinamikus tagsági csoportjában, a licenckövetelmények teljesítéséhez legalább 1000 licencre lenne szüksége a Microsoft Entra ID P1-hez. Nem szükséges licenc az olyan eszközökhöz, amelyek egy eszköz alapján egy dinamikus tagsági csoport tagjai.
Szabályszerkesztő az Azure Portalon
A Microsoft Entra ID egy szabályszerkesztőt biztosít a fontos szabályok gyorsabb létrehozásához és frissítéséhez. A szabályszerkesztő legfeljebb öt kifejezés felépítését támogatja. A szabályszerkesztővel egyszerűbben hozhat létre szabályt néhány egyszerű kifejezéssel, de nem használható minden szabály reprodukálására. Ha a szabályszerkesztő nem támogatja a létrehozni kívánt szabályt, használhatja a szövegdobozt.
Íme néhány példa a szövegdoboz használatát igénylő speciális szabályokra vagy szintaxisokra:
- Szabály ötnél több kifejezéssel
- A Közvetlen jelentések szabály
- -contains vagy -notContains operátorral rendelkező szabályok
- Beállítási operátorok elsőbbsége
- Összetett kifejezéseket tartalmazó szabályok; például:
(user.proxyAddresses -any (_ -startsWith "contoso"))
Jegyzet
Előfordulhat, hogy a szabályszerkesztő nem tudja megjeleníteni a szövegmezőben létrehozott néhány szabályt. Előfordulhat, hogy egy üzenet jelenik meg, ha a szabályszerkesztő nem tudja megjeleníteni a szabályt. A szabályszerkesztő semmilyen módon nem módosítja a dinamikus tagsági csoportok szabályainak támogatott szintaxisát, érvényesítését vagy feldolgozását.
További részletes útmutatást a dinamikus tagsági csoport létrehozása vagy frissítése című témakörben talál.
Egyetlen kifejezés szabályszintaxisa
Egyetlen kifejezés a tagsági szabály legegyszerűbb formája, és csak a fent említett három részből áll. Az egyetlen kifejezéssel rendelkező szabály az alábbi példához hasonlóan néz ki: Property Operator Valueahol a tulajdonság szintaxisa az object.property neve.
Az alábbi példa egy megfelelően összeállított tagsági szabályt szemléltet egyetlen kifejezéssel:
user.department -eq "Sales"
A zárójelek nem kötelezőek egyetlen kifejezéshez. A tagsági szabály törzsének teljes hossza nem haladhatja meg a 3072 karaktert.
Tagsági szabály törzsének létrehozása
A csoportokat felhasználókkal vagy eszközökkel automatikusan kitöltő tagsági szabály egy bináris kifejezés, amely igaz vagy hamis eredményt eredményez. Az egyszerű szabály három része:
- Ingatlan
- Operátor
- Érték
A kifejezések részeinek sorrendje fontos a szintaxishibák elkerülése érdekében.
Támogatott tulajdonságok
A tagsági szabály létrehozásához háromféle tulajdonság használható.
- Logikai
- DateTime
- Húr
- Sztringgyűjtemény
A következő felhasználói tulajdonságokat használhatja egyetlen kifejezés létrehozásához.
Logikai típusú tulajdonságok
| Kellékek | Engedélyezett értékek | Használat |
|---|---|---|
| accountEnabled | igaz hamis | user.accountEnabled -eq true |
| dirSyncEnabled | igaz hamis | user.dirSyncEnabled -eq true |
DateTime típusú tulajdonságok
| Kellékek | Engedélyezett értékek | Használat |
|---|---|---|
| employeeHireDate (előzetes verzió) | Bármely DateTimeOffset érték vagy kulcsszórendszer.now | user.employeeHireDate -eq "value" |
Típussztring tulajdonságai
| Kellékek | Engedélyezett értékek | Használat |
|---|---|---|
| város | Bármilyen sztringérték vagy null | user.city -eq "value" |
| ország | Bármilyen sztringérték vagy null | user.country -eq "value" |
| companyName | Bármilyen sztringérték vagy null | user.companyName -eq "value" |
| osztály | Bármilyen sztringérték vagy null | user.department -eq "value" |
| displayName | Bármilyen sztringérték | user.displayName -eq "value" |
| employeeId | Bármilyen sztringérték | user.employeeId -eq "value" user.employeeId -ne null |
| facsimileTelephoneNumber | Bármilyen sztringérték vagy null | user.facsimileTelephoneNumber -eq "value" |
| givenName | Bármilyen sztringérték vagy null | user.givenName -eq "value" |
| jobTitle | Bármilyen sztringérték vagy null | user.jobTitle -eq "value" |
| posta | Bármilyen sztringérték vagy null (a felhasználó SMTP-címe) | user.mail -eq "value" |
| mailNickName | Bármilyen sztringérték (a felhasználó levelezési aliasa) | user.mailNickName -eq "value" |
| memberOf | Bármilyen sztringérték (érvényes csoportobjektum-azonosító) | user.memberOf -any (group.objectId -in [érték]) |
| mobil | Bármilyen sztringérték vagy null | user.mobile -eq "value" |
| objectId | A felhasználói objektum GUID azonosítója | user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbb" |
| onPremisesDistinguishedName | Bármilyen sztringérték vagy null | user.onPremisesDistinguishedName -eq "value" |
| onPremisesSecurityIdentifier | Helyszíni biztonsági azonosító (SID) a helyszíniről a felhőbe szinkronizált felhasználók számára. | user.onPremisesSecurityIdentifier -eq "S-1-1-11-111111111-11111111-1111111111-11111111-1111111" |
| passwordPolicies | Egyik sem DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
| physicalDeliveryOfficeName | Bármilyen sztringérték vagy null | user.physicalDeliveryOfficeName -eq "value" |
| irányítószám | Bármilyen sztringérték vagy null | user.postalCode -eq "value" |
| preferredLanguage | ISO 639-1 kód | user.preferredLanguage -eq "en-US" |
| sipProxyAddress | Bármilyen sztringérték vagy null | user.sipProxyAddress -eq "value" |
| állam | Bármilyen sztringérték vagy null | user.state -eq "value" |
| streetAddress | Bármilyen sztringérték vagy null | user.streetAddress -eq "value" |
| vezetéknév | Bármilyen sztringérték vagy null | user.surname -eq "value" |
| telephoneNumber | Bármilyen sztringérték vagy null | user.telephoneNumber -eq "value" |
| usageLocation | Kétbetűs ország- vagy régiókód | user.usageLocation -eq "US" |
| userPrincipalName | Bármilyen sztringérték | user.userPrincipalName -eq "alias@domain" |
| userType | tag vendég null | user.userType -eq "Member" |
A sztring típusú gyűjtemény tulajdonságai
| Kellékek | Engedélyezett értékek | Példa |
|---|---|---|
| otherMails | Bármilyen sztringérték | user.otherMails -startsWith "alias@domain" |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | user.proxyAddresses -startsWith "SMTP: alias@domain" |
Az eszközszabályokhoz használt tulajdonságokért tekintse meg az eszközökre vonatkozó szabályokat.
Támogatott kifejezésoperátorok
Az alábbi táblázat felsorolja az összes támogatott operátort és azok szintaxisát egyetlen kifejezéshez. Az operátorok a kötőjel (-) előtaggal vagy anélkül is használhatók. A Contains operátor részleges sztring-egyezéseket végez, gyűjtemény-egyezésekben azonban nem szerepel elem.
| Operátor | Szintaxis |
|---|---|
| Nem egyenlő | -ne |
| Egyenlő | -Eq |
| Nem a következővel kezdődik: | -notStartsWith |
| A következővel kezdődik: | -startsWith |
| Nem tartalmaz | -notContains |
| Tartalmaz | -Tartalmaz |
| Nincs egyezés | -notMatch |
| Gyufa | -gyufa |
| Ban | -ban |
| Nincs beadva | -notIn |
A -in és a -notIn operátor használata
Ha egy felhasználói attribútum értékét több értékkel szeretné összehasonlítani, használhatja a -in vagy a -notIn operátort. Az értékek listájának megkezdéséhez és befejezéséhez használja a "[" és a "]" zárójel szimbólumokat.
A következő példában a kifejezés igaz értéket ad vissza, ha a user.department értéke megegyezik a listában szereplő értékek bármelyikével:
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
A -le és a -ge operátor használata
Az employeeHireDate attribútum dinamikus tagsági csoportok szabályaiban való használatakor a (-le) vagy nagyobb (-ge) operátorokat használhatja.
Példák:
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
A -match operátor használata
A -match operátor minden reguláris kifejezésnek megfeleltethető. Példák:
user.displayName -match "^Da.*"
Da, Davkiértékelése David igaz értékre, az aDa értéke hamis.
user.displayName -match ".*vid"
David kiértékelése igaz, Da kiértékelése hamis.
Támogatott értékek
A kifejezésben használt értékek több típusból állhatnak, például:
- Vonósok
- Logikai – igaz, hamis
- Számok
- Tömbök – számtömb, sztringtömb
Egy kifejezésen belüli érték megadásakor fontos a helyes szintaxis használata a hibák elkerülése érdekében. Néhány szintaxistipp:
- A dupla idézőjelek megadása nem kötelező, kivéve, ha az érték sztring.
- A regex- és sztringműveletek nem megkülönböztetik a kis- és nagybetűket.
- Győződjön meg arról, hogy a tulajdonságnevek megfelelően vannak formázva az ábrán látható módon, mivel a kis- és nagybetűk megkülönböztetik őket.
- Ha egy sztringérték dupla idézőjeleket tartalmaz, mindkét idézőjelet meg kell szabadulni a " karakterrel, például a user.department -eq "Sales" a megfelelő szintaxis, amikor az "Értékesítés" az érték. Az egyszeres idézőjeleket minden alkalommal két idézőjellel kell megszabadíteni.
- Null értékű ellenőrzéseket is végrehajthat, például
user.department -eq nullnull értéket használva.
Null értékek használata
Ha null értéket szeretne megadni egy szabályban, használhatja a null értéket.
- A -eq vagy -ne értéket használja a null érték összehasonlításakor egy kifejezésben.
- Csak akkor használjon idézőjeleket a null szó körül, ha literális sztringértékként szeretné értelmezni.
- A -not operátor nem használható összehasonlító operátorként null értékre. Ha használja, hibaüzenet jelenik meg, függetlenül attól, hogy null vagy $null használ.
A null értékre való hivatkozás helyes módja a következő:
user.mail –ne null
Több kifejezéssel rendelkező szabályok
A dinamikus tagsági csoportok szabályainak kezelése több, a logikai operátorok által összekapcsolt kifejezésből állhat. A logikai operátorok együtt is használhatók.
Az alábbiakban példákat láthat több kifejezéssel rendelkező, megfelelően összeállított tagsági szabályokra:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
Operátorok elsőbbsége
Az összes operátor az alábbi sorrendben szerepel a legmagasabbtól a legalacsonyabbig tartó sorrendben. Az azonos sorban lévő operátorok elsőbbséget élveznek:
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
Az alábbi példa az operátorok elsőbbségét szemlélteti, ahol a felhasználó két kifejezést értékel ki:
user.department –eq "Marketing" –and user.country –eq "US"
Zárójelre csak akkor van szükség, ha az elsőbbség nem felel meg a követelményeknek. Ha például azt szeretné, hogy a részleget először értékelje ki, az alábbi ábra bemutatja, hogyan határozhatók meg zárójelek a sorrendben:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Összetett kifejezéseket tartalmazó szabályok
A tagsági szabályok összetett kifejezésekből állhatnak, amelyekben a tulajdonságok, az operátorok és az értékek összetettebb űrlapokat használnak. A kifejezések összetettnek minősülnek, ha az alábbiak bármelyike igaz:
- A tulajdonság értékek gyűjteményéből áll; konkrétan többértékű tulajdonságok
- A kifejezések a -any és az -all operátort használják
- A kifejezés értéke lehet egy vagy több kifejezés is.
Többértékű tulajdonságok
A többértékű tulajdonságok azonos típusú objektumok gyűjteményei. Ezek felhasználhatók tagsági szabályok létrehozására a -any és -all logikai operátorok használatával.
| Kellékek | Értékrend | Használat |
|---|---|---|
| assignedPlans | A gyűjtemény minden objektuma a következő sztringtulajdonságokat teszi elérhetővé: capabilityStatus, service, servicePlanId | user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled") |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | (user.proxyAddresses -any (_ -startsWith "contoso")) |
A -any és a -all operátor használata
A -any és -all operátorokkal feltételt alkalmazhat a gyűjtemény egy vagy az összes elemére.
- -bármely (elégedett, ha a gyűjtemény legalább egy eleme megfelel a feltételnek)
- -all (elégedett, ha a gyűjtemény összes eleme megfelel a feltételnek)
1. példa
A assignedPlans egy többértékű tulajdonság, amely felsorolja a felhasználóhoz rendelt összes szolgáltatáscsomagot. Az alábbi kifejezés azokat a felhasználókat választja ki, akik rendelkeznek a szintén engedélyezett állapotú Exchange Online (2. csomag) szolgáltatáscsomaggal (GUID-értékként):
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
Egy ilyen szabály segítségével csoportosíthatja azokat a felhasználókat, akiknek engedélyezve van a Microsoft 365 vagy más Microsoft Online Service-funkció. Ezután alkalmazhatja a csoportra vonatkozó szabályzatokat.
2. példa
Az alábbi kifejezés kiválasztja az összes olyan felhasználót, aki rendelkezik az Intune szolgáltatáshoz társított szolgáltatáscsomaggal (amelyet a "SCO" szolgáltatásnév azonosít):
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
3. példa
Az alábbi kifejezés az összes olyan felhasználót választja ki, aki nem rendelkezik hozzárendelt szolgáltatáscsomaggal:
user.assignedPlans -all (assignedPlan.servicePlanId -eq null)
Az aláhúzás (_) szintaxis használata
Az aláhúzás (_) szintaxis egyezik egy adott érték előfordulásával a többértékű sztringgyűjtemény egyik tulajdonságában, hogy felhasználókat vagy eszközöket adjon hozzá egy dinamikus tagsági csoporthoz. A -any vagy -all operátorral együtt használják.
Íme egy példa az aláhúzás (_) egy szabályban való használatára a user.proxyAddress alapján történő tagok hozzáadásához (ez ugyanúgy működik a user.otherMails esetében). Ez a szabály hozzáadja a csoporthoz a "contoso" kezdetű proxycímmel rendelkező felhasználókat.
(user.proxyAddresses -any (_ -startsWith "contoso"))
Egyéb tulajdonságok és gyakori szabályok
"Közvetlen jelentések" szabály létrehozása
Létrehozhat egy csoportot, amely egy vezető összes közvetlen jelentését tartalmazza. Amikor a vezető közvetlen jelentései a jövőben megváltoznak, a csoport tagsága automatikusan módosul.
A közvetlen jelentések szabálya a következő szintaxissal jön létre:
Direct Reports for "{objectID_of_manager}"
Íme egy példa egy érvényes szabályra, ahol az "aaaaa-0000-1111-2222-bbbbbbbbbbbb" a kezelő objektumazonosítója:
Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
Az alábbi tippek segíthetnek a szabály megfelelő használatához.
- A kezelő azonosítója a kezelő objektumazonosítója. Ez a vezető profiljában található.
- A szabály működéséhez győződjön meg arról, hogy a Manager tulajdonság helyesen van beállítva a szervezet felhasználói számára. A felhasználó profiljában ellenőrizheti az aktuális értéket.
- Ez a szabály csak a vezető közvetlen jelentéseit támogatja. Más szóval nem hozhat létre csoportot a vezető közvetlen jelentéseivel és jelentéseivel.
- Ez a szabály nem kombinálható más tagsági szabályokkal.
"Minden felhasználó" szabály létrehozása
Létrehozhat egy csoportot, amely egy szervezet összes felhasználóját tartalmazza egy tagsági szabály használatával. Ha a jövőben felhasználókat adnak hozzá vagy távolítanak el a szervezetből, a rendszer automatikusan módosítja a csoport tagságát.
A "Minden felhasználó" szabály egyetlen kifejezéssel jön létre a -ne operátorral és a null értékkel. Ez a szabály B2B-vendégfelhasználókat és tagfelhasználókat ad hozzá a csoporthoz.
user.objectId -ne null
Ha azt szeretné, hogy a csoport kizárja a vendégfelhasználók közül, és csak a szervezet tagjait vegye fel, az alábbi szintaxist használhatja:
(user.objectId -ne null) -and (user.userType -eq "Member")
"Minden eszköz" szabály létrehozása
Egy tagsági szabály használatával létrehozhat egy csoportot, amely egy szervezet összes eszközét tartalmazza. Amikor az eszközöket a jövőben hozzáadják vagy eltávolítják a szervezetből, a csoport tagsága automatikusan módosul.
A "Minden eszköz" szabály egyetlen kifejezéssel jön létre a -ne operátorral és a null értékkel:
device.objectId -ne null
Bővítménytulajdonságok és egyéni bővítménytulajdonságok
A dinamikus tagsági csoportok szabályai sztringtulajdonságként támogatják a bővítményattribútumokat és az egyéni bővítménytulajdonságokat. A bővítményattribútumok szinkronizálhatók a helyszíni Windows Server Active Directoryból, vagy frissíthetők a Microsoft Graph használatával, és a "ExtensionAttributeX" formátumot használják, ahol az X értéke 1 és 15 között van. A többértékű bővítménytulajdonságok nem támogatottak a dinamikus tagsági csoportok szabályaiban.
Íme egy példa egy olyan szabályra, amely egy bővítményattribútumot használ tulajdonságként:
(user.extensionAttribute15 -eq "Marketing")
Az egyéni bővítménytulajdonságok szinkronizálhatók a helyszíni Windows Server Active Directoryból, egy csatlakoztatott SaaS-alkalmazásból, vagy a Microsoft Graph használatával hozhatók létre, és a következő formátumúak user.extension_[GUID]_[Attribute]:
- A [GUID] a tulajdonságot létrehozó alkalmazás Microsoft Entra-azonosítójában szereplő egyedi azonosító leválasztott verziója. Csak 0-9 és A-Z karaktereket tartalmaz
- Az [Attribútum] a tulajdonság létrehozásakor
Példa egy egyéni bővítménytulajdonságot használó szabályra:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Az egyéni bővítménytulajdonságokat címtár- vagy Microsoft Entra-bővítménytulajdonságoknak is nevezik.
Az egyéni tulajdonságnév a címtárban található, ha lekérdezi egy felhasználó tulajdonságát a Graph Explorerrel, és megkeresi a tulajdonság nevét. Emellett a dinamikus tagsági csoportok szabályszerkesztőjében kiválaszthatja az Egyéni bővítménytulajdonságok lekérése hivatkozást, hogy egyedi alkalmazásazonosítót adjon meg, és megkapja a dinamikus tagsági csoportokhoz tartozó szabály létrehozásakor használandó egyéni bővítménytulajdonságok teljes listáját. Ez a lista frissíthető az alkalmazás új egyéni bővítménytulajdonságainak lekéréséhez is. A bővítményattribútumoknak és az egyéni bővítménytulajdonságoknak a bérlő alkalmazásainak kell lenniük.
További információt a Microsoft Entra Connect Sync: Címtárbővítmények című cikkben a dinamikus tagsági csoportok attribútumainak használata című témakörben talál.
Eszközökre vonatkozó szabályok
Létrehozhat olyan szabályt is, amely kiválasztja a csoporttagsághoz tartozó eszközobjektumokat. A csoporttagok nem lehetnek felhasználók és eszközök.
Jegyzet
Az organizationalUnit attribútum már nem szerepel a listában, ezért nem használható. Ezt a sztringet az Intune adott esetekben állítja be, de a Microsoft Entra ID nem ismeri fel, ezért az attribútum alapján nem ad hozzá eszközöket a csoportokhoz.
Az systemlabels attribútum írásvédett, és nem állítható be az Intune-nal.
Windows 10 esetén az attribútum helyes formátuma a deviceOSVersion következő: (device.deviceOSVersion -startsWith "10.0.1"). A formázás a Get-MgDevice PowerShell-parancsmaggal érvényesíthető:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
Az alábbi eszközattribútumok használhatók.
| Eszközattribútum | Értékrend | Példa |
|---|---|---|
| accountEnabled | igaz hamis | device.accountEnabled -eq true |
| deviceCategory | érvényes eszközkategória neve | device.deviceCategory -eq "BYOD" |
| deviceId | érvényes Microsoft Entra-eszközazonosító | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
| deviceManagementAppId | érvényes MDM-alkalmazásazonosító a Microsoft Entra-azonosítóban | device.deviceManagementAppId -eq "00000000a-0000-0000-c000-000000000000" a Microsoft in felügyelt vagy "54b943f8-d761-4f8d-951e-9cea1846db5a" a System Center Configuration Manager által felügyelt eszközökhöz |
| deviceManufacturer | bármilyen sztringérték | device.deviceManufacturer -eq "Samsung" |
| deviceModel | bármilyen sztringérték | device.deviceModel -eq "iPad Air" |
| displayName | bármilyen sztringérték | device.displayName -eq "Rob iPhone" |
| deviceOSType | bármilyen sztringérték | (device.deviceOSType -eq "iPad") -vagy (device.deviceOSType -eq "iOS") device.deviceOSType –startsWith "AndroidEnterprise" device.deviceOSType -eq "AndroidForWork" device.deviceOSType -eq "Windows" |
| deviceOSVersion | bármilyen sztringérték | device.deviceOSVersion -eq "9.1" device.deviceOSVersion -startsWith "10.0.1" |
| deviceOwnership | Személyes, Céges, Ismeretlen | device.deviceOwnership -eq "Company" |
| devicePhysicalIds | az Autopilot által használt összes sztringérték, például az Összes Autopilot-eszköz, az OrderID vagy a PurchaseOrderID | device.devicePhysicalIDs -any _ -startsWith "[ZTDId]" (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881" (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
| deviceTrustType | AzureAD, ServerAD, Munkahely | device.deviceTrustType –eq "AzureAD" |
| enrollmentProfileName | Apple Device Enrollment Profile name, Android Enterprise Vállalati tulajdonú dedikált eszközregisztrációs profil neve vagy Windows Autopilot-profil neve | device.enrollmentProfileName -eq "DEP iPhone-ok" |
| extensionAttribute1 | bármilyen sztringérték | device.extensionAttribute1 –eq "valamilyen sztringérték" |
| extensionAttribute2 | bármilyen sztringérték | device.extensionAttribute2 –eq "valamilyen sztringérték" |
| extensionAttribute3 | bármilyen sztringérték | device.extensionAttribute3 –eq "valamilyen sztringérték" |
| extensionAttribute4 | bármilyen sztringérték | device.extensionAttribute4 –eq "valamilyen sztringérték" |
| extensionAttribute5 | bármilyen sztringérték | device.extensionAttribute5 –eq "valamilyen sztringérték" |
| extensionAttribute6 | bármilyen sztringérték | device.extensionAttribute6 –eq "valamilyen sztringérték" |
| extensionAttribute7 | bármilyen sztringérték | device.extensionAttribute7 -eq "valamilyen sztringérték" |
| extensionAttribute8 | bármilyen sztringérték | device.extensionAttribute8 -eq "valamilyen sztringérték" |
| extensionAttribute9 | bármilyen sztringérték | device.extensionAttribute9 –eq "valamilyen sztringérték" |
| extensionAttribute10 | bármilyen sztringérték | device.extensionAttribute10 -eq "valamilyen sztringérték" |
| extensionAttribute11 | bármilyen sztringérték | device.extensionAttribute11 -eq "valamilyen sztringérték" |
| extensionAttribute12 | bármilyen sztringérték | device.extensionAttribute12 –eq "valamilyen sztringérték" |
| extensionAttribute13 | bármilyen sztringérték | device.extensionAttribute13 –eq "valamilyen sztringérték" |
| extensionAttribute14 | bármilyen sztringérték | device.extensionAttribute14 –eq "valamilyen sztringérték" |
| extensionAttribute15 | bármilyen sztringérték | device.extensionAttribute15 -eq "valamilyen sztringérték" |
| isRooted | igaz hamis | device.isRooted -eq true |
| managementType | MDM (mobileszközökhöz) | device.managementType -eq "MDM" |
| memberOf | Bármilyen sztringérték (érvényes csoportobjektum-azonosító) | device.memberOf -any (group.objectId -in [érték]) |
| objectId | érvényes Microsoft Entra-objektumazonosító | device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbb" |
| profileType | érvényes profiltípus a Microsoft Entra-azonosítóban | device.profileType -eq "RegisteredDevice" |
| systemLabels | az Intune eszköztulajdonságának megfelelő írásvédett sztring modern munkahelyi eszközök címkézéséhez | device.systemLabels -startsWith "M365Managed" SystemLabels |
Jegyzet
A használat systemLabelssorán a különböző környezetekben , például az eszközkezelésben és a bizalmassági címkézésben használt írásvédett attribútum nem szerkeszthető az Intune-on keresztül.
Ha dinamikus tagsági csoportokat hoz deviceOwnership létre az eszközökhöz, meg kell adnia az értéknek egyezik.Company Az Intune-ban az eszköz tulajdonjoga vállalatiként jelenik meg. További információkért lásd a OwnerTypes webhelyet.
Ha dinamikus tagsági csoportokat hoz deviceTrustType létre az eszközökhöz, meg kell adnia a Microsoft Entra-hoz csatlakoztatott eszközöknek, a Hibrid Microsoft Entra csatlakoztatott eszközöknek vagy ServerAD Workplace a Microsoft Entra által regisztrált eszközöknek az értékével egyenlő AzureAD értéket.
Ha dinamikus tagsági csoportokat hoz extensionAttribute1-15 létre az eszközökhöz, be kell állítania az eszközön az extensionAttribute1-15 értéket. További információ a Microsoft Entra-eszközobjektumok írásáról extensionAttributes
Következő lépések
Ezek a cikkek további információkat tartalmaznak a Microsoft Entra ID-ban található csoportokról.