Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Felhasználói vagy eszközattribútum-alapú szabályokat hozhat létre a dinamikus tagsági csoportok tagságának engedélyezéséhez a Microsoft Entra ID-ban. A dinamikus tagsági csoportokat a tagattribútumokon alapuló tagsági szabályok használatával automatikusan hozzáadhatja és eltávolíthatja. A Microsoft Entra-ban egyetlen bérlő legfeljebb 15 000 dinamikus tagsági csoporttal rendelkezhet.
Ez a cikk részletesen ismerteti a tulajdonságokat és a szintaxist, amelyek felhasználók vagy eszközök alapján hozhatnak létre szabályokat a dinamikus tagsági csoportokhoz.
Feljegyzés
A biztonsági csoportok tartalmazhatnak eszközöket vagy felhasználókat, de a Microsoft 365-csoportok csak felhasználókat tartalmazhatnak.
A dinamikus tagsági csoportok szempontjai
Amikor egy felhasználó vagy egy eszköz attribútumai megváltoznak, a rendszer kiértékeli a címtár dinamikus tagsági csoportjaira vonatkozó összes szabályt, hogy megállapítsa, a módosítás aktiválja-e a csoport hozzáadását vagy eltávolítását. Ha a felhasználók vagy eszközök megfelelnek egy csoportra vonatkozó szabálynak, az adott csoport tagjaiként lesznek hozzáadva. Ha már nem felelnek meg a szabálynak, a rendszer eltávolítja őket. Nem vehet fel vagy távolíthat el manuálisan egy dinamikus tagsági csoport tagját.
Tartsa szem előtt az alábbi korlátozásokat is:
- Dinamikus tagsági csoportokat hozhat létre felhasználók vagy eszközök számára, de nem hozhat létre olyan szabályt, amely felhasználókat és eszközöket is tartalmaz.
- Az eszköztulajdonos felhasználói attribútumai alapján nem hozhat létre eszköztagságcsoportot. Az eszköztagság szabályai csak eszközattribútumokra hivatkozhatnak.
Licenckövetelmények
A dinamikus tagsági csoportokhoz Microsoft Entra ID P1 licencre vagy Intune for Education-licencre van szükség minden olyan egyedi felhasználóhoz, aki egy vagy több dinamikus tagsági csoport tagja. Nem kell licenceket hozzárendelnie a felhasználókhoz ahhoz, hogy dinamikus tagsági csoportok tagjai legyenek. A Microsoft Entra szervezetében azonban az összes ilyen felhasználóra vonatkozó minimális számú licenccel kell rendelkeznie.
Ha például a szervezet összes dinamikus tagsági csoportjában összesen 1000 egyedi felhasználóval rendelkezik, a licenckövetelmény teljesítéséhez legalább 1000 licencre van szüksége a Microsoft Entra ID P1 azonosítójához.
Nem szükséges licenc az olyan eszközökhöz, amelyek egy eszköz alapján egy dinamikus tagsági csoport tagjai.
Szabályszerkesztő az Azure Portalon
A Microsoft Entra ID egy szabályszerkesztőt biztosít a fontos szabályok gyorsabb létrehozásához és frissítéséhez. A szabályszerkesztő legfeljebb öt kifejezés felépítését támogatja. A szabályszerkesztővel létrehozhat egy szabályt néhány egyszerű kifejezéssel, de nem használhatja minden szabály reprodukálására. Ha a szabályszerkesztő nem támogatja a létrehozni kívánt szabályt, használhatja a szövegdobozt.
Részletes útmutatást a dinamikus tagsági csoport létrehozása vagy frissítése című témakörben talál.
Fontos
A szabályszerkesztő csak felhasználóalapú dinamikus tagsági csoportokhoz érhető el. Eszközalapú dinamikus tagsági csoportokat csak a szövegmező használatával hozhat létre.
Íme néhány példa a szövegdoboz használatát igénylő speciális szabályokra vagy szintaxisokra:
- Szabály ötnél több kifejezéssel
- Közvetlen jelentések szabálya
- Szabály
-containsvagy-notContainsoperátorral - Az operátorok elsőbbségének beállítása
-
Szabály összetett kifejezésekkel; például
(user.proxyAddresses -any (_ -startsWith "contoso"))
Feljegyzés
Előfordulhat, hogy a szabályszerkesztő nem tudja megjeleníteni a szövegmezőben létrehozott néhány szabályt. Előfordulhat, hogy egy üzenet jelenik meg, ha a szabályszerkesztő nem tudja megjeleníteni a szabályt. A szabályszerkesztő semmilyen módon nem módosítja a dinamikus tagsági csoportok szabályainak támogatott szintaxisát, érvényesítését vagy feldolgozását.
Egyetlen kifejezés szabályszintaxisa
Egyetlen kifejezés a tagsági szabály legegyszerűbb formája. Az egyetlen kifejezéssel rendelkező szabály a <Property> <Operator> <Value> formát ölti, ahol a tulajdonság szintaxisa a <object>.<property> neve.
Az alábbi példa egy megfelelően összeállított tagsági szabályt szemléltet egyetlen kifejezéssel:
user.department -eq "Sales"
A zárójelek nem kötelezőek egyetlen kifejezéshez. A tagsági szabály törzsének teljes hossza nem haladhatja meg a 3072 karaktert.
Tagsági szabály törzsének létrehozása
A csoportokat felhasználókkal vagy eszközökkel automatikusan kitöltő tagsági szabály egy bináris kifejezés, amely igaz vagy hamis eredményt eredményez. Az egyszerű szabály három része:
- Tulajdonság
- Operátor
- Érték
A kifejezések részeinek sorrendje fontos a szintaxishibák elkerülése érdekében.
Támogatott tulajdonságok
Háromféle tulajdonsággal hozhat létre tagsági szabályt:
- logikai
- Dátum/idő
- Sztring
- Sztringgyűjtemény
A következő felhasználói tulajdonságokat használhatja egyetlen kifejezés létrehozásához.
Logikai típusú tulajdonságok
| Tulajdonság | Megengedett értékek | Használat |
|---|---|---|
accountEnabled |
true, false |
user.accountEnabled -eq true |
dirSyncEnabled |
true, false |
user.dirSyncEnabled -eq true |
Dátum/idő típusú tulajdonságok
| Tulajdonság | Megengedett értékek | Használat |
|---|---|---|
employeeHireDate (előzetes verzió) |
Bármilyen DateTimeOffset érték vagy kulcsszó system.now |
user.employeeHireDate -eq "value" |
String típus tulajdonságai
| Tulajdonság | Megengedett értékek | Használat |
|---|---|---|
city |
Bármilyen sztringérték vagy null |
user.city -eq "value" |
country |
Bármilyen sztringérték vagy null |
user.country -eq "value" |
companyName |
Bármilyen sztringérték vagy null |
user.companyName -eq "value" |
department |
Bármilyen sztringérték vagy null |
user.department -eq "value" |
displayName |
Bármilyen sztringérték | user.displayName -eq "value" |
employeeId |
Bármilyen sztringérték | user.employeeId -eq "value"user.employeeId -ne "null" |
facsimileTelephoneNumber |
Bármilyen sztringérték vagy null |
user.facsimileTelephoneNumber -eq "value" |
givenName |
Bármilyen sztringérték vagy null |
user.givenName -eq "value" |
jobTitle |
Bármilyen sztringérték vagy null |
user.jobTitle -eq "value" |
mail |
Bármilyen sztringérték vagy null (a felhasználó SMTP-címe) |
user.mail -eq "value"user.mail -notEndsWith "@Contoso.com" |
mailNickName |
Bármilyen sztringérték (a felhasználó levelezési aliasa) | user.mailNickName -eq "value"user.mailNickname -endsWith "-vendor" |
memberOf |
Bármilyen sztringérték (érvényes csoportobjektum-azonosító) | user.memberOf -any (group.objectId -in ['value']) |
mobile |
Bármilyen sztringérték vagy null |
user.mobile -eq "value" |
objectId |
A felhasználói objektum GUID azonosítója | user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
onPremisesDistinguishedName |
Bármilyen sztringérték vagy null |
user.onPremisesDistinguishedName -eq "value" |
onPremisesSecurityIdentifier |
Helyszíni biztonsági azonosító (SID) a helyszíniről a felhőbe szinkronizált felhasználók számára | user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111" |
passwordPolicies |
None, DisableStrongPassword, DisablePasswordExpiration, DisablePasswordExpirationDisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
physicalDeliveryOfficeName |
Bármilyen sztringérték vagy null |
user.physicalDeliveryOfficeName -eq "value" |
postalCode |
Bármilyen sztringérték vagy null |
user.postalCode -eq "value" |
preferredLanguage |
ISO 639-1 kód | user.preferredLanguage -eq "en-US" |
sipProxyAddress |
Bármilyen sztringérték vagy null |
user.sipProxyAddress -eq "value" |
state |
Bármilyen sztringérték vagy null |
user.state -eq "value" |
streetAddress |
Bármilyen sztringérték vagy null |
user.streetAddress -eq "value" |
surname |
Bármilyen sztringérték vagy null |
user.surname -eq "value" |
telephoneNumber |
Bármilyen sztringérték vagy null |
user.telephoneNumber -eq "value" |
usageLocation |
Kétbetűs ország- vagy régiókód | user.usageLocation -eq "US" |
userPrincipalName |
Bármilyen sztringérték | user.userPrincipalName -eq "alias@domain" |
userType |
\ |
user.userType -eq "Member" |
A karakterlánc típusú gyűjtemény tulajdonságai
| Tulajdonság | Megengedett értékek | Példák |
|---|---|---|
otherMails |
Bármilyen sztringérték | user.otherMails -startsWith "alias@domain"user.otherMails -endsWith"@contoso.com" |
proxyAddresses |
SMTP: alias@domain, smtp: alias@domain |
user.proxyAddresses -startsWith "SMTP: alias@domain"user.proxyAddresses -notEndsWith "@outlook.com" |
Az eszközszabályokhoz használt tulajdonságokért tekintse meg az eszközökre vonatkozó szabályokat.
Támogatott kifejezésoperátorok
Az alábbi táblázat felsorolja az összes támogatott operátort és azok szintaxisát egyetlen kifejezéshez. Operátorokat használhat kötőjel (-) előtaggal vagy anélkül. Az Contains operátor részleges sztring-egyezéseket végez, de nem alkalmazható a gyűjtemény elemein belüli egyezésekre.
Vigyázat
A legjobb eredmény érdekében minimalizálja a használatot Match , vagy Contains amennyire csak lehetséges. A dinamikus tagsági csoportok egyszerűbb és hatékonyabb szabályainak létrehozása című cikk útmutatást nyújt az olyan szabályok létrehozásához, amelyek jobb dinamikus csoportfeldolgozási időt eredményeznek. Az memberOf operátor előzetes verzióban érhető el, és bizonyos korlátozásokkal rendelkezik, ezért körültekintően használja.
| Operátor | Szintaxis |
|---|---|
Ends With |
-endsWith |
Not Ends With |
-notEndsWith |
Not Equals |
-ne |
Equals |
-eq |
Not Starts With |
-notStartsWith |
Starts With |
-startsWith |
Not Contains |
-notContains |
Contains |
-contains |
Not Match |
-notMatch |
Match |
-match |
In |
-in |
Not In |
-notIn |
A -in és a -notIn operátor használata
Ha a felhasználói attribútum értékét több értékkel szeretné összehasonlítani, használhatja a `-in` vagy `-notIn` operátort. Az értékek listájának megkezdéséhez és befejezéséhez használja a zárójel szimbólumait ([ és ]) .
A következő példában a kifejezés értéke true, ha a user.department értéke egyenlő a lista bármelyik értékével.
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
A -le és a -ge operátor használata
Ha a -le attribútumot a dinamikus tagsági csoportok szabályaiban használja, használhatja a kisebb (-ge) vagy nagyobb (employeeHireDate) operátort.
Íme néhány példa:
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
A -match operátor használata
Az operátorral -match bármilyen reguláris kifejezés megfeleltethető.
A következő példában Da, Dav és David mind true-ra értékelődnek ki.
aDa értéke false-nek felel meg.
user.displayName -match "^Da.*"
Az alábbi példában a David eredménye true lesz.
Da értéke false-nek felel meg.
user.displayName -match ".*vid"
Támogatott értékek
A kifejezésekben használt értékek több típusból állhatnak:
- Sztringek
- Logikai (
true,false) - Telefonszámok
- Tömbök (számtömb, sztringtömb)
Ha egy kifejezésen belül értéket ad meg, a hibák elkerülése érdekében fontos a megfelelő szintaxis használata. Íme néhány szintaxistipp:
- A kettős idézőjelek megadása nem kötelező, kivéve, ha az érték karakterlánc.
- A regex- és karakterlánc-műveletek nem különböztetik meg a kis- és nagybetűket.
- Győződjön meg arról, hogy a tulajdonságnevek helyesen vannak formázva, mert a kis- és nagybetűk megkülönböztetik őket.
- Amikor egy karaktersor idézőjeleket tartalmaz, a fordított perjel (
\) karaktert használva kell kimenekíteni mindkét idézőjelet. Például a user.department -eq "Sales" a megfelelő szintaxis, amikorSalesaz érték. Az egyes idézőjelek feloldása két idézőjel használatával minden alkalommal egy helyett. - Null érték ellenőrzéseket is végrehajthat úgy, hogy értékként használja a
null-t, például így:user.department -eq null.
Null értékek használata
Ahhoz, hogy megadjon egy null értéket egy szabályban:
- Használja a
-eqvagy a-neelemeket, ha egy kifejezésnullértékét hasonlítja össze. - Csak akkor használjon idézőjeleket a szó
nullkörül, ha literális sztringértékként szeretné értelmezni. - Ne használja az
-notoperátort összehasonlító operátorként a null értékhez. Ha használja, hibaüzenet jelenik meg, függetlenül attól, hogy használjanullvagy$null.
Az értékre való hivatkozás null helyes módja a következő:
user.mail –ne null
Több kifejezéssel rendelkező szabályok
A dinamikus tagsági csoportokra vonatkozó szabályok több kifejezésből állhatnak, amelyeket a -and, -or, és -not logikai operátorok kapcsolnak össze. A logikai operátorokat együtt is használhatja.
Az alábbiakban példákat láthat több kifejezéssel rendelkező, megfelelően összeállított tagsági szabályokra:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
Operátorok műveleti sorrendje
Az alábbi lista az összes operátort a legmagasabbtól a legalacsonyabbig prioritási sorrendben jeleníti meg. Az ugyanazon a sorban lévő operátorok elsőbbséget élveznek.
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
Az alábbi példa az operátorok elsőbbségét szemlélteti, ahol a felhasználó két kifejezést értékel ki:
user.department –eq "Marketing" –and user.country –eq "US"
Zárójelre csak akkor van szüksége, ha az elsőbbség nem felel meg a követelményeknek. Ha például a részleget szeretné először kiértékelni, az alábbi kód bemutatja, hogyan határozhatja meg zárójelekkel a sorrendet:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Összetett kifejezéseket tartalmazó szabályok
A tagsági szabály összetett kifejezésekből állhat, ahol a tulajdonságok, az operátorok és az értékek bonyolultabb formákat öltenek. A kifejezések akkor tekinthetők összetettnek, ha az alábbi pontok bármelyike igaz:
- A tulajdonság értékek gyűjteményéből áll; pontosabban a többértékű tulajdonságokat.
- A kifejezések a
-anyés-alloperátorokat használják. - A kifejezés értéke lehet egy vagy több kifejezés is.
Többértékű tulajdonságok
A többértékű tulajdonságok azonos típusú objektumok gyűjteményei. A -any és -all logikai operátorok felhasználásával tagsági szabályokat hozhat létre.
| Tulajdonság | Értékek | Használat |
|---|---|---|
assignedPlans |
A gyűjtemény minden objektuma a következő sztringtulajdonságokat teszi elérhetővé: capabilityStatus, , serviceservicePlanId |
user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled") |
proxyAddresses |
SMTP: alias@domain, smtp: alias@domain |
(user.proxyAddresses -any (\_ -startsWith "contoso")) |
A -any és a -all operátor használata
A következő operátorok segítségével feltételt alkalmazhat a gyűjtemény egy vagy az összes elemére:
-
-any: Teljesül, ha a gyűjtemény legalább egy eleme megfelel a feltételnek. -
-all: Teljesül, ha a gyűjtemény összes eleme megfelel a feltételnek.
1. példa
assignedPlans egy többértékű tulajdonság, amely felsorolja a felhasználóhoz rendelt összes szolgáltatáscsomagot. Az alábbi kifejezés olyan felhasználókat jelöl ki, akiknél engedélyezve van az Exchange Online (2. csomag) szolgáltatáscsomag (mint GUID-érték), és az Enabled állapotban vannak:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
Az ehhez hasonló szabályok segítségével csoportosíthatja azokat a felhasználókat, akiknek engedélyezve van a Microsoft 365 vagy más Microsoft Online Services-funkció. Ezután alkalmazhatja a szabályt egy szabályzatkészlettel a csoportra.
2. példa
Az alábbi kifejezés kiválasztja az összes olyan felhasználót, aki rendelkezik az Intune szolgáltatáshoz társított (a szolgáltatásnév által azonosított) szolgáltatáscsomaggal SCO:
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
3. példa
Az alábbi kifejezés az összes olyan felhasználót választja ki, aki nem rendelkezik hozzárendelt szolgáltatáscsomaggal:
user.assignedPlans -all (assignedPlan.servicePlanId -eq null)
Az aláhúzás (_) szintaxis használata
Az aláhúzás (_) szintaxis egy adott érték előfordulásait egyezteti a többszörös értékű sztringgyűjtemények egyik tulajdonságában, hogy felhasználókat vagy eszközöket adjon hozzá egy dinamikus tagsági csoporthoz. A(z) -any vagy -all operátorral használja.
Íme egy példa arra, hogyan használható az aláhúzás egy szabályban tagok hozzáadására a user.proxyAddress alapján. (Ez ugyanúgy működik a user.otherMails esetében.) Ez a szabály hozzáadja a csoporthoz minden olyan felhasználót, akinek proxycíme contoso-vel kezdődik.
(user.proxyAddresses -any (_ -startsWith "contoso"))
Egyéb tulajdonságok és gyakori szabályok
Szabály létrehozása közvetlen jelentésekhez
Létrehozhat egy csoportot, amely egy vezető összes közvetlen jelentését tartalmazza. Amikor a vezető közvetlen jelentései a jövőben megváltoznak, a csoport tagsága automatikusan módosul.
Feljegyzés
A kezelő egy közvetlen jelentések dinamikus csoportjához is hozzáadódik.
A közvetlen jelentések szabályát a következő szintaxissal hozhatja létre:
Direct Reports for "{objectID_of_manager}"
Íme egy példa egy érvényes szabályra, ahol aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb a kezelő objektumazonosítója látható:
Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
Az alábbi tippek segíthetnek a szabály megfelelő használatához:
- A kezelő azonosítója a kezelő objektumazonosítója. Ezt a vezető profiljában találja.
- A szabály működéséhez győződjön meg arról, hogy a
Managertulajdonság helyesen van beállítva a szervezet felhasználói számára. A felhasználó profiljában ellenőrizheti az aktuális értéket. - Ez a szabály csak a vezető közvetlen jelentéseit támogatja. Nem hozhat létre olyan csoportot, amely a felettes közvetlen beosztottjaival és azok beosztottjaival rendelkezik.
- Ezt a szabályt nem kombinálhatja más tagsági szabályokkal.
Szabály létrehozása az összes felhasználó számára
Egy tagsági szabály használatával létrehozhat egy csoportot, amely egy szervezet összes felhasználóját tartalmazza. Ha a jövőben felhasználókat adnak hozzá vagy távolítanak el a szervezetből, a rendszer automatikusan módosítja a csoport tagságát.
A szabályt az összes felhasználó számára egyetlen, az operátort és az -nenull értéket tartalmazó kifejezéssel hozhatja létre. Ez a szabály üzleti vendégfelhasználókat és tagfelhasználókat ad hozzá a csoporthoz.
user.objectId -ne null
Ha azt szeretné, hogy a csoport kizárja a vendégfelhasználókat, és csak a szervezet felhasználóit vegye fel, az alábbi szintaxist használhatja:
(user.objectId -ne null) -and (user.userType -eq "Member")
Szabály létrehozása az összes eszközhöz
Egy tagsági szabály használatával létrehozhat egy csoportot, amely egy szervezet összes eszközét tartalmazza. Amikor az eszközöket a jövőben hozzáadják vagy eltávolítják a szervezetből, a csoport tagsága automatikusan módosul.
A szabályt az összes eszközre az operátort és az -nenull értéket tartalmazó egyetlen kifejezéssel hozhatja létre:
device.objectId -ne null
Bővítményattribútumok és egyéni bővítménytulajdonságok
A dinamikus tagsági csoportok szabályai sztringtulajdonságként támogatják a bővítményattribútumokat és az egyéni bővítménytulajdonságokat.
A bővítményattribútumokat a helyszíni Windows Server Active Directoryból szinkronizálhatja. Vagy frissítheti a bővítményattribútumokat a Microsoft Graph használatával.
A bővítményattribútumok formátuma ExtensionAttribute<X>az , ahol <X> egyenlő1-15 . A többértékű bővítménytulajdonságok nem támogatottak a dinamikus tagsági csoportok szabályaiban.
Íme egy példa egy olyan szabályra, amely egy bővítményattribútumot használ tulajdonságként:
(user.extensionAttribute15 -eq "Marketing")
Az egyéni bővítménytulajdonságokat szinkronizálhatja a helyszíni Windows Server Active Directoryból vagy egy csatlakoztatott szoftverből szolgáltatásként (SaaS)-alkalmazásból. Egyéni bővítménytulajdonságokat a Microsoft Graph használatával hozhat létre.
Az egyéni bővítménytulajdonságok formátuma user.extension_[GUID]_[Attribute]a következő:
-
[GUID]a tulajdonságot létrehozó alkalmazás Microsoft Entra-azonosítójában szereplő egyedi azonosító leválasztott verziója. Csak 0-9 és A-Z karaktereket tartalmaz. - A tulajdonság eredetileg megadott neve a
[Attribute].
Példa egy egyéni bővítménytulajdonságot használó szabályra:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Az egyéni bővítménytulajdonságokat címtár- vagy Microsoft Entra-bővítménytulajdonságoknak is nevezik.
Az egyéni tulajdonságnév a címtárban található, ha lekérdezi egy felhasználó tulajdonságát a Graph Explorerben, és megkeresi a tulajdonság nevét. Emellett a dinamikus szabályszerkesztőben az Egyéni bővítmény tulajdonságainak lekérése hivatkozásra kattintva megadhat egy egyedi alkalmazásazonosítót, és megkaphatja a dinamikus tagsági csoportokhoz tartozó szabály létrehozásakor használandó egyéni bővítménytulajdonságok teljes listáját. A lista frissítésével új egyéni bővítménytulajdonságokat szerezhet be az alkalmazáshoz. A bővítményattribútumoknak és az egyéni bővítménytulajdonságoknak a bérlő alkalmazásainak kell lenniük.
További információ: Az attribútumok használata dinamikus tagsági csoportokban.
Eszközökre vonatkozó szabályok
Létrehozhat egy szabályt, amely kiválasztja a csoporttagsághoz tartozó eszközobjektumokat. A csoporttagok nem lehetnek egyszerre felhasználók és eszközök.
Feljegyzés
Az organizationalUnit attribútum már nem szerepel a listában, ezért nem érdemes használni. Az Intune meghatározott esetekben állítja be ezt a sztringet, de a Microsoft Entra-azonosító nem ismeri fel. Ezen attribútum alapján a rendszer nem ad hozzá eszközöket a csoportokhoz.
Az systemlabels attribútum csak olvasható. Az Intune-nal nem állítható be.
Windows 10 esetén az attribútum formátuma a deviceOSVersiondevice.deviceOSVersion -startsWith "10.0.1"megfelelő. A formázást a Get-MgDevice PowerShell-parancsmaggal ellenőrizheti:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
Az alábbi eszközattribútumokat használhatja.
| Eszközattribútum | Értékek | Példák |
|---|---|---|
accountEnabled |
true, false |
device.accountEnabled -eq true |
deviceCategory |
Érvényes eszközkategória neve | device.deviceCategory -eq "BYOD" |
deviceId |
Érvényes Microsoft Entra-eszközazonosító | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
deviceManagementAppId |
Érvényes alkalmazásazonosító a mobileszköz-kezeléshez a Microsoft Entra-azonosítóban |
device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" Microsoft Intune által felügyelt eszközökhöz"54b943f8-d761-4f8d-951e-9cea1846db5a" a System Center Configuration Manager közösen felügyelt eszközei számára |
deviceManufacturer |
Bármilyen sztringérték | device.deviceManufacturer -eq "Samsung" |
deviceModel |
Bármilyen sztringérték | device.deviceModel -eq "iPad Air" |
displayName |
Bármilyen sztringérték | device.displayName -eq "Rob iPhone" |
deviceOSType |
Bármilyen sztringérték | (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iPhone")device.deviceOSType -startsWith "AndroidEnterprise"device.deviceOSType -eq "AndroidForWork"device.deviceOSType -eq "Windows" |
deviceOSVersion |
Bármilyen sztringérték | device.deviceOSVersion -eq "9.1"device.deviceOSVersion -startsWith "10.0.1" |
deviceOwnership
1 |
\ |
device.deviceOwnership -eq "Company" |
devicePhysicalIds |
Bármely sztringérték, amelyet a Windows Autopilot használ, például az összes Windows Autopilot-eszköz, OrderIDvagy PurchaseOrderID |
device.devicePhysicalIDs -any _ -startsWith "[ZTDId]"device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881"device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
deviceTrustType
2 |
\ |
device.deviceTrustType -eq "AzureAD" |
enrollmentProfileName |
Apple automatikus eszközregisztráció, Android Enterprise vállalati tulajdonú dedikált eszközregisztráció vagy Windows Autopilot profilnév | device.enrollmentProfileName -eq "DEP iPhones" |
extensionAttribute1
3 |
Bármilyen sztringérték | device.extensionAttribute1 -eq "some string value" |
extensionAttribute2 |
Bármilyen sztringérték | device.extensionAttribute2 -eq "some string value" |
extensionAttribute3 |
Bármilyen sztringérték | device.extensionAttribute3 -eq "some string value" |
extensionAttribute4 |
Bármilyen sztringérték | device.extensionAttribute4 -eq "some string value" |
extensionAttribute5 |
Bármilyen sztringérték | device.extensionAttribute5 -eq "some string value" |
extensionAttribute6 |
Bármilyen sztringérték | device.extensionAttribute6 -eq "some string value" |
extensionAttribute7 |
Bármilyen sztringérték | device.extensionAttribute7 -eq "some string value" |
extensionAttribute8 |
Bármilyen sztringérték | device.extensionAttribute8 -eq "some string value" |
extensionAttribute9 |
Bármilyen sztringérték | device.extensionAttribute9 -eq "some string value" |
extensionAttribute10 |
Bármilyen sztringérték | device.extensionAttribute10 -eq "some string value" |
extensionAttribute11 |
Bármilyen sztringérték | device.extensionAttribute11 -eq "some string value" |
extensionAttribute12 |
Bármilyen sztringérték | device.extensionAttribute12 -eq "some string value" |
extensionAttribute13 |
Bármilyen sztringérték | device.extensionAttribute13 -eq "some string value" |
extensionAttribute14 |
Bármilyen sztringérték | device.extensionAttribute14 -eq "some string value" |
extensionAttribute15 |
Bármilyen sztringérték | device.extensionAttribute15 -eq "some string value" |
isRooted |
true, false |
device.isRooted -eq true |
managementType |
Mobileszköz-kezelés (mobileszközökhöz) | device.managementType -eq "MDM" |
memberOf |
Bármilyen sztringérték (érvényes csoportobjektum-azonosító) | device.memberOf -any (group.objectId -in ['value']) |
objectId |
Érvényes Microsoft Entra objektumazonosító | device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
profileType |
Érvényes profiltípus a Microsoft Entra-azonosítóban | device.profileType -eq "RegisteredDevice" |
systemLabels
4 |
Egy csak olvasható karakterlánc, amely megfelel a Modern Munkahely eszközeinek címkézésére használt Intune eszköz tulajdonságnak. | device.systemLabels -startsWith "M365Managed" SystemLabels |
1 Amikor dinamikus tagsági csoportokat hoz létre az eszközökhöz, az értéket egyenlővé kell tenni deviceOwnership. Az Intune-ban az eszköz tulajdonjoga a következőképpen Corporatejelenik meg: . További információért lásd ownerTypes.
2 Ha dinamikus tagsági csoportokat hoz létre az eszközökhöz, a Microsoft Entra csatlakozott eszközök esetében be kell állítania a `deviceTrustType`, a hibrid Microsoft Entra csatlakozott eszközök esetében a `AzureAD`, illetve a Microsoft Entra regisztrált eszközök esetében a `ServerAD` értéket.
3 Amikor eszközökhöz dinamikus tagsági csoportokat hoz létre extensionAttribute1-15, be kell állítania egy meghatározott értéket extensionAttribute1-15 az eszközön.
Tudjon meg többet arról, hogyan írhat egy Microsoft Entra eszköz objektumotextensionAttributes.
4 Ha a systemLabels-t használja, akkor az eszközkezelésben és a bizalmassági címkézésben használt írásvédett attribútumok az Intune-ban nem szerkeszthetők.