Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Áttekintés
Létrehozhat felhasználó- vagy eszközattribútum-alapú szabályokat a dinamikus tagsági csoportok tagságának engedélyezéséhez a Microsoft Entra ID. A dinamikus tagsági csoportokat a tagattribútumokon alapuló tagsági szabályok használatával automatikusan hozzáadhatja és eltávolíthatja. A Microsoft Entra egyetlen bérlőjénél maximum 15 000 dinamikus tagsági csoport lehet.
Ez a cikk részletesen ismerteti a tulajdonságokat és a szintaxist, amelyek felhasználók vagy eszközök alapján hozhatnak létre szabályokat a dinamikus tagsági csoportokhoz.
Feljegyzés
A biztonsági csoportok tartalmazhatnak eszközöket vagy felhasználókat, de Microsoft 365 csoportok csak felhasználókat tartalmazhatnak.
A dinamikus tagsági csoportok szempontjai
Amikor egy felhasználó vagy egy eszköz attribútumai megváltoznak, a rendszer kiértékeli a címtár dinamikus tagsági csoportjaira vonatkozó összes szabályt, hogy megállapítsa, a módosítás aktiválja-e a csoport hozzáadását vagy eltávolítását. Ha a felhasználók vagy eszközök megfelelnek egy csoportra vonatkozó szabálynak, az adott csoport tagjaiként lesznek hozzáadva. Ha már nem felelnek meg a szabálynak, a rendszer eltávolítja őket. Nem vehet fel vagy távolíthat el manuálisan egy dinamikus tagsági csoport tagját.
Tartsa szem előtt az alábbi korlátozásokat is:
- Dinamikus tagsági csoportokat hozhat létre felhasználók vagy eszközök számára, de nem hozhat létre olyan szabályt, amely felhasználókat és eszközöket is tartalmaz.
- Az eszköztulajdonos felhasználói attribútumai alapján nem hozhat létre eszköztagságcsoportot. Az eszköztagság szabályai csak eszközattribútumokra hivatkozhatnak.
Biztonsági szempont: Az attribútum írási engedélyeinek kiértékelése a dinamikus csoportszabályokban való használat előtt
Dinamikus tagsági szabály létrehozásakor a csoport tagságának biztonsága attól függ, hogy ki módosíthatja a szabályban hivatkozott attribútumokat. Az attribútum kiválasztása előtt tekintse át az attribútum írási engedélyeit – mind a Microsoft Entra ID, mind a csatlakoztatott forráskönyvtárakban.
Ez különösen a következő esetekben fontos:
- A helyszíni Active Directory-ból szinkronizált attribútumok. Egyes helyszíni attribútumok olyan engedélyekkel konfigurálhatók, amelyek lehetővé teszik a felhasználók számára a saját értékük módosítását (SELF write).
- Hozzáférés-vezérléshez használt csoportok. Ha egy dinamikus csoport szabályozza a bizalmas erőforrásokhoz, alkalmazásokhoz vagy feltételes hozzáférési szabályzatokhoz való hozzáférést, a hozzáférés biztonsága csak olyan erős, mint a szabály attribútumainak írási vezérlői.
Ajánlott eljárásként naplózhatja a dinamikus tagsági szabályban használni kívánt összes entitástípus és attribútum írási engedélyeit mind a Microsoft Entra ID, mind a forrásban (például on-premises Active Directory). A biztonsági szempontból érzékeny csoportokban használt attribútumokhoz való önkiszolgáló írási hozzáférés korlátozása.
Feljegyzés
A szerepkör-hozzárendelhető csoportok már eleve megakadályozzák ezt a kockázatot, ha hozzárendelt (nem dinamikus) tagságot követelnek meg.
Licenckövetelmények
A dinamikus tagsági csoportok funkcióihoz Microsoft Entra ID P1-licencre vagy Intune for Education-licencre van szükség minden olyan egyedi felhasználóhoz, aki egy vagy több dinamikus tagsági csoport tagja. Nem kell licenceket hozzárendelnie a felhasználókhoz ahhoz, hogy dinamikus tagsági csoportok tagjai legyenek. Az összes ilyen felhasználónak azonban rendelkeznie kell a minimális számú licenccel az Microsoft Entra szervezetben.
Ha például a szervezet összes dinamikus tagsági csoportjában összesen 1000 egyedi felhasználóval rendelkezik, a licenckövetelmény teljesítéséhez legalább 1000 licencre van szüksége Microsoft Entra ID P1-hez.
Nem szükséges licenc az olyan eszközökhöz, amelyek egy eszköz alapján egy dinamikus tagsági csoport tagjai.
Szabályszerkesztő a Azure portálon
Microsoft Entra ID egy szabályszerkesztőt biztosít a fontos szabályok gyorsabb létrehozásához és frissítéséhez. A szabályszerkesztő legfeljebb öt kifejezés felépítését támogatja. A szabályszerkesztővel létrehozhat egy szabályt néhány egyszerű kifejezéssel, de nem használhatja minden szabály reprodukálására. Ha a szabályszerkesztő nem támogatja a létrehozni kívánt szabályt, használhatja a szövegdobozt.
Részletes útmutatást a dinamikus tagsági csoport létrehozása vagy frissítése című témakörben talál.
Fontos
A szabályszerkesztő csak felhasználóalapú dinamikus tagsági csoportokhoz érhető el. Eszközalapú dinamikus tagsági csoportokat csak a szövegmező használatával hozhat létre.
Íme néhány példa a szövegdoboz használatát igénylő speciális szabályokra vagy szintaxisokra:
- Szabály ötnél több kifejezéssel
- Közvetlen jelentések szabálya
- Szabály
-containsvagy-notContainsoperátorral - Az operátorok elsőbbségének beállítása
-
Szabály összetett kifejezésekkel; például
(user.proxyAddresses -any (_ -startsWith "contoso"))
Feljegyzés
Előfordulhat, hogy a szabályszerkesztő nem tudja megjeleníteni a szövegmezőben létrehozott néhány szabályt. Előfordulhat, hogy egy üzenet jelenik meg, ha a szabályszerkesztő nem tudja megjeleníteni a szabályt. A szabályszerkesztő semmilyen módon nem módosítja a dinamikus tagsági csoportok szabályainak támogatott szintaxisát, érvényesítését vagy feldolgozását.
Egyetlen kifejezés szabályszintaxisa
Egyetlen kifejezés a tagsági szabály legegyszerűbb formája. Az egyetlen kifejezéssel rendelkező szabály a <Property> <Operator> <Value> formát ölti, ahol a tulajdonság szintaxisa a <object>.<property> neve.
Az alábbi példa egy megfelelően összeállított tagsági szabályt szemléltet egyetlen kifejezéssel:
user.department -eq "Sales"
A zárójelek nem kötelezőek egyetlen kifejezéshez. A tagsági szabály törzsének teljes hossza nem haladhatja meg a 3072 karaktert.
Tagsági szabály törzsének létrehozása
A csoportokat felhasználókkal vagy eszközökkel automatikusan kitöltő tagsági szabály egy bináris kifejezés, amely igaz vagy hamis eredményt eredményez. Az egyszerű szabály három része:
- Tulajdonság
- Operátor
- Érték
A kifejezések részeinek sorrendje fontos a szintaxishibák elkerülése érdekében.
Támogatott tulajdonságok
Háromféle tulajdonsággal hozhat létre tagsági szabályt:
- logikai
- Dátum/idő
- Sztring
- Sztringgyűjtemény
A következő felhasználói tulajdonságokat használhatja egyetlen kifejezés létrehozásához.
Logikai típusú tulajdonságok
| Tulajdonság | Megengedett értékek | Használat |
|---|---|---|
accountEnabled |
true, false |
user.accountEnabled -eq true |
dirSyncEnabled |
true, false |
user.dirSyncEnabled -eq true |
Dátum/idő típusú tulajdonságok
| Tulajdonság | Megengedett értékek | Használat |
|---|---|---|
employeeHireDate (előzetes verzió) |
Bármilyen DateTimeOffset érték vagy kulcsszó system.now |
user.employeeHireDate -eq "value" |
String típus tulajdonságai
| Tulajdonság | Megengedett értékek | Használat |
|---|---|---|
city |
Bármilyen sztringérték vagy null |
user.city -eq "value" |
country |
Bármilyen sztringérték vagy null |
user.country -eq "value" |
companyName |
Bármilyen sztringérték vagy null |
user.companyName -eq "value" |
department |
Bármilyen sztringérték vagy null |
user.department -eq "value" |
displayName |
Bármilyen sztringérték | user.displayName -eq "value" |
employeeId |
Bármilyen sztringérték | user.employeeId -eq "value"user.employeeId -ne "null" |
facsimileTelephoneNumber |
Bármilyen sztringérték vagy null |
user.facsimileTelephoneNumber -eq "value" |
givenName |
Bármilyen sztringérték vagy null |
user.givenName -eq "value" |
jobTitle |
Bármilyen sztringérték vagy null |
user.jobTitle -eq "value" |
mail |
Bármilyen sztringérték vagy null (a felhasználó SMTP-címe) |
user.mail -eq "value"user.mail -notEndsWith "@Contoso.com" |
mailNickName |
Bármilyen sztringérték (a felhasználó levelezési aliasa) | user.mailNickName -eq "value"user.mailNickname -endsWith "-vendor" |
memberOf |
Bármilyen sztringérték (érvényes csoportobjektum-azonosító) | user.memberOf -any (group.objectId -in ['value']) |
mobile |
Bármilyen sztringérték vagy null |
user.mobile -eq "value" |
objectId |
A felhasználói objektum GUID azonosítója | user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
onPremisesDistinguishedName |
Bármilyen sztringérték vagy null |
user.onPremisesDistinguishedName -eq "value" |
onPremisesSecurityIdentifier |
Helyszíni biztonsági azonosító (SID) a helyszíniről a felhőbe szinkronizált felhasználók számára | user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111" |
passwordPolicies |
None, DisableStrongPassword, DisablePasswordExpiration, DisablePasswordExpiration, , DisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
physicalDeliveryOfficeName |
Bármilyen sztringérték vagy null |
user.physicalDeliveryOfficeName -eq "value" |
postalCode |
Bármilyen sztringérték vagy null |
user.postalCode -eq "value" |
preferredLanguage |
ISO 639-1 kód | user.preferredLanguage -eq "en-US" |
sipProxyAddress |
Bármilyen sztringérték vagy null |
user.sipProxyAddress -eq "value" |
state |
Bármilyen sztringérték vagy null |
user.state -eq "value" |
streetAddress |
Bármilyen sztringérték vagy null |
user.streetAddress -eq "value" |
surname |
Bármilyen sztringérték vagy null |
user.surname -eq "value" |
telephoneNumber |
Bármilyen sztringérték vagy null |
user.telephoneNumber -eq "value" |
usageLocation |
Kétbetűs ország- vagy régiókód | user.usageLocation -eq "US" |
userPrincipalName |
Bármilyen sztringérték | user.userPrincipalName -eq "alias@domain" |
userType |
\ |
user.userType -eq "Member" |
A karakterlánc típusú gyűjtemény tulajdonságai
| Tulajdonság | Megengedett értékek | Példák |
|---|---|---|
otherMails |
Bármilyen sztringérték | user.otherMails -startsWith "alias@domain"user.otherMails -endsWith"@contoso.com" |
proxyAddresses |
SMTP: alias@domain, smtp: alias@domain |
user.proxyAddresses -startsWith "SMTP: alias@domain"user.proxyAddresses -notEndsWith "@outlook.com" |
Az eszközszabályokhoz használt tulajdonságokért tekintse meg az eszközökre vonatkozó szabályokat.
Támogatott kifejezésoperátorok
Az alábbi táblázat felsorolja az összes támogatott operátort és azok szintaxisát egyetlen kifejezéshez. Operátorokat használhat kötőjel (-) előtaggal vagy anélkül. Az Contains operátor részleges sztring-egyezéseket végez, de nem alkalmazható a gyűjtemény elemein belüli egyezésekre.
Vigyázat
A legjobb eredmény érdekében minimalizálja a használatot Match , vagy Contains amennyire csak lehetséges. A dinamikus tagsági csoportok egyszerűbb és hatékonyabb szabályainak létrehozása című cikk útmutatást nyújt az olyan szabályok létrehozásához, amelyek jobb dinamikus csoportfeldolgozási időt eredményeznek. Az memberOf operátor előzetes verzióban érhető el, és bizonyos korlátozásokkal rendelkezik, ezért körültekintően használja.
| Operátor | Szintaxis |
|---|---|
Ends With |
-endsWith |
Not Ends With |
-notEndsWith |
Not Equals |
-ne |
Equals |
-eq |
Not Starts With |
-notStartsWith |
Starts With |
-startsWith |
Not Contains |
-notContains |
Contains |
-contains |
Not Match |
-notMatch |
Match |
-match |
In |
-in |
Not In |
-notIn |
A -in és -notIn operátorok használata
Ha a felhasználói attribútum értékét több értékkel szeretné összehasonlítani, használhatja a `-in` vagy `-notIn` operátort. Az értékek listájának megkezdéséhez és befejezéséhez használja a zárójel szimbólumait ([ és ]) .
A következő példában a kifejezés értéke true, ha a user.department értéke egyenlő a lista bármelyik értékével.
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
A -le és -ge operátorok használata
Ha a -le attribútumot a dinamikus tagsági csoportok szabályaiban használja, használhatja a kisebb (-ge) vagy nagyobb (employeeHireDate) operátort.
Íme néhány példa:
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
A -match operátor használata
Az operátorral -match bármilyen reguláris kifejezés megfeleltethető.
A következő példában Da, Dav és David mind true-ra értékelődnek ki.
aDa értéke false-nek felel meg.
user.displayName -match "^Da.*"
Az alábbi példában a David eredménye true lesz.
Da értéke false-nek felel meg.
user.displayName -match ".*vid"
Támogatott értékek
A kifejezésekben használt értékek több típusból állhatnak:
- Sztringek
- Logikai (
true,false) - Telefonszámok
- Tömbök (számtömb, sztringtömb)
Ha egy kifejezésen belül értéket ad meg, a hibák elkerülése érdekében fontos a megfelelő szintaxis használata. Íme néhány szintaxistipp:
- A kettős idézőjelek megadása nem kötelező, kivéve, ha az érték karakterlánc.
- A regex- és karakterlánc-műveletek nem különböztetik meg a kis- és nagybetűket.
- Győződjön meg arról, hogy a tulajdonságnevek helyesen vannak formázva, mert a kis- és nagybetűk megkülönböztetik őket.
- Ha egy sztringérték idézőjeleket tartalmaz, mindkét idézőjelet a fordított aposztróf (`) karakterrel kell megadni. Például a user.department -eq "Sales" a megfelelő szintaxis, amikor
Salesaz érték. Az egyes idézőjelek feloldása két idézőjel használatával minden alkalommal egy helyett. - Null érték ellenőrzéseket is végrehajthat úgy, hogy értékként használja a
null-t, például így:user.department -eq null.
Null értékek használata
Ahhoz, hogy megadjon egy null értéket egy szabályban:
- Használja a
-eqvagy a-neelemeket, ha egy kifejezésnullértékét hasonlítja össze. - Csak akkor használjon idézőjeleket a szó
nullkörül, ha literális sztringértékként szeretné értelmezni. - Ne használja az
-notoperátort összehasonlító operátorként a null értékhez. Ha használja, hibaüzenet jelenik meg, függetlenül attól, hogy használjanullvagy$null.
Az értékre való hivatkozás null helyes módja a következő:
user.mail –ne null
Több kifejezéssel rendelkező szabályok
A dinamikus tagsági csoportokra vonatkozó szabályok több kifejezésből állhatnak, amelyeket a -and, -or, és -not logikai operátorok kapcsolnak össze. A logikai operátorokat együtt is használhatja.
Az alábbiakban példákat láthat több kifejezéssel rendelkező, megfelelően összeállított tagsági szabályokra:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
Operátorok műveleti sorrendje
Az alábbi lista az összes operátort a legmagasabbtól a legalacsonyabbig prioritási sorrendben jeleníti meg. Az ugyanazon a sorban lévő operátorok elsőbbséget élveznek.
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
Az alábbi példa az operátorok elsőbbségét szemlélteti, ahol a felhasználó két kifejezést értékel ki:
user.department –eq "Marketing" –and user.country –eq "US"
Zárójelre csak akkor van szüksége, ha az elsőbbség nem felel meg a követelményeknek. Ha például a részleget szeretné először kiértékelni, az alábbi kód bemutatja, hogyan határozhatja meg zárójelekkel a sorrendet:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Összetett kifejezéseket tartalmazó szabályok
A tagsági szabály összetett kifejezésekből állhat, ahol a tulajdonságok, az operátorok és az értékek bonyolultabb formákat öltenek. A kifejezések akkor tekinthetők összetettnek, ha az alábbi pontok bármelyike igaz:
- A tulajdonság értékek gyűjteményéből áll; pontosabban a többértékű tulajdonságokat.
- A kifejezések a
-anyés-alloperátorokat használják. - A kifejezés értéke lehet egy vagy több kifejezés is.
Többértékű tulajdonságok
A többértékű tulajdonságok azonos típusú objektumok gyűjteményei. A -any és -all logikai operátorok felhasználásával tagsági szabályokat hozhat létre.
| Tulajdonság | Értékek | Használat |
|---|---|---|
assignedPlans |
A gyűjtemény minden objektuma a következő sztringtulajdonságokat teszi elérhetővé: capabilityStatus, , serviceservicePlanId |
user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled") |
proxyAddresses |
SMTP: alias@domain, smtp: alias@domain |
(user.proxyAddresses -any (\_ -startsWith "contoso")) |
A -any és -all operátorok használata
A következő operátorok segítségével feltételt alkalmazhat a gyűjtemény egy vagy az összes elemére:
-
-any: Teljesül, ha a gyűjtemény legalább egy eleme megfelel a feltételnek. -
-all: Teljesül, ha a gyűjtemény összes eleme megfelel a feltételnek.
1. példa
assignedPlans egy többértékű tulajdonság, amely felsorolja a felhasználóhoz rendelt összes szolgáltatáscsomagot. Az alábbi kifejezés azokat a felhasználókat azonosítja, akik a Enabled állapotú Exchange Online (2. terv) szolgáltatáscsomaggal (GUID-értékként) rendelkeznek.
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
Az ehhez hasonló szabályok segítségével csoportosíthatja az összes olyan felhasználót, akinek engedélyezve van egy Microsoft 365 vagy más Microsoft Online Services-funkció. Ezután alkalmazhatja a szabályt egy szabályzatkészlettel a csoportra.
2. példa
Az alábbi kifejezés kiválasztja az összes olyan felhasználót, aki rendelkezik az Intune szolgáltatáshoz társított (a szolgáltatásnév által azonosított) szolgáltatáscsomaggal SCO:
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
3. példa
Az alábbi kifejezés az összes olyan felhasználót választja ki, aki nem rendelkezik hozzárendelt szolgáltatáscsomaggal:
user.assignedPlans -all (assignedPlan.servicePlanId -eq null)
Az aláhúzás (_) szintaxis használata
Az aláhúzás (_) szintaxis egy adott érték előfordulásait egyezteti a többszörös értékű sztringgyűjtemények egyik tulajdonságában, hogy felhasználókat vagy eszközöket adjon hozzá egy dinamikus tagsági csoporthoz. A(z) -any vagy -all operátorral használja.
Íme egy példa arra, hogyan használható az aláhúzás egy szabályban tagok hozzáadására a user.proxyAddress alapján. (Ez ugyanúgy működik a user.otherMails esetében.) Ez a szabály hozzáadja a csoporthoz minden olyan felhasználót, akinek proxycíme contoso-vel kezdődik.
(user.proxyAddresses -any (_ -startsWith "contoso"))
Egyéb tulajdonságok és gyakori szabályok
A következő szakaszok a dinamikus tagsági csoportok egyéb gyakori szabálymintáit ismertetik.
Szabály létrehozása közvetlen jelentésekhez
Létrehozhat egy csoportot, amely egy vezető összes közvetlen jelentését tartalmazza. Amikor a vezető közvetlen jelentései a jövőben megváltoznak, a csoport tagsága automatikusan módosul.
Feljegyzés
A kezelő egy közvetlen jelentések dinamikus csoportjához is hozzáadódik.
A közvetlen jelentések szabályát a következő szintaxissal hozhatja létre:
Direct Reports for "{objectID_of_manager}"
Íme egy példa egy érvényes szabályra, ahol aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb a kezelő objektumazonosítója látható:
Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
Az alábbi tippek segíthetnek a szabály megfelelő használatához:
- A kezelő azonosítója a kezelő objektumazonosítója. Ezt a vezető profiljában találja.
- A szabály működéséhez győződjön meg arról, hogy a
Managertulajdonság helyesen van beállítva a szervezet felhasználói számára. A felhasználó profiljában ellenőrizheti az aktuális értéket. - Ez a szabály csak a vezető közvetlen jelentéseit támogatja. Nem hozhat létre olyan csoportot, amely a felettes közvetlen beosztottjaival és azok beosztottjaival rendelkezik.
- Ezt a szabályt nem kombinálhatja más tagsági szabályokkal.
Szabály létrehozása az összes felhasználó számára
Egy tagsági szabály használatával létrehozhat egy csoportot, amely egy szervezet összes felhasználóját tartalmazza. Ha a jövőben felhasználókat adnak hozzá vagy távolítanak el a szervezetből, a rendszer automatikusan módosítja a csoport tagságát.
A szabályt az összes felhasználó számára egyetlen, az operátort és az -nenull értéket tartalmazó kifejezéssel hozhatja létre. Ez a szabály üzleti vendégfelhasználókat és tagfelhasználókat ad hozzá a csoporthoz.
user.objectId -ne null
Ha azt szeretné, hogy a csoport kizárja a vendégfelhasználókat, és csak a szervezet felhasználóit vegye fel, az alábbi szintaxist használhatja:
(user.objectId -ne null) -and (user.userType -eq "Member")
Szabály létrehozása az összes eszközhöz
Egy tagsági szabály használatával létrehozhat egy csoportot, amely egy szervezet összes eszközét tartalmazza. Amikor az eszközöket a jövőben hozzáadják vagy eltávolítják a szervezetből, a csoport tagsága automatikusan módosul.
A szabályt az összes eszközre az operátort és az -nenull értéket tartalmazó egyetlen kifejezéssel hozhatja létre:
device.objectId -ne null
Bővítményattribútumok és egyéni bővítménytulajdonságok
A dinamikus tagsági csoportok szabályai sztringtulajdonságként támogatják a bővítményattribútumokat és az egyéni bővítménytulajdonságokat.
Az on-premises Windows Server Active Directory kiterjesztési attribútumait szinkronizálhatja. Vagy frissítheti a bővítményattribútumokat a Microsoft Graph használatával.
A bővítményattribútumok formátuma ExtensionAttribute<X>az , ahol <X> egyenlő1-15 . A többértékű bővítménytulajdonságok nem támogatottak a dinamikus tagsági csoportok szabályaiban.
Íme egy példa egy olyan szabályra, amely egy bővítményattribútumot használ tulajdonságként:
(user.extensionAttribute15 -eq "Marketing")
Egyéni bővítménytulajdonságok szinkronizálhatók helyben telepített Windows Server Active Directoryból vagy csatlakoztatott, szolgáltatásként nyújtott szoftver (SaaS) alkalmazásból. Egyéni bővítménytulajdonságokat Microsoft Graph használatával hozhat létre.
Az egyéni bővítménytulajdonságok formátuma user.extension_[GUID]_[Attribute]a következő:
-
[GUID]a tulajdonságot létrehozó alkalmazás Microsoft Entra ID egyedi azonosítójának leválasztott verziója. Csak 0-9 és A-Z karaktereket tartalmaz. - A tulajdonság eredetileg megadott neve a
[Attribute].
Példa egy egyéni bővítménytulajdonságot használó szabályra:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Az egyéni bővítménytulajdonságokat címtár- vagy Microsoft Entra bővítménytulajdonságoknak is nevezik.
Az egyéni tulajdonságnév a címtárban található, ha lekérdezi egy felhasználó tulajdonságát a Graph Explorerben, és megkeresi a tulajdonság nevét. Emellett a dinamikus szabályszerkesztőben az Egyéni bővítmény tulajdonságainak lekérése hivatkozásra kattintva megadhat egy egyedi alkalmazásazonosítót, és megkaphatja a dinamikus tagsági csoportokhoz tartozó szabály létrehozásakor használandó egyéni bővítménytulajdonságok teljes listáját. A lista frissítésével új egyéni bővítménytulajdonságokat szerezhet be az alkalmazáshoz. A bővítményattribútumoknak és az egyéni bővítménytulajdonságoknak a bérlő alkalmazásainak kell lenniük.
További információ: Az attribútumok használata dinamikus tagsági csoportokban.
Eszközökre vonatkozó szabályok
Létrehozhat egy szabályt, amely kiválasztja a csoporttagsághoz tartozó eszközobjektumokat. A csoporttagok nem lehetnek egyszerre felhasználók és eszközök.
Feljegyzés
Az organizationalUnit attribútum már nem szerepel a listában, ezért nem érdemes használni. Az Intune meghatározott esetekben állítja be ezt a karaktersorozatot, de a Microsoft Entra ID nem ismeri fel. Ezen attribútum alapján a rendszer nem ad hozzá eszközöket a csoportokhoz.
Az systemlabels attribútum csak olvasható. Az Intune-nal nem állítható be.
A Windows 10 esetében a deviceOSVersion attribútum formátuma device.deviceOSVersion -startsWith "10.0.1". A formázást a Get-MgDevice PowerShell-parancsmaggal ellenőrizheti:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
Az alábbi eszközattribútumokat használhatja.
| Eszközattribútum | Értékek | Példák |
|---|---|---|
accountEnabled |
true, false |
device.accountEnabled -eq true |
deviceCategory |
Érvényes eszközkategória neve | device.deviceCategory -eq "BYOD" |
deviceId |
Érvényes Microsoft Entra eszközazonosító | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
deviceManagementAppId |
Érvényes alkalmazásazonosító a mobil eszközök kezeléséhez a Microsoft Entra ID rendszerben |
device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" Microsoft Intune által kezelt eszközökhöz"54b943f8-d761-4f8d-951e-9cea1846db5a" System Center Configuration Manager-rel együtt felügyelt eszközökhöz |
deviceManufacturer |
Bármilyen sztringérték | device.deviceManufacturer -eq "Samsung" |
deviceModel |
Bármilyen sztringérték | device.deviceModel -eq "iPad Air" |
displayName |
Bármilyen sztringérték | device.displayName -eq "Rob iPhone" |
deviceOSType |
Bármilyen sztringérték | (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iPhone")device.deviceOSType -startsWith "AndroidEnterprise"device.deviceOSType -eq "AndroidForWork"device.deviceOSType -eq "Windows" |
deviceOSVersion |
Bármilyen sztringérték | device.deviceOSVersion -eq "9.1"device.deviceOSVersion -startsWith "10.0.1" |
deviceOwnership
1 |
\ |
device.deviceOwnership -eq "Company" |
devicePhysicalIds |
Minden olyan karakterlánc érték, amelyet a Windows Autopilot használ, például az összes Windows Autopilot eszköz, OrderID vagy PurchaseOrderID |
device.devicePhysicalIDs -any _ -startsWith "[ZTDId]"device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881"device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
deviceTrustType
2 |
\ |
device.deviceTrustType -eq "AzureAD" |
enrollmentProfileName |
Az Apple Automatizált eszközregisztráció, az Android Enterprise vállalati tulajdonú dedikált eszközregisztráció vagy Windows Autopilot profil neve | device.enrollmentProfileName -eq "DEP iPhones" |
extensionAttribute1
3 |
Bármilyen sztringérték | device.extensionAttribute1 -eq "some string value" |
extensionAttribute2 |
Bármilyen sztringérték | device.extensionAttribute2 -eq "some string value" |
extensionAttribute3 |
Bármilyen sztringérték | device.extensionAttribute3 -eq "some string value" |
extensionAttribute4 |
Bármilyen sztringérték | device.extensionAttribute4 -eq "some string value" |
extensionAttribute5 |
Bármilyen sztringérték | device.extensionAttribute5 -eq "some string value" |
extensionAttribute6 |
Bármilyen sztringérték | device.extensionAttribute6 -eq "some string value" |
extensionAttribute7 |
Bármilyen sztringérték | device.extensionAttribute7 -eq "some string value" |
extensionAttribute8 |
Bármilyen sztringérték | device.extensionAttribute8 -eq "some string value" |
extensionAttribute9 |
Bármilyen sztringérték | device.extensionAttribute9 -eq "some string value" |
extensionAttribute10 |
Bármilyen sztringérték | device.extensionAttribute10 -eq "some string value" |
extensionAttribute11 |
Bármilyen sztringérték | device.extensionAttribute11 -eq "some string value" |
extensionAttribute12 |
Bármilyen sztringérték | device.extensionAttribute12 -eq "some string value" |
extensionAttribute13 |
Bármilyen sztringérték | device.extensionAttribute13 -eq "some string value" |
extensionAttribute14 |
Bármilyen sztringérték | device.extensionAttribute14 -eq "some string value" |
extensionAttribute15 |
Bármilyen sztringérték | device.extensionAttribute15 -eq "some string value" |
isRooted |
true, false |
device.isRooted -eq true |
managementType |
Mobileszköz-kezelés (mobileszközökhöz) | device.managementType -eq "MDM" |
memberOf |
Bármilyen sztringérték (érvényes csoportobjektum-azonosító) | device.memberOf -any (group.objectId -in ['value']) |
objectId |
Érvényes Microsoft Entra objektumazonosító | device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
profileType |
Érvényes profiltípus a Microsoft Entra ID | device.profileType -eq "RegisteredDevice" |
systemLabels
4 |
Egy csak olvasható karakterlánc, amely megfelel a Modern Munkahely eszközeinek címkézésére használt Intune eszköz tulajdonságnak. | device.systemLabels -startsWith "M365Managed" SystemLabels |
1 Amikor dinamikus tagsági csoportokat hoz létre az eszközökhöz, az értéket egyenlővé kell tenni deviceOwnership. Az Intune-ban az eszköz tulajdonjoga a következőképpen Corporatejelenik meg: . További információért lásd ownerTypes.
2 Ha deviceTrustType használatával hoz létre dinamikus tagsági csoportokat az eszközökhöz, a AzureAD értékkel egyenlő értéket kell beállítania az Microsoft Entra csatlakoztatott eszközök, ServerAD Microsoft Entra hibrid csatlakoztatott eszközök, vagy Workplace Microsoft Entra regisztrált eszközök megjelenítéséhez.
3 Amikor eszközökhöz dinamikus tagsági csoportokat hoz létre extensionAttribute1-15, be kell állítania egy meghatározott értéket extensionAttribute1-15 az eszközön.
Tudjon meg többet arról, hogyan írhat a extensionAttributes Microsoft Entra eszközobjektumon.
4 Ha a systemLabels eszközt használja, a különböző kontextusokban (mint eszközkezelés vagy érzékenység cimkézés) használt írásvédett attribútumokat nem lehet szerkeszteni az Intune alkalmazáson keresztül.
Kapcsolódó tartalom
- A Microsoft Entra csoportok és csoporttagság kezelése
Dinamikus tagsági csoport létrehozása vagy frissítése a Microsoft Entra ID