Aturan keanggotaan dinamis untuk grup di ID Microsoft Entra
Anda dapat membuat aturan berbasis atribut untuk mengaktifkan keanggotaan dinamis untuk grup di ID Microsoft Entra, bagian dari Microsoft Entra. Keanggotaan grup dinamis menambahkan dan menghapus anggota grup secara otomatis menggunakan aturan keanggotaan berdasarkan atribut anggota. Artikel ini merinci properti dan sintaks untuk membuat aturan keanggotaan dinamis untuk pengguna atau perangkat. Anda dapat menyiapkan aturan untuk keanggotaan dinamis pada grup keamanan atau grup Microsoft 365.
Saat atribut pengguna atau perangkat berubah, sistem mengevaluasi semua aturan grup dinamis dalam direktori untuk melihat apakah perubahan tersebut akan memicu penambahan atau penghapusan grup. Jika pengguna atau perangkat memenuhi aturan di grup, mereka akan ditambahkan sebagai anggota grup tersebut. Jika mereka tidak lagi memenuhi aturan, mereka akan dihapus. Anda tidak dapat menambahkan atau menghapus anggota grup dinamis secara manual.
- Anda dapat membuat grup dinamis untuk perangkat atau untuk pengguna, tetapi Anda tidak dapat membuat aturan yang berisi pengguna dan perangkat.
- Anda tidak dapat membuat grup perangkat berdasarkan atribut pengguna pemilik perangkat. Aturan keanggotaan perangkat hanya dapat mereferensikan atribut perangkat.
Catatan
Fitur ini memerlukan lisensi Microsoft Entra ID P1 atau Intune for Education untuk setiap pengguna unik yang merupakan anggota dari satu atau beberapa grup dinamis. Anda tidak perlu menetapkan lisensi kepada pengguna agar mereka menjadi anggota grup dinamis, tetapi Anda harus memiliki jumlah lisensi minimum di organisasi Microsoft Entra untuk mencakup semua pengguna tersebut. Misalnya, jika Anda memiliki total 1.000 pengguna unik di semua grup dinamis di organisasi Anda, Anda memerlukan setidaknya 1.000 lisensi untuk Microsoft Entra ID P1 untuk memenuhi persyaratan lisensi. Tidak diperlukan lisensi untuk perangkat yang merupakan anggota grup perangkat dinamis.
Pembuat aturan di portal Microsoft Azure
MICROSOFT Entra ID menyediakan penyusun aturan untuk membuat dan memperbarui aturan penting Anda dengan lebih cepat. Pembangun aturan mendukung pembangunan hingga lima ekspresi. Pembuat aturan mempermudah pembuatan aturan dengan beberapa ekspresi sederhana, namun tidak dapat digunakan untuk mereproduksi setiap aturan. Jika pembuat aturan tidak mendukung aturan yang ingin Anda buat, Anda bisa menggunakan kotak teks.
Berikut adalah beberapa contoh aturan atau sintaks tingkat lanjut yang memerlukan penggunaan kotak teks:
- Aturan dengan lebih dari lima ekspresi
- Aturan Laporan langsung
- Aturan dengan operator -contains atau -notContains
- Menatur prioritas operator
- Aturan dengan ekspresi kompleks; misalnya,
(user.proxyAddresses -any (_ -startsWith "contoso"))
Catatan
Pembuat aturan mungkin tidak dapat menampilkan beberapa aturan yang dibuat dalam kotak teks. Anda mungkin melihat pesan saat pembuat aturan tidak dapat menampilkan aturan. Pembuat aturan tidak mengubah sintaks, validasi, atau pemrosesan aturan grup dinamis yang didukung dengan cara apa pun.
Untuk instruksi langkah demi langkah lainnya, lihat Membuat atau memperbarui grup dinamis.
Sintaks aturan untuk satu ekspresi
Ekspresi tunggal adalah bentuk paling sederhana dari aturan keanggotaan dan hanya memiliki tiga bagian yang disebutkan di atas. Aturan dengan ekspresi tunggal terlihat mirip dengan contoh ini: Property Operator Value, yang mana sintaksis untuk properti adalah nama object.property.
Contoh berikut mengilustrasikan aturan keanggotaan yang dibangun dengan benar dengan ekspresi tunggal:
user.department -eq "Sales"
Tanda kurung bersifat opsional untuk satu ekspresi. Panjang total isi aturan keanggotaan Anda tidak boleh melebihi 3072 karakter.
Membangun badan aturan keanggotaan
Aturan keanggotaan yang secara otomatis mengisi grup dengan pengguna atau perangkat adalah ekspresi biner yang menghasilkan hasil yang benar atau salah. Tiga bagian dari aturan sederhana adalah:
- Properti
- Operator
- Nilai
Urutan bagian dalam ekspresi penting untuk menghindari kesalahan sintaksis.
Properti yang didukung
Ada tiga jenis properti yang dapat digunakan untuk membuat aturan keanggotaan.
- Boolean
- DateTime
- String
- Koleksi string
Berikut ini adalah properti pengguna yang bisa Anda gunakan untuk membuat ekspresi tunggal.
Sifat tipe boolean
| Properti | Nilai yang diizinkan | Penggunaan |
|---|---|---|
| accountEnabled | benar salah | user.accountEnabled -eq true |
| dirSyncEnabled | benar salah | user.dirSyncEnabled -eq true |
Properti jenis dateTime
| Properti | Nilai yang diizinkan | Penggunaan |
|---|---|---|
| employeeHireDate (Pratinjau) | Nilai DateTimeOffset atau sistem kata kunci apa pun.now | user.employeeHireDate -eq "value" |
Properti string tipe
| Properti | Nilai yang diizinkan | Penggunaan |
|---|---|---|
| kota | Nilai string atau null apa pun | user.city -eq "value" |
| negara | Nilai string atau null apa pun | user.country -eq "value" |
| companyName | Nilai string atau null apa pun | user.companyName -eq "value" |
| departemen | Nilai string atau null apa pun | user.department -eq "value" |
| displayName | Nilai string apa pun | user.displayName -eq "value" |
| employeeId | Nilai string apa pun | user.employeeId -eq "value" user.employeeId -ne null |
| facsimileTelephoneNumber | Nilai string atau null apa pun | user.facsimileTelephoneNumber -eq "value" |
| givenName | Nilai string atau null apa pun | user.givenName -eq "value" |
| jobTitle | Nilai string atau null apa pun | user.jobTitle -eq "value" |
| Nilai string atau null apa pun (alamat SMTP pengguna) | user.mail -eq "value" | |
| mailNickName | Nilai string apa pun (alias email pengguna) | user.mailNickName -eq "value" |
| memberOf | Nilai string apa pun (ID objek grup yang valid) | user.memberof -any (group.objectId -in ['value']) |
| mobile | Nilai string atau null apa pun | user.mobile -eq "value" |
| objectId | GUID dari objek pengguna | user.objectId -eq "11111111-1111-1111-1111-111111111111" |
| onPremisesDistinguishedName | Nilai string atau null apa pun | user.onPremisesDistinguishedName -eq "value" |
| onPremisesSecurityIdentifier | Pengidentifikasi keamanan lokal (SID) untuk pengguna yang disinkronkan dari lokal ke cloud. | user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111" |
| passwordPolicies | Tidak DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
| physicalDeliveryOfficeName | Nilai string atau null apa pun | user.physicalDeliveryOfficeName -eq "value" |
| Kode Pos | Nilai string atau null apa pun | user.postalCode -eq "value" |
| preferredLanguage | Kode ISO 639-1 | user.preferredLanguage -eq "en-US" |
| sipProxyAddress | Nilai string atau null apa pun | user.sipProxyAddress -eq "value" |
| state | Nilai string atau null apa pun | user.state -eq "value" |
| streetAddress | Nilai string atau null apa pun | user.streetAddress -eq "value" |
| surname | Nilai string atau null apa pun | user.surname -eq "value" |
| telephoneNumber | Nilai string atau null apa pun | user.telephoneNumber -eq "value" |
| usageLocation | Dua huruf kode negara atau wilayah | user.usageLocation -eq "US" |
| userPrincipalName | Nilai string apa pun | user.userPrincipalName -eq "alias@domain" |
| userType | tamu anggota null | user.userType -eq "Member" |
Properti koleksi string tipe
| Properti | Nilai yang diizinkan | Contoh |
|---|---|---|
| otherMails | Nilai string apa pun | user.otherMails -startsWith "alias@domain" |
| proxyAddresses | SMTP: smtp alias@domain: alias@domain | user.proxyAddresses -startsWith "SMTP: alias@domain" |
Untuk properti yang digunakan untuk aturan perangkat, lihat Aturan untuk perangkat.
Operator ekspresi yang didukung
Tabel berikut mencantumkan semua operator yang didukung dan sintaksnya untuk satu ekspresi. Operator dapat digunakan dengan atau tanpa awalan tanda hubung (-). Operator Contains melakukan pencocokan string parsial, tetapi tidak dengan item dalam pencocokan koleksi.
| Operator | Sintaks |
|---|---|
| Tidak Sama | -ne |
| Sama dengan | -eq |
| Tidak Dimulai Dengan | -notStartsWith |
| Dimulai dengan | -startsWith |
| Not Contains | -notContains |
| Berisi | -contains |
| Tidak Cocok | -notMatch |
| Cocokkan | -match |
| Dalam | -in |
| Tidak Di | -notIn |
Menggunakan operator -in dan -notIn
Jika Anda ingin membandingkan nilai atribut pengguna dengan beberapa nilai, Anda dapat menggunakan operator -in atau -notIn. Gunakan simbol tanda kurung "[" dan "]" untuk memulai dan mengakhiri daftar nilai.
Dalam contoh berikut, ekspresi mengevaluasi ke true jika nilai user.department sama dengan salah satu nilai dalam daftar:
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
Menggunakan operator -le dan -ge
Anda dapat menggunakan operator kurang dari (-le) atau lebih besar dari (-ge) saat menggunakan atribut employeeHireDate dalam aturan grup dinamis.
Contoh:
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
Menggunakan operator -match
Operator -match digunakan untuk mencocokkan ekspresi reguler apa pun. Contoh:
user.displayName -match "^Da.*"
Da, Dav, David mengevaluasi ke true, aDa mengevaluasi ke false.
user.displayName -match ".*vid"
David mengevaluasi ke true, Da mengevaluasi ke false.
Nilai yang Didukung
Nilai yang digunakan dalam ekspresi bisa terdiri dari beberapa tipe, termasuk:
- String
- Boolean - benar, salah
- Angka
- Arrays – jumlah array, string array
Saat menentukan nilai dalam ekspresi, penting untuk menggunakan sintaksis yang benar untuk menghindari kesalahan. Beberapa tips sintaks adalah:
- Tanda kutip ganda bersifat opsional kecuali nilainya adalah string.
- Operasi string dan regex tidak peka huruf besar/kecil.
- Ketika nilai string berisi tanda kutip ganda, kedua tanda kutip harus diloloskan menggunakan karakter `, misalnya, user.department -eq `"Penjualan`" adalah sintaks yang tepat ketika "Penjualan" adalah nilainya. Kuotasi tunggal harus di-escape dengan menggunakan dua kuotasi tunggal, bukan hanya satu saja.
- Anda juga dapat melakukan pemeriksaan Null, menggunakan null sebagai nilai, misalnya,
user.department -eq null.
Penggunaan nilai Kosong
Untuk menentukan nilai kosong dalam aturan, Anda bisa menggunakan nilai null.
- Gunakan -eq atau -ne ketika membandingkan nilai null dalam sebuah ekspresi.
- Gunakan tanda kutip di sekitar kata null hanya jika Anda ingin diinterpretasikan sebagai nilai string literal.
- Operator -not tidak dapat digunakan sebagai operator komparatif untuk null. Jika Anda menggunakannya, Anda mendapatkan kesalahan apakah Anda menggunakan null atau $null.
Cara yang benar untuk mereferensikan nilai null adalah sebagai berikut:
user.mail –ne null
Aturan dengan beberapa ekspresi
Aturan keanggotaan grup dapat terdiri dari lebih dari satu ekspresi tunggal yang dihubungkan oleh operator -dan, -or, dan -not logical. Operator logika juga dapat digunakan dalam kombinasi.
Berikut ini adalah contoh aturan keanggotaan yang dibuat dengan benar dengan beberapa ekspresi:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
Prioritas operator
Semua operator tercantum di bawah ini dalam urutan prioritas dari tertinggi ke terendah. Operator pada baris yang sama mendapatkan prioritas yang sama:
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
Contoh berikut mengilustrasikan prioritas operator saat dua ekspresi sedang dievaluasi untuk pengguna:
user.department –eq "Marketing" –and user.country –eq "US"
Tanda kurung hanya diperlukan ketika diutamakan tidak memenuhi persyaratan Anda. Misalnya, jika Anda ingin departemen dievaluasi terlebih dahulu, berikut ini memperlihatkan bagaimana tanda kurung dapat digunakan untuk menentukan urutan:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Aturan dengan ekspresi kompleks
Aturan keanggotaan dapat terdiri dari ekspresi kompleks tempat properti, operator, dan nilai mengambil formulir yang lebih kompleks. Ekspresi dianggap kompleks bila salah satu hal berikut ini benar:
- Properti terdiri dari kumpulan nilai; secara khusus, properti multinilai
- Ekspresi menggunakan operator -any dan -all
- Nilai ekspresi itu sendiri bisa menjadi satu atau beberapa ekspresi
Properti multinilai
Properti multinilai adalah kumpulan objek dengan tipe yang sama. Mereka dapat digunakan untuk membuat aturan keanggotaan menggunakan operator logis -any dan -all.
| Properti | Nilai | Penggunaan |
|---|---|---|
| assignedPlans | Setiap objek dalam koleksi mengekspos properti string berikut: capabilityStatus, service, servicePlanId | user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled") |
| proxyAddresses | SMTP: smtp alias@domain: alias@domain | (user.proxyAddresses -any (_ -startsWith "contoso")) |
Menggunakan operator -any dan -all
Anda dapat menggunakan -any dan -all operator untuk menerapkan kondisi ke satu atau semua item dalam koleksi.
- -any (puas ketika setidaknya satu item dalam koleksi cocok dengan kondisi)
- -all (puas ketika semua item dalam koleksi cocok dengan kondisi)
Contoh 1
assignedPlans adalah properti multinilai yang mencantumkan semua paket layanan yang ditetapkan untuk pengguna. Ekspresi berikut ini memilih pengguna yang memiliki paket layanan Exchange Online (Paket 2) (sebagai nilai GUID) yang juga dalam status Diaktifkan:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
Aturan seperti ini dapat digunakan untuk mengelompokkan semua pengguna dengan kemampuan Microsoft 365 atau Layanan Online Microsoft lainnya yang diaktifkan. Anda kemudian dapat mengajukan serangkaian kebijakan ke grup.
Contoh 2
Ekspresi berikut memilih semua pengguna yang memiliki paket layanan apa pun yang terkait dengan layanan Intune (diidentifikasi dengan nama layanan "SCO"):
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Contoh 3
Ekspresi berikut ini memilih semua pengguna yang tidak memiliki paket layanan yang ditetapkan:
user.assignedPlans -all (assignedPlan.servicePlanId -ne null)
Menggunakan sintaks garis bawah (_)
Sintaks garis bawah (_) cocok dengan kemunculan nilai tertentu di salah satu properti pengumpulan string multinilai untuk menambahkan pengguna atau perangkat ke grup dinamis. Ini digunakan dengan operator -any atau -all.
Berikut adalah contoh penggunaan garis bawah (_) dalam aturan untuk menambahkan anggota berdasarkan user.proxyAddress (berfungsi sama untuk user.otherMails). Aturan ini menambahkan pengguna apa pun dengan alamat proksi yang dimulai dengan "contoso" ke grup.
(user.proxyAddresses -any (_ -startsWith "contoso"))
Properti lain dan aturan umum
Membuat aturan "Laporan langsung"
Anda dapat membuat grup yang berisi semua laporan langsung manajer. Ketika laporan langsung manajer berubah di masa mendatang, keanggotaan grup disesuaikan secara otomatis.
Aturan laporan langsung dibuat menggunakan sintaks berikut:
Direct Reports for "{objectID_of_manager}"
Berikut adalah contoh aturan yang valid, yang mana "62e19b97-8b3d-4d4a-a106-4ce66896a863" adalah objectID manajer:
Direct Reports for "62e19b97-8b3d-4d4a-a106-4ce66896a863"
Tips berikut ini dapat membantu Anda menggunakan aturan dengan benar.
- ID Manajer adalah ID objek manajer. Yang dapat ditemukan di Profil manajer.
- Agar aturan berfungsi, pastikan properti Manajer diatur dengan benar untuk pengguna di organisasi Anda. Anda dapat memeriksa nilai saat ini di Profil pengguna.
- Aturan ini hanya mendukung laporan langsung manajer. Dengan kata lain, Anda tidak dapat membuat grup dengan laporan langsung manajer dan laporannya.
- Aturan ini tidak dapat digabungkan dengan aturan keanggotaan lainnya.
Membuat aturan "Semua pengguna"
Anda bisa membuat grup yang berisi semua pengguna dalam organisasi menggunakan aturan keanggotaan. Saat pengguna ditambahkan atau dihapus dari organisasi di masa mendatang, keanggotaan grup disesuaikan secara otomatis.
Aturan "Semua pengguna" dibuat menggunakan ekspresi tunggal menggunakan operator -ne dan nilai null. Aturan ini menambahkan pengguna tamu B2B dan pengguna anggota ke grup.
user.objectId -ne null
Jika Anda ingin grup Mengecualikan pengguna tamu dan hanya menyertakan anggota organisasi, Anda bisa menggunakan sintaks berikut:
(user.objectId -ne null) -and (user.userType -eq "Member")
Membuat aturan "Semua perangkat"
Anda dapat membuat grup yang berisi semua perangkat dalam organisasi menggunakan aturan keanggotaan. Saat perangkat ditambahkan atau dihapus dari organisasi di masa mendatang, keanggotaan grup disesuaikan secara otomatis.
Aturan "Semua Perangkat" dibuat menggunakan ekspresi tunggal menggunakan operator -ne dan nilai kosong:
device.objectId -ne null
Properti ekstensi dan properti ekstensi kustom
Atribut ekstensi dan properti ekstensi kustom didukung sebagai properti string dalam aturan keanggotaan dinamis. Atribut ekstensi dapat disinkronkan dari Window Server Active Directory lokal atau diperbarui menggunakan Microsoft Graph dan mengambil format "ExtensionAttributeX", jika X sama dengan 1 - 15. Properti ekstensi multinilai tidak didukung dalam aturan keanggotaan dinamis. Berikut ini contoh aturan yang menggunakan atribut ekstensi sebagai properti:
(user.extensionAttribute15 -eq "Marketing")
Properti ekstensi kustom dapat disinkronkan dari Windows Server Active Directory lokal, dari aplikasi SaaS yang terhubung, atau dibuat menggunakan Microsoft Graph, serta merupakan salah satu format user.extension_[GUID]_[Attribute], di mana:
- [GUID] adalah versi pengidentifikasi unik yang dilucuti di ID Microsoft Entra untuk aplikasi yang membuat properti. Pengidentifikasi ini hanya berisi karakter 0-9 dan A-Z
- [Atribut] adalah nama properti seperti yang dibuat
Contoh aturan yang menggunakan properti ekstensi kustom adalah:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Properti ekstensi kustom juga disebut properti ekstensi direktori atau Microsoft Entra.
Nama properti kustom dapat ditemukan di direktori dengan menanyakan properti pengguna menggunakan Graph Explorer dan mencari nama properti. Selain itu, Anda sekarang dapat memilih Dapatkan tautan properti ekstensi kustom di pembuat aturan grup pengguna dinamis untuk memasukkan ID aplikasi unik dan menerima daftar lengkap properti ekstensi kustom untuk digunakan saat membuat aturan keanggotaan dinamis. Daftar ini juga dapat disegarkan untuk mendapatkan properti ekstensi kustom baru untuk aplikasi tersebut. Atribut ekstensi dan properti ekstensi kustom harus berasal dari aplikasi di penyewa Anda.
Untuk informasi selengkapnya, lihat Menggunakan atribut dalam grup dinamis dalam artikel Microsoft Entra Koneksi Sync: Ekstensi direktori.
Aturan untuk perangkat
Anda juga dapat membuat aturan yang memilih objek perangkat untuk keanggotaan dalam grup. Anda tidak dapat memiliki pengguna dan perangkat sebagai anggota grup.
Catatan
Atribut organizationalUnit tidak lagi terdaftar dan tidak boleh digunakan. String ini diatur oleh Intune dalam kasus tertentu tetapi tidak dikenali oleh ID Microsoft Entra, sehingga tidak ada perangkat yang ditambahkan ke grup berdasarkan atribut ini.
Catatan
systemlabels adalah atribut baca-saja yang tidak dapat diatur dengan Intune.
Untuk Windows 10, format atribut deviceOSVersion yang benar adalah sebagai berikut: (device.deviceOSVersion -startsWith "10.0.1"). Pemformatan dapat divalidasi dengan cmdlet PowerShell Get-MgDevice:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
Atribut perangkat berikut ini bisa digunakan.
| Atribut perangkat | Nilai | Contoh |
|---|---|---|
| accountEnabled | benar salah | device.accountEnabled -eq true |
| deviceCategory | nama kategori perangkat yang valid | device.deviceCategory -eq "BYOD" |
| deviceId | ID perangkat Microsoft Entra yang valid | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
| deviceManagementAppId | ID aplikasi MDM yang valid di ID Microsoft Entra | device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" untuk Microsoft Intune terkelola atau "54b943f8-d761-4f8d-951e-9cea1846db5a" untuk perangkat yang dikelola bersama Manajer Konfigurasi Pusat Sistem |
| deviceManufacturer | nilai string apa pun | device.deviceManufacturer -eq "Samsung" |
| deviceModel | nilai string apa pun | device.deviceModel -eq "iPad Air" |
| displayName | nilai string apa pun | device.displayName -eq "Rob iPhone" |
| deviceOSType | nilai string apa pun | (device.deviceOSType -eq "iPad") -atau (device.deviceOSType -eq "iPhone") device.deviceOSType -startsWith "AndroidEnterprise" device.deviceOSType -eq "AndroidForWork" device.deviceOSType -eq "Windows" |
| deviceOSVersion | nilai string apa pun | device.deviceOSVersion -eq "9.1" device.deviceOSVersion -startsWith "10.0.1" |
| deviceOwnership | Pribadi, Perusahaan, Tidak Diketahui | device.deviceOwnership -eq "Company" |
| devicePhysicalIds | nilai string apa pun yang digunakan oleh Autopilot, seperti semua perangkat Autopilot, OrderID, atau PurchaseOrderID | device.devicePhysicalIDs -any _ -startsWith "[ZTDId]" (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881" (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
| deviceTrustType | AzureAD, ServerAD, Workplace | device.deviceTrustType -eq "AzureAD" |
| enrollmentProfileName | Nama Profil Pendaftaran Perangkat Apple, nama Profil Pendaftaran perangkat khusus milik Perusahaan Android Enterprise, atau nama profil Windows Autopilot | device.enrollmentProfileName -eq "DEP iPhones" |
| extensionAttribute1 | nilai string apa pun | device.extensionAttribute1 -eq "beberapa nilai string" |
| extensionAttribute2 | nilai string apa pun | device.extensionAttribute2 -eq "some string value" |
| extensionAttribute3 | nilai string apa pun | device.extensionAttribute3 -eq "some string value" |
| extensionAttribute4 | nilai string apa pun | device.extensionAttribute4 -eq "some string value" |
| extensionAttribute5 | nilai string apa pun | device.extensionAttribute5 -eq "some string value" |
| extensionAttribute6 | nilai string apa pun | device.extensionAttribute6 -eq "some string value" |
| extensionAttribute7 | nilai string apa pun | device.extensionAttribute7 -eq "some string value" |
| extensionAttribute8 | nilai string apa pun | device.extensionAttribute8 -eq "some string value" |
| extensionAttribute9 | nilai string apa pun | device.extensionAttribute9 -eq "some string value" |
| extensionAttribute10 | nilai string apa pun | device.extensionAttribute10 -eq "some string value" |
| extensionAttribute11 | nilai string apa pun | device.extensionAttribute11 -eq "some string value" |
| extensionAttribute12 | nilai string apa pun | device.extensionAttribute12 -eq "some string value" |
| extensionAttribute13 | nilai string apa pun | device.extensionAttribute13 -eq "some string value" |
| extensionAttribute14 | nilai string apa pun | device.extensionAttribute14 -eq "some string value" |
| extensionAttribute15 | nilai string apa pun | device.extensionAttribute15 -eq "some string value" |
| isRooted | benar salah | device.isRooted -eq true |
| managementType | MDM (untuk perangkat seluler) | device.managementType -eq "MDM" |
| memberOf | Nilai string apa pun (ID objek grup yang valid) | device.memberof -any (group.objectId -in ['value']) |
| objectId | ID objek Microsoft Entra yang valid | device.objectId -eq "76ad43c9-32c5-45e8-a272-7b58b58f596d" |
| profileType | jenis profil yang valid di ID Microsoft Entra | device.profileType -eq "RegisteredDevice" |
| systemLabels | string apa pun yang cocok dengan properti perangkat Intune untuk menandai perangkat Modern Workplace | device.systemLabels -startsWith "M365Managed" |
Catatan
Saat menggunakan deviceOwnership untuk membuat Grup Dinamis untuk perangkat, Anda perlu mengatur nilai yang sama dengan Company. Pada Intune kepemilikan perangkat diwakili sebagai Perusahaan. Untuk mengetahui informasi selengkapnya, lihat OwnerTypes untuk detail selengkapnya.
Saat menggunakan deviceTrustType untuk membuat Grup Dinamis untuk perangkat, Anda perlu mengatur nilai yang sama dengan AzureAD untuk mewakili perangkat yang bergabung dengan Microsoft Entra, ServerAD untuk mewakili perangkat gabungan hibrid Microsoft Entra atau Workplace untuk mewakili perangkat terdaftar Microsoft Entra.
Saat menggunakan extensionAttribute1-15 untuk membuat Grup Dinamis untuk perangkat, Anda perlu mengatur nilai untuk extensionAttribute1-15 di perangkat. Pelajari selengkapnya tentang cara menulis extensionAttributes pada objek perangkat Microsoft Entra
Langkah berikutnya
Artikel ini menyediakan informasi tambahan tentang grup di MICROSOFT Entra ID.