Bagikan melalui

Mengelola aturan untuk grup keanggotaan dinamis di ID Microsoft Entra

Anda dapat membuat aturan berbasis atribut berbasis pengguna atau perangkat untuk mengaktifkan keanggotaan untuk grup keanggotaan dinamis di ID Microsoft Entra. Anda dapat menambahkan dan menghapus grup keanggotaan dinamis secara otomatis dengan menggunakan aturan keanggotaan berdasarkan atribut anggota. Di Microsoft Entra, satu penyewa dapat memiliki maksimum 15.000 grup keanggotaan dinamis.

Artikel ini merinci properti dan sintaksis untuk membuat aturan untuk grup keanggotaan dinamis berdasarkan pengguna atau perangkat.

Catatan

Grup keamanan dapat menyertakan perangkat atau pengguna, tetapi grup Microsoft 365 hanya dapat menyertakan pengguna.

Pertimbangan untuk grup keanggotaan dinamis

Saat atribut pengguna atau perangkat berubah, sistem mengevaluasi semua aturan untuk grup keanggotaan dinamis dalam direktori untuk melihat apakah perubahan akan memicu penambahan atau penghapusan grup apa pun. Jika pengguna atau perangkat memenuhi aturan pada grup, mereka ditambahkan sebagai anggota grup tersebut. Jika mereka tidak lagi memenuhi aturan, mereka akan dihapus. Anda tidak dapat menambahkan atau menghapus anggota grup keanggotaan dinamis secara manual.

Ingat juga batasan ini:

  • Anda dapat membuat grup keanggotaan dinamis untuk pengguna atau perangkat, tetapi Anda tidak dapat membuat aturan yang berisi pengguna dan perangkat.
  • Anda tidak dapat membuat grup keanggotaan perangkat berdasarkan atribut pengguna pemilik perangkat. Aturan keanggotaan perangkat hanya dapat mereferensikan atribut perangkat.

Persyaratan lisensi

Fitur grup keanggotaan dinamis memerlukan lisensi Microsoft Entra ID P1 atau lisensi Intune for Education untuk setiap pengguna unik yang merupakan anggota dari satu atau beberapa grup keanggotaan dinamis. Anda tidak perlu menetapkan lisensi kepada pengguna agar mereka menjadi anggota grup keanggotaan dinamis. Tetapi Anda harus memiliki jumlah lisensi minimum di organisasi Microsoft Entra untuk mencakup semua pengguna tersebut.

Misalnya, jika Anda memiliki total 1.000 pengguna unik di semua grup keanggotaan dinamis di organisasi Anda, Anda memerlukan setidaknya 1.000 lisensi untuk Microsoft Entra ID P1 untuk memenuhi persyaratan lisensi.

Tidak diperlukan lisensi untuk perangkat yang merupakan anggota grup keanggotaan dinamis berdasarkan perangkat.

Pembuat aturan di portal Microsoft Azure

MICROSOFT Entra ID menyediakan penyusun aturan untuk membuat dan memperbarui aturan penting Anda dengan lebih cepat. Alat pembuat aturan mendukung konstruksi hingga lima pernyataan. Anda dapat menggunakan pembangun aturan untuk membentuk aturan dengan beberapa ekspresi sederhana, tetapi Anda tidak dapat menggunakannya untuk mereproduksi setiap aturan. Jika penyusun aturan tidak mendukung aturan yang ingin Anda buat, Anda bisa menggunakan kotak teks.

Cuplikan layar yang memperlihatkan penyusun aturan, dengan tindakan untuk menambahkan ekspresi disorot.

Untuk instruksi langkah demi langkah, lihat Membuat atau memperbarui grup keanggotaan dinamis.

Penting

Pembangun aturan hanya tersedia untuk grup keanggotaan dinamis berbasis pengguna. Anda hanya dapat membuat grup keanggotaan dinamis berbasis perangkat dengan menggunakan kotak teks.

Berikut adalah beberapa contoh aturan atau sintaks tingkat lanjut yang memerlukan penggunaan kotak teks:

Catatan

Pembuat aturan mungkin tidak dapat menampilkan beberapa aturan yang dibuat dalam kotak teks. Anda mungkin melihat pesan saat penyusun aturan tidak dapat menampilkan aturan. Penyusun aturan tidak mengubah sintaks, validasi, atau pemrosesan aturan yang didukung untuk grup keanggotaan dinamis dengan cara apa pun.

Sintaks aturan untuk satu ekspresi

Ekspresi tunggal adalah bentuk paling sederhana dari aturan keanggotaan. Aturan dengan ekspresi tunggal mengambil bentuk <Property> <Operator> <Value>, di mana sintaks untuk properti adalah nama <object>.<property>.

Contoh berikut mengilustrasikan aturan keanggotaan yang dibangun dengan benar dengan ekspresi tunggal:

user.department -eq "Sales"

Tanda kurung bersifat opsional untuk satu ekspresi. Panjang total isi aturan keanggotaan Anda tidak boleh melebihi 3.072 karakter.

Membangun struktur aturan keanggotaan

Aturan keanggotaan yang secara otomatis mengisi grup dengan pengguna atau perangkat adalah ekspresi biner yang menghasilkan hasil yang benar atau salah. Tiga bagian dari aturan sederhana adalah:

  • Properti
  • Pengoperasi
  • Nilai

Urutan bagian dalam ekspresi penting untuk menghindari kesalahan sintaksis.

Properti yang didukung

Anda dapat menggunakan tiga jenis properti untuk membuat aturan keanggotaan:

  • Boolean (tipe data yang hanya memiliki dua nilai: true atau false)
  • Tanggal/waktu
  • string
  • Koleksi string

Anda bisa menggunakan properti pengguna berikut untuk membuat ekspresi tunggal.

Properti dengan tipe Boolean

Properti Nilai yang diizinkan Penggunaan
accountEnabled true, false user.accountEnabled -eq true
dirSyncEnabled true, false user.dirSyncEnabled -eq true

Properti tipe tanggal/waktu

Properti Nilai yang diizinkan Penggunaan
employeeHireDate (pratinjau) Nilai atau kata kunci apa pun DateTimeOffsetsystem.now user.employeeHireDate -eq "value"

Properti dengan tipe string

Properti Nilai yang diizinkan Penggunaan
city Nilai string apa pun atau null user.city -eq "value"
country Nilai string apa pun atau null user.country -eq "value"
companyName Nilai string apa pun atau null user.companyName -eq "value"
department Nilai string apa pun atau null user.department -eq "value"
displayName Nilai string apa pun user.displayName -eq "value"
employeeId Nilai string apa pun user.employeeId -eq "value"

user.employeeId -ne "null"
facsimileTelephoneNumber Nilai string apa pun atau null user.facsimileTelephoneNumber -eq "value"
givenName Nilai string apa pun atau null user.givenName -eq "value"
jobTitle Nilai string apa pun atau null user.jobTitle -eq "value"
mail Nilai string apa pun atau null (alamat SMTP pengguna) user.mail -eq "value"

user.mail -notEndsWith "@Contoso.com"
mailNickName Nilai string apa pun (alias email pengguna) user.mailNickName -eq "value"

user.mailNickname -endsWith "-vendor"
memberOf Nilai string apa pun (ID objek grup yang valid) user.memberOf -any (group.objectId -in ['value'])
mobile Nilai string apa pun atau null user.mobile -eq "value"
objectId GUID dari objek pengguna user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
onPremisesDistinguishedName Nilai string apa pun atau null user.onPremisesDistinguishedName -eq "value"
onPremisesSecurityIdentifier Pengidentifikasi keamanan lokal (SID) untuk pengguna yang disinkronkan dari lokal ke cloud user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111"
passwordPolicies None, , DisableStrongPasswordDisablePasswordExpiration, , DisablePasswordExpiration,DisableStrongPassword user.passwordPolicies -eq "DisableStrongPassword"
physicalDeliveryOfficeName Nilai string apa pun atau null user.physicalDeliveryOfficeName -eq "value"
postalCode Nilai string apa pun atau null user.postalCode -eq "value"
preferredLanguage Kode ISO 639-1 user.preferredLanguage -eq "en-US"
sipProxyAddress Nilai string apa pun atau null user.sipProxyAddress -eq "value"
state Nilai string apa pun atau null user.state -eq "value"
streetAddress Nilai string apa pun atau null user.streetAddress -eq "value"
surname Nilai string apa pun atau null user.surname -eq "value"
telephoneNumber Nilai string apa pun atau null user.telephoneNumber -eq "value"
usageLocation Kode negara atau wilayah dua huruf user.usageLocation -eq "US"
userPrincipalName Nilai string apa pun user.userPrincipalName -eq "alias@domain"
userType member, , guestnull user.userType -eq "Member"

Properti dari koleksi tipe string

Properti Nilai yang diizinkan Contoh
otherMails Nilai string apa pun user.otherMails -startsWith "alias@domain"

user.otherMails -endsWith"@contoso.com"
proxyAddresses SMTP: alias@domain, smtp: alias@domain user.proxyAddresses -startsWith "SMTP: alias@domain"

user.proxyAddresses -notEndsWith "@outlook.com"

Untuk properti yang digunakan untuk aturan perangkat, lihat Aturan untuk perangkat.

Operator ekspresi yang didukung

Tabel berikut mencantumkan semua operator yang didukung dan sintaksnya untuk satu ekspresi. Anda dapat menggunakan operator dengan atau tanpa awalan tanda hubung (-). Operator Contains melakukan kecocokan string parsial tetapi tidak cocok untuk item dalam koleksi.

Perhatian

Untuk hasil terbaik, minimalkan penggunaan Match atau Contains sebanyak mungkin. Artikel Membuat aturan yang lebih sederhana dan lebih efisien untuk grup keanggotaan dinamis memberikan panduan tentang cara membuat aturan yang menghasilkan waktu pemrosesan grup yang lebih dinamis. Operator memberOf dalam pratinjau dan memiliki beberapa batasan, jadi gunakan dengan hati-hati.

Pengoperasi Sintaks
Ends With -endsWith
Not Ends With -notEndsWith
Not Equals -ne
Equals -eq
Not Starts With -notStartsWith
Starts With -startsWith
Not Contains -notContains
Contains -contains
Not Match -notMatch
Match -match
In -in
Not In -notIn

Menggunakan operator -in dan -notIn

Jika Anda ingin membandingkan nilai atribut pengguna dengan beberapa nilai, Anda dapat menggunakan -in operator atau -notIn . Gunakan simbol tanda kurung siku ([ dan ]) untuk memulai dan mengakhiri daftar nilai.

Dalam contoh berikut, ekspresi mengevaluasi ke true jika nilai user.department sama dengan salah satu nilai dalam daftar:

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

Menggunakan operator -le dan -ge

Anda dapat menggunakan operator kurang dari (-le) atau lebih besar dari (-ge) saat menggunakan employeeHireDate atribut dalam aturan untuk grup keanggotaan dinamis.

Berikut adalah contohnya:

user.employeehiredate -ge system.now -plus p1d 

user.employeehiredate -le 2020-06-10T18:13:20Z

Penggunaan operator -match

Anda dapat menggunakan -match operator untuk mencocokkan ekspresi reguler apa pun.

Untuk contoh berikut, Da, Dav, dan David dievaluasi menjadi true. aDa bernilai false.

user.displayName -match "^Da.*"

Untuk contoh berikut, David bernilai sebagai true. Da bernilai false.

user.displayName -match ".*vid"

Nilai yang Didukung

Nilai yang Anda gunakan dalam ekspresi dapat terdiri dari beberapa jenis:

  • String
  • Boolean (true, false)
  • Angka
  • Array (array angka, array string)

Saat Anda menentukan nilai dalam ekspresi, penting untuk menggunakan sintaks yang benar untuk menghindari kesalahan. Berikut adalah beberapa tips sintaks:

  • Tanda kutip ganda bersifat opsional kecuali nilainya adalah string.
  • Operasi regex dan string tidak sensitif terhadap huruf besar/kecil.
  • Pastikan bahwa nama properti diformat dengan benar seperti yang ditunjukkan, karena peka terhadap penggunaan huruf besar dan kecil.
  • Saat nilai string berisi tanda kutip ganda, Anda harus keluar dari kedua tanda kutip dengan menggunakan karakter garis miring terbalik (\). Misalnya, user.department -eq '"Sales'" adalah sintaks yang tepat ketika Sales adalah nilainya. Gunakan dua tanda kutip tunggal untuk meng-escape tanda kutip tunggal, alih-alih menggunakan satu tanda kutip tunggal setiap kali.
  • Anda juga dapat melakukan pemeriksaan null dengan menggunakan null sebagai nilai; misalnya, user.department -eq null.

Penggunaan nilai null

Untuk menentukan null nilai dalam aturan:

  • Gunakan -eq atau -ne saat Anda membandingkan null nilai dalam ekspresi.
  • Gunakan tanda kutip di sekitar kata null hanya jika Anda ingin ditafsirkan sebagai nilai string harfiah.
  • Jangan gunakan -not operator sebagai operator komparatif untuk nilai null. Jika Anda menggunakannya, Anda mendapatkan kesalahan apakah Anda menggunakan null atau $null.

Cara yang benar untuk mereferensikan null nilai adalah sebagai berikut:

   user.mail –ne null

Aturan dengan beberapa ekspresi

Aturan untuk grup keanggotaan dinamis dapat terdiri dari lebih dari satu ekspresi, yang terhubung oleh operator logis -and, -or, dan -not. Anda juga dapat menggunakan operator logis dalam kombinasi.

Berikut ini adalah contoh aturan keanggotaan yang dibuat dengan benar dengan beberapa ekspresi:

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")

Prioritas operator

Daftar berikut menunjukkan semua operator dalam urutan prioritas dari tertinggi hingga terendah. Operator pada baris yang sama memiliki prioritas yang sama.

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all

Contoh berikut mengilustrasikan prioritas operator saat dua ekspresi sedang dievaluasi untuk pengguna:

   user.department –eq "Marketing" –and user.country –eq "US"

Anda hanya memerlukan tanda kurung jika prioritas tidak memenuhi kebutuhan Anda. Misalnya, jika Anda ingin departemen dievaluasi terlebih dahulu, kode berikut menunjukkan bagaimana Anda dapat menggunakan tanda kurung untuk menentukan urutan:

   user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

Aturan dengan ekspresi kompleks

Aturan keanggotaan dapat terdiri dari ekspresi kompleks di mana properti, operator, dan nilai memiliki bentuk yang lebih kompleks. Ekspresi dianggap kompleks ketika salah satu poin berikut ini benar:

  • Properti terdiri dari kumpulan nilai; khususnya, properti multinilai.
  • Ekspresi menggunakan -any operator dan -all .
  • Nilai ekspresi itu sendiri bisa menjadi satu atau beberapa ekspresi.

Properti multinilai

Properti multinilai adalah kumpulan objek dengan tipe yang sama. Anda dapat menggunakannya untuk membuat aturan keanggotaan dengan menggunakan -any operator logis dan -all .

Properti Nilai Penggunaan
assignedPlans Setiap objek dalam koleksi mengekspos properti string berikut: capabilityStatus, , serviceservicePlanId user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled")
proxyAddresses SMTP: alias@domain, smtp: alias@domain (user.proxyAddresses -any (\_ -startsWith "contoso"))

Menggunakan operator -any dan -all

Anda dapat menggunakan operator berikut untuk menerapkan kondisi ke satu atau semua item dalam koleksi:

  • -any: Puas ketika setidaknya satu item dalam koleksi cocok dengan kondisi.
  • -all: Puas ketika semua item dalam koleksi cocok dengan kondisi.
Contoh 1

assignedPlans adalah properti multinilai yang mencantumkan semua paket layanan yang ditetapkan untuk pengguna. Ekspresi berikut memilih pengguna yang memiliki paket layanan Exchange Online (Paket 2) (sebagai nilai GUID) yang juga dalam status Enabled :

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

Anda dapat menggunakan aturan seperti ini untuk mengelompokkan semua pengguna yang kemampuan Microsoft 365 atau Layanan Online Microsoft lainnya diaktifkan. Anda kemudian dapat menerapkan aturan dengan serangkaian kebijakan ke grup.

Contoh 2

Ekspresi berikut memilih semua pengguna yang memiliki paket layanan apa pun yang terkait dengan layanan Intune (diidentifikasi dengan nama SCOlayanan ):

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Contoh 3

Ekspresi berikut ini memilih semua pengguna yang tidak memiliki paket layanan yang ditetapkan:

user.assignedPlans -all (assignedPlan.servicePlanId -eq null)

Menggunakan sintaks garis bawah (_)

Sintaks garis bawah (_) cocok dengan kemunculan nilai tertentu di salah satu properti koleksi string multinilai untuk menambahkan pengguna atau perangkat ke grup keanggotaan dinamis. Anda menggunakannya dengan -any operator atau -all .

Berikut adalah contoh penggunaan garis bawah dalam aturan untuk menambahkan anggota berdasarkan user.proxyAddress. (Ini berfungsi sama untuk user.otherMails.) Aturan ini menambahkan setiap pengguna yang memiliki alamat proksi yang dimulai dengan contoso ke grup.

(user.proxyAddresses -any (_ -startsWith "contoso"))

Properti lain dan aturan umum

Membuat aturan untuk laporan langsung

Anda dapat membuat grup yang berisi semua laporan langsung manajer. Ketika laporan langsung manajer berubah di masa mendatang, keanggotaan grup disesuaikan secara otomatis.

Anda membuat aturan laporan langsung dengan menggunakan sintaks berikut:

Direct Reports for "{objectID_of_manager}"

Berikut adalah contoh aturan yang valid, di mana aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb adalah ID objek manajer:

Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"

Tips berikut ini dapat membantu Anda menggunakan aturan dengan benar:

  • ID manajer adalah ID objek manajer. Anda dapat menemukannya di profil manajer.
  • Agar aturan berfungsi, pastikan bahwa Manager properti diatur dengan benar untuk pengguna di organisasi Anda. Anda dapat memeriksa nilai saat ini di profil pengguna.
  • Aturan ini hanya mendukung laporan langsung manajer. Anda tidak dapat membuat grup yang memiliki laporan langsung manajer dan laporannya.
  • Anda tidak dapat menggabungkan aturan ini dengan aturan keanggotaan lainnya.

Membuat aturan untuk semua pengguna

Anda dapat membuat grup yang berisi semua pengguna dalam organisasi dengan menggunakan aturan keanggotaan. Saat pengguna ditambahkan atau dihapus dari organisasi di masa mendatang, keanggotaan grup disesuaikan secara otomatis.

Anda membuat aturan untuk semua pengguna dengan menggunakan satu ekspresi yang menyertakan -ne operator dan null nilai. Aturan ini menambahkan pengguna tamu bisnis-ke-bisnis dan pengguna anggota ke grup.

user.objectId -ne null

Jika Anda ingin grup Mengecualikan pengguna tamu dan hanya menyertakan anggota organisasi, Anda bisa menggunakan sintaks berikut:

(user.objectId -ne null) -and (user.userType -eq "Member")

Membuat aturan untuk semua perangkat

Anda dapat membuat grup yang berisi semua perangkat dalam organisasi dengan menggunakan aturan keanggotaan. Saat perangkat ditambahkan atau dihapus dari organisasi di masa mendatang, keanggotaan grup disesuaikan secara otomatis.

Anda membuat aturan untuk semua perangkat dengan menggunakan ekspresi tunggal yang menyertakan -ne operator dan null nilai:

device.objectId -ne null

Atribut ekstensi dan properti ekstensi kustom

Atribut ekstensi dan properti ekstensi kustom didukung sebagai properti string dalam aturan untuk grup keanggotaan dinamis.

Anda dapat menyinkronkan atribut ekstensi dari Windows Server Active Directory lokal. Atau Anda dapat memperbarui atribut ekstensi dengan menggunakan Microsoft Graph.

Atribut ekstensi mengambil format ExtensionAttribute<X>, di mana <X> sama dengan 1-15. Properti ekstensi multinilai tidak didukung dalam aturan untuk grup keanggotaan dinamis.

Berikut ini contoh aturan yang menggunakan atribut ekstensi sebagai properti:

(user.extensionAttribute15 -eq "Marketing")

Anda dapat menyinkronkan properti ekstensi kustom dari Windows Server Active Directory lokal atau dari aplikasi perangkat lunak sebagai layanan (SaaS) yang terhubung. Anda dapat membuat properti ekstensi kustom dengan menggunakan Microsoft Graph.

Properti ekstensi kustom memiliki format user.extension_[GUID]_[Attribute], di mana:

  • [GUID] adalah versi pengidentifikasi unik yang telah dilucuti dalam Microsoft Entra ID untuk aplikasi yang membuat properti tersebut. Ini hanya berisi karakter 0-9 dan A-Z.
  • [Attribute] adalah nama properti saat dibuat.

Contoh aturan yang menggunakan properti ekstensi kustom adalah:

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

Properti ekstensi kustom juga disebut properti ekstensi direktori atau Microsoft Entra.

Anda dapat menemukan nama properti kustom di direktori dengan mengkueri properti pengguna di Graph Explorer dan mencari nama properti. Selain itu, Anda sekarang dapat memilih tautan Dapatkan properti ekstensi kustom di penyusun aturan dinamis untuk memasukkan ID aplikasi unik dan menerima daftar lengkap properti ekstensi kustom yang akan digunakan saat membuat aturan untuk grup keanggotaan dinamis. Anda dapat me-refresh daftar ini untuk mendapatkan properti ekstensi kustom baru untuk aplikasi tersebut. Atribut ekstensi dan properti ekstensi kustom harus berasal dari aplikasi di penyewa Anda.

Untuk informasi selengkapnya, lihat Menggunakan atribut dalam grup keanggotaan dinamis.

Aturan untuk perangkat

Anda dapat membuat aturan yang memilih objek perangkat untuk keanggotaan dalam grup. Anda tidak dapat memiliki pengguna dan perangkat sebagai anggota grup.

Catatan

Atribut organizationalUnit tidak lagi tercantum, dan Anda tidak boleh menggunakannya. Intune mengatur string ini dalam kasus tertentu, tetapi ID Microsoft Entra tidak mengenalinya. Tidak ada perangkat yang ditambahkan ke grup berdasarkan atribut ini.

Atribut systemlabels hanya dapat dibaca. Anda tidak dapat mengaturnya dengan Intune.

Untuk Windows 10, format atribut deviceOSVersion yang benar adalah device.deviceOSVersion -startsWith "10.0.1". Anda bisa memvalidasi pemformatan dengan menggunakan Get-MgDevice cmdlet PowerShell:

Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'

Anda dapat menggunakan atribut perangkat berikut.

Atribut perangkat Nilai Contoh
accountEnabled true, false device.accountEnabled -eq true
deviceCategory Nama kategori perangkat yang valid device.deviceCategory -eq "BYOD"
deviceId ID perangkat Microsoft Entra yang valid device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d"
deviceManagementAppId ID aplikasi yang valid untuk manajemen perangkat seluler di ID Microsoft Entra device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" untuk perangkat terkelola Microsoft Intune

"54b943f8-d761-4f8d-951e-9cea1846db5a" untuk perangkat yang dikelola bersama System Center Configuration Manager
deviceManufacturer Nilai string apa pun device.deviceManufacturer -eq "Samsung"
deviceModel Nilai string apa pun device.deviceModel -eq "iPad Air"
displayName Nilai string apa pun device.displayName -eq "Rob iPhone"
deviceOSType Nilai string apa pun (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iOS")

device.deviceOSType -startsWith "AndroidEnterprise"

device.deviceOSType -eq "AndroidForWork"

device.deviceOSType -eq "Windows"
deviceOSVersion Nilai string apa pun device.deviceOSVersion -eq "9.1"

device.deviceOSVersion -startsWith "10.0.1"
deviceOwnership 1 Personal, , CompanyUnknown device.deviceOwnership -eq "Company"
devicePhysicalIds Nilai string apa pun yang digunakan Windows Autopilot, seperti semua perangkat Windows Autopilot, OrderID, atau PurchaseOrderID device.devicePhysicalIDs -any _ -startsWith "[ZTDId]"

device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881"

device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342"
deviceTrustType 2 AzureAD, , ServerADWorkplace device.deviceTrustType -eq "AzureAD"
enrollmentProfileName Nama profil untuk Pendaftaran Perangkat Otomatis Apple, pendaftaran perangkat khusus milik perusahaan Android Enterprise, atau Windows Autopilot device.enrollmentProfileName -eq "DEP iPhones"
extensionAttribute1 3 Nilai string apa pun device.extensionAttribute1 -eq "some string value"
extensionAttribute2 Nilai string apa pun device.extensionAttribute2 -eq "some string value"
extensionAttribute3 Nilai string apa pun device.extensionAttribute3 -eq "some string value"
extensionAttribute4 Nilai string apa pun device.extensionAttribute4 -eq "some string value"
extensionAttribute5 Nilai string apa pun device.extensionAttribute5 -eq "some string value"
extensionAttribute6 Nilai string apa pun device.extensionAttribute6 -eq "some string value"
extensionAttribute7 Nilai string apa pun device.extensionAttribute7 -eq "some string value"
extensionAttribute8 Nilai string apa pun device.extensionAttribute8 -eq "some string value"
extensionAttribute9 Nilai string apa pun device.extensionAttribute9 -eq "some string value"
extensionAttribute10 Nilai string apa pun device.extensionAttribute10 -eq "some string value"
extensionAttribute11 Nilai string apa pun device.extensionAttribute11 -eq "some string value"
extensionAttribute12 Nilai string apa pun device.extensionAttribute12 -eq "some string value"
extensionAttribute13 Nilai string apa pun device.extensionAttribute13 -eq "some string value"
extensionAttribute14 Nilai string apa pun device.extensionAttribute14 -eq "some string value"
extensionAttribute15 Nilai string apa pun device.extensionAttribute15 -eq "some string value"
isRooted true, false device.isRooted -eq true
managementType Manajemen perangkat seluler (untuk perangkat seluler) device.managementType -eq "MDM"
memberOf Nilai string apa pun (ID objek grup yang valid) device.memberOf -any (group.objectId -in ['value'])
objectId ID objek Microsoft Entra yang valid device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
profileType Jenis profil yang valid di ID Microsoft Entra device.profileType -eq "RegisteredDevice"
systemLabels 4 String hanya-baca yang cocok dengan properti perangkat Intune untuk menandai perangkat Ruang Kerja Modern device.systemLabels -startsWith "M365Managed" SystemLabels

1 Ketika Anda menggunakan deviceOwnership untuk membuat grup keanggotaan dinamis untuk perangkat, Anda perlu mengatur nilai yang sama dengan Company. Di Intune, kepemilikan perangkat diwakili sebagai Corporate. Untuk informasi selengkapnya, lihat ownerTypes .

2 Saat Anda menggunakan deviceTrustType untuk membuat grup keanggotaan dinamis untuk perangkat, Anda perlu mengatur nilai yang sama dengan AzureAD untuk mewakili perangkat yang bergabung dengan Microsoft Entra, ServerAD untuk mewakili perangkat gabungan hibrid Microsoft Entra, atau Workplace untuk mewakili perangkat terdaftar Microsoft Entra.

3 Saat Anda menggunakan extensionAttribute1-15 untuk membuat grup keanggotaan dinamis untuk perangkat, Anda perlu mengatur nilai untuk extensionAttribute1-15 di perangkat. Pelajari selengkapnya tentang cara menulis extensionAttributes pada objek perangkat Microsoft Entra.

4 Saat Anda menggunakan systemLabels, atribut baca-saja yang digunakan dalam berbagai konteks (seperti manajemen perangkat dan pelabelan sensitivitas) tidak dapat diedit melalui Intune.

Konten terkait