Regole di appartenenza dinamica per i gruppi in Microsoft Entra ID
È possibile creare regole basate su attributi per abilitare l'appartenenza dinamica per un gruppo in Microsoft Entra ID, parte di Microsoft Entra. L'appartenenza dinamica ai gruppi aggiunge e rimuove automaticamente i membri del gruppo usando regole di appartenenza basate sugli attributi dei membri. Questo articolo descrive in dettaglio le proprietà e la sintassi per creare regole di appartenenza dinamica per utenti o dispositivi. È possibile configurare una regola per l'appartenenza dinamica nei gruppi di sicurezza o nei gruppi di Microsoft 365.
Quando gli attributi di un utente o di un dispositivo cambiano, il sistema valuta tutte le regole di gruppo dinamiche in una directory per verificare se la modifica attiverebbe l'aggiunta o la rimozione di un gruppo. Se un utente o un dispositivo soddisfa una regola per un gruppo, viene aggiunto come membro di tale gruppo. Se non soddisfa più la regola, viene rimosso. Non è possibile aggiungere o rimuovere un membro di un gruppo dinamico manualmente.
- Sebbene sia possibile creare un gruppo dinamico per i dispositivi o gli utenti, non è possibile creare una regola che contenga sia oggetti utente che dispositivo.
- Non è possibile creare un gruppo di dispositivi in base agli attributi utente del proprietario del dispositivo. Le regole di appartenenza del dispositivo possono fare riferimento solo agli attributi del dispositivo.
Nota
Questa funzionalità richiede una licenza Microsoft Entra ID P1 o Intune per Education per ogni utente univoco membro di uno o più gruppi dinamici. Non è necessario assegnare licenze agli utenti affinché siano membri di gruppi dinamici, ma è necessario avere il numero minimo di licenze nell'organizzazione di Microsoft Entra per coprire tutti questi utenti. Ad esempio, se si dispone di un totale di 1.000 utenti univoci in tutti i gruppi dinamici dell'organizzazione, sono necessarie almeno 1.000 licenze per Microsoft Entra ID P1 per soddisfare il requisito di licenza. Per i dispositivi che sono membri di un gruppo di dispositivi dinamici non è necessaria alcuna licenza.
Generatore di regole nel portale di Azure
Microsoft Entra ID fornisce un generatore di regole per creare e aggiornare più rapidamente le regole importanti. Il generatore di regole supporta la costruzione di un massimo di cinque espressioni. Il generatore di regole rende più semplice formare una regola con alcune espressioni semplici, ma non può essere usato per riprodurre ogni regola. Se il generatore regole non supporta la regola che si desidera creare, è possibile utilizzare la casella di testo.
Ecco alcuni esempi di regole avanzate o sintassi che richiedono l'uso della casella di testo:
- Regola con più di cinque espressioni
- La regola per i dipendenti diretti
- Regole con l'operatore -contains o -notContains
- Impostazione della precedenza degli operatore
- Regole con espressioni complesse, ad esempio
(user.proxyAddresses -any (_ -startsWith "contoso"))
Nota
Il generatore di regole potrebbe non essere in grado di visualizzare alcune regole costruite nella casella di testo. Può essere visualizzato un messaggio quando il generatore di regole non è in grado di visualizzare la regola. Il generatore di regole non modifica in alcun modo la sintassi, la convalida o l'elaborazione delle regole di gruppo dinamiche supportate.
Per altre istruzioni dettagliate, vedere Creare o aggiornare un gruppo dinamico.
Sintassi della regola per una singola espressione
Una singola espressione è la forma più semplice per una regola di appartenenza e include solo le tre parti indicate in precedenza. Una regola con una singola espressione è simile all'esempio seguente: Property Operator Value
, dove la sintassi per la proprietà è il nome di object.property.
L'esempio seguente illustra una regola di appartenenza costruita correttamente con una singola espressione:
user.department -eq "Sales"
Per una singola espressione le parentesi sono facoltative. La lunghezza totale del corpo della regola di appartenenza non può superare i 3072 caratteri.
Creazione del corpo di una regola di appartenenza
Una regola di appartenenza che popola automaticamente un gruppo con utenti o dispositivi è un'espressione binaria che restituisce un risultato true o false. Le tre parti di una regola semplice sono:
- Proprietà
- Operatore
- Valore
L'ordine delle parti all'interno di un'espressione è importante per evitare errori di sintassi.
Proprietà supportate
Ci sono tre tipi di proprietà che è possibile usare per costruire una regola di appartenenza.
- Booleano
- Data/Ora
- String
- Raccolta di tipi string
Di seguito sono elencate le proprietà utente che è possibile usare per creare una singola espressione.
Proprietà di tipo boolean
Proprietà | Valori consentiti | Utilizzo |
---|---|---|
accountEnabled | true false | user.accountEnabled -eq true |
dirSyncEnabled | true false | user.dirSyncEnabled -eq true |
Proprietà di tipo dateTime
Proprietà | Valori consentiti | Utilizzo |
---|---|---|
employeeHireDate (anteprima) | Qualsiasi valore DateTimeOffset o parola chiave system.now | user.employeeHireDate -eq "value" |
Proprietà di tipo stringa
Proprietà | Valori consentiti | Utilizzo |
---|---|---|
city | Qualsiasi valore di stringa o null | user.city -eq "value" |
country | Qualsiasi valore di stringa o null | user.country -eq "value" |
companyName | Qualsiasi valore di stringa o null | user.companyName -eq "value" |
department | Qualsiasi valore di stringa o null | user.department -eq "value" |
displayName | Qualsiasi valore di stringa | user.displayName -eq "value" |
employeeId | Qualsiasi valore di stringa | user.employeeId -eq "value" user.employeeId -ne null |
facsimileTelephoneNumber | Qualsiasi valore di stringa o null | user.facsimileTelephoneNumber -eq "value" |
givenName | Qualsiasi valore di stringa o null | user.givenName -eq "value" |
jobTitle | Qualsiasi valore di stringa o null | user.jobTitle -eq "value" |
Qualsiasi valore di stringa o null (indirizzo SMTP dell'utente) | user.mail -eq "value" | |
mailNickName | Qualsiasi valore stringa (alias di posta dell'utente) | user.mailNickName -eq "value" |
memberOf | Qualsiasi valore stringa (ID oggetto gruppo valido) | user.memberof -any (group.objectId -in ['value']) |
per dispositivi mobili | Qualsiasi valore di stringa o null | user.mobile -eq "value" |
objectId | GUID dell'oggetto utente | user.objectId -eq "aaaaa-0000-1111-2222-bbbbbbbbbb" |
onPremisesDistinguishedName | Qualsiasi valore di stringa o null | user.onPremisesDistinguishedName -eq "value" |
onPremisesSecurityIdentifier | Identificatore di sicurezza (SID) locale per gli utenti sincronizzati da un ambiente locale al cloud. | user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-111111111-1111111111-1111111" |
passwordPolicies | None DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
physicalDeliveryOfficeName | Qualsiasi valore di stringa o null | user.physicalDeliveryOfficeName -eq "value" |
postalCode | Qualsiasi valore di stringa o null | user.postalCode -eq "value" |
preferredLanguage | Codice ISO 639-1 | user.preferredLanguage -eq "en-US" |
sipProxyAddress | Qualsiasi valore di stringa o null | user.sipProxyAddress -eq "value" |
state | Qualsiasi valore di stringa o null | user.state -eq "value" |
streetAddress | Qualsiasi valore di stringa o null | user.streetAddress -eq "value" |
surname | Qualsiasi valore di stringa o null | user.surname -eq "value" |
telephoneNumber | Qualsiasi valore di stringa o null | user.telephoneNumber -eq "value" |
usageLocation | Codice paese o area geografica di due lettere | user.usageLocation -eq "US" |
userPrincipalName | Qualsiasi valore di stringa | user.userPrincipalName -eq "alias@domain" |
userType | membro guest null | user.userType -eq "Member" |
Proprietà di tipo insieme String
Proprietà | Valori consentiti | Esempio |
---|---|---|
otherMails | Qualsiasi valore di stringa | user.otherMails -startsWith "alias@domain" |
proxyAddresses | SMTP: smtp alias@domain: alias@domain | user.proxyAddresses -startsWith "SMTP: alias@domain" |
Per le proprietà usate per le regole dei dispositivi, vedere Regole per i dispositivi.
Operatori di espressione supportati
Nella tabella seguente sono elencati tutti gli operatori supportati e la relativa sintassi per un'espressione singola. Gli operatori possono essere usati con o senza trattino (-) come prefisso. L'operatore Contains corrisponde a stringhe parziali, ma non corrisponde all'elemento di una raccolta.
Operatore | Sintassi |
---|---|
Diverso da | -ne |
Equals | -eq |
Non inizia con | -notStartsWith |
Starts With | -startsWith |
Non contiene | -notContains |
Contiene | contiene |
Non corrispondente | -notMatch |
Corrispondenza | -match |
In | -in |
Non incluso | -notIn |
Uso degli operatori -in e -notIn
Se si vuole confrontare il valore di un attributo utente con più valori, è possibile usare gli operatori -in o -notIn. Usare i simboli di parentesi quadre "[" e "]" per iniziare e terminare l'elenco di valori.
Nell'esempio seguente l'espressione restituisce true se il valore di user.department è uguale a uno dei valori nell'elenco:
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
Uso degli operatori -le e -ge
È possibile usare gli operatori minori di (-le) o maggiori di (-ge) quando si usa l'attributo employeeHireDate nelle regole di gruppo dinamiche.
Esempi:
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
Uso dell'operatore -match
L'operatore -match viene usato per la corrispondenza di qualsiasi espressione regolare. Esempi:
user.displayName -match "^Da.*"
Da
, Dav
, David
restituisce true, aDa restituisce false.
user.displayName -match ".*vid"
David
restituisce true, Da
restituisce false.
Valori supportati
I valori usati in un'espressione possono essere costituiti da tipi diversi, tra cui:
- Stringhe
- Valori booleani: true, false
- Numeri
- Matrici: matrice di numeri, matrice di stringhe
Quando si specifica un valore all'interno di un'espressione, è importante usare la sintassi corretta per evitare errori. Ecco alcuni suggerimenti per la sintassi:
- Le virgolette doppie sono facoltative, a meno che il valore non sia una stringa.
- Le operazioni stringa ed espressione regolare non fanno distinzione tra maiuscole e minuscole.
- Quando un valore stringa contiene virgolette doppie, entrambe le virgolette devono essere precedute da un carattere di escape usando il carattere ', ad esempio user.department -eq '"Sales'" è la sintassi corretta quando "Sales" è il valore. Le virgolette singole devono essere precedute da un carattere di escape usando due virgolette singole anziché una per volta.
- È anche possibile eseguire controlli Null usando null come valore, ad esempio
user.department -eq null
.
Uso dei valori Null
Per specificare un valore Null in una regola, è possibile usare il valore null.
- Usare -eq o -ne quando si confronta il valore null in un'espressione.
- Racchiudere la parola null tra virgolette solo se si vuole che venga interpretata come valore di stringa letterale.
- L'operatore -not non può essere usato come operatore di confronto per null. Se si usa questo operatore, viene restituito un errore indipendentemente dal fatto che si usi null o $null.
Il modo corretto per fare riferimento al valore Null è il seguente:
user.mail –ne null
Regole con più espressioni
Una regola di appartenenza a un gruppo può essere costituita da più espressioni connesse dagli operatori logici -and, -or e -not. Gli operatori logici possono anche essere usati in combinazione.
Di seguito sono riportati esempi di regole di appartenenza strutturate correttamente con più espressioni:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
Precedenza tra gli operatori
Tutti gli operatori sono elencati di seguito in ordine decrescente di precedenza. Gli operatori sulla stessa riga hanno uguale precedenza:
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
L'esempio seguente illustra la precedenza dell'operatore in cui vengono valutate due espressioni per l'utente:
user.department –eq "Marketing" –and user.country –eq "US"
Le parentesi sono necessarie solo quando la precedenza non soddisfa i requisiti. Ad esempio, se si vuole che venga valutato prima department, usare le parentesi come illustrato di seguito per determinare l'ordine:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Regole con espressioni complesse
Una regola di appartenenza può essere costituita da espressioni complesse in cui proprietà, operatori e valori acquisiscono forme più complesse. Le espressioni sono considerate complesse in presenza di una delle condizioni seguenti:
- La proprietà è costituita da una raccolta di valori, nello specifico si parla di proprietà multivalore
- Le espressioni usano gli operatori -any e -all
- Il valore dell'espressione può essere costituito da una o più espressioni
Proprietà multivalore
Le proprietà multivalore sono raccolte di oggetti dello stesso tipo. Possono essere usate per creare regole di appartenenza tramite gli operatori logici -any e -all.
Proprietà | Valori | Utilizzo |
---|---|---|
assignedPlans | Ogni oggetto della raccolta espone le proprietà di stringa seguenti: capabilityStatus, service, servicePlanId | user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeeee4e4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled") |
proxyAddresses | SMTP: smtp alias@domain: alias@domain | (user.proxyAddresses -any (_ -startsWith "contoso")) |
Uso degli operatori -any e -all
È possibile usare gli operatori -any e -all per applicare una condizione rispettivamente a uno o a tutti gli elementi della raccolta.
- -any (soddisfatto quando almeno un elemento della raccolta corrisponde alla condizione)
- -all (soddisfatto quando tutti gli elementi della raccolta corrispondono alla condizione)
Esempio 1
assignedPlans è una proprietà multivalore che elenca tutti i piani di servizio assegnati all'utente. L'espressione seguente seleziona gli utenti che hanno il piano di servizio Exchange Online (Piano 2) (come valore GUID) con lo stato abilitato:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
Una regola come questa può essere usata per raggruppare tutti gli utenti per i quali è abilitata una funzionalità di Microsoft 365 o di un altro servizio online Microsoft. È quindi possibile applicare un set di criteri al gruppo.
Esempio 2
L'espressione seguente seleziona tutti gli utenti che hanno un piano di servizio qualsiasi associato al servizio Intune (identificato dal nome di servizio "SCO"):
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Esempio 3
L'espressione seguente seleziona tutti gli utenti che non dispongono di un piano di servizio assegnato:
user.assignedPlans -all (assignedPlan.servicePlanId -eq null)
Uso della sintassi di sottolineatura (_)
La sintassi di sottolineatura (_) corrisponde alle occorrenze di un valore specifico in una delle proprietà della raccolta di stringhe multivalore per aggiungere utenti o dispositivi a un gruppo dinamico. Viene usato con gli operatori -any o -all.
Di seguito è riportato un esempio di utilizzo del carattere di sottolineatura (_) in una regola per aggiungere membri in base a user.proxyAddress (funziona allo stesso modo per user.otherMails). Questa regola aggiunge qualsiasi utente con indirizzo proxy che inizia con "contoso" al gruppo.
(user.proxyAddresses -any (_ -startsWith "contoso"))
Altre proprietà e regole comuni
Creare una regola "Dipendenti diretti"
È possibile creare un gruppo contenente tutti i dipendenti diretti di un manager. Quando in futuro i dipendenti diretti del manager cambiano, l'appartenenza al gruppo viene modificata automaticamente.
La regola per i dipendenti diretti viene costruita usando la sintassi seguente:
Direct Reports for "{objectID_of_manager}"
Di seguito è riportato un esempio di regola valida, dove "aaaaaa-0000-1111-2222-bbbbbbbbbb" è l'OBJECTID del manager:
Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
I suggerimenti seguenti sono utili per usare la regola in modo appropriato.
- L'ID del manager è l'ID oggetto del manager. È indicato nella sezione Profilo del manager.
- Per il corretto funzionamento della regola, verificare che la proprietà Manager sia impostata correttamente per gli utenti inclusi nell'organizzazione. È possibile controllare il valore corrente per un utente nella sezione Profilo dell'utente.
- Questa regola supporta solo i dipendenti diretti del manager. In altre parole, non è possibile creare un gruppo con i dipendenti diretti del manager e i loro dipendenti diretti.
- Questa regola non può essere combinata con altre regole di appartenenza.
Creare una regola "Tutti gli utenti"
È possibile creare un gruppo contenente tutti gli utenti di un'organizzazione usando una regola di appartenenza. Quando in futuro gli utenti vengono aggiunti o rimossi dall'organizzazione, l'appartenenza al gruppo viene modificata automaticamente.
La regola "Tutti gli utenti" viene costruita usando una singola espressione con l'operatore -ne e il valore null. Questa regola aggiunge utenti guest B2B e utenti membri al gruppo.
user.objectId -ne null
Se si desidera che il gruppo escluda gli utenti guest e includa solo i membri dell'organizzazione, è possibile utilizzare la sintassi seguente:
(user.objectId -ne null) -and (user.userType -eq "Member")
Creare una regola "Tutti i dispositivi"
È possibile creare un gruppo contenente tutti i dispositivi di un'organizzazione usando una regola di appartenenza. Quando in futuro i dispositivi vengono aggiunti o rimossi dall'organizzazione, l'appartenenza al gruppo viene modificata automaticamente.
La regola "Tutti i dispositivi" viene costruita usando una singola espressione con l'operatore -ne e il valore null:
device.objectId -ne null
Proprietà di estensione e proprietà di estensione personalizzate
Gli attributi di estensione e le proprietà di estensione personalizzate sono supportati come proprietà delle stringhe nelle regole di appartenenza dinamica. Gli attributi di estensione possono essere sincronizzati da Windows Server Active Directory locale o aggiornati usando Microsoft Graph e accettano il formato "ExtensionAttributeX", dove X è uguale a 1 - 15. Le proprietà dell'estensione multivalore non sono supportate nelle regole di appartenenza dinamica. Ecco un esempio di regola che usa un attributo di estensione come proprietà:
(user.extensionAttribute15 -eq "Marketing")
Le proprietà dell'estensione personalizzate possono essere sincronizzate da Windows Server Active Directory locale, da un'applicazione SaaS connessa o create con Microsoft Graph e sono del formato , user.extension_[GUID]_[Attribute]
dove:
- [GUID] è la versione rimossa dell'identificatore univoco nell'ID Di Microsoft Entra per l'applicazione che ha creato la proprietà. Contiene solo caratteri 0-9 e A-Z
- [Attribute] è il nome della proprietà quando è stata creata
Ecco un esempio di regola che usa una proprietà di estensione personalizzata:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Le proprietà dell'estensione personalizzate sono dette anche proprietà dell'estensione directory o Microsoft Entra.
È possibile trovare il nome della proprietà personalizzata nella directory eseguendo una query sulla proprietà dell'utente con Graph explorer e cercando il nome della proprietà. È inoltre ora possibile selezionare il collegamento Ottieni proprietà di estensione personalizzate nel generatore di regole di assegnazione dinamica dei gruppi utenti per immettere un ID app univoco e ricevere l'elenco completo di proprietà di estensione personalizzate da usare quando si crea una regola di appartenenza dinamica. È anche possibile aggiornare questo elenco per ottenere tutte le nuove proprietà di estensione personalizzate per l'app. Gli attributi di estensione e le proprietà di estensione personalizzate devono essere provenienti dalle applicazioni nel tenant.
Per altre informazioni, vedere Usare gli attributi nei gruppi dinamici nell'articolo Sincronizzazione Microsoft Entra Connect: Estensioni della directory.
Regole per i dispositivi
È anche possibile creare una regola che consenta di selezionare gli oggetti dispositivo per l'appartenenza a un gruppo. Un gruppo non può avere come membri sia utenti che dispositivi.
Nota
L'attributo organizationalUnit non viene più elencato e non deve essere usato. Questa stringa viene impostata da Intune in casi specifici, ma non viene riconosciuta dall'ID di Microsoft Entra, quindi nessun dispositivo viene aggiunto ai gruppi in base a questo attributo.
Nota
systemlabels è un attributo di sola lettura che non può essere impostato con Intune.
Per Windows 10, il formato corretto dell'attributo deviceOSVersion è il seguente: (device.deviceOSVersion -startsWith "10.0.1"). La formattazione può essere convalidata con il cmdlet Get-MgDevice di PowerShell:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
È possibile usare gli attributi del dispositivo seguenti.
Attributo del dispositivo | Valori | Esempio |
---|---|---|
accountEnabled | true false | device.accountEnabled -eq true |
deviceCategory | nome di una categoria di dispositivo valido | device.deviceCategory -eq "BYOD" |
deviceId | un ID dispositivo Microsoft Entra valido | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
deviceManagementAppId | UN ID applicazione MDM valido in Microsoft Entra ID | device.deviceManagementAppId -eq "0000000a-0000-0000-c000-00000000000000" per i dispositivi gestiti da Microsoft Intune o "54b943f8-d761-4f8d-951e-9cea1846db5a" per i dispositivi con co-gestione di System Center Configuration Manager |
deviceManufacturer | Qualsiasi valore stringa. | device.deviceManufacturer -eq "Samsung" |
deviceModel | Qualsiasi valore stringa. | device.deviceModel -eq "iPad Air" |
displayName | Qualsiasi valore stringa. | device.displayName -eq "Rob iPhone" |
deviceOSType | Qualsiasi valore stringa. | (device.deviceOSType -eq "iPad") o (device.deviceOSType -eq "iPhone") device.deviceOSType -startsWith "AndroidEnterprise" device.deviceOSType -eq "AndroidForWork" device.deviceOSType -eq "Windows" |
deviceOSVersion | Qualsiasi valore stringa. | device.deviceOSVersion -eq "9.1" device.deviceOSVersion -startsWith "10.0.1" |
deviceOwnership | Personale, Azienda, Sconosciuto | device.deviceOwnership -eq "Company" |
devicePhysicalIds | qualsiasi valore stringa utilizzato da Autopilot, ad esempio tutti i dispositivi Autopilot, OrderID o PurchaseOrderID | device.devicePhysicalIDs -any _ -startsWith "[ZTDId]" (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881" (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
deviceTrustType | AzureAD, ServerAD, Workplace | device.deviceTrustType -eq "AzureAD" |
enrollmentProfileName | Nome del profilo di registrazione dispositivi di Apple (Apple Device Enrollment), nome del profilo di registrazione del dispositivo di proprietà dell'azienda Android Enterprise o nome del profilo di Windows Autopilot | device.enrollmentProfileName -eq "DEP iPhones" |
extensionAttribute1 | Qualsiasi valore stringa. | device.extensionAttribute1 -eq "some string value" |
extensionAttribute2 | Qualsiasi valore stringa. | device.extensionAttribute2 -eq "some string value" |
extensionAttribute3 | Qualsiasi valore stringa. | device.extensionAttribute3 -eq "some string value" |
extensionAttribute4 | Qualsiasi valore stringa. | device.extensionAttribute4 -eq "some string value" |
extensionAttribute5 | Qualsiasi valore stringa. | device.extensionAttribute5 -eq "some string value" |
extensionAttribute6 | Qualsiasi valore stringa. | device.extensionAttribute6 -eq "some string value" |
extensionAttribute7 | Qualsiasi valore stringa. | device.extensionAttribute7 -eq "some string value" |
extensionAttribute8 | Qualsiasi valore stringa. | device.extensionAttribute8 -eq "some string value" |
extensionAttribute9 | Qualsiasi valore stringa. | device.extensionAttribute9 -eq "some string value" |
extensionAttribute10 | Qualsiasi valore stringa. | device.extensionAttribute10 -eq "some string value" |
extensionAttribute11 | Qualsiasi valore stringa. | device.extensionAttribute11 -eq "some string value" |
extensionAttribute12 | Qualsiasi valore stringa. | device.extensionAttribute12 -eq "some string value" |
extensionAttribute13 | Qualsiasi valore stringa. | device.extensionAttribute13 -eq "some string value" |
extensionAttribute14 | Qualsiasi valore stringa. | device.extensionAttribute14 -eq "some string value" |
extensionAttribute15 | Qualsiasi valore stringa. | device.extensionAttribute15 -eq "some string value" |
isRooted | true false | device.isRooted -eq true |
managementType | MDM (per i dispositivi mobili) | device.managementType -eq "MDM" |
memberOf | Qualsiasi valore stringa (ID oggetto gruppo valido) | device.memberof -any (group.objectId -in ['value']) |
objectId | UN ID oggetto Microsoft Entra valido | device.objectId -eq "aaa-0000-1111-2222-bbbbbbbbbb" |
profileType | un tipo di profilo valido in Microsoft Entra ID | device.profileType -eq "RegisteredDevice" |
systemLabels | qualsiasi stringa corrispondente alla proprietà del dispositivo Intune per contrassegnare i dispositivi dell'area di lavoro moderna | device.systemLabels -startsWith "M365Managed" |
Nota
Quando si usa deviceOwnership
per creare gruppi dinamici per i dispositivi, è necessario impostare il valore uguale a Company
. In Intune la proprietà del dispositivo viene invece rappresentata come aziendale. Per altre informazioni, vedere OwnerTypes per altri dettagli.
Quando si usa deviceTrustType
per creare gruppi dinamici per i dispositivi, è necessario impostare il valore uguale a AzureAD
per rappresentare i dispositivi aggiunti a Microsoft Entra, ServerAD
per rappresentare i dispositivi aggiunti a Microsoft Entra ibrido o Workplace
per rappresentare i dispositivi registrati da Microsoft Entra.
Quando si usa extensionAttribute1-15
per creare gruppi dinamici per i dispositivi, è necessario impostare il valore per extensionAttribute1-15
nel dispositivo. Altre informazioni su come scrivere extensionAttributes
in un oggetto dispositivo Microsoft Entra
Passaggi successivi
Questi articoli forniscono informazioni aggiuntive sui gruppi in Microsoft Entra ID.