Microsoft Entra ID에서 동적 멤버 자격 그룹에 대한 규칙 관리

2025-05-03

사용자 기반 또는 디바이스 특성 기반 규칙을 만들어 Microsoft Entra ID의 동적 멤버 자격 그룹에 대한 멤버 자격을 사용하도록 설정할 수 있습니다. 멤버 특성에 따라 멤버 자격 규칙을 사용하여 동적 멤버 자격 그룹을 자동으로 추가하고 제거할 수 있습니다. Microsoft Entra에서는 단일 테넌트가 최대 15,000개의 동적 멤버 자격 그룹을 보유할 수 있습니다.

이 문서에서는 사용자 또는 디바이스를 기반으로 동적 멤버 자격 그룹에 대한 규칙을 만들기 위한 속성 및 구문에 대해 자세히 설명합니다.

참고

보안 그룹에는 디바이스 또는 사용자가 포함될 수 있지만 Microsoft 365 그룹에는 사용자만 포함될 수 있습니다.

동적 멤버 자격 그룹에 대한 고려 사항

사용자 또는 디바이스의 특성이 변경되면 시스템은 디렉터리의 동적 멤버 자격 그룹에 대한 모든 규칙을 평가하여 변경 내용이 그룹 추가 또는 제거를 트리거하는지 확인합니다. 사용자 또는 디바이스가 그룹에 대한 규칙을 충족하는 경우 해당 그룹의 구성원으로 추가됩니다. 규칙을 더 이상 충족하지 않으면 제거됩니다. 동적 멤버 자격 그룹의 멤버를 수동으로 추가하거나 제거할 수 없습니다.

또한 다음 제한 사항에 유의하세요.

사용자 또는 디바이스에 대한 동적 멤버 자격 그룹을 만들 수는 있지만 사용자와 디바이스를 모두 포함하는 규칙은 만들 수 없습니다.
디바이스 소유자의 사용자 성을 기반으로 디바이스 멤버 자격 그룹을 만들 수 없습니다. 디바이스 멤버 자격 규칙은 디바이스 특성만 참조할 수 있습니다.

라이선스 요구 사항

동적 멤버 자격 그룹의 기능을 사용하려면 하나 이상의 동적 멤버 그룹의 구성원인 각 고유 사용자에 대해 Microsoft Entra ID P1 라이선스 또는 Intune for Education 라이선스가 필요합니다. 사용자에게 동적 멤버 자격 그룹의 구성원이 되도록 라이선스를 할당할 필요가 없습니다. 그러나 이러한 모든 사용자를 포함하려면 Microsoft Entra 조직에서 최소 라이선스 수가 있어야 합니다.

예를 들어 조직의 모든 동적 멤버 자격 그룹에 총 1,000명의 고유 사용자가 있는 경우 라이선스 요구 사항을 충족하려면 Microsoft Entra ID P1에 대해 1,000개 이상의 라이선스가 필요합니다.

디바이스를 기반으로 동적 멤버 자격 그룹의 멤버인 디바이스에는 라이선스가 필요하지 않습니다.

Azure Portal의 규칙 작성기

Microsoft Entra ID는 중요한 규칙을 더 신속하게 만들고 업데이트하는 규칙 작성기를 제공합니다. 규칙 작성기는 최대 5개의 식을 생성하는 작업을 지원합니다. 규칙 작성기를 사용하여 몇 가지 간단한 식을 사용하여 규칙을 구성할 수 있지만 모든 규칙을 재현하는 데 사용할 수는 없습니다. 규칙 작성기에서 만들려는 규칙을 지원하지 않는 경우 텍스트 상자를 사용할 수 있습니다.

식을 추가하는 작업이 강조 표시된 규칙 작성기를 보여 주는 스크린샷

단계별 지침은 동적 멤버 자격 그룹 만들기 또는 업데이트를 참조하세요.

중요하다

규칙 작성기는 사용자 기반 동적 멤버 자격 그룹에만 사용할 수 있습니다. 입력란을 사용해야만 디바이스 기반 동적 멤버 자격 그룹을 만들 수 있습니다.

다음은 텍스트 상자를 사용해야 하는 고급 규칙 또는 구문의 몇 가지 예입니다.

6개 이상의 식이 있는 규칙
직접 보고서에 대한 규칙
-contains 또는 -notContains 연산자를 사용하는 규칙
연산자 선행 규칙 설정
복소수 식이 있는 규칙 예를 들어 (user.proxyAddresses -any (_ -startsWith "contoso"))

참고

규칙 작성기가 텍스트 상자에 생성된 일부 규칙을 표시하지 못할 수도 있습니다. 규칙 작성기에서 규칙을 표시할 수 없는 경우 메시지가 표시될 수 있습니다. 규칙 작성기는 동적 멤버십 그룹에 대해 지원되는 구문, 유효성 검사 또는 규칙 처리를 어떠한 방식으로도 변경하지 않습니다.

단일 식에 대한 규칙 구문

단일 표현식은 멤버십 규칙의 가장 간단한 형태입니다. 단일 식이 있는 규칙은 속성의 구문이 <Property> <Operator> <Value>의 이름인 <object>.<property> 형식을 취합니다.

다음 예는 단일 식을 사용하여 올바르게 구성된 멤버 관리 규칙을 보여 줍니다.

user.department -eq "Sales"

단일 식에서 괄호는 선택 사항입니다. 멤버 자격 규칙 본문의 총 길이는 3,072자를 초과할 수 없습니다.

멤버십 규칙 본문 구성

사용자 또는 디바이스를 그룹에 자동으로 채우는 멤버 자격 규칙은 참 또는 거짓 결과를 가져오는 이진 식입니다. 간단한 규칙의 세 부분은 다음과 같습니다.

속성
연산자
값

식 내의 부분 순서는 구문 오류를 방지하는 데 중요합니다.

지원되는 속성

세 가지 유형의 속성을 사용하여 멤버 자격 규칙을 생성할 수 있습니다.

불리언
날짜/시간
문자열
문자열 컬렉션

다음 사용자 속성을 사용하여 단일 식을 만들 수 있습니다.

부울 형식의 속성

속성	허용된 값	사용
`accountEnabled`	`true`, `false`	`user.accountEnabled -eq true`
`dirSyncEnabled`	`true`, `false`	`user.dirSyncEnabled -eq true`

날짜/시간 형식의 속성

속성	허용된 값	사용
`employeeHireDate`(미리 보기)	모든 `DateTimeOffset` 값 또는 키워드 `system.now`	`user.employeeHireDate -eq "value"`

문자열 형식의 속성

속성	허용된 값	사용
`city`	모든 문자열 값 또는 `null`	`user.city -eq "value"`
`country`	모든 문자열 값 또는 `null`	`user.country -eq "value"`
`companyName`	모든 문자열 값 또는 `null`	`user.companyName -eq "value"`
`department`	모든 문자열 값 또는 `null`	`user.department -eq "value"`
`displayName`	임의의 문자열 값	`user.displayName -eq "value"`
`employeeId`	임의의 문자열 값	`user.employeeId -eq "value"` `user.employeeId -ne "null"`
`facsimileTelephoneNumber`	모든 문자열 값 또는 `null`	`user.facsimileTelephoneNumber -eq "value"`
`givenName`	모든 문자열 값 또는 `null`	`user.givenName -eq "value"`
`jobTitle`	모든 문자열 값 또는 `null`	`user.jobTitle -eq "value"`
`mail`	모든 문자열 값 또는 `null` (사용자의 SMTP 주소)	`user.mail -eq "value"` `user.mail -notEndsWith "@Contoso.com"`
`mailNickName`	임의의 문자열 값(사용자의 메일 별칭)	`user.mailNickName -eq "value"` `user.mailNickname -endsWith "-vendor"`
`memberOf`	모든 문자열 값(유효한 그룹 개체 ID)	`user.memberOf -any (group.objectId -in ['value'])`
`mobile`	모든 문자열 값 또는 `null`	`user.mobile -eq "value"`
`objectId`	사용자 개체의 GUID입니다.	`user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"`
`onPremisesDistinguishedName`	모든 문자열 값 또는 `null`	`user.onPremisesDistinguishedName -eq "value"`
`onPremisesSecurityIdentifier`	온-프레미스에서 클라우드로 동기화된 사용자의 온-프레미스 SID(보안 식별자)	`user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111"`
`passwordPolicies`	`None`, `DisableStrongPassword`, `DisablePasswordExpiration`, `DisablePasswordExpirationDisableStrongPassword`	`user.passwordPolicies -eq "DisableStrongPassword"`
`physicalDeliveryOfficeName`	모든 문자열 값 또는 `null`	`user.physicalDeliveryOfficeName -eq "value"`
`postalCode`	모든 문자열 값 또는 `null`	`user.postalCode -eq "value"`
`preferredLanguage`	ISO 639-1 코드	`user.preferredLanguage -eq "en-US"`
`sipProxyAddress`	모든 문자열 값 또는 `null`	`user.sipProxyAddress -eq "value"`
`state`	모든 문자열 값 또는 `null`	`user.state -eq "value"`
`streetAddress`	모든 문자열 값 또는 `null`	`user.streetAddress -eq "value"`
`surname`	모든 문자열 값 또는 `null`	`user.surname -eq "value"`
`telephoneNumber`	모든 문자열 값 또는 `null`	`user.telephoneNumber -eq "value"`
`usageLocation`	두 글자 국가 또는 지역 코드	`user.usageLocation -eq "US"`
`userPrincipalName`	임의의 문자열 값	`user.userPrincipalName -eq "alias@domain"`
`userType`	`member`, , `guestnull`	`user.userType -eq "Member"`

문자열 컬렉션 형식의 속성

속성	허용된 값	예시
`otherMails`	임의의 문자열 값	`user.otherMails -startsWith "alias@domain"` `user.otherMails -endsWith"@contoso.com"`
`proxyAddresses`	`SMTP: alias@domain`, `smtp: alias@domain`	`user.proxyAddresses -startsWith "SMTP: alias@domain"` `user.proxyAddresses -notEndsWith "@outlook.com"`

디바이스 규칙에 사용되는 속성은 디바이스에 대한 규칙을 참조하세요.

지원되는 식 연산자

다음 표에는 단일 식에 지원되는 모든 연산자와 해당 구문이 나와 있습니다. 하이픈(-) 접두사가 있거나 없는 연산자를 사용할 수 있습니다. 연산자는 Contains 부분 문자열 일치를 수행하지만 컬렉션의 항목에 대해서는 일치하지 않습니다.

주의

최상의 결과를 위해 Match이나 Contains의 사용을 최대한 최소화하십시오. 동적 멤버 자격 그룹에 대한 보다 간단하고 효율적인 규칙 만들기 문서에서는 동적 그룹 처리 시간을 단축하는 규칙을 만드는 방법에 대한 지침을 제공합니다. 연산자는 memberOf 미리 보기 상태이며 몇 가지 제한 사항이 있으므로 주의해서 사용합니다.

연산자	구문
`Ends With`	`-endsWith`
`Not Ends With`	`-notEndsWith`
`Not Equals`	`-ne`
`Equals`	`-eq`
`Not Starts With`	`-notStartsWith`
`Starts With`	`-startsWith`
`Not Contains`	`-notContains`
`Contains`	`-contains`
`Not Match`	`-notMatch`
`Match`	`-match`
`In`	`-in`
`Not In`	`-notIn`

-in 및 -notIn 연산자 사용

사용자 속성의 값을 여러 값과 비교하려는 경우 -in 또는 -notIn 연산자를 사용할 수 있습니다. 대괄호 기호([ 및 ])를 사용하여 값 목록을 시작하고 종료합니다.

다음 예제에서, true의 값이 목록의 값 중 하나와 같으면 식은 user.department로 평가됩니다.

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

-le 및 -ge 연산자 사용

동적 멤버 자격 그룹의 규칙에서 -le 특성을 사용할 때, 작거나 (-ge) 크거나 (employeeHireDate) 연산자를 사용할 수 있습니다.

예제는 다음과 같습니다.

user.employeehiredate -ge system.now -plus p1d 

user.employeehiredate -le 2020-06-10T18:13:20Z

-match 연산자 사용

정규식을 일치시키는 데 연산자를 -match 사용할 수 있습니다.

다음 예제에서는 Da, Dav 및 David가 true로 평가됩니다. aDa는 false로 평가됩니다.

user.displayName -match "^Da.*"

다음 예제에서 David 는 true로 계산됩니다. Da는 false로 평가됩니다.

user.displayName -match ".*vid"

지원되는 값

식에서 사용하는 값은 다음과 같은 여러 형식으로 구성됩니다.

문자열
Boolean(true, false)
숫자
배열(숫자 배열, 문자열 배열)

식 내에서 값을 지정하는 경우 오류를 방지하기 위해 올바른 구문을 사용하는 것이 중요합니다. 다음은 몇 가지 구문 팁입니다.

값이 문자열이 아닌 경우 큰따옴표는 선택 사항입니다.
Regex 및 문자열 작업은 대/소문자를 구분하지 않습니다.
속성 이름은 대/소문자를 구분하므로 표시된 대로 올바르게 서식이 지정되었는지 확인합니다.
문자열 값에 큰따옴표가 포함된 경우 백슬래시(\) 문자를 사용하여 두 따옴표를 모두 이스케이프해야 합니다. 예를 들어 user.department -eq 'Sales' 는 Sales이 값일 때 적절한 구문입니다. 작은따옴표를 이스케이프할 때는, 하나 대신 매번 두 개씩 사용하세요.
null 값으로 null 검사를 수행할 수도 있습니다. 예를 들어, user.department -eq null와 같은 경우입니다.

null 값 사용

규칙에서 null 값을 지정하려면 다음을 수행합니다.

-eq 또는 -ne을 사용하여 식에서 null 값을 비교하세요.
리터럴 문자열 값으로 해석하려는 경우에만 단어 null 주위에 따옴표를 사용합니다.
-not 연산자를 null 값의 비교 연산자로 사용하지 마세요. 사용하는 경우 사용 null$null여부에 관계없이 오류가 발생합니다.

null 값을 참조하는 올바른 방법은 다음과 같습니다.

   user.mail –ne null

여러 식이 있는 규칙

동적 멤버 자격 그룹에 대한 규칙은 -and, -or, -not 논리 연산자로 연결된 둘 이상의 식으로 구성될 수 있습니다. 논리 연산자를 함께 사용할 수도 있습니다.

여러 식을 사용하여 올바르게 구성된 멤버 자격 규칙의 예제는 다음과 같습니다.

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")

연산자 우선 순위

다음 목록에서는 우선 순위가 가장 높은 연산자에서 가장 낮은 순서로 모든 연산자를 보여줍니다. 동일한 줄의 연산자는 동일한 우선 순위입니다.

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all

다음 예는 사용자에게 두 식이 평가되는 연산자 우선 순위를 설명합니다.

   user.department –eq "Marketing" –and user.country –eq "US"

우선 순위가 요구 사항을 충족하지 않는 경우에만 괄호가 필요합니다. 예를 들어 부서를 먼저 평가하려는 경우 다음 코드에서는 괄호를 사용하여 순서를 결정하는 방법을 보여 줍니다.

   user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

복잡한 식이 있는 규칙

멤버 자격 규칙은 속성, 연산자 및 값에서 더 복잡한 형식을 사용하는 복잡한 식으로 구성할 수 있습니다. 식은 다음 점 중 어느 하나라도 참인 경우 복잡한 것으로 간주됩니다.

속성은 값 컬렉션으로 구성됩니다. 특히 다중 값 속성입니다.
식은 -any 및 -all 연산자를 사용합니다.
식의 값 자체는 하나 이상의 식일 수 있습니다.

다중 값 속성

다중 값 속성은 동일한 유형인 개체의 컬렉션입니다. 이를 사용하여 -any 및 -all 논리 연산자를 사용하여 멤버 자격 규칙을 만들 수 있습니다.

속성	가치관	사용
`assignedPlans`	컬렉션의 각 개체는 다음 문자열 속성을 노출합니다. `capabilityStatusserviceservicePlanId`	`user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled")`
`proxyAddresses`	`SMTP: alias@domain`, `smtp: alias@domain`	`(user.proxyAddresses -any (\_ -startsWith "contoso"))`

-any 및 -all 연산자 사용

다음 연산자를 사용하여 컬렉션의 항목 중 하나 또는 전부에 조건을 적용할 수 있습니다.

-any: 컬렉션에서 하나 이상의 항목이 조건과 일치하는 경우 만족합니다.
-all: 컬렉션의 모든 항목이 조건과 일치하는 경우 만족합니다.

예 1

assignedPlans 는 사용자에게 할당된 모든 서비스 계획을 나열하는 다중 값 속성입니다. 다음 식은 GUID 값으로 Exchange Online (Plan 2) 서비스 계획을 가지고 있는 사용자 중 Enabled 상태인 사용자를 선택합니다.

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

이와 같은 규칙을 사용하여 Microsoft 365 또는 다른 Microsoft Online Services 기능이 사용하도록 설정된 모든 사용자를 그룹화할 수 있습니다. 그런 다음 정책 집합을 사용하여 규칙을 그룹에 적용할 수 있습니다.

예제 2

다음 식은 Intune 서비스와 연결된 서비스 계획이 있는 모든 사용자를 선택합니다(서비스 이름으로 SCO식별됨).

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")

예 3

다음 식은 할당된 서비스 계획이 없는 모든 사용자를 선택합니다.

user.assignedPlans -all (assignedPlan.servicePlanId -eq null)

밑줄(_) 구문 사용

밑줄(_) 구문은 다중 값 문자열 컬렉션 속성 중 하나에서 특정 값의 발생과 일치하여 동적 멤버 자격 그룹에 사용자 또는 디바이스를 추가합니다. -any 또는 -all 연산자와 함께 사용합니다.

다음은 규칙에서 언더스코어를 사용하여 user.proxyAddress에 기반한 멤버를 추가하는 예입니다. user.otherMails에서도 동일하게 작동합니다. 이 규칙은 프록시 주소가 contoso으로 시작하는 모든 사용자를 그룹에 추가합니다.

(user.proxyAddresses -any (_ -startsWith "contoso"))

다른 속성 및 일반 규칙

직속 부하 직원에 대한 규칙 만들기

관리자의 모든 직접 보고서를 포함하는 그룹을 만들 수 있습니다. 나중에 관리자의 직접 보고서가 변경되면 그룹의 멤버 자격이 자동으로 조정됩니다.

다음 구문을 사용하여 직접 보고서 규칙을 생성합니다.

Direct Reports for "{objectID_of_manager}"

다음은 관리자의 개체 ID인 유효한 규칙 aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb 의 예입니다.

Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"

다음 팁은 규칙을 올바르게 사용하는 데 도움이 될 수 있습니다.

관리자 ID는 관리자의 개체 ID입니다. 관리자 프로필에서 찾을 수 있습니다.
규칙이 작동하려면 조직의 사용자에 Manager 대해 속성이 올바르게 설정되었는지 확인합니다. 사용자 프로필에서 현재 값을 확인할 수 있습니다.
이 규칙은 관리자의 직접 보고서만 지원합니다. 관리자의 직접 보고서 와 해당 보고서가 있는 그룹은 만들 수 없습니다.
이 규칙을 다른 멤버 자격 규칙과 결합할 수 없습니다.

모든 사용자에 대한 규칙 만들기

멤버 자격 규칙을 사용하여 조직 내의 모든 사용자를 포함하는 그룹을 만들 수 있습니다. 나중에 조직에서 사용자를 추가하거나 제거하면 그룹의 멤버 자격이 자동으로 조정됩니다.

모든 사용자에 대한 규칙을 연산자 -ne와 값 null이 포함된 단일 식을 사용하여 생성합니다. 이 규칙은 비즈니스 대 비즈니스 게스트 사용자 및 멤버 사용자를 그룹에 추가합니다.

user.objectId -ne null

그룹에서 게스트 사용자를 제외하고 조직의 멤버만 포함하려는 경우, 다음 구문을 사용할 수 있습니다.

(user.objectId -ne null) -and (user.userType -eq "Member")

모든 디바이스에 대한 규칙 만들기

멤버 자격 규칙을 사용하여 조직 내의 모든 디바이스를 포함하는 그룹을 만들 수 있습니다. 나중에 조직에서 디바이스를 추가하거나 제거하면 그룹의 멤버 자격이 자동으로 조정됩니다.

-ne 연산자와 null 값을 포함하는 단일 식을 사용하여 모든 디바이스의 규칙을 작성합니다.

device.objectId -ne null

확장 특성 및 사용자 지정 확장 속성

확장 특성 및 사용자 지정 확장 속성은 동적 멤버 자격 그룹의 규칙에서 문자열 속성으로 지원됩니다.

온-프레미스 Windows Server Active Directory에서 확장 특성을 동기화 할 수 있습니다. 또는 Microsoft Graph를 사용하여 확장 특성을 업데이트할 수 있습니다.

확장 특성은 형식을 ExtensionAttribute<X>사용합니다. 여기서 <X> 는 같습니다.1-15 다중값 확장 속성은 동적 멤버 자격 관리 규칙에서 지원되지 않습니다.

확장 특성을 속성으로 사용하는 규칙의 예제는 다음과 같습니다.

(user.extensionAttribute15 -eq "Marketing")

온-프레미스 Windows Server Active Directory 또는 연결된 SaaS(Software as a Service) 애플리케이션에서 사용자 지정 확장 속성을 동기화 할 수 있습니다. Microsoft Graph를 사용하여 사용자 지정 확장 속성을 만들 수 있습니다.

사용자 지정 확장 속성은 다음 형식을 user.extension_[GUID]_[Attribute]사용합니다.

[GUID] 는 속성을 만든 애플리케이션에 대한 Microsoft Entra ID의 제거된 고유 식별자 버전입니다. 0-9 및 A-Z 문자만 포함합니다.
[Attribute] 은 만들어진 속성의 이름입니다.

사용자 지정 확장 속성을 사용하는 규칙의 예제는 다음과 같습니다.

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

사용자 지정 확장 속성을 디렉터리 또는 Microsoft Entra 확장 속성이라고도 합니다.

Graph Explorer에서 사용자의 속성을 쿼리하고 속성 이름을 검색하여 디렉터리에서 사용자 지정 속성 이름을 찾을 수 있습니다. 또한 이제 동적 규칙 작성기에서 사용자 지정 확장 속성 가져오기 링크를 선택하여 고유한 앱 ID를 입력하고 동적 멤버 자격 그룹에 대한 규칙을 만들 때 사용할 사용자 지정 확장 속성의 전체 목록을 받을 수 있습니다. 이 목록을 새로 고쳐 해당 앱에 대한 새 사용자 지정 확장 속성을 가져올 수 있습니다. 확장 특성 및 사용자 지정 확장 속성은 테넌트의 애플리케이션에서 가져온 것이어야 합니다.

자세한 내용은 동적 멤버 자격 그룹의 특성 사용을 참조하세요.

디바이스에 대한 규칙

그룹의 멤버 자격에 대한 디바이스 개체를 선택하는 규칙을 만들 수 있습니다. 사용자와 디바이스는 모두 그룹 멤버로 사용할 수 없습니다.

참고

특성이 organizationalUnit 더 이상 나열되지 않으므로 사용하지 않아야 합니다. Intune은 특정 경우에 이 문자열을 설정하지만 Microsoft Entra ID는 이를 인식하지 못합니다. 이 특성에 따라 그룹에 디바이스가 추가되지 않습니다.

systemlabels 속성은 읽기 전용입니다. Intune에서는 설정할 수 없습니다.

Windows 10의 경우 deviceOSVersion 속성의 올바른 형식은 device.deviceOSVersion -startsWith "10.0.1"입니다. PowerShell cmdlet Get-MgDevice을 사용하여 서식을 유효성을 검사할 수 있습니다.

Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'

다음 디바이스 특성을 사용할 수 있습니다.

디바이스 특성	가치관	예시
`accountEnabled`	`true`, `false`	`device.accountEnabled -eq true`
`deviceCategory`	유효한 디바이스 범주 이름	`device.deviceCategory -eq "BYOD"`
`deviceId`	유효한 Microsoft Entra 디바이스 ID	`device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d"`
`deviceManagementAppId`	Microsoft Entra ID의 모바일 디바이스 관리에 유효한 애플리케이션 ID	`device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000"` Microsoft Intune 관리 디바이스용 `"54b943f8-d761-4f8d-951e-9cea1846db5a"` System Center Configuration Manager 공동 관리 디바이스용
`deviceManufacturer`	임의의 문자열 값	`device.deviceManufacturer -eq "Samsung"`
`deviceModel`	임의의 문자열 값	`device.deviceModel -eq "iPad Air"`
`displayName`	임의의 문자열 값	`device.displayName -eq "Rob iPhone"`
`deviceOSType`	임의의 문자열 값	`(device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iOS")` `device.deviceOSType -startsWith "AndroidEnterprise"` `device.deviceOSType -eq "AndroidForWork"` `device.deviceOSType -eq "Windows"`
`deviceOSVersion`	임의의 문자열 값	`device.deviceOSVersion -eq "9.1"` `device.deviceOSVersion -startsWith "10.0.1"`
`deviceOwnership` ¹	`Personal`, , `CompanyUnknown`	`device.deviceOwnership -eq "Company"`
`devicePhysicalIds`	Windows Autopilot에서 사용하는 모든 문자열 값(예: 모든 Windows Autopilot 디바이스) `OrderID`또는 `PurchaseOrderID`	`device.devicePhysicalIDs -any _ -startsWith "[ZTDId]"` `device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881"` `device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342"`
`deviceTrustType` ²	`AzureAD`, , `ServerADWorkplace`	`device.deviceTrustType -eq "AzureAD"`
`enrollmentProfileName`	Apple 자동 디바이스 등록, Android Enterprise 회사 소유 전용 디바이스 등록 또는 Windows Autopilot의 프로필 이름	`device.enrollmentProfileName -eq "DEP iPhones"`
`extensionAttribute1` ³	임의의 문자열 값	`device.extensionAttribute1 -eq "some string value"`
`extensionAttribute2`	임의의 문자열 값	`device.extensionAttribute2 -eq "some string value"`
`extensionAttribute3`	임의의 문자열 값	`device.extensionAttribute3 -eq "some string value"`
`extensionAttribute4`	임의의 문자열 값	`device.extensionAttribute4 -eq "some string value"`
`extensionAttribute5`	임의의 문자열 값	`device.extensionAttribute5 -eq "some string value"`
`extensionAttribute6`	임의의 문자열 값	`device.extensionAttribute6 -eq "some string value"`
`extensionAttribute7`	임의의 문자열 값	`device.extensionAttribute7 -eq "some string value"`
`extensionAttribute8`	임의의 문자열 값	`device.extensionAttribute8 -eq "some string value"`
`extensionAttribute9`	임의의 문자열 값	`device.extensionAttribute9 -eq "some string value"`
`extensionAttribute10`	임의의 문자열 값	`device.extensionAttribute10 -eq "some string value"`
`extensionAttribute11`	임의의 문자열 값	`device.extensionAttribute11 -eq "some string value"`
`extensionAttribute12`	임의의 문자열 값	`device.extensionAttribute12 -eq "some string value"`
`extensionAttribute13`	임의의 문자열 값	`device.extensionAttribute13 -eq "some string value"`
`extensionAttribute14`	임의의 문자열 값	`device.extensionAttribute14 -eq "some string value"`
`extensionAttribute15`	임의의 문자열 값	`device.extensionAttribute15 -eq "some string value"`
`isRooted`	`true`, `false`	`device.isRooted -eq true`
`managementType`	모바일 디바이스 관리(모바일 디바이스용)	`device.managementType -eq "MDM"`
`memberOf`	모든 문자열 값(유효한 그룹 개체 ID)	`device.memberOf -any (group.objectId -in ['value'])`
`objectId`	유효한 Microsoft Entra 개체 ID	`device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"`
`profileType`	Microsoft Entra ID의 유효한 프로필 형식	`device.profileType -eq "RegisteredDevice"`
`systemLabels` ⁴	Modern Workplace 디바이스에 태그를 지정하기 위해 Intune 디바이스 속성과 일치하는 읽기 전용 문자열입니다.	`device.systemLabels -startsWith "M365Managed" SystemLabels`

¹ 디바이스에 대한 동적 멤버 자격 그룹을 만드는 데 사용하는 deviceOwnership 경우 값을 같 Company게 설정해야 합니다. Intune에서 디바이스 소유권은 Corporate로 표현됩니다. 자세한 내용은 ownerTypes를 참조하세요.

² 디바이스에 대한 동적 멤버 자격 그룹을 만드는 데 사용하는 deviceTrustType 경우 Microsoft Entra 조인 디바이스를 나타내거나, Microsoft Entra 하이브리드 조인 디바이스를 나타내거나AzureAD, ServerAD Microsoft Entra 등록 디바이스를 나타내는 것과 같은 Workplace 값을 설정해야 합니다.

³ 디바이스에 대한 동적 멤버 자격 그룹을 만드는 데 사용하는 extensionAttribute1-15 경우 디바이스에 대한 extensionAttribute1-15 값을 설정해야 합니다. Microsoft Entra 디바이스 개체에 쓰는 extensionAttributes 방법에 대해 자세히 알아봅니다.

⁴ 사용하는 systemLabels경우 다양한 컨텍스트(예: 디바이스 관리 및 민감도 레이블 지정)에서 사용되는 읽기 전용 특성은 Intune을 통해 편집할 수 없습니다.