Dynamische lidmaatschapsregels voor groepen in Azure Active Directory

U kunt regels op basis van kenmerken maken om dynamisch lidmaatschap in te schakelen voor een groep in Azure Active Directory (Azure AD), onderdeel van Microsoft Entra. Met dynamisch groepslidmaatschap worden groepsleden automatisch toegevoegd en verwijderd met behulp van lidmaatschapsregels op basis van lidkenmerken. Dit artikel beschrijft de eigenschappen en de syntaxis om dynamische lidmaatschapsregels voor gebruikers of apparaten te maken. U kunt een regel instellen voor dynamisch lidmaatschap voor beveiligingsgroepen of Microsoft 365-groepen.

Wanneer de kenmerken van een gebruiker of een apparaat worden gewijzigd, evalueert het systeem alle dynamische groepsregels in een map om te zien of de wijziging het toevoegen of verwijderen van groepen activeert. Als een gebruiker of apparaat voldoet aan een regel in een groep, wordt deze toegevoegd als lid van die groep. Als ze niet meer voldoen aan de regel, worden ze verwijderd. U kunt een lid van een dynamische groep niet handmatig toevoegen of verwijderen.

  • U kunt een dynamische groep maken voor apparaten of voor gebruikers, maar u kunt geen regel maken die zowel gebruikers als apparaten bevat.
  • U kunt geen apparaatgroep maken op basis van de gebruikerskenmerken van de eigenaar van het apparaat. Apparaatlidmaatschapsregels kunnen alleen verwijzen naar apparaatkenmerken.

Notitie

Deze functie vereist een Azure AD Premium P1 licentie of Intune for Education voor elke unieke gebruiker die lid is van een of meer dynamische groepen. U hoeft geen licenties toe te wijzen aan gebruikers zodat deze lid kunnen zijn van dynamische groepen, maar u moet wel het minimumaantal licenties hebben in de Azure AD-organisatie om al deze gebruikers te dekken. Als u bijvoorbeeld een totaal van 1000 unieke gebruikers in alle dynamische groepen in uw organisatie hebt, moet u minstens 1000 licenties voor Azure AD Premium P1 hebben om aan de licentie-eis te voldoen. Er is geen licentie vereist voor apparaten die lid zijn van een dynamische apparaatgroep.

De opbouwfunctie voor regels in Azure Portal

Azure AD biedt een opbouwfunctie voor regels om uw belangrijke regels sneller te maken en bij te werken. De opbouwfunctie voor regels ondersteunt de constructie van maximaal vijf expressies. Met de opbouwfunctie voor regels kunt u eenvoudiger een regel maken met enkele eenvoudige expressies, maar u kunt hiermee niet elke regel reproduceren. Als de opbouwfunctie voor regels geen ondersteuning biedt voor de regel die u wilt maken, kunt u het tekstvak gebruiken.

Hier volgen enkele voorbeelden van geavanceerde regels of syntaxis die u het beste kunt maken via het tekstvak:

Notitie

De opbouwfunctie voor regels kan mogelijk geen regels weergeven die zijn gemaakt in het tekstvak. Mogelijk wordt een bericht weergegeven wanneer de opbouwfunctie voor regels de regel niet kan weergeven. Met de opbouwfunctie voor regels wijzigt u niet de ondersteunde syntaxis, validatie of verwerking van dynamische groepsregels.

Zie Een dynamische groep maken of bijwerken voor meer stapsgewijze instructies.

Lidmaatschapsregel voor een dynamische groep toevoegen

Regelsyntaxis voor één expressie

Eén expressie is de eenvoudigste vorm van een lidmaatschapsregel en heeft alleen de drie onderdelen die hierboven worden genoemd. Een regel met één expressie lijkt op dit voorbeeld: Property Operator Value, waarbij de syntaxis voor de eigenschap de naam van object.property is.

In het volgende voorbeeld ziet u een correct samengestelde lidmaatschapsregel met één expressie:

user.department -eq "Sales"

Haakjes zijn optioneel voor één expressie. De totale lengte van de hoofdtekst van uw lidmaatschapsregel mag niet langer zijn dan 3072 tekens.

De hoofdtekst van een lidmaatschapsregel samenstellen

Een lidmaatschapsregel die automatisch een groep met gebruikers of apparaten invult, is een binaire expressie die resulteert in het resultaat True of False. De drie delen van een eenvoudige regel zijn:

  • Eigenschap
  • Operator
  • Waarde

De volgorde van de onderdelen in een expressie is belangrijk om syntaxisfouten te voorkomen.

Ondersteunde eigenschappen

Er zijn drie soorten eigenschappen die kunnen worden gebruikt om een lidmaatschapsregel samen te stellen.

  • Boolean
  • Tekenreeks
  • Tekenreeksverzameling

Hier volgen de gebruikerseigenschappen die u kunt gebruiken om één expressie te maken.

Eigenschappen van het type Booleaans

Eigenschappen Toegestane waarden Gebruik
accountEnabled true false user.accountEnabled -eq true
dirSyncEnabled true false user.dirSyncEnabled -eq true

Eigenschappen van het type tekenreeks

Eigenschappen Toegestane waarden Gebruik
city Elke tekenreekswaarde of null user.city -eq "value"
country Elke tekenreekswaarde of null user.country -eq "value"
companyName Elke tekenreekswaarde of null user.companyName -eq "value"
department Elke tekenreekswaarde of null user.department -eq "value"
displayName Elke tekenreekswaarde user.displayName -eq "value"
employeeId Elke tekenreekswaarde user.employeeId -eq "value"
user.employeeId -ne null
facsimileTelephoneNumber Elke tekenreekswaarde of null user.facsimileTelephoneNumber -eq "value"
givenName Elke tekenreekswaarde of null user.givenName -eq "value"
jobTitle Elke tekenreekswaarde of null user.jobTitle -eq "value"
mail Een willekeurige tekenreekswaarde of null (SMTP-adres van de gebruiker) user.mail -eq "value"
mailNickName Een willekeurige tekenreekswaarde (e-mailalias van de gebruiker) user.mailNickName -eq "value"
memberOf Elke tekenreekswaarde (geldige groepsobject-id) user.memberof -any (group.objectId -in ['value'])
mobiel Elke tekenreekswaarde of null user.mobile -eq "value"
objectId GUID van het gebruikersobject user.objectId -eq "1111111-1111-1111-1111-1111111111111111"
onPremisesDistinguishedName Elke tekenreekswaarde of null user.onPremisesDistinguishedName -eq "value"
onPremisesSecurityIdentifier Een on-premises beveiligings-id (SID) voor gebruikers die zijn gesynchroniseerd van on-premises naar de cloud. user.onPremisesSecurityIdentifier -eq "S-1-1-11-111111111-1111111111-111111111-11111111"
passwordPolicies Geen
DisableStrongPassword
DisablePasswordExpiration
DisablePasswordExpiration, DisableStrongPassword
user.passwordPolicies -eq "DisableStrongPassword"
physicalDeliveryOfficeName Elke tekenreekswaarde of null user.physicalDeliveryOfficeName -eq "value"
postalCode Elke tekenreekswaarde of null user.postalCode -eq "value"
preferredLanguage ISO 639-1-code user.preferredLanguage -eq "en-US"
sipProxyAddress Elke tekenreekswaarde of null user.sipProxyAddress -eq "value"
staat Elke tekenreekswaarde of null user.state -eq "value"
streetAddress Elke tekenreekswaarde of null user.streetAddress -eq "value"
surname Elke tekenreekswaarde of null user.surname -eq "value"
telephoneNumber Elke tekenreekswaarde of null user.telephoneNumber -eq "value"
usageLocation Land- of regiocode van twee letters user.usageLocation -eq "US"
userPrincipalName Elke tekenreekswaarde user.userPrincipalName -eq "alias@domain"
userType lidgast null user.userType -eq "Member"

Eigenschappen van tekenreeksverzameling

Eigenschappen Toegestane waarden Voorbeeld
otherMails Elke tekenreekswaarde user.otherMails -contains "alias@domain"
proxyAddresses SMTP: alias@domain smtp: alias@domain user.proxyAddresses -contains "SMTP: alias@domain"

Zie Regels voor apparaten voor de eigenschappen die worden gebruikt voor apparaatregels.

Ondersteunde expressieoperators

De volgende tabel geeft een lijst van alle ondersteunde operators en hun syntaxis voor één expressie. Operators kunnen worden gebruikt met of zonder het afbreekstreepje (-) als voorvoegsel. De operator Bevat komt gedeeltelijk overeen met tekenreeksen, maar niet met items in een verzameling.

Operator Syntax
Is niet gelijk aan -ne
Is gelijk aan -eq
Begint niet met -notStartsWith
Begint met -startsWith
Bevat geen -notContains
Contains -contains
Komt niet overeen met -notMatch
Match -match
In -in
Behoort niet tot -notIn

De operators -in en -notIn gebruiken

Als u de waarde van een gebruikerskenmerk wilt vergelijken met meerdere waarden, kunt u de operators -in of -notIn gebruiken. Gebruik de vierkante haken [ en ] om de lijst met waarden te starten en te beëindigen.

In het volgende voorbeeld evalueert de uitdrukking naar true als de waarde van user.department gelijk is aan een van de waarden in de lijst:

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

De operator -match gebruiken

De operator -match wordt gebruikt voor het vergelijken van een reguliere expressie. Voorbeelden:

user.displayName -match "Da.*"   

Da, Dav, David evalueert naar waar, aDa resulteert in onwaar.

user.displayName -match ".*vid"

David resulteert in waar, Da resulteert in onwaar.

Ondersteunde waarden

De waarden die in een expressie worden gebruikt, kunnen bestaan uit verschillende typen, waaronder:

  • Tekenreeksen
  • Booleaans – true, false
  • Getallen
  • Matrices – nummermatrix, tekenreeksmatrix

Wanneer u een waarde in een expressie opgeeft, is het belangrijk om de juiste syntaxis te gebruiken om fouten te voorkomen. Enkele syntaxistips zijn:

  • Dubbele aanhalingstekens zijn optioneel, tenzij de waarde een tekenreeks is.
  • Tekenreeks- en regex-bewerkingen zijn niet hoofdlettergevoelig.
  • Wanneer een tekenreekswaarde dubbele aanhalingstekens bevat, moeten beide aanhalingstekens worden ge escaped met behulp van het teken ', bijvoorbeeld user.department -eq 'Sales' is de juiste syntaxis wanneer 'Sales' de waarde is. Enkele aanhalingstekens moeten worden ge escaped door telkens twee enkele aanhalingstekens te gebruiken in plaats van één.
  • U kunt ook null-controles uitvoeren, waarbij null als waarde wordt gebruikt, bijvoorbeeld user.department -eq null.

Null-waarden gebruiken

Als u een null-waarde in een regel wilt opgeven, gebruikt u de null-waarde.

  • Gebruik -eq of -ne bij het vergelijken van de null-waarde in een expressie.
  • Gebruik alleen aanhalingstekens rond het woord null als u wilt dat het wordt geïnterpreteerd als een letterlijke tekenreekswaarde.
  • De operator -not kan niet worden gebruikt als een vergelijkingsoperator voor null. Als u deze gebruikt, wordt een foutbericht weergegeven over of u null of $null gebruikt.

De juiste manier om te verwijzen naar de null-waarde is als volgt:

   user.mail –ne null

Regels met meerdere expressies

Een regel voor groepslidmaatschap kan bestaan uit meer dan één expressie die is verbonden door de operators -and, -or en -not. Logische operators kunnen ook worden gebruikt in combinatie.

Hier volgen enkele voorbeelden van goed samengestelde lidmaatschapsregels met meerdere expressies:

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -contains "SDE")

Bewerkingsvolgorde van operators

Alle operators worden hieronder weergegeven in volgorde van prioriteit van hoog naar laag. Operators op dezelfde regel hebben dezelfde prioriteit:

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all

In het volgende voorbeeld ziet u de prioriteit van de operator waarbij twee expressies worden geëvalueerd voor de gebruiker:

   user.department –eq "Marketing" –and user.country –eq "US"

Haakjes zijn alleen nodig als prioriteit niet aan uw vereisten voldoet. Als u bijvoorbeeld wilt dat de afdeling eerst wordt geëvalueerd, ziet u in het volgende voorbeeld hoe haakjes kunnen worden gebruikt om de volgorde te bepalen:

   user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

Regels met complexe expressies

Een lidmaatschapsregel kan bestaan uit complexe expressies waarbij de eigenschappen, operators en waarden meer complexe vormen hebben. Expressies worden beschouwd als complex wanneer een van de volgende voorwaarden waar is:

  • De eigenschap bestaat uit een verzameling waarden; met name eigenschappen met meerdere waarden
  • De expressies gebruiken de operators -any en -all
  • De waarde van de expressie kan zelf een of meer expressies zijn

Eigenschappen met meerdere waarden

Eigenschappen met meerdere waarden zijn verzamelingen objecten van hetzelfde type. Ze kunnen worden gebruikt om lidmaatschapsregels te maken met behulp van de logische operators -any en -all.

Eigenschappen Waarden Gebruik
assignedPlans Elk object in de verzameling legt de volgende tekenreekseigenschappen bloot: capabilityStatus, service, serviceePlanId user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
proxyAddresses SMTP: alias@domain smtp: alias@domain (user.proxyAddresses -any (_ -contains "contoso"))

De operators -any en -all gebruiken

U kunt de operators -any en -all gebruiken om een voorwaarde toe te passen op respectievelijk één of alle items in de verzameling.

  • -any (er wordt aan de voorwaarde voldaan wanneer ten minste één item in de verzameling overeenkomt met die voorwaarde)
  • -all (er wordt aan de voorwaarde voldaan wanneer alle items in de verzameling overeenkomen met die voorwaarde)

Voorbeeld 1

assignedPlans is een eigenschap met meerdere waarden waarmee alle serviceplannen worden weergegeven die aan de gebruiker zijn toegewezen. Met de volgende expressie selecteert u gebruikers die het serviceplan Exchange Online (abonnement 2) hebben (als GUID-waarde) die ook is ingeschakeld:

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

Een regel zoals deze kan worden gebruikt om alle gebruikers te groepeert voor wie een Microsoft 365 of een andere Microsoft Online Service-mogelijkheid is ingeschakeld. Vervolgens kunt u een set beleidsregels op de groep toepassen.

Voorbeeld 2

Met de volgende uitdrukking selecteert u alle gebruikers die een serviceplan hebben dat is gekoppeld aan de Intune-service (geïdentificeerd met de servicenaam SCO):

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")

Voorbeeld 3

Met de volgende expressie worden alle gebruikers geselecteerd die geen toegewezen serviceplan hebben:

user.assignedPlans -all (assignedPlan.servicePlanId -eq "")

De syntaxis van het onderstrepingsteken (_) gebruiken

De syntaxis van het onderstrepingsteken (_) komt overeen met exemplaren van een specifieke waarde in een van de eigenschappen van de tekenreeksverzameling met meerdere waarden om gebruikers of apparaten toe te voegen aan een dynamische groep. Het wordt gebruikt met de operators -any of -all.

Hier volgt een voorbeeld van het gebruik van het onderstrepingsteken (_) in een regel om leden toe te voegen op basis van user.proxyAddress (dit werkt hetzelfde voor user.otherMails). Met deze regel wordt een gebruiker met een proxyadres dat contoso bevat aan de groep toegevoegd.

(user.proxyAddresses -any (_ -contains "contoso"))

Andere eigenschappen en algemene regels

Een regel voor direct ondergeschikten maken

U kunt een groep maken met alle directe ondergeschikten van een manager. Wanneer de direct ondergeschikten van de manager in de toekomst worden gewijzigd, wordt het lidmaatschap van de groep automatisch aangepast.

De regel voor direct ondergeschikten wordt samengesteld met behulp van de volgende syntaxis:

Direct Reports for "{objectID_of_manager}"

Hier volgt een voorbeeld van een geldige regel, waarbij '62e19b97-8b3d-4d4a-a106-4ce66896a863' de object-ID van de manager is:

Direct Reports for "62e19b97-8b3d-4d4a-a106-4ce66896a863"

Aan de hand van de volgende tips kunt u de regel op de juiste manier gebruiken.

  • De Manager-id is de object-id van de manager. Dit kan worden gevonden in het profiel van de manager.
  • Om de regel te laten werken, moet u ervoor zorgen dat de eigenschap Manager correct is ingesteld voor gebruikers in uw organisatie. U kunt de huidige waarde in het profiel van de gebruiker controleren.
  • Deze regel ondersteunt alleen de direct ondergeschikten van de manager. Met andere woorden, u kunt geen groep maken met de direct ondergeschikten van de manager en hun ondergeschikten.
  • Deze regel kan niet worden gecombineerd met andere lidmaatschapsregels.

Een regel voor alle gebruikers maken

U kunt een groep met alle gebruikers in een organisatie maken met behulp van een lidmaatschapsregel. Wanneer gebruikers in de toekomst worden toegevoegd aan of verwijderd uit de organisatie, wordt het lidmaatschap van de groep automatisch aangepast.

De regel voor alle gebruikers wordt samengesteld met behulp van een enkele expressie met behulp van de operator -ne en de null-waarde. Met deze regel worden B2B-gastgebruikers en lidgebruikers toegevoegd aan de groep.

user.objectId -ne null

Als u wilt dat voor de groep gastgebruikers worden uitgesloten en alleen leden van uw organisatie omvat, kunt u de volgende syntaxis gebruiken:

(user.objectId -ne null) -and (user.userType -eq "Member")

Een regel voor alle apparaten maken

U kunt een groep met alle apparaten in een organisatie maken met behulp van een lidmaatschapsregel. Wanneer apparaten in de toekomst worden toegevoegd aan of verwijderd uit de organisatie, wordt het lidmaatschap van de groep automatisch aangepast.

De regel voor alle apparaten wordt samengesteld met behulp van een enkele expressie met behulp van de operator -ne en de null-waarde:

device.objectId -ne null

Extensie-eigenschappen en aangepaste extensie-eigenschappen

Extensiekenmerken en aangepaste extensie-eigenschappen worden ondersteund als tekenreekseigenschappen in dynamische lidmaatschapsregels. Extensiekenmerken kunnen worden gesynchroniseerd vanuit on-premises Windows Server Active Directory of worden bijgewerkt met behulp van Microsoft Graph en de indeling 'ExtensionAttributeX' hebben, waarbij X gelijk is aan 1 - 15. Uitbreidingseigenschappen met meerdere waarden worden niet ondersteund in dynamische lidmaatschapsregels. Hier volgt een voorbeeld van een regel die waarin gebruik wordt gemaakt van een uitbreidingskenmerk als eigenschap:

(user.extensionAttribute15 -eq "Marketing")

Aangepaste extensie-eigenschappen kunnen worden gesynchroniseerd vanuit on-premises Windows Server Active Directory, vanuit een verbonden SaaS-toepassing of worden gemaakt met behulp van Microsoft Graph en hebben de indeling , user.extension_[GUID]_[Attribute]waarbij:

  • [GUID] is de gestripte versie van de unieke id in Azure AD voor de toepassing die de eigenschap heeft gemaakt. Het bevat alleen de tekens 0-9 en A-Z
  • [Kenmerk] de naam is van de eigenschap die is gemaakt

Een voorbeeld van een regel waarin gebruik wordt gemaakt van een aangepaste extensie-eigenschap is:

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

Aangepaste extensie-eigenschappen worden ook wel map- of Azure AD extensie-eigenschappen genoemd.

De aangepaste naam van de eigenschap kan worden gevonden in de map door een query uit te voeren op de eigenschap van een gebruiker met behulp van Graph Explorer en te zoeken naar de naam van de eigenschap. Ook kunt u nu klikken op de koppeling Aangepaste extensie-eigenschappen ophalen in de opbouwfunctie voor regels voor de dynamische gebruikersgroep om een unieke app-id in te voeren en de volledige lijst van aangepaste extensie-eigenschappen te ontvangen om toe te passen bij het maken van een dynamische lidmaatschapsregel. Deze lijst kan ook worden vernieuwd om nieuwe aangepaste extensie-eigenschappen voor die app op te halen. Extensiekenmerken en aangepaste extensie-eigenschappen moeten afkomstig zijn van toepassingen in uw tenant.

Zie Use the attributes in dynamic groups in the artikel Azure AD Connect sync: Directory extensions (Kenmerken in dynamische groepen gebruiken) voor meer informatie.

Regels voor apparaten

U kunt ook een regel maken waarmee apparaatobjecten worden geselecteerd voor het lidmaatschap van een groep. U kunt niet zowel gebruikers als apparaten als groepsleden hebben.

Notitie

Het kenmerk organizationalUnit wordt niet meer weergegeven en mag niet worden gebruikt. Deze tekenreeks wordt in specifieke gevallen door Intune ingesteld, maar wordt niet herkend door Azure AD, zodat er geen apparaten worden toegevoegd aan groepen op basis van dit kenmerk.

Notitie

systemlabels is een alleen-lezenkenmerk dat niet kan worden ingesteld met Intune.

Voor Windows 10 is de juiste indeling van het kenmerk deviceOSVersion als volgt: (device.deviceOSVersion -startsWith "10.0.1"). De opmaak kan worden gevalideerd met de powershell-cmdlet Get-MgDevice:

Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'

De volgende apparaatkenmerken kunnen worden gebruikt.

Apparaatkenmerk Waarden Voorbeeld
accountEnabled true false device.accountEnabled -eq true
deviceCategory een geldige naam voor een apparaatcategorie device.deviceCategory -eq "BYOD"
deviceId een geldig apparaat-id voor Azure AD device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d"
deviceManagementAppId een geldige MDM-toepassings-id in Azure AD device.deviceManagementAppId -eq "00000000a-0000-0000-c000-00000000000000" voor Microsoft Intune beheerd of "54b943f8-d761-4f8d-951e-9cea1846db5a" voor System Center Configuration Manager co-beheerde apparaten
deviceManufacturer elke tekenreekswaarde device.deviceManufacturer -eq "Samsung"
deviceModel elke tekenreekswaarde device.deviceModel -eq "iPad Air"
displayName elke tekenreekswaarde device.displayName -eq "Rob iPhone"
deviceOSType elke tekenreekswaarde (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iPhone")
device.deviceOSType -contains "AndroidEnterprise"
device.deviceOSType -eq "AndroidForWork"
device.deviceOSType -eq "Windows"
deviceOSVersion elke tekenreekswaarde device.deviceOSVersion -eq "9.1"
device.deviceOSVersion -startsWith "10.0.1"
deviceOwnership Persoonlijk, Bedrijf, Onbekend device.deviceOwnership -eq "Company"
devicePhysicalIds een tekenreekswaarde die wordt gebruikt door Autopilot, zoals alle Autopilot-apparaten, OrderID of PurchaseOrderID device.devicePhysicalIDs -any _ -contains "[ZTDId]"
(device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881"
(device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342"
deviceTrustType AzureAD, ServerAD, Workplace device.deviceTrustType -eq "AzureAD"
enrollmentProfileName Inschrijvingsprofielen van Apple- of Android Enterprise-apparaat in het bezit van het bedrijf of profielnaam van Windows Autopilot device.enrollmentProfileName -eq "DEP iPhones"
extensionAttribute1 elke tekenreekswaarde device.extensionAttribute1 -eq "some string value"
extensionAttribute2 elke tekenreekswaarde device.extensionAttribute2 -eq "some string value"
extensionAttribute3 elke tekenreekswaarde device.extensionAttribute3 -eq "some string value"
extensionAttribute4 elke tekenreekswaarde device.extensionAttribute4 -eq "some string value"
extensionAttribute5 elke tekenreekswaarde device.extensionAttribute5 -eq "some string value"
extensionAttribute6 elke tekenreekswaarde device.extensionAttribute6 -eq "some string value"
extensionAttribute7 elke tekenreekswaarde device.extensionAttribute7 -eq "some string value"
extensionAttribute8 elke tekenreekswaarde device.extensionAttribute8 -eq "some string value"
extensionAttribute9 elke tekenreekswaarde device.extensionAttribute9 -eq "some string value"
extensionAttribute10 elke tekenreekswaarde device.extensionAttribute10 -eq "some string value"
extensionAttribute11 elke tekenreekswaarde device.extensionAttribute11 -eq "some string value"
extensionAttribute12 elke tekenreekswaarde device.extensionAttribute12 -eq "some string value"
extensionAttribute13 elke tekenreekswaarde device.extensionAttribute13 -eq "some string value"
extensionAttribute14 elke tekenreekswaarde device.extensionAttribute14 -eq "some string value"
extensionAttribute15 elke tekenreekswaarde device.extensionAttribute15 -eq "some string value"
isRooted true false device.isRooted -eq true
managementType MDM (voor mobiele apparaten) device.managementType -eq "MDM"
memberOf Een willekeurige tekenreekswaarde (geldige groepsobject-id) device.memberof -any (group.objectId -in ['value'])
objectId een geldige Azure AD-object-id device.objectId -eq "76ad43c9-32c5-45e8-a272-7b58b58f596d"
profileType een geldig profieltype in Azure AD device.profileType -eq "RegisteredDevice"
systemLabels een tekenreeks die overeenkomt met de eigenschap van het Intune-apparaat voor het labelen van moderne werkplekapparaten device.systemLabels -contains "M365Managed"

Notitie

Wanneer u deviceOwnership gebruikt om dynamische groepen voor apparaten te maken, moet u de waarde instellen op 'Bedrijf'. Op Intune wordt het apparaateigendom weergegeven als Zakelijk. Zie OwnerTypes voor meer informatie. Wanneer u deviceTrustType gebruikt om dynamische groepen voor apparaten te maken, moet u de waarde instellen die gelijk is aan 'AzureAD' om Azure AD gekoppelde apparaten weer te geven, 'ServerAD' voor hybride Azure AD gekoppelde apparaten of 'Werkplek' voor Azure AD geregistreerde apparaten. Wanneer u extensionAttribute1-15 gebruikt om dynamische groepen voor apparaten te maken, moet u de waarde voor extensionAttribute1-15 instellen op het apparaat. Meer informatie over het schrijven van extensionAttributes op een Azure AD-apparaatobject

Volgende stappen

Deze artikelen bevatten aanvullende informatie over Azure Active Directory-groepen.