Delen via


Dynamische lidmaatschapsregels voor groepen in Microsoft Entra-id

U kunt regels op basis van kenmerken maken om dynamisch lidmaatschap in te schakelen voor een groep in Microsoft Entra-id, onderdeel van Microsoft Entra. Met dynamisch groepslidmaatschap worden groepsleden automatisch toegevoegd aan en verwijderd met behulp van lidmaatschapsregels op basis van lidkenmerken. Dit artikel beschrijft de eigenschappen en de syntaxis om dynamische lidmaatschapsregels voor gebruikers of apparaten te maken. U kunt een regel instellen voor dynamisch lidmaatschap voor beveiligingsgroepen of Microsoft 365-groepen.

Wanneer de kenmerken van een gebruiker of apparaat worden gewijzigd, evalueert het systeem alle dynamische groepsregels in een map om te zien of de wijziging een groep toevoegt of verwijdert. Als een gebruiker of apparaat voldoet aan een regel in een groep, worden deze toegevoegd als lid van die groep. Als ze niet meer voldoen aan de regel, worden ze verwijderd. U kunt een lid van een dynamische groep niet handmatig toevoegen of verwijderen.

  • U kunt een dynamische groep maken voor apparaten of voor gebruikers, maar u kunt geen regel maken die zowel gebruikers als apparaten bevat.
  • U kunt geen apparaatgroep maken op basis van de gebruikerskenmerken van de eigenaar van het apparaat. Regels voor apparaatlidmaatschappen kunnen alleen verwijzen naar apparaatkenmerken.

Notitie

Voor deze functie is een Microsoft Entra ID P1-licentie of Intune for Education vereist voor elke unieke gebruiker die lid is van een of meer dynamische groepen. U hoeft geen licenties toe te wijzen aan gebruikers om lid te zijn van dynamische groepen, maar u moet het minimale aantal licenties in de Microsoft Entra-organisatie hebben om alle dergelijke gebruikers te dekken. Als u bijvoorbeeld in totaal 1000 unieke gebruikers hebt in alle dynamische groepen in uw organisatie, hebt u ten minste 1000 licenties nodig voor Microsoft Entra ID P1 om te voldoen aan de licentievereiste. Er is geen licentie vereist voor apparaten die lid zijn van een dynamische apparaatgroep.

De opbouwfunctie voor regels in Azure Portal

Microsoft Entra ID biedt een opbouwfunctie voor regels om uw belangrijke regels sneller te maken en bij te werken. De opbouwfunctie voor regels ondersteunt de constructie van maximaal vijf expressies. Met de opbouwfunctie voor regels kunt u eenvoudiger een regel maken met enkele eenvoudige expressies, maar u kunt hiermee niet elke regel reproduceren. Als de opbouwfunctie voor regels geen ondersteuning biedt voor de regel die u wilt maken, kunt u het tekstvak gebruiken.

Hier volgen enkele voorbeelden van geavanceerde regels of syntaxis waarvoor het gebruik van het tekstvak is vereist:

Notitie

De opbouwfunctie voor regels kan mogelijk geen regels weergeven die zijn gemaakt in het tekstvak. Mogelijk wordt een bericht weergegeven wanneer de opbouwfunctie voor regels de regel niet kan weergeven. Met de opbouwfunctie voor regels wijzigt u niet de ondersteunde syntaxis, validatie of verwerking van dynamische groepsregels.

Zie Een dynamische groep maken of bijwerken voor meer stapsgewijze instructies.

Schermopname van de lidmaatschapsregel voor een dynamische groep toevoegen.

Regelsyntaxis voor één expressie

Eén expressie is de eenvoudigste vorm van een lidmaatschapsregel en heeft alleen de drie onderdelen die hierboven worden genoemd. Een regel met één expressie lijkt op dit voorbeeld: Property Operator Value, waarbij de syntaxis voor de eigenschap de naam van object.property is.

In het volgende voorbeeld ziet u een correct samengestelde lidmaatschapsregel met één expressie:

user.department -eq "Sales"

Haakjes zijn optioneel voor één expressie. De totale lengte van de hoofdtekst van uw lidmaatschapsregel mag niet langer zijn dan 3072 tekens.

De hoofdtekst van een lidmaatschapsregel samenstellen

Een lidmaatschapsregel die automatisch een groep met gebruikers of apparaten invult, is een binaire expressie die resulteert in het resultaat True of False. De drie delen van een eenvoudige regel zijn:

  • Eigenschappen
  • Operator
  • Weergegeven als

De volgorde van de onderdelen in een expressie is belangrijk om syntaxisfouten te voorkomen.

Ondersteunde eigenschappen

Er zijn drie soorten eigenschappen die kunnen worden gebruikt om een lidmaatschapsregel samen te stellen.

  • Booleaanse waarde
  • Datum en tijd
  • String
  • Tekenreeksverzameling

Hier volgen de gebruikerseigenschappen die u kunt gebruiken om één expressie te maken.

Eigenschappen van het type Booleaans

Eigenschappen Toegestane waarden Gebruik
accountEnabled true false user.accountEnabled -eq true
dirSyncEnabled true false user.dirSyncEnabled -eq true

Eigenschappen van het type datum/tijd

Eigenschappen Toegestane waarden Gebruik
employeeHireDate (preview) Een DateTimeOffset-waarde of trefwoordsysteem.now user.employeeHireDate -eq "value"

Eigenschappen van het type tekenreeks

Eigenschappen Toegestane waarden Gebruik
plaats Elke tekenreekswaarde of null user.city -eq "value"
land Elke tekenreekswaarde of null user.country -eq "value"
companyName Elke tekenreekswaarde of null user.companyName -eq "value"
afdeling Elke tekenreekswaarde of null user.department -eq "value"
displayName Elke tekenreekswaarde user.displayName -eq "value"
employeeId Elke tekenreekswaarde user.employeeId -eq "value"
user.employeeId -ne null
facsimileTelephoneNumber Elke tekenreekswaarde of null user.facsimileTelephoneNumber -eq "value"
givenName Elke tekenreekswaarde of null user.givenName -eq "value"
jobTitle Elke tekenreekswaarde of null user.jobTitle -eq "value"
e-mail Een willekeurige tekenreekswaarde of null (SMTP-adres van de gebruiker) user.mail -eq "value"
mailNickName Een willekeurige tekenreekswaarde (e-mailalias van de gebruiker) user.mailNickName -eq "value"
memberOf Een tekenreekswaarde (geldige groepsobject-id) user.memberof -any (group.objectId -in ['value'])
mobiele apparaten Elke tekenreekswaarde of null user.mobile -eq "value"
objectId GUID van het gebruikersobject user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
onPremisesDistinguishedName Elke tekenreekswaarde of null user.onPremisesDistinguishedName -eq "value"
onPremisesSecurityIdentifier Een on-premises beveiligings-id (SID) voor gebruikers die zijn gesynchroniseerd van on-premises naar de cloud. user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-111111111-1111111"
passwordPolicies Geen
DisableStrongPassword
DisablePasswordExpiration
DisablePasswordExpiration, DisableStrongPassword
user.passwordPolicies -eq "DisableStrongPassword"
physicalDeliveryOfficeName Elke tekenreekswaarde of null user.physicalDeliveryOfficeName -eq "value"
postalCode Elke tekenreekswaarde of null user.postalCode -eq "value"
preferredLanguage ISO 639-1-code user.preferredLanguage -eq "en-US"
sipProxyAddress Elke tekenreekswaarde of null user.sipProxyAddress -eq "value"
staat Elke tekenreekswaarde of null user.state -eq "value"
streetAddress Elke tekenreekswaarde of null user.streetAddress -eq "value"
surname Elke tekenreekswaarde of null user.surname -eq "value"
telephoneNumber Elke tekenreekswaarde of null user.telephoneNumber -eq "value"
usageLocation Land- of regiocode van twee letters user.usageLocation -eq "US"
userPrincipalName Elke tekenreekswaarde user.userPrincipalName -eq "alias@domain"
userType lidgast null user.userType -eq "Member"

Eigenschappen van tekenreeksverzameling

Eigenschappen Toegestane waarden Opmerking
otherMails Elke tekenreekswaarde user.otherMails -startsWith "alias@domain"
proxyAddresses SMTP: alias@domain smtp: alias@domain user.proxyAddresses -startsWith "SMTP: alias@domain"

Zie Regels voor apparaten voor de eigenschappen die worden gebruikt voor apparaatregels.

Ondersteunde expressieoperators

De volgende tabel geeft een lijst van alle ondersteunde operators en hun syntaxis voor één expressie. Operators kunnen worden gebruikt met of zonder het afbreekstreepje (-) als voorvoegsel. De operator Contains voert gedeeltelijke tekenreeksovereenkomsten uit, maar geen item in een verzameling komt overeen.

Operator Syntaxis
Niet gelijk aan -ne
Is gelijk aan -eq
Begint niet met -notStartsWith
Begint met -startsWith
Bevat geen -notContains
Contains -contains
Komt niet overeen met -notMatch
Vergelijken -match
In -in
Behoort niet tot -notIn

De operators -in en -notIn gebruiken

Als u de waarde van een gebruikerskenmerk wilt vergelijken met meerdere waarden, kunt u de operators -in of -notIn gebruiken. Gebruik de vierkante haken [ en ] om de lijst met waarden te starten en te beëindigen.

In het volgende voorbeeld evalueert de uitdrukking naar true als de waarde van user.department gelijk is aan een van de waarden in de lijst:

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

De operatoren -le en -ge gebruiken

U kunt de operatoren kleiner dan (-le) of groter dan (-ge) gebruiken wanneer u het kenmerk employeeHireDate gebruikt in dynamische groepsregels.
Voorbeelden:

user.employeehiredate -ge system.now -plus p1d 

user.employeehiredate -le 2020-06-10T18:13:20Z 

De operator -match gebruiken

De operator -match wordt gebruikt voor het vergelijken van een reguliere expressie. Voorbeelden:

user.displayName -match "^Da.*"   

Da, Davresulteert David in waar, aDa resulteert in onwaar.

user.displayName -match ".*vid"

David resulteert in waar, Da resulteert in onwaar.

Ondersteunde waarden

De waarden die in een expressie worden gebruikt, kunnen bestaan uit verschillende typen, waaronder:

  • Tekenreeksen
  • Booleaans – true, false
  • Nummers
  • Matrices – nummermatrix, tekenreeksmatrix

Wanneer u een waarde in een expressie opgeeft, is het belangrijk dat u de juiste syntaxis gebruikt om fouten te voorkomen. Enkele syntaxistips zijn:

  • Dubbele aanhalingstekens zijn optioneel, tenzij de waarde een tekenreeks is.
  • Tekenreeks- en regex-bewerkingen zijn niet hoofdlettergevoelig.
  • Wanneer een tekenreekswaarde dubbele aanhalingstekens bevat, moeten beide aanhalingstekens worden ontsnapt met het teken ', bijvoorbeeld user.department -eq 'Sales', de juiste syntaxis wanneer 'Sales' de waarde is. Enkele aanhalingstekens moeten worden ontsnapt door twee enkele aanhalingstekens te gebruiken in plaats van één aanhalingstekens telkens.
  • U kunt ook null-controles uitvoeren, waarbij null als waarde wordt gebruikt, bijvoorbeeld user.department -eq null.

Null-waarden gebruiken

Als u een null-waarde in een regel wilt opgeven, gebruikt u de null-waarde.

  • Gebruik -eq of -ne bij het vergelijken van de null-waarde in een expressie.
  • Gebruik alleen aanhalingstekens rond het woord null als u wilt dat het wordt geïnterpreteerd als een letterlijke tekenreekswaarde.
  • De operator -not kan niet worden gebruikt als een vergelijkingsoperator voor null. Als u deze gebruikt, wordt een foutbericht weergegeven over of u null of $null gebruikt.

De juiste manier om te verwijzen naar de null-waarde is als volgt:

   user.mail –ne null

Regels met meerdere expressies

Een regel voor groepslidmaatschap kan bestaan uit meer dan één expressie die is verbonden door de operators -and, -or en -not. Logische operators kunnen ook worden gebruikt in combinatie.

Hier volgen enkele voorbeelden van goed samengestelde lidmaatschapsregels met meerdere expressies:

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")

Operatorprioriteit

Alle operators worden hieronder weergegeven in volgorde van prioriteit van hoog naar laag. Operators op dezelfde regel hebben dezelfde prioriteit:

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all

In het volgende voorbeeld ziet u de prioriteit van de operator waarbij twee expressies worden geëvalueerd voor de gebruiker:

   user.department –eq "Marketing" –and user.country –eq "US"

Haakjes zijn alleen nodig wanneer prioriteit niet aan uw vereisten voldoet. Als u bijvoorbeeld wilt dat de afdeling eerst wordt geëvalueerd, ziet u in het volgende voorbeeld hoe haakjes kunnen worden gebruikt om de volgorde te bepalen:

   user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

Regels met complexe expressies

Een lidmaatschapsregel kan bestaan uit complexe expressies waarbij de eigenschappen, operators en waarden meer complexe vormen hebben. Expressies worden beschouwd als complex wanneer een van de volgende voorwaarden waar is:

  • De eigenschap bestaat uit een verzameling waarden; met name eigenschappen met meerdere waarden
  • De expressies gebruiken de operators -any en -all
  • De waarde van de expressie kan zelf een of meer expressies zijn

Eigenschappen met meerdere waarden

Eigenschappen met meerdere waarden zijn verzamelingen objecten van hetzelfde type. Ze kunnen worden gebruikt om lidmaatschapsregels te maken met behulp van de logische operators -any en -all.

Eigenschappen Waarden Gebruik
assignedPlans Elk object in de verzameling legt de volgende tekenreekseigenschappen bloot: capabilityStatus, service, serviceePlanId user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled")
proxyAddresses SMTP: alias@domain smtp: alias@domain (user.proxyAddresses -any (_ -startsWith "contoso"))

De operators -any en -all gebruiken

U kunt de operators -any en -all gebruiken om een voorwaarde toe te passen op respectievelijk één of alle items in de verzameling.

  • -any (er wordt aan de voorwaarde voldaan wanneer ten minste één item in de verzameling overeenkomt met die voorwaarde)
  • -all (er wordt aan de voorwaarde voldaan wanneer alle items in de verzameling overeenkomen met die voorwaarde)

Voorbeeld 1

assignedPlans is een eigenschap met meerdere waarden waarmee alle serviceplannen worden weergegeven die aan de gebruiker zijn toegewezen. Met de volgende expressie selecteert u gebruikers die het serviceplan Exchange Online (abonnement 2) hebben (als GUID-waarde) die ook is ingeschakeld:

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

Een regel zoals deze kan worden gebruikt om alle gebruikers te groeperen voor wie een Microsoft 365- of andere Microsoft Online Service-mogelijkheid is ingeschakeld. Vervolgens kunt u een set beleidsregels op de groep toepassen.

Voorbeeld 2

Met de volgende uitdrukking selecteert u alle gebruikers die een serviceplan hebben dat is gekoppeld aan de Intune-service (geïdentificeerd met de servicenaam SCO):

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")

Voorbeeld 3

Met de volgende expressie worden alle gebruikers geselecteerd die geen toegewezen serviceabonnement hebben:

user.assignedPlans -all (assignedPlan.servicePlanId -ne null)

De syntaxis van het onderstrepingsteken (_) gebruiken

De onderstrepingstekensyntaxis (_) komt overeen met exemplaren van een specifieke waarde in een van de eigenschappen van een verzameling met meerdere waarden om gebruikers of apparaten toe te voegen aan een dynamische groep. Deze wordt gebruikt met de operators -any of -all.

Hier volgt een voorbeeld van het gebruik van het onderstrepingsteken (_) in een regel om leden toe te voegen op basis van user.proxyAddress (dit werkt hetzelfde voor user.otherMails). Met deze regel wordt elke gebruiker met een proxyadres toegevoegd dat begint met 'contoso' aan de groep.

(user.proxyAddresses -any (_ -startsWith "contoso"))

Andere eigenschappen en algemene regels

Een regel voor direct ondergeschikten maken

U kunt een groep maken met alle directe ondergeschikten van een manager. Wanneer de direct ondergeschikten van de manager in de toekomst worden gewijzigd, wordt het lidmaatschap van de groep automatisch aangepast.

De regel voor direct ondergeschikten wordt samengesteld met behulp van de volgende syntaxis:

Direct Reports for "{objectID_of_manager}"

Hier volgt een voorbeeld van een geldige regel, waarbij '62e19b97-8b3d-4d4a-a106-4ce66896a863' de object-id van de manager is:

Direct Reports for "62e19b97-8b3d-4d4a-a106-4ce66896a863"

Aan de hand van de volgende tips kunt u de regel op de juiste manier gebruiken.

  • De Manager-id is de object-id van de manager. Dit kan worden gevonden in het profiel van de manager.
  • Om de regel te laten werken, moet u ervoor zorgen dat de eigenschap Manager correct is ingesteld voor gebruikers in uw organisatie. U kunt de huidige waarde in het profiel van de gebruiker controleren.
  • Deze regel ondersteunt alleen de direct ondergeschikten van de manager. Met andere woorden, u kunt geen groep maken met de direct ondergeschikten van de manager en hun ondergeschikten.
  • Deze regel kan niet worden gecombineerd met andere lidmaatschapsregels.

Een regel voor alle gebruikers maken

U kunt een groep met alle gebruikers in een organisatie maken met behulp van een lidmaatschapsregel. Wanneer gebruikers in de toekomst worden toegevoegd aan of verwijderd uit de organisatie, wordt het lidmaatschap van de groep automatisch aangepast.

De regel voor alle gebruikers wordt samengesteld met behulp van een enkele expressie met behulp van de operator -ne en de null-waarde. Met deze regel worden B2B-gastgebruikers en lidgebruikers toegevoegd aan de groep.

user.objectId -ne null

Als u wilt dat voor de groep gastgebruikers worden uitgesloten en alleen leden van uw organisatie omvat, kunt u de volgende syntaxis gebruiken:

(user.objectId -ne null) -and (user.userType -eq "Member")

Een regel voor alle apparaten maken

U kunt een groep met alle apparaten in een organisatie maken met behulp van een lidmaatschapsregel. Wanneer apparaten in de toekomst worden toegevoegd aan of verwijderd uit de organisatie, wordt het lidmaatschap van de groep automatisch aangepast.

De regel voor alle apparaten wordt samengesteld met behulp van een enkele expressie met behulp van de operator -ne en de null-waarde:

device.objectId -ne null

Extensie-eigenschappen en aangepaste extensie-eigenschappen

Extensiekenmerken en aangepaste extensie-eigenschappen worden ondersteund als tekenreekseigenschappen in dynamische lidmaatschapsregels. Extensiekenmerken kunnen worden gesynchroniseerd vanuit on-premises Window Server Active Directory of bijgewerkt met Behulp van Microsoft Graph en de indeling ExtensionAttributeX gebruiken, waarbij X gelijk is aan 1 - 15. Uitbreidingseigenschappen met meerdere waarden worden niet ondersteund in dynamische lidmaatschapsregels. Hier volgt een voorbeeld van een regel die waarin gebruik wordt gemaakt van een uitbreidingskenmerk als eigenschap:

(user.extensionAttribute15 -eq "Marketing")

Aangepaste extensie-eigenschappen kunnen worden gesynchroniseerd vanuit on-premises Windows Server Active Directory, vanuit een verbonden SaaS-toepassing of gemaakt met Behulp van Microsoft Graph, en zijn van de indeling , user.extension_[GUID]_[Attribute]waarbij:

  • [GUID] is de stripped versie van de unieke id in Microsoft Entra ID voor de toepassing die de eigenschap heeft gemaakt. Het bevat alleen tekens 0-9 en A-Z
  • [Kenmerk] de naam is van de eigenschap die is gemaakt

Een voorbeeld van een regel waarin gebruik wordt gemaakt van een aangepaste extensie-eigenschap is:

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

Eigenschappen van aangepaste extensies worden ook wel map- of Microsoft Entra-extensie-eigenschappen genoemd.

De aangepaste naam van de eigenschap kan worden gevonden in de map door een query uit te voeren op de eigenschap van een gebruiker met behulp van Graph Explorer en te zoeken naar de naam van de eigenschap. Ook kunt u nu klikken op de koppeling Aangepaste extensie-eigenschappen ophalen in de opbouwfunctie voor regels voor de dynamische gebruikersgroep om een unieke app-id in te voeren en de volledige lijst van aangepaste extensie-eigenschappen te ontvangen om toe te passen bij het maken van een dynamische lidmaatschapsregel. Deze lijst kan ook worden vernieuwd om nieuwe aangepaste extensie-eigenschappen voor die app op te halen. Extensiekenmerken en aangepaste extensie-eigenschappen moeten afkomstig zijn van toepassingen in uw tenant.

Zie De kenmerken in dynamische groepen gebruiken in het artikel Microsoft Entra Verbinding maken Sync: Directory-extensies voor meer informatie.

Regels voor apparaten

U kunt ook een regel maken waarmee apparaatobjecten worden geselecteerd voor het lidmaatschap van een groep. U kunt niet zowel gebruikers als apparaten als groepsleden hebben.

Notitie

Het kenmerk organizationalUnit wordt niet meer weergegeven en mag niet worden gebruikt. Deze tekenreeks wordt in specifieke gevallen door Intune ingesteld, maar wordt niet herkend door Microsoft Entra ID, dus er worden geen apparaten toegevoegd aan groepen op basis van dit kenmerk.

Notitie

systemlabels is een alleen-lezenkenmerk dat niet kan worden ingesteld met Intune.

Voor Windows 10 is de juiste indeling van het kenmerk deviceOSVersion als volgt: (device.deviceOSVersion -startsWith "10.0.1"). De opmaak kan worden gevalideerd met de PowerShell-cmdlet Get-MgDevice:

Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'

De volgende apparaatkenmerken kunnen worden gebruikt.

Apparaatkenmerk Waarden Opmerking
accountEnabled true false device.accountEnabled -eq true
deviceCategory een geldige naam voor een apparaatcategorie device.deviceCategory -eq "BYOD"
deviceId een geldige Microsoft Entra-apparaat-id device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d"
deviceManagementAppId een geldige MDM-toepassings-id in Microsoft Entra-id device.deviceManagementAppId -eq "0000000a-0000-0000-c0000-0000000000000" voor Microsoft Intune beheerd of "54b943f8-d761-4f8d-951e-9cea1846db5a" voor Co-beheerde apparaten van System Center Configuration Manager
deviceManufacturer elke tekenreekswaarde device.deviceManufacturer -eq "Samsung"
deviceModel elke tekenreekswaarde device.deviceModel -eq "iPad Air"
displayName elke tekenreekswaarde device.displayName -eq "Rob i Telefoon"
deviceOSType elke tekenreekswaarde (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iPhone")
device.deviceOSType -startsWith "AndroidEnterprise"
device.deviceOSType -eq "AndroidForWork"
device.deviceOSType -eq "Windows"
deviceOSVersion elke tekenreekswaarde device.deviceOSVersion -eq "9.1"
device.deviceOSVersion -startsWith "10.0.1"
deviceOwnership Persoonlijk, Bedrijf, Onbekend device.deviceOwnership -eq "Company"
devicePhysicalIds een tekenreekswaarde die wordt gebruikt door Autopilot, zoals alle Autopilot-apparaten, OrderID of PurchaseOrderID device.devicePhysicalIDs -any _ -startsWith "[ZTDId]"
(device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881"
(device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342"
deviceTrustType AzureAD, ServerAD, Workplace device.deviceTrustType -eq "AzureAD"
enrollmentProfileName Inschrijvingsprofielen van Apple- of Android Enterprise-apparaat in het bezit van het bedrijf of profielnaam van Windows Autopilot device.enrollmentProfileName -eq "DEP i Telefoon s"
extensionAttribute1 elke tekenreekswaarde device.extensionAttribute1 -eq "some string value"
extensionAttribute2 elke tekenreekswaarde device.extensionAttribute2 -eq "some string value"
extensionAttribute3 elke tekenreekswaarde device.extensionAttribute3 -eq "some string value"
extensionAttribute4 elke tekenreekswaarde device.extensionAttribute4 -eq "some string value"
extensionAttribute5 elke tekenreekswaarde device.extensionAttribute5 -eq "some string value"
extensionAttribute6 elke tekenreekswaarde device.extensionAttribute6 -eq "some string value"
extensionAttribute7 elke tekenreekswaarde device.extensionAttribute7 -eq "some string value"
extensionAttribute8 elke tekenreekswaarde device.extensionAttribute8 -eq "some string value"
extensionAttribute9 elke tekenreekswaarde device.extensionAttribute9 -eq "some string value"
extensionAttribute10 elke tekenreekswaarde device.extensionAttribute10 -eq "some string value"
extensionAttribute11 elke tekenreekswaarde device.extensionAttribute11 -eq "some string value"
extensionAttribute12 elke tekenreekswaarde device.extensionAttribute12 -eq "some string value"
extensionAttribute13 elke tekenreekswaarde device.extensionAttribute13 -eq "some string value"
extensionAttribute14 elke tekenreekswaarde device.extensionAttribute14 -eq "some string value"
extensionAttribute15 elke tekenreekswaarde device.extensionAttribute15 -eq "some string value"
isRooted true false device.isRooted -eq true
managementType MDM (voor mobiele apparaten) device.managementType -eq "MDM"
memberOf Een tekenreekswaarde (geldige groepsobject-id) device.memberof -any (group.objectId -in ['value'])
objectId een geldige Microsoft Entra-object-id device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
profileType een geldig profieltype in Microsoft Entra-id device.profileType -eq "RegisteredDevice"
systemLabels een tekenreeks die overeenkomt met de eigenschap van het Intune-apparaat voor het labelen van moderne werkplekapparaten device.systemLabels -startsWith "M365Managed"

Notitie

deviceOwnership Wanneer u dynamische groepen voor apparaten maakt, moet u de waarde instellen die gelijk is aan Company. Op Intune wordt het apparaateigendom in plaats daarvan vertegenwoordigd als Bedrijf. Zie OwnerTypes voor meer informatie. deviceTrustType Wanneer u dynamische groepen voor apparaten maakt, moet u de waarde instellen die gelijk is aan AzureAD het vertegenwoordigen van aan Microsoft Entra gekoppelde apparaten, ServerAD om hybride gekoppelde Microsoft Entra-apparaten te vertegenwoordigen of Workplace om geregistreerde Microsoft Entra-apparaten te vertegenwoordigen. Wanneer u extensionAttribute1-15 dynamische groepen maakt voor apparaten, moet u de waarde voor extensionAttribute1-15 het apparaat instellen. Meer informatie over het schrijven extensionAttributes op een Microsoft Entra-apparaatobject

Volgende stappen

Deze artikelen bevatten aanvullende informatie over groepen in Microsoft Entra ID.