Regels beheren voor dynamische lidmaatschapsgroepen in Microsoft Entra-id
U kunt regels op basis van gebruikers- of apparaatkenmerken maken om lidmaatschap in te schakelen voor dynamische lidmaatschapsgroepen in Microsoft Entra-id, onderdeel van Microsoft Entra. U kunt dynamische lidmaatschapsgroepen automatisch toevoegen en verwijderen met behulp van lidmaatschapsregels op basis van lidkenmerken. In Microsoft Entra kan één tenant maximaal 15.000 dynamische lidmaatschapsgroepen hebben.
In dit artikel worden de eigenschappen en syntaxis beschreven voor het maken van regels voor dynamische lidmaatschapsgroepen op basis van gebruikers of apparaten.
Notitie
Beveiligingsgroepen kunnen worden gebruikt voor apparaten of gebruikers, maar Microsoft 365-groepen kunnen alleen gebruikers bevatten.
Wanneer de kenmerken van een gebruiker of apparaat worden gewijzigd, evalueert het systeem alle regels voor dynamische lidmaatschapsgroepen in een directory om te zien of de wijziging een groep toevoegt of verwijdert. Als een gebruiker of apparaat voldoet aan een regel in een groep, worden deze toegevoegd als lid van die groep. Als ze niet meer voldoen aan de regel, worden ze verwijderd. U kunt geen lid van een dynamische lidmaatschapsgroep handmatig toevoegen of verwijderen.
- U kunt een dynamische lidmaatschapsgroep maken voor gebruikers of apparaten, maar u kunt geen regel maken die zowel gebruikers als apparaten bevat.
- U kunt geen apparaatlidmaatschapsgroep maken op basis van de gebruikerskenmerken van de eigenaar van het apparaat. Regels voor apparaatlidmaatschappen kunnen alleen verwijzen naar apparaatkenmerken.
Notitie
Voor deze functie is een Microsoft Entra ID P1-licentie of Intune for Education vereist voor elke unieke gebruiker die lid is van een of meer dynamische lidmaatschapsgroepen. U hoeft geen licenties toe te wijzen aan gebruikers om lid te zijn van dynamische lidmaatschapsgroepen, maar u moet het minimale aantal licenties in de Microsoft Entra-organisatie hebben om alle dergelijke gebruikers te dekken. Als u bijvoorbeeld in totaal 1000 unieke gebruikers hebt in alle dynamische lidmaatschapsgroepen in uw organisatie, hebt u ten minste 1000 licenties nodig voor Microsoft Entra ID P1 om te voldoen aan de licentievereiste. Er is geen licentie vereist voor apparaten die lid zijn van een dynamische lidmaatschapsgroep op basis van een apparaat.
Opbouwfunctie voor regels in Azure Portal
Microsoft Entra ID biedt een opbouwfunctie voor regels om uw belangrijke regels sneller te maken en bij te werken. De opbouwfunctie voor regels ondersteunt de constructie van maximaal vijf expressies. De opbouwfunctie voor regels maakt het eenvoudiger om een regel te vormen met een paar eenvoudige expressies, maar kan niet worden gebruikt om elke regel te reproduceren. Als de opbouwfunctie voor regels de regel die u wilt maken niet ondersteunt, kunt u het tekstvak gebruiken.
Hier volgen enkele voorbeelden van geavanceerde regels of syntaxis waarvoor het gebruik van het tekstvak is vereist:
- Regel met meer dan vijf expressies
- De regel voor direct ondergeschikten
- Regels met de operator -contains of -notContains
- Prioriteit van operator instellen
- Regels met complexe expressies, bijvoorbeeld
(user.proxyAddresses -any (_ -startsWith "contoso"))
Notitie
De opbouwfunctie voor regels kan mogelijk bepaalde regels die in het tekstvak zijn gemaakt, niet weergeven. Mogelijk ziet u een bericht wanneer de opbouwfunctie voor regels de regel niet kan weergeven. De opbouwfunctie voor regels wijzigt de ondersteunde syntaxis, validatie of verwerking van regels voor dynamische lidmaatschapsgroepen op geen enkele manier.
Zie Een dynamische lidmaatschapsgroep maken of bijwerken voor meer stapsgewijze instructies.
Regelsyntaxis voor één expressie
Eén expressie is de eenvoudigste vorm van een lidmaatschapsregel en heeft alleen de drie hierboven genoemde onderdelen. Een regel met één expressie lijkt op dit voorbeeld: Property Operator Value, waarbij de syntaxis voor de eigenschap de naam van object.property is.
In het volgende voorbeeld ziet u een correct samengestelde lidmaatschapsregel met één expressie:
user.department -eq "Sales"
Haakjes zijn optioneel voor één expressie. De totale lengte van de hoofdtekst van uw lidmaatschapsregel mag niet langer zijn dan 3072 tekens.
De hoofdtekst van een lidmaatschapsregel samenstellen
Een lidmaatschapsregel die automatisch een groep vult met gebruikers of apparaten, is een binaire expressie die resulteert in een waar of onwaar resultaat. De drie delen van een eenvoudige regel zijn:
- Eigenschap
- Bediener
- Waarde
De volgorde van de onderdelen in een expressie is belangrijk om syntaxisfouten te voorkomen.
Ondersteunde eigenschappen
Er zijn drie typen eigenschappen die kunnen worden gebruikt om een lidmaatschapsregel te maken.
- Booleaans
- Datum/tijd
- Snaar
- Tekenreeksverzameling
Hier volgen de gebruikerseigenschappen die u kunt gebruiken om één expressie te maken.
Eigenschappen van het type Booleaanse waarde
| Eigenschappen | Toegestane waarden | Gebruik |
|---|---|---|
| accountEnabled | waar onwaar | user.accountEnabled -eq true |
| dirSyncEnabled | waar onwaar | user.dirSyncEnabled -eq true |
Eigenschappen van het type datum/tijd
| Eigenschappen | Toegestane waarden | Gebruik |
|---|---|---|
| employeeHireDate (preview) | Een DateTimeOffset-waarde of trefwoordsysteem.now | user.employeeHireDate -eq "value" |
Eigenschappen van het type tekenreeks
| Eigenschappen | Toegestane waarden | Gebruik |
|---|---|---|
| stad | Een tekenreekswaarde of null | user.city -eq "value" |
| land | Een tekenreekswaarde of null | user.country -eq "value" |
| companyName | Een tekenreekswaarde of null | user.companyName -eq "value" |
| departement | Een tekenreekswaarde of null | user.department -eq "value" |
| displayName | Een tekenreekswaarde | user.displayName -eq "value" |
| employeeId | Een tekenreekswaarde | user.employeeId -eq "value" user.employeeId -ne null |
| facsimileTelephoneNumber | Een tekenreekswaarde of null | user.facsimileTelephoneNumber -eq "value" |
| givenName | Een tekenreekswaarde of null | user.givenName -eq "value" |
| jobTitle | Een tekenreekswaarde of null | user.jobTitle -eq "value" |
| post | Een tekenreekswaarde of null (SMTP-adres van de gebruiker) | user.mail -eq "value" |
| mailNickName | Elke tekenreekswaarde (e-mailalias van de gebruiker) | user.mailNickName -eq "value" |
| memberOf | Een tekenreekswaarde (geldige groepsobject-id) | user.memberOf -any (group.objectId -in ['value']) |
| mobiel | Een tekenreekswaarde of null | user.mobile -eq "value" |
| objectId | GUID van het gebruikersobject | user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
| onPremisesDistinguishedName | Een tekenreekswaarde of null | user.onPremisesDistinguishedName -eq "value" |
| onPremisesSecurityIdentifier | On-premises beveiligings-id (SID) voor gebruikers die van on-premises naar de cloud zijn gesynchroniseerd. | user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-111111111-1111111" |
| passwordPolicies | Geen DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
| physicalDeliveryOfficeName | Een tekenreekswaarde of null | user.physicalDeliveryOfficeName -eq "value" |
| postcode | Een tekenreekswaarde of null | user.postalCode -eq "value" |
| preferredLanguage | ISO 639-1-code | user.preferredLanguage -eq "en-US" |
| sipProxyAddress | Een tekenreekswaarde of null | user.sipProxyAddress -eq "value" |
| staat | Een tekenreekswaarde of null | user.state -eq "value" |
| streetAddress | Een tekenreekswaarde of null | user.streetAddress -eq "value" |
| achternaam | Een tekenreekswaarde of null | user.surname -eq "value" |
| telephoneNumber | Een tekenreekswaarde of null | user.telephoneNumber -eq "value" |
| usageLocation | Land- of regiocode van twee letters | user.usageLocation -eq "US" |
| userPrincipalName | Een tekenreekswaarde | user.userPrincipalName -eq "alias@domain" |
| userType | gastlid null | user.userType -eq "Member" |
Eigenschappen van het type tekenreeksverzameling
| Eigenschappen | Toegestane waarden | Voorbeeld |
|---|---|---|
| otherMails | Een tekenreekswaarde | user.otherMails -startsWith "alias@domain" |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | user.proxyAddresses -startsWith "SMTP: alias@domain" |
Zie Regels voor apparaten voor de eigenschappen die worden gebruikt voor apparaatregels.
Ondersteunde expressieoperators
De volgende tabel bevat alle ondersteunde operators en hun syntaxis voor één expressie. Operators kunnen worden gebruikt met of zonder het voorvoegsel (-). De operator Contains voert gedeeltelijke tekenreeksovereenkomsten uit, maar geen item in een verzameling komt overeen.
| Bediener | Syntaxis |
|---|---|
| Is niet gelijk aan | -Ne |
| Is gelijk aan | -Eq |
| Begint niet met | -notStartsWith |
| Begint met | -startsWith |
| Bevat niet | -notContains |
| Bevat | -Bevat |
| Komt niet overeen | -notMatch |
| Lucifer | -lucifer |
| In | -in |
| Niet in | -notIn |
De operators -in en -notIn gebruiken
Als u de waarde van een gebruikerskenmerk wilt vergelijken met meerdere waarden, kunt u de operators -in of -notIn gebruiken. Gebruik de vierkante haken "[" en "]" om de lijst met waarden te beginnen en te beëindigen.
In het volgende voorbeeld resulteert de expressie in waar als de waarde van user.department gelijk is aan een van de waarden in de lijst:
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
De operatoren -le en -ge gebruiken
U kunt de operatoren kleiner dan (-le) of groter dan (-ge) gebruiken wanneer u het kenmerk employeeHireDate gebruikt in regels voor dynamische lidmaatschapsgroepen.
Voorbeelden:
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
De operator -match gebruiken
De operator -match wordt gebruikt voor het vergelijken van elke reguliere expressie. Voorbeelden:
user.displayName -match "^Da.*"
Da, Davresulteert David in waar, aDa resulteert in onwaar.
user.displayName -match ".*vid"
David resulteert in waar, Da resulteert in onwaar.
Ondersteunde waarden
De waarden die in een expressie worden gebruikt, kunnen bestaan uit verschillende typen, waaronder:
- Tekenreeksen
- Booleaanse waarde - waar, onwaar
- Cijfers
- Matrices: getalmatrix, tekenreeksmatrix
Wanneer u een waarde in een expressie opgeeft, is het belangrijk dat u de juiste syntaxis gebruikt om fouten te voorkomen. Enkele syntaxistips zijn:
- Dubbele aanhalingstekens zijn optioneel, tenzij de waarde een tekenreeks is.
- Regex- en tekenreeksbewerkingen zijn niet hoofdlettergevoelig.
- Zorg ervoor dat eigenschapsnamen correct zijn opgemaakt zoals wordt weergegeven, omdat ze hoofdlettergevoelig zijn.
- Wanneer een tekenreekswaarde dubbele aanhalingstekens bevat, moeten beide aanhalingstekens worden ontsnapt met het teken ', bijvoorbeeld user.department -eq 'Sales', de juiste syntaxis wanneer 'Sales' de waarde is. Enkele aanhalingstekens moeten worden ontsnapt door twee enkele aanhalingstekens te gebruiken in plaats van één aanhalingstekens telkens.
- U kunt ook Null-controles uitvoeren met behulp van null als een waarde,
user.department -eq nullbijvoorbeeld.
Gebruik van Null-waarden
Als u een null-waarde in een regel wilt opgeven, kunt u de null-waarde gebruiken.
- Gebruik -eq of -ne bij het vergelijken van de null-waarde in een expressie.
- Gebruik aanhalingstekens rond het woord alleen null als u wilt dat deze wordt geïnterpreteerd als een letterlijke tekenreekswaarde.
- De operator -not kan niet worden gebruikt als een vergelijkende operator voor null. Als u deze gebruikt, krijgt u een foutmelding of u null of $null gebruikt.
De juiste manier om te verwijzen naar de null-waarde is als volgt:
user.mail –ne null
Regels met meerdere expressies
Regels beheren voor dynamische lidmaatschapsgroepen kunnen bestaan uit meer dan één expressie die is verbonden door de logische operatoren -en -or en -not. Logische operators kunnen ook in combinatie worden gebruikt.
Hieronder ziet u voorbeelden van correct samengestelde lidmaatschapsregels met meerdere expressies:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
Prioriteit van operator
Alle operators worden hieronder weergegeven in volgorde van prioriteit van hoog naar laag. Operators op dezelfde regel hebben dezelfde prioriteit:
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
In het volgende voorbeeld ziet u de prioriteit van de operator waarbij twee expressies worden geëvalueerd voor de gebruiker:
user.department –eq "Marketing" –and user.country –eq "US"
Haakjes zijn alleen nodig wanneer prioriteit niet aan uw vereisten voldoet. Als u bijvoorbeeld wilt dat afdeling eerst wordt geëvalueerd, ziet u in het volgende hoe haakjes kunnen worden gebruikt om de volgorde te bepalen:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Regels met complexe expressies
Een lidmaatschapsregel kan bestaan uit complexe expressies waarbij de eigenschappen, operators en waarden complexere vormen aannemen. Expressies worden beschouwd als complex wanneer een van de volgende waar is:
- De eigenschap bestaat uit een verzameling waarden; met name eigenschappen met meerdere waarden
- De expressies gebruiken de operators -any en -all
- De waarde van de expressie kan zelf een of meer expressies zijn
Eigenschappen met meerdere waarden
Eigenschappen met meerdere waarden zijn verzamelingen objecten van hetzelfde type. Ze kunnen worden gebruikt om lidmaatschapsregels te maken met behulp van de logische operatoren -any en -all.
| Eigenschappen | Waarden | Gebruik |
|---|---|---|
| assignedPlans | Elk object in de verzameling bevat de volgende tekenreekseigenschappen: capabilityStatus, service, servicePlanId | user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled") |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | (user.proxyAddresses -any (_ -startsWith "contoso")) |
De operators -any en -all gebruiken
U kunt -any en -all-operators gebruiken om respectievelijk een voorwaarde toe te passen op een of alle items in de verzameling.
- -any (voldaan wanneer ten minste één item in de verzameling overeenkomt met de voorwaarde)
- -all (voldaan wanneer alle items in de verzameling overeenkomen met de voorwaarde)
Voorbeeld 1
assignedPlans is een eigenschap met meerdere waarden waarin alle serviceplannen worden vermeld die aan de gebruiker zijn toegewezen. De volgende expressie selecteert gebruikers met het Exchange Online (Abonnement 2) serviceplan (als een GUID-waarde) die ook de status Ingeschakeld heeft:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
Een regel zoals deze kan worden gebruikt om alle gebruikers te groeperen voor wie een Microsoft 365- of andere Microsoft Online Service-mogelijkheid is ingeschakeld. U kunt vervolgens een set beleidsregels toepassen op de groep.
Voorbeeld 2
Met de volgende expressie worden alle gebruikers geselecteerd die een serviceplan hebben dat is gekoppeld aan de Intune-service (aangeduid met de servicenaam 'SCO'):
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Voorbeeld 3
Met de volgende expressie worden alle gebruikers geselecteerd die geen toegewezen serviceabonnement hebben:
user.assignedPlans -all (assignedPlan.servicePlanId -eq null)
De syntaxis van het onderstrepingsteken (_) gebruiken
De onderstrepingstekensyntaxis (_) komt overeen met exemplaren van een specifieke waarde in een van de eigenschappen van een verzameling met meerdere waarden om gebruikers of apparaten toe te voegen aan een dynamische lidmaatschapsgroep. Deze wordt gebruikt met de operators -any of -all.
Hier volgt een voorbeeld van het gebruik van het onderstrepingsteken (_) in een regel om leden toe te voegen op basis van user.proxyAddress (dit werkt hetzelfde voor user.otherMails). Met deze regel wordt elke gebruiker met een proxyadres toegevoegd dat begint met 'contoso' aan de groep.
(user.proxyAddresses -any (_ -startsWith "contoso"))
Andere eigenschappen en algemene regels
Een regel voor direct ondergeschikten maken
U kunt een groep maken die alle direct ondergeschikten van een manager bevat. Wanneer de direct ondergeschikten van de manager in de toekomst veranderen, wordt het lidmaatschap van de groep automatisch aangepast.
De regel voor direct ondergeschikten wordt samengesteld met behulp van de volgende syntaxis:
Direct Reports for "{objectID_of_manager}"
Hier volgt een voorbeeld van een geldige regel, waarbij 'aaaaaaaa-0000-1111-2222-bbbbbbbbbbbbbb' de object-id van de manager is:
Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
Met de volgende tips kunt u de regel op de juiste manier gebruiken.
- De manager-id is de object-id van de manager. Deze vindt u in het profiel van de manager.
- Zorg ervoor dat de eigenschap Manager juist is ingesteld voor gebruikers in uw organisatie om de regel te laten werken. U kunt de huidige waarde in het profiel van de gebruiker controleren.
- Deze regel ondersteunt alleen de direct ondergeschikten van de manager. Met andere woorden, u kunt geen groep maken met de direct ondergeschikten van de manager en de bijbehorende rapporten.
- Deze regel kan niet worden gecombineerd met andere lidmaatschapsregels.
Een regel voor alle gebruikers maken
U kunt een groep maken die alle gebruikers binnen een organisatie bevat met behulp van een lidmaatschapsregel. Wanneer gebruikers in de toekomst worden toegevoegd aan of verwijderd uit de organisatie, wordt het lidmaatschap van de groep automatisch aangepast.
De regel Alle gebruikers wordt samengesteld met behulp van één expressie met behulp van de operator -ne en de null-waarde. Met deze regel worden B2B-gastgebruikers en lidgebruikers toegevoegd aan de groep.
user.objectId -ne null
Als u wilt dat uw groep gastgebruikers uitsluit en alleen leden van uw organisatie opneemt, kunt u de volgende syntaxis gebruiken:
(user.objectId -ne null) -and (user.userType -eq "Member")
Een regel voor alle apparaten maken
U kunt een groep maken die alle apparaten binnen een organisatie bevat met behulp van een lidmaatschapsregel. Wanneer apparaten in de toekomst worden toegevoegd aan of verwijderd uit de organisatie, wordt het lidmaatschap van de groep automatisch aangepast.
De regel Alle apparaten wordt samengesteld met behulp van één expressie met behulp van de operator -ne en de null-waarde:
device.objectId -ne null
Extensie-eigenschappen en aangepaste extensie-eigenschappen
Extensiekenmerken en aangepaste extensie-eigenschappen worden ondersteund als tekenreekseigenschappen in regels voor dynamische lidmaatschapsgroepen. Extensiekenmerken kunnen worden gesynchroniseerd vanuit on-premises Window Server Active Directory of bijgewerkt met Behulp van Microsoft Graph en de indeling ExtensionAttributeX gebruiken, waarbij X gelijk is aan 1 - 15. Uitbreidingseigenschappen met meerdere waarden worden niet ondersteund in regels voor dynamische lidmaatschapsgroepen.
Hier volgt een voorbeeld van een regel die gebruikmaakt van een extensiekenmerk als eigenschap:
(user.extensionAttribute15 -eq "Marketing")
Aangepaste extensie-eigenschappen kunnen worden gesynchroniseerd vanuit on-premises Windows Server Active Directory, vanuit een verbonden SaaS-toepassing of gemaakt met Behulp van Microsoft Graph, en zijn van de indeling , user.extension_[GUID]_[Attribute]waarbij:
- [GUID] is de stripped versie van de unieke id in Microsoft Entra ID voor de toepassing die de eigenschap heeft gemaakt. Het bevat alleen tekens 0-9 en A-Z
- [Kenmerk] is de naam van de eigenschap terwijl deze is gemaakt
Een voorbeeld van een regel die gebruikmaakt van een aangepaste extensie-eigenschap is:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Eigenschappen van aangepaste extensies worden ook wel map- of Microsoft Entra-extensie-eigenschappen genoemd.
De naam van de aangepaste eigenschap vindt u in de map door een query uit te voeren op de eigenschap van een gebruiker met Behulp van Graph Explorer en de naam van de eigenschap te zoeken. U kunt nu ook de koppeling Aangepaste extensie-eigenschappen ophalen selecteren in de opbouwfunctie voor dynamische lidmaatschapsgroepen om een unieke app-id in te voeren en de volledige lijst met aangepaste extensie-eigenschappen te ontvangen die moeten worden gebruikt bij het maken van een regel voor dynamische lidmaatschapsgroepen. Deze lijst kan ook worden vernieuwd om nieuwe aangepaste extensie-eigenschappen voor die app op te halen. Extensiekenmerken en aangepaste extensie-eigenschappen moeten afkomstig zijn van toepassingen in uw tenant.
Zie De kenmerken in dynamische lidmaatschapsgroepen gebruiken in het artikel Microsoft Entra Connect Sync: Directory-extensies voor meer informatie.
Regels voor apparaten
U kunt ook een regel maken waarmee apparaatobjecten worden geselecteerd voor lidmaatschap van een groep. U kunt niet zowel gebruikers als apparaten als groepsleden hebben.
Notitie
Het organizationalUnit kenmerk wordt niet meer vermeld en mag niet worden gebruikt. Deze tekenreeks wordt in specifieke gevallen door Intune ingesteld, maar wordt niet herkend door Microsoft Entra ID, dus er worden geen apparaten toegevoegd aan groepen op basis van dit kenmerk.
Het systemlabels kenmerk is alleen-lezen en kan niet worden ingesteld met Intune.
Voor Windows 10 is de juiste indeling van het deviceOSVersion kenmerk als volgt: (device.deviceOSVersion -startsWith "10.0.1"). De opmaak kan worden gevalideerd met de PowerShell-cmdlet Get-MgDevice:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
De volgende apparaatkenmerken kunnen worden gebruikt.
| Apparaatkenmerk | Waarden | Voorbeeld |
|---|---|---|
| accountEnabled | waar onwaar | device.accountEnabled -eq true |
| deviceCategory | een geldige apparaatcategorienaam | device.deviceCategory -eq "BYOD" |
| deviceId | een geldige Microsoft Entra-apparaat-id | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
| deviceManagementAppId | een geldige MDM-toepassings-id in Microsoft Entra-id | device.deviceManagementAppId -eq "0000000a-0000-0000-c0000-0000000000000" voor Microsoft Intune beheerd of "54b943f8-d761-4f8d-951e-9cea1846db5a" voor Co-beheerde apparaten van System Center Configuration Manager |
| deviceManufacturer | een tekenreekswaarde | device.deviceManufacturer -eq "Samsung" |
| deviceModel | een tekenreekswaarde | device.deviceModel -eq "iPad Air" |
| displayName | een tekenreekswaarde | device.displayName -eq "Rob iPhone" |
| deviceOSType | een tekenreekswaarde | (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iOS") device.deviceOSType -startsWith "AndroidEnterprise" device.deviceOSType -eq "AndroidForWork" device.deviceOSType -eq "Windows" |
| deviceOSVersion | een tekenreekswaarde | device.deviceOSVersion -eq "9.1" device.deviceOSVersion -startsWith "10.0.1" |
| deviceOwnership | Persoonlijk, Bedrijf, Onbekend | device.deviceOwnership -eq "Company" |
| devicePhysicalIds | een tekenreekswaarde die wordt gebruikt door Autopilot, zoals alle Autopilot-apparaten, OrderID of PurchaseOrderID | device.devicePhysicalIDs -any _ -startsWith "[ZTDId]" (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881" (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
| deviceTrustType | AzureAD, ServerAD, Workplace | device.deviceTrustType -eq "AzureAD" |
| enrollmentProfileName | Naam van apple-apparaatinschrijvingsprofiel, naam van toegewezen inschrijvingsprofiel voor Android Enterprise-apparaten in bedrijfseigendom of naam van het Windows Autopilot-profiel | device.enrollmentProfileName -eq "DEP iPhones" |
| extensionAttribute1 | een tekenreekswaarde | device.extensionAttribute1 -eq "some string value" |
| extensionAttribute2 | een tekenreekswaarde | device.extensionAttribute2 -eq "some string value" |
| extensionAttribute3 | een tekenreekswaarde | device.extensionAttribute3 -eq "some string value" |
| extensionAttribute4 | een tekenreekswaarde | device.extensionAttribute4 -eq "some string value" |
| extensionAttribute5 | een tekenreekswaarde | device.extensionAttribute5 -eq "some string value" |
| extensionAttribute6 | een tekenreekswaarde | device.extensionAttribute6 -eq "some string value" |
| extensionAttribute7 | een tekenreekswaarde | device.extensionAttribute7 -eq "some string value" |
| extensionAttribute8 | een tekenreekswaarde | device.extensionAttribute8 -eq "some string value" |
| extensionAttribute9 | een tekenreekswaarde | device.extensionAttribute9 -eq "some string value" |
| extensionAttribute10 | een tekenreekswaarde | device.extensionAttribute10 -eq "some string value" |
| extensionAttribute11 | een tekenreekswaarde | device.extensionAttribute11 -eq "some string value" |
| extensionAttribute12 | een tekenreekswaarde | device.extensionAttribute12 -eq "some string value" |
| extensionAttribute13 | een tekenreekswaarde | device.extensionAttribute13 -eq "some string value" |
| extensionAttribute14 | een tekenreekswaarde | device.extensionAttribute14 -eq "some string value" |
| extensionAttribute15 | een tekenreekswaarde | device.extensionAttribute15 -eq "some string value" |
| isRooted | waar onwaar | device.isRooted -eq true |
| managementType | MDM (voor mobiele apparaten) | device.managementType -eq "MDM" |
| memberOf | Een tekenreekswaarde (geldige groepsobject-id) | device.memberOf -any (group.objectId -in ['value']) |
| objectId | een geldige Microsoft Entra-object-id | device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
| profileType | een geldig profieltype in Microsoft Entra-id | device.profileType -eq "RegisteredDevice" |
| systemLabels | een alleen-lezen tekenreeks die overeenkomt met de Intune-apparaateigenschap voor het taggen van moderne werkplekapparaten | device.systemLabels -startsWith "M365Managed" SystemLabels |
Notitie
Wanneer u systemLabelseen kenmerk met het kenmerk Alleen-lezen gebruikt dat wordt gebruikt in verschillende contexten, zoals apparaatbeheer en vertrouwelijkheidslabels, kan niet worden bewerkt via Intune.
Wanneer u deviceOwnership dynamische lidmaatschapsgroepen voor apparaten maakt, moet u de waarde instellen die gelijk is aan Company. In Intune wordt het eigendom van het apparaat in plaats daarvan weergegeven als Zakelijk. Zie OwnerTypes voor meer informatie.
deviceTrustType Wanneer u dynamische lidmaatschapsgroepen voor apparaten maakt, moet u de waarde instellen die gelijk is aan microsoft AzureAD Entra-gekoppelde apparaten, ServerAD om hybride gekoppelde Microsoft Entra-apparaten te vertegenwoordigen of Workplace om geregistreerde Microsoft Entra-apparaten te vertegenwoordigen.
Wanneer u extensionAttribute1-15 dynamische lidmaatschapsgroepen maakt voor apparaten, moet u de waarde voor extensionAttribute1-15 het apparaat instellen. Meer informatie over het schrijven extensionAttributes op een Microsoft Entra-apparaatobject
Volgende stappen
Deze artikelen bevatten aanvullende informatie over groepen in Microsoft Entra ID.