Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
U kunt regels op basis van gebruikers- of apparaatkenmerken maken om lidmaatschap in te schakelen voor dynamische lidmaatschapsgroepen in Microsoft Entra-id. U kunt dynamische lidmaatschapsgroepen automatisch toevoegen en verwijderen met behulp van lidmaatschapsregels op basis van lidkenmerken. In Microsoft Entra kan één tenant maximaal 15.000 dynamische lidmaatschapsgroepen hebben.
In dit artikel worden de eigenschappen en syntaxis beschreven voor het maken van regels voor dynamische lidmaatschapsgroepen op basis van gebruikers of apparaten.
Notitie
Beveiligingsgroepen kunnen apparaten of gebruikers bevatten, maar Microsoft 365-groepen kunnen alleen gebruikers bevatten.
Overwegingen voor dynamische lidmaatschapsgroepen
Wanneer de kenmerken van een gebruiker of apparaat worden gewijzigd, evalueert het systeem alle regels voor dynamische lidmaatschapsgroepen in een directory om te zien of de wijziging eventuele toevoegingen of verwijderingen van groepen activeert. Als gebruikers of apparaten voldoen aan een regel in een groep, worden ze toegevoegd als leden van die groep. Als ze niet meer voldoen aan de regel, worden ze verwijderd. U kunt geen lid van een dynamische lidmaatschapsgroep handmatig toevoegen of verwijderen.
Houd ook rekening met deze beperkingen:
- U kunt een dynamische lidmaatschapsgroep maken voor gebruikers of apparaten, maar u kunt geen regel maken die zowel gebruikers als apparaten bevat.
- U kunt geen apparaatlidmaatschapsgroep maken op basis van de gebruikerskenmerken van de eigenaar van het apparaat. Regels voor apparaatlidmaatschappen kunnen alleen verwijzen naar apparaatkenmerken.
Licentievoorwaarden
Voor de functie van dynamische lidmaatschapsgroepen is een Microsoft Entra ID P1-licentie of een Intune for Education-licentie vereist voor elke unieke gebruiker die lid is van een of meer dynamische lidmaatschapsgroepen. U hoeft geen licenties toe te wijzen aan gebruikers om lid te zijn van dynamische lidmaatschapsgroepen. Maar u moet het minimale aantal licenties in de Microsoft Entra-organisatie hebben om al deze gebruikers te kunnen behandelen.
Als u bijvoorbeeld in totaal 1000 unieke gebruikers hebt in alle dynamische lidmaatschapsgroepen in uw organisatie, hebt u ten minste 1000 licenties nodig voor Microsoft Entra ID P1 om te voldoen aan de licentievereiste.
Er is geen licentie vereist voor apparaten die lid zijn van een dynamische lidmaatschapsgroep op basis van een apparaat.
De opbouwfunctie voor regels in Azure Portal
Microsoft Entra ID biedt een opbouwfunctie voor regels om uw belangrijke regels sneller te maken en bij te werken. De opbouwfunctie voor regels ondersteunt de constructie van maximaal vijf expressies. U kunt de opbouwfunctie voor regels gebruiken om een regel te vormen met een paar eenvoudige expressies, maar u kunt deze niet gebruiken om elke regel te reproduceren. Als de opbouwfunctie voor regels de regel die u wilt maken niet ondersteunt, kunt u het tekstvak gebruiken.
Zie Een dynamische lidmaatschapsgroep maken of bijwerken voor stapsgewijze instructies.
Belangrijk
De opbouwfunctie voor regels is alleen beschikbaar voor dynamische lidmaatschapsgroepen op basis van gebruikers. U kunt op apparaten gebaseerde dynamische lidmaatschapsgroepen alleen maken met behulp van het tekstvak.
Hier volgen enkele voorbeelden van geavanceerde regels of syntaxis waarvoor het gebruik van het tekstvak is vereist:
- Regel met meer dan vijf expressies
- Regel voor direct ondergeschikten
- Regel met een
-containsof-notContainsoperator - Prioriteit van operator instellen
-
Regel met complexe expressies; bijvoorbeeld
(user.proxyAddresses -any (_ -startsWith "contoso"))
Notitie
De opbouwfunctie voor regels kan mogelijk geen regels weergeven die zijn gemaakt in het tekstvak. Mogelijk ziet u een bericht wanneer de opbouwfunctie voor regels de regel niet kan weergeven. De opbouwfunctie voor regels wijzigt de ondersteunde syntaxis, validatie of verwerking van regels voor dynamische lidmaatschapsgroepen op geen enkele manier.
Regelsyntaxis voor één expressie
Eén expressie is de eenvoudigste vorm van een lidmaatschapsregel. Een regel met één expressie heeft de vorm van <Property> <Operator> <Value>, waarbij de syntaxis voor de eigenschap de naam is van <object>.<property>.
In het volgende voorbeeld ziet u een correct samengestelde lidmaatschapsregel met één expressie:
user.department -eq "Sales"
Haakjes zijn optioneel voor één expressie. De totale lengte van de hoofdtekst van uw lidmaatschapsregel mag niet langer zijn dan 3072 tekens.
De hoofdtekst van een lidmaatschapsregel samenstellen
Een lidmaatschapsregel die automatisch een groep met gebruikers of apparaten invult, is een binaire expressie die resulteert in het resultaat True of False. De drie delen van een eenvoudige regel zijn:
- Eigendom
- Bediener
- Waarde
De volgorde van de onderdelen in een expressie is belangrijk om syntaxisfouten te voorkomen.
Ondersteunde eigenschappen
U kunt drie typen eigenschappen gebruiken om een lidmaatschapsregel samen te stellen:
- Booleaans
- Datum/tijd
- Snaar / Touwtje
- Tekenreeksverzameling
U kunt de volgende gebruikerseigenschappen gebruiken om één expressie te maken.
Eigenschappen van het type Booleaan
| Eigendom | Toegestane waarden | Gebruik |
|---|---|---|
accountEnabled |
true, false |
user.accountEnabled -eq true |
dirSyncEnabled |
true, false |
user.dirSyncEnabled -eq true |
Eigenschappen van type datum/tijd
| Eigendom | Toegestane waarden | Gebruik |
|---|---|---|
employeeHireDate (voorbeeld) |
Een DateTimeOffset waarde of trefwoord system.now |
user.employeeHireDate -eq "value" |
Eigenschappen van het type string
| Eigendom | Toegestane waarden | Gebruik |
|---|---|---|
city |
Een tekenreekswaarde of null |
user.city -eq "value" |
country |
Een tekenreekswaarde of null |
user.country -eq "value" |
companyName |
Een tekenreekswaarde of null |
user.companyName -eq "value" |
department |
Een tekenreekswaarde of null |
user.department -eq "value" |
displayName |
Elke tekenreekswaarde | user.displayName -eq "value" |
employeeId |
Elke tekenreekswaarde | user.employeeId -eq "value"user.employeeId -ne "null" |
facsimileTelephoneNumber |
Een tekenreekswaarde of null |
user.facsimileTelephoneNumber -eq "value" |
givenName |
Een tekenreekswaarde of null |
user.givenName -eq "value" |
jobTitle |
Een tekenreekswaarde of null |
user.jobTitle -eq "value" |
mail |
Een tekenreekswaarde of null (SMTP-adres van de gebruiker) |
user.mail -eq "value"user.mail -notEndsWith "@Contoso.com" |
mailNickName |
Een willekeurige tekenreekswaarde (e-mailalias van de gebruiker) | user.mailNickName -eq "value"user.mailNickname -endsWith "-vendor" |
memberOf |
Een tekenreekswaarde (geldige groepsobject-id) | user.memberOf -any (group.objectId -in ['value']) |
mobile |
Een tekenreekswaarde of null |
user.mobile -eq "value" |
objectId |
GUID van het gebruikersobject | user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
onPremisesDistinguishedName |
Een tekenreekswaarde of null |
user.onPremisesDistinguishedName -eq "value" |
onPremisesSecurityIdentifier |
On-premises beveiligings-id (SID) voor gebruikers die van on-premises naar de cloud zijn gesynchroniseerd | user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111" |
passwordPolicies |
None
DisablePasswordExpiration, DisableStrongPassword, DisablePasswordExpirationDisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
physicalDeliveryOfficeName |
Een tekenreekswaarde of null |
user.physicalDeliveryOfficeName -eq "value" |
postalCode |
Een tekenreekswaarde of null |
user.postalCode -eq "value" |
preferredLanguage |
ISO 639-1-code | user.preferredLanguage -eq "en-US" |
sipProxyAddress |
Een tekenreekswaarde of null |
user.sipProxyAddress -eq "value" |
state |
Een tekenreekswaarde of null |
user.state -eq "value" |
streetAddress |
Een tekenreekswaarde of null |
user.streetAddress -eq "value" |
surname |
Een tekenreekswaarde of null |
user.surname -eq "value" |
telephoneNumber |
Een tekenreekswaarde of null |
user.telephoneNumber -eq "value" |
usageLocation |
Land- of regiocode van twee letters | user.usageLocation -eq "US" |
userPrincipalName |
Elke tekenreekswaarde | user.userPrincipalName -eq "alias@domain" |
userType |
member, guest, null |
user.userType -eq "Member" |
Eigenschappen van een tekenreeksverzameling
| Eigendom | Toegestane waarden | Voorbeelden |
|---|---|---|
otherMails |
Elke tekenreekswaarde | user.otherMails -startsWith "alias@domain"user.otherMails -endsWith"@contoso.com" |
proxyAddresses |
SMTP: alias@domain, smtp: alias@domain |
user.proxyAddresses -startsWith "SMTP: alias@domain"user.proxyAddresses -notEndsWith "@outlook.com" |
Zie Regels voor apparaten voor de eigenschappen die worden gebruikt voor apparaatregels.
Ondersteunde expressieoperators
De volgende tabel geeft een lijst van alle ondersteunde operators en hun syntaxis voor één expressie. U kunt operatoren gebruiken met of zonder het voorvoegsel (-afbreekstreepje). De Contains operator komt gedeeltelijk overeen met tekenreeksen, maar komt niet overeen voor items in een verzameling.
Voorzichtigheid
Voor de beste resultaten minimaliseert u het gebruik van Match of Contains zo veel mogelijk. Het artikel Eenvoudigere, efficiëntere regels maken voor dynamische lidmaatschapsgroepen biedt richtlijnen voor het maken van regels die resulteren in betere dynamische groepsverwerkingstijden. De memberOf operator is in preview en heeft enkele beperkingen, dus gebruik deze met voorzichtigheid.
| Bediener | Syntaxis |
|---|---|
Ends With |
-endsWith |
Not Ends With |
-notEndsWith |
Not Equals |
-ne |
Equals |
-eq |
Not Starts With |
-notStartsWith |
Starts With |
-startsWith |
Not Contains |
-notContains |
Contains |
-contains |
Not Match |
-notMatch |
Match |
-match |
In |
-in |
Not In |
-notIn |
De operators -in en -notIn gebruiken
Als u de waarde van een gebruikerskenmerk wilt vergelijken met meerdere waarden, kunt u de -in of -notIn operator gebruiken. Gebruik de vierkante haken ([ en ]) om de lijst met waarden te beginnen en te beëindigen.
In het volgende voorbeeld evalueert de expressie naar true als de waarde van user.department gelijk is aan een van de waarden in de lijst.
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
De operatoren -le en -ge gebruiken
U kunt de operator kleiner dan (-le) of groter dan (-ge) gebruiken wanneer u het employeeHireDate kenmerk gebruikt in regels voor dynamische lidmaatschapsgroepen.
Hier volgen enkele voorbeelden:
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
De operator -match gebruiken
U kunt de -match operator gebruiken voor het vergelijken van elke reguliere expressie.
In het volgende voorbeeld evalueren Da, Dav, en David tot true.
aDa resulteert in false.
user.displayName -match "^Da.*"
Voor het volgende voorbeeld evalueert David naar true.
Da resulteert in false.
user.displayName -match ".*vid"
Ondersteunde waarden
De waarden die u in een expressie gebruikt, kunnen bestaan uit verschillende typen:
- Tekenreeksen
- Booleaans (
true,false) - Nummers
- Matrices (getalmatrix, tekenreeksmatrix)
Wanneer u een waarde in een expressie opgeeft, is het belangrijk dat u de juiste syntaxis gebruikt om fouten te voorkomen. Hier volgen enkele syntaxistips:
- Dubbele aanhalingstekens zijn optioneel, tenzij de waarde een tekenreeks is.
- Regex- en stringbewerkingen zijn niet hoofdlettergevoelig.
- Zorg ervoor dat eigenschapsnamen correct zijn opgemaakt zoals getoond, omdat ze hoofdlettergevoelig zijn.
- Wanneer een tekenreekswaarde dubbele aanhalingstekens bevat, moet u beide aanhalingstekens escapen met behulp van het teken backslash (
\). User.department -eq 'Sales' is bijvoorbeeld de juiste syntaxis wanneerSalesdit de waarde is. Escape enkele aanhalingstekens door steeds twee enkele aanhalingstekens te gebruiken in plaats van één. - U kunt ook null-controles uitvoeren met behulp van
nullals een waarde,user.department -eq nullbijvoorbeeld.
Gebruik van null-waarden
Een waarde in een regel opgeven null :
- Gebruik
-eqof-newanneer u denullwaarde in een expressie vergelijkt. - Gebruik alleen aanhalingstekens rond het woord
nullals u wilt dat het wordt geïnterpreteerd als een letterlijke tekenreekswaarde. - Gebruik de
-notoperator niet als een vergelijkende operator voor de null-waarde. Als u deze gebruikt, krijgt u een foutmelding of u deze gebruiktnullof$null.
De juiste manier om naar de null waarde te verwijzen, is als volgt:
user.mail –ne null
Regels met meerdere expressies
Regels voor dynamische lidmaatschapsgroepen kunnen bestaan uit meer dan één expressie die is verbonden door de -and-or, en -not logische operators. U kunt ook logische operators in combinatie gebruiken.
Hier volgen enkele voorbeelden van goed samengestelde lidmaatschapsregels met meerdere expressies:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
Operatorprioriteit
In de volgende lijst ziet u alle operators in volgorde van prioriteit van hoog naar laag. Operators op dezelfde regel hebben dezelfde prioriteit.
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
In het volgende voorbeeld ziet u de prioriteit van de operator waarbij twee expressies worden geëvalueerd voor de gebruiker:
user.department –eq "Marketing" –and user.country –eq "US"
U hebt haakjes alleen nodig wanneer prioriteit niet aan uw vereisten voldoet. Als u bijvoorbeeld wilt dat de afdeling eerst wordt geëvalueerd, ziet u in de volgende code hoe u haakjes kunt gebruiken om de volgorde te bepalen:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Regels met complexe expressies
Een lidmaatschapsregel kan bestaan uit complexe expressies waarbij de eigenschappen, operators en waarden meer complexe vormen hebben. Expressies worden beschouwd als complex wanneer een van de volgende punten waar is:
- De eigenschap bestaat uit een verzameling waarden; met name eigenschappen met meerdere waarden.
- De expressies gebruiken de
-anyen-alloperators. - De waarde van de expressie kan zelf een of meer expressies zijn.
Eigenschappen met meerdere waarden
Eigenschappen met meerdere waarden zijn verzamelingen objecten van hetzelfde type. U kunt deze gebruiken om lidmaatschapsregels te maken met behulp van de -any en -all logische operators.
| Eigendom | Waarden | Gebruik |
|---|---|---|
assignedPlans |
Elk object in de verzameling bevat de volgende tekenreekseigenschappen: capabilityStatus, , serviceservicePlanId |
user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled") |
proxyAddresses |
SMTP: alias@domain, smtp: alias@domain |
(user.proxyAddresses -any (\_ -startsWith "contoso")) |
De operators -any en -all gebruiken
U kunt de volgende operators gebruiken om een voorwaarde toe te passen op een of alle items in de verzameling:
-
-any: Voldaan wanneer ten minste één item in de verzameling overeenkomt met de voorwaarde. -
-all: Voldaan wanneer alle items in de verzameling overeenkomen met de voorwaarde.
Voorbeeld 1
assignedPlans is een eigenschap met meerdere waarden waarin alle serviceplannen worden vermeld die aan de gebruiker zijn toegewezen. Met de volgende expressie worden gebruikers geselecteerd die het Exchange Online-serviceabonnement (abonnement 2) hebben (als een GUID-waarde) die zich ook in een Enabled status bevindt:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
U kunt een regel zoals deze gebruiken om alle gebruikers te groeperen voor wie een Microsoft 365- of andere mogelijkheid voor Microsoft Online Services is ingeschakeld. Vervolgens kunt u de regel met een set beleidsregels toepassen op de groep.
Voorbeeld 2
Met de volgende expressie worden alle gebruikers geselecteerd die een serviceplan hebben dat is gekoppeld aan de Intune-service (geïdentificeerd door de servicenaam SCO):
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Voorbeeld 3
Met de volgende expressie worden alle gebruikers geselecteerd die geen toegewezen serviceabonnement hebben:
user.assignedPlans -all (assignedPlan.servicePlanId -eq null)
De syntaxis van het onderstrepingsteken (_) gebruiken
De syntaxis van het onderstrepingsteken (_) komt overeen met exemplaren van een specifieke waarde in een van de verzamelingseigenschappen met meerdere waarden om gebruikers of apparaten toe te voegen aan een dynamische lidmaatschapsgroep. U gebruikt het met de -any of -all operator.
Hier volgt een voorbeeld van het gebruik van het onderstrepingsteken in een regel om leden toe te voegen op basis van user.proxyAddress. (Het werkt hetzelfde voor user.otherMails.) Met deze regel wordt elke gebruiker met een proxyadres toegevoegd waarmee wordt begonnen met contoso de groep.
(user.proxyAddresses -any (_ -startsWith "contoso"))
Andere eigenschappen en algemene regels
Een regel maken voor direct ondergeschikten
U kunt een groep maken die alle direct ondergeschikten van een manager bevat. Wanneer de direct ondergeschikten van de manager in de toekomst worden gewijzigd, wordt het lidmaatschap van de groep automatisch aangepast.
U maakt de regel voor ondergeschikten die direct aan u rapporteren met behulp van de volgende syntaxis:
Direct Reports for "{objectID_of_manager}"
Hier volgt een voorbeeld van een geldige regel, waarbij aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb de object-id van de manager is:
Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
Met de volgende tips kunt u de regel op de juiste manier gebruiken:
- De manager-id is de object-id van de manager. U vindt deze in het profiel van de manager.
- Zorg ervoor dat de
Managereigenschap juist is ingesteld voor gebruikers in uw organisatie om de regel te laten werken. U kunt de huidige waarde in het profiel van de gebruiker controleren. - Deze regel ondersteunt alleen de direct ondergeschikten van de manager. U kunt geen groep maken met de direct ondergeschikten van de manager en de bijbehorende rapporten.
- U kunt deze regel niet combineren met andere lidmaatschapsregels.
Een regel maken voor alle gebruikers
U kunt een groep maken die alle gebruikers binnen een organisatie bevat met behulp van een lidmaatschapsregel. Wanneer gebruikers in de toekomst worden toegevoegd aan of verwijderd uit de organisatie, wordt het lidmaatschap van de groep automatisch aangepast.
U maakt de regel voor alle gebruikers met één expressie die de -ne operator en de null waarde bevat. Deze regel voegt business-to-business gastgebruikers en lidgebruikers toe aan de groep.
user.objectId -ne null
Als u wilt dat uw groep gastgebruikers uitsluit en alleen leden van uw organisatie opneemt, kunt u de volgende syntaxis gebruiken:
(user.objectId -ne null) -and (user.userType -eq "Member")
Een regel maken voor alle apparaten
U kunt een groep maken die alle apparaten binnen een organisatie bevat met behulp van een lidmaatschapsregel. Wanneer apparaten in de toekomst worden toegevoegd aan of verwijderd uit de organisatie, wordt het lidmaatschap van de groep automatisch aangepast.
U maakt de regel voor alle apparaten met behulp van één expressie die de -ne operator en de null waarde bevat:
device.objectId -ne null
Extensiekenmerken en aangepaste extensie-eigenschappen
Extensiekenmerken en aangepaste extensie-eigenschappen worden ondersteund als tekenreekseigenschappen in regels voor dynamische lidmaatschapsgroepen.
U kunt extensiekenmerken synchroniseren vanuit on-premises Windows Server Active Directory. U kunt ook uitbreidingskenmerken bijwerken met Behulp van Microsoft Graph.
Extensiekenmerken hebben de indeling van ExtensionAttribute<X>, waar <X> gelijk is aan 1-15. Uitbreidingseigenschappen met meerdere waarden worden niet ondersteund in regels voor dynamische lidmaatschapsgroepen.
Hier volgt een voorbeeld van een regel die waarin gebruik wordt gemaakt van een uitbreidingskenmerk als eigenschap:
(user.extensionAttribute15 -eq "Marketing")
U kunt aangepaste extensie-eigenschappen synchroniseren vanuit on-premises Windows Server Active Directory of vanuit een SaaS-toepassing (Software as a Service). U kunt aangepaste extensie-eigenschappen maken met behulp van Microsoft Graph.
Aangepaste extensie-eigenschappen hebben de opmaak van user.extension_[GUID]_[Attribute], waarbij:
-
[GUID]is de gestripte versie van de unieke identificatie in Microsoft Entra ID voor de toepassing die de eigenschap heeft aangemaakt. Het bevat alleen tekens 0-9 en A-Z. -
[Attribute]is de naam waarmee de eigenschap is aangemaakt.
Een voorbeeld van een regel waarin gebruik wordt gemaakt van een aangepaste extensie-eigenschap is:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Eigenschappen van aangepaste extensies worden ook wel map- of Microsoft Entra-extensie-eigenschappen genoemd.
U vindt de naam van de aangepaste eigenschap in de map door een query uit te voeren op de eigenschap van een gebruiker in Graph Explorer en de naam van de eigenschap te zoeken. U kunt nu ook de koppeling Aangepaste extensie-eigenschappen ophalen selecteren in de opbouwfunctie voor dynamische regels om een unieke app-id in te voeren en de volledige lijst met aangepaste extensie-eigenschappen te ontvangen die moeten worden gebruikt bij het maken van een regel voor dynamische lidmaatschapsgroepen. U kunt deze lijst vernieuwen om nieuwe aangepaste extensie-eigenschappen voor die app op te halen. Extensiekenmerken en aangepaste extensie-eigenschappen moeten afkomstig zijn van toepassingen in uw tenant.
Zie De kenmerken in dynamische lidmaatschapsgroepen gebruiken voor meer informatie.
Regels voor apparaten
U kunt een regel maken waarmee apparaatobjecten worden geselecteerd voor lidmaatschap van een groep. U kunt niet zowel gebruikers als apparaten als groepsleden hebben.
Notitie
Het organizationalUnit kenmerk wordt niet meer vermeld en u moet het niet gebruiken. Intune stelt deze tekenreeks in specifieke gevallen in, maar de Microsoft Entra-id herkent deze niet. Er worden geen apparaten toegevoegd aan groepen op basis van dit kenmerk.
Het systemlabels kenmerk is alleen-lezen. U kunt deze niet instellen met Intune.
Voor Windows 10 is de juiste formaat van het kenmerk deviceOSVersiondevice.deviceOSVersion -startsWith "10.0.1". U kunt de opmaak valideren met behulp van de Get-MgDevice PowerShell-cmdlet:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
U kunt de volgende apparaatkenmerken gebruiken.
| Apparaatkenmerk | Waarden | Voorbeelden |
|---|---|---|
accountEnabled |
true, false |
device.accountEnabled -eq true |
deviceCategory |
Een geldige apparaatcategorienaam | device.deviceCategory -eq "BYOD" |
deviceId |
Een geldige Microsoft Entra-apparaat-id | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
deviceManagementAppId |
Een geldige toepassings-id voor mobile device management in Microsoft Entra ID |
device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" voor door Microsoft Intune beheerde apparaten"54b943f8-d761-4f8d-951e-9cea1846db5a" voor co-beheerde System Center Configuration Manager-apparaten |
deviceManufacturer |
Elke tekenreekswaarde | device.deviceManufacturer -eq "Samsung" |
deviceModel |
Elke tekenreekswaarde | device.deviceModel -eq "iPad Air" |
displayName |
Elke tekenreekswaarde | device.displayName -eq "Rob iPhone" |
deviceOSType |
Elke tekenreekswaarde | (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iOS")device.deviceOSType -startsWith "AndroidEnterprise"device.deviceOSType -eq "AndroidForWork"device.deviceOSType -eq "Windows" |
deviceOSVersion |
Elke tekenreekswaarde | device.deviceOSVersion -eq "9.1"device.deviceOSVersion -startsWith "10.0.1" |
deviceOwnership
1 |
Personal, Company, Unknown |
device.deviceOwnership -eq "Company" |
devicePhysicalIds |
Een tekenreekswaarde die door Windows Autopilot wordt gebruikt, zoals alle Windows Autopilot-apparaten, OrderIDof PurchaseOrderID |
device.devicePhysicalIDs -any _ -startsWith "[ZTDId]"device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881"device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
deviceTrustType
2 |
AzureAD, ServerAD, Workplace |
device.deviceTrustType -eq "AzureAD" |
enrollmentProfileName |
Profielnaam voor Apple Automated Device Enrollment, Android Enterprise-apparaatinschrijving in bedrijfseigendom, of Windows Autopilot | device.enrollmentProfileName -eq "DEP iPhones" |
extensionAttribute1
3 |
Elke tekenreekswaarde | device.extensionAttribute1 -eq "some string value" |
extensionAttribute2 |
Elke tekenreekswaarde | device.extensionAttribute2 -eq "some string value" |
extensionAttribute3 |
Elke tekenreekswaarde | device.extensionAttribute3 -eq "some string value" |
extensionAttribute4 |
Elke tekenreekswaarde | device.extensionAttribute4 -eq "some string value" |
extensionAttribute5 |
Elke tekenreekswaarde | device.extensionAttribute5 -eq "some string value" |
extensionAttribute6 |
Elke tekenreekswaarde | device.extensionAttribute6 -eq "some string value" |
extensionAttribute7 |
Elke tekenreekswaarde | device.extensionAttribute7 -eq "some string value" |
extensionAttribute8 |
Elke tekenreekswaarde | device.extensionAttribute8 -eq "some string value" |
extensionAttribute9 |
Elke tekenreekswaarde | device.extensionAttribute9 -eq "some string value" |
extensionAttribute10 |
Elke tekenreekswaarde | device.extensionAttribute10 -eq "some string value" |
extensionAttribute11 |
Elke tekenreekswaarde | device.extensionAttribute11 -eq "some string value" |
extensionAttribute12 |
Elke tekenreekswaarde | device.extensionAttribute12 -eq "some string value" |
extensionAttribute13 |
Elke tekenreekswaarde | device.extensionAttribute13 -eq "some string value" |
extensionAttribute14 |
Elke tekenreekswaarde | device.extensionAttribute14 -eq "some string value" |
extensionAttribute15 |
Elke tekenreekswaarde | device.extensionAttribute15 -eq "some string value" |
isRooted |
true, false |
device.isRooted -eq true |
managementType |
Beheer van mobiele apparaten (voor mobiele apparaten) | device.managementType -eq "MDM" |
memberOf |
Een tekenreekswaarde (geldige groepsobject-id) | device.memberOf -any (group.objectId -in ['value']) |
objectId |
Een geldige Microsoft Entra-object-id | device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
profileType |
Een geldig profieltype in Microsoft Entra-id | device.profileType -eq "RegisteredDevice" |
systemLabels
4 |
Een alleen-lezen tekenreeks die overeenkomt met de Intune-apparaateigenschap voor het taggen van Moderne Werkplek-apparaten | device.systemLabels -startsWith "M365Managed" SystemLabels |
1 Wanneer u deviceOwnership dynamische lidmaatschapsgroepen voor apparaten maakt, moet u de waarde instellen die gelijk is aan Company. In Intune wordt het eigendom van het apparaat weergegeven als Corporate. Zie ownerTypes voor meer informatie.
2 Wanneer u deviceTrustType dynamische lidmaatschapsgroepen voor apparaten maakt, moet u de waarde instellen die gelijk is aan microsoft AzureAD Entra-gekoppelde apparaten, ServerAD om hybride gekoppelde Microsoft Entra-apparaten te vertegenwoordigen of Workplace om geregistreerde Microsoft Entra-apparaten te vertegenwoordigen.
3 Wanneer u extensionAttribute1-15 dynamische lidmaatschapsgroepen voor apparaten maakt, moet u de waarde voor extensionAttribute1-15 het apparaat instellen.
Meer informatie over het schrijven extensionAttributes op een Microsoft Entra-apparaatobject.
4 Wanneer u gebruikt systemLabels, kan een kenmerk dat alleen-lezen wordt gebruikt in verschillende contexten (zoals apparaatbeheer en vertrouwelijkheidslabels) niet worden bewerkt via Intune.