Zarządzanie regułami dla dynamicznych grup członkostwa w usłudze Microsoft Entra ID
Możesz utworzyć reguły oparte na atrybutach użytkowników lub urządzeń, aby umożliwić członkostwo w dynamicznych grupach członkostwa w usłudze Microsoft Entra ID, część firmy Microsoft Entra. Dynamiczne grupy członkostwa można dodawać i usuwać automatycznie przy użyciu reguł członkostwa na podstawie atrybutów składowych. W usłudze Microsoft Entra jedna dzierżawa może mieć maksymalnie 15 000 dynamicznych grup członkostwa.
W tym artykule szczegółowo przedstawiono właściwości i składnię tworzenia reguł dla dynamicznych grup członkostwa na podstawie użytkowników lub urządzeń.
Nuta
Grupy zabezpieczeń mogą być używane dla urządzeń lub użytkowników, ale grupy platformy Microsoft 365 mogą zawierać tylko użytkowników.
Gdy atrybuty użytkownika lub urządzenia zmienią się, system ocenia wszystkie reguły dla dynamicznych grup członkostwa w katalogu, aby sprawdzić, czy zmiana spowoduje dodanie lub usunięcie dowolnej grupy. Jeśli użytkownik lub urządzenie spełnia regułę grupy, są one dodawane jako członek tej grupy. Jeśli reguła nie spełnia już wymagań, zostaną usunięte. Nie można ręcznie dodać ani usunąć członka grupy członkostwa dynamicznego.
- Możesz utworzyć dynamiczne grupy członkostwa dla użytkowników lub urządzeń, ale nie można utworzyć reguły zawierającej zarówno użytkowników, jak i urządzeń.
- Nie można utworzyć grupy członkostwa urządzeń na podstawie atrybutów użytkownika właściciela urządzenia. Reguły członkostwa urządzeń mogą odwoływać się tylko do atrybutów urządzeń.
Nuta
Ta funkcja wymaga licencji microsoft Entra ID P1 lub usługi Intune for Education dla każdego unikatowego użytkownika, który jest członkiem co najmniej jednej dynamicznej grupy członkostwa. Nie musisz przypisywać licencji do użytkowników, aby należeli do dynamicznych grup członkostwa, ale musisz mieć minimalną liczbę licencji w organizacji Microsoft Entra, aby objąć wszystkich takich użytkowników. Jeśli na przykład masz łącznie 1000 unikatowych użytkowników we wszystkich dynamicznych grupach członkostwa w organizacji, potrzebujesz co najmniej 1000 licencji dla firmy Microsoft Entra ID P1, aby spełnić wymagania licencyjne. Nie jest wymagana licencja dla urządzeń, które są członkami dynamicznej grupy członkostwa na podstawie urządzenia.
Konstruktor reguł w witrynie Azure Portal
Identyfikator Entra firmy Microsoft udostępnia konstruktor reguł do szybszego tworzenia i aktualizowania ważnych reguł. Konstruktor reguł obsługuje konstrukcję maksymalnie pięciu wyrażeń. Konstruktor reguł ułatwia tworzenie reguły za pomocą kilku prostych wyrażeń, jednak nie można jej używać do odtworzenia każdej reguły. Jeśli konstruktor reguł nie obsługuje reguły, którą chcesz utworzyć, możesz użyć pola tekstowego.
Oto kilka przykładów zaawansowanych reguł lub składni, które wymagają użycia pola tekstowego:
- Reguła z więcej niż pięcioma wyrażeniami
- Reguła raportów bezpośrednich
- Reguły z operatorem -contains lub -notContains
- Ustawianie pierwszeństwa operatora
- Reguły z wyrażeniami złożonymi, na przykład
(user.proxyAddresses -any (_ -startsWith "contoso"))
Nuta
Konstruktor reguł może nie być w stanie wyświetlić niektórych reguł skonstruowanych w polu tekstowym. Może zostać wyświetlony komunikat, gdy konstruktor reguł nie może wyświetlić reguły. Konstruktor reguł nie zmienia obsługiwanej składni, walidacji ani przetwarzania reguł dla dynamicznych grup członkostwa w żaden sposób.
Aby uzyskać więcej instrukcji krok po kroku, zobacz Tworzenie lub aktualizowanie dynamicznej grupy członkostwa.
Składnia reguły dla pojedynczego wyrażenia
Pojedyncze wyrażenie jest najprostszą formą reguły członkostwa i ma tylko trzy części wymienione powyżej. Reguła z pojedynczym wyrażeniem wygląda podobnie do tego przykładu: Property Operator Value, gdzie składnia właściwości to nazwa object.property.
Poniższy przykład ilustruje prawidłowo skonstruowaną regułę członkostwa z pojedynczym wyrażeniem:
user.department -eq "Sales"
Nawiasy są opcjonalne dla pojedynczego wyrażenia. Całkowita długość treści reguły członkostwa nie może przekraczać 3072 znaków.
Konstruowanie treści reguły członkostwa
Reguła członkostwa, która automatycznie wypełnia grupę użytkownikami lub urządzeniami, jest wyrażeniem binarnym, które powoduje wynik true lub false. Trzy części prostej reguły to:
- Własność
- Operator
- Wartość
Kolejność części w wyrażeniu jest ważna, aby uniknąć błędów składniowych.
Obsługiwane właściwości
Istnieją trzy typy właściwości, których można użyć do konstruowania reguły członkostwa.
- Boolowski
- Data/godzina
- Struna
- Kolekcja ciągów
Poniżej przedstawiono właściwości użytkownika, których można użyć do utworzenia pojedynczego wyrażenia.
Właściwości typu logicznego
| Właściwości | Dozwolone wartości | Zwyczaj |
|---|---|---|
| accountEnabled | true false | user.accountEnabled -eq true |
| dirSyncEnabled | true false | user.dirSyncEnabled -eq true |
Właściwości typu dateTime
| Właściwości | Dozwolone wartości | Zwyczaj |
|---|---|---|
| employeeHireDate (wersja zapoznawcza) | Dowolna wartość DateTimeOffset lub system słowa kluczowego.now | user.employeeHireDate -eq "value" |
Właściwości ciągu typu
| Właściwości | Dozwolone wartości | Zwyczaj |
|---|---|---|
| miasto | Dowolna wartość ciągu lub wartość null | user.city -eq "value" |
| kraj | Dowolna wartość ciągu lub wartość null | user.country -eq "value" |
| nazwa_firmy | Dowolna wartość ciągu lub wartość null | user.companyName -eq "value" |
| dział | Dowolna wartość ciągu lub wartość null | user.department -eq "value" |
| displayName | Dowolna wartość ciągu | user.displayName -eq "value" |
| employeeId | Dowolna wartość ciągu | user.employeeId -eq "value" user.employeeId -ne null |
| facsimileTelephoneNumber | Dowolna wartość ciągu lub wartość null | user.facsimileTelephoneNumber -eq "value" |
| givenName | Dowolna wartość ciągu lub wartość null | user.givenName -eq "value" |
| jobTitle | Dowolna wartość ciągu lub wartość null | user.jobTitle -eq "value" |
| poczta | Dowolna wartość ciągu lub wartość null (adres SMTP użytkownika) | user.mail -eq "value" |
| mailNickName | Dowolna wartość ciągu (alias poczty użytkownika) | user.mailNickName -eq "value" |
| memberOf | Dowolna wartość ciągu (prawidłowy identyfikator obiektu grupy) | user.memberOf -any (group.objectId -in ['value']) |
| ruchomy | Dowolna wartość ciągu lub wartość null | user.mobile -eq "value" |
| objectId | Identyfikator GUID obiektu użytkownika | user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbb" |
| onPremisesDistinguishedName | Dowolna wartość ciągu lub wartość null | user.onPremisesDistinguishedName -eq "value" |
| onPremisesSecurityIdentifier | Lokalny identyfikator zabezpieczeń (SID) dla użytkowników, którzy zostali zsynchronizowani ze środowiska lokalnego do chmury. | user.onPremisesSecurityIdentifier -eq "S-1-1-11-11111111111-11111111111-111111111111- 11111111" |
| passwordPolicies | Żaden DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
| physicalDeliveryOfficeName | Dowolna wartość ciągu lub wartość null | user.physicalDeliveryOfficeName -eq "value" |
| postalCode | Dowolna wartość ciągu lub wartość null | user.postalCode -eq "value" |
| preferredLanguage | Kod ISO 639-1 | user.preferredLanguage -eq "en-US" |
| sipProxyAddress | Dowolna wartość ciągu lub wartość null | user.sipProxyAddress -eq "value" |
| stan | Dowolna wartość ciągu lub wartość null | user.state -eq "value" |
| streetAddress | Dowolna wartość ciągu lub wartość null | user.streetAddress -eq "value" |
| nazwisko | Dowolna wartość ciągu lub wartość null | user.surname -eq "value" |
| numer telefonu | Dowolna wartość ciągu lub wartość null | user.phoneNumber -eq "value" |
| usageLocation | Dwuliterowy kod kraju lub regionu | user.usageLocation -eq "US" |
| userPrincipalName | Dowolna wartość ciągu | user.userPrincipalName -eq "alias@domain" |
| userType | wartość null gościa elementu członkowskiego | user.userType -eq "Członek" |
Właściwości kolekcji ciągów typów
| Właściwości | Dozwolone wartości | Przykład |
|---|---|---|
| otherMails | Dowolna wartość ciągu | user.otherMails -startsWith "alias@domain" |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | user.proxyAddresses -startsWith "SMTP: alias@domain" |
Aby uzyskać właściwości używane dla reguł urządzeń, zobacz Reguły dla urządzeń.
Obsługiwane operatory wyrażeń
W poniższej tabeli wymieniono wszystkie obsługiwane operatory i ich składnię dla pojedynczego wyrażenia. Operatory mogą być używane z prefiksem łącznika (-). Operator Contains nie pasuje do częściowego ciągu, ale nie pasuje do elementu w kolekcji.
| Operator | Składnia |
|---|---|
| Nie równa się | -Ne |
| Equals | -Eq |
| Nie zaczyna się od | -notStartsWith |
| Rozpoczyna się od | -startsWith |
| Nie zawiera | -notContains |
| Contains | -Contains |
| Niezgodne | -notMatch |
| Zapałka | -zapałka |
| W | -w |
| Nie w | -notIn |
Używanie operatorów -in i -notIn
Jeśli chcesz porównać wartość atrybutu użytkownika z wieloma wartościami, możesz użyć operatorów -in lub -notIn. Użyj symboli nawiasów "[" i "]", aby rozpocząć i zakończyć listę wartości.
W poniższym przykładzie wyrażenie daje wartość true, jeśli wartość user.department jest równa dowolnej wartości na liście:
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
Używanie operatorów -le i -ge
W przypadku używania atrybutu employeeHireDate w regułach dla grup członkostwa dynamicznego można użyć operatora mniejszego niż (-le) lub większego niż (-ge).
Przykłady:
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
Korzystanie z operatora -match
Operator -match służy do dopasowywania dowolnego wyrażenia regularnego. Przykłady:
user.displayName -match "^Da.*"
Da, Dav, David daje wartość true, aDa daje wartość false.
user.displayName -match ".*vid"
David oblicza wartość true, Da oblicza wartość false.
Obsługiwane wartości
Wartości używane w wyrażeniu mogą składać się z kilku typów, w tym:
- Ciągi
- Wartość logiczna — prawda, fałsz
- Liczby
- Tablice — tablica liczbowa, tablica ciągów
Podczas określania wartości w wyrażeniu należy użyć poprawnej składni, aby uniknąć błędów. Oto kilka wskazówek dotyczących składni:
- Cudzysłowy podwójne są opcjonalne, chyba że wartość jest ciągiem.
- Operacje wyrażeń regularnych i ciągów nie są uwzględniane wielkości liter.
- Upewnij się, że nazwy właściwości są poprawnie sformatowane, jak pokazano, ponieważ są uwzględniane wielkość liter.
- Jeśli wartość ciągu zawiera cudzysłowy podwójne, oba cudzysłowy powinny zostać uniknięte przy użyciu znaku ", na przykład user.department -eq "Sales" jest właściwą składnią, gdy wartość to "Sales". Pojedyncze cudzysłów należy unikać przy użyciu dwóch pojedynczych cudzysłowów zamiast jednego za każdym razem.
- Możesz również wykonać kontrole wartości Null, używając wartości null jako wartości, na przykład
user.department -eq null.
Używanie wartości null
Aby określić wartość null w regule, możesz użyć wartości null .
- Użyj -eq lub -ne podczas porównywania wartości null w wyrażeniu.
- Użyj cudzysłowów wokół słowa null tylko wtedy, gdy chcesz, aby był interpretowany jako wartość ciągu literału.
- Operator -not nie może być używany jako operator porównawczy dla wartości null. Jeśli go używasz, wystąpi błąd niezależnie od tego, czy używasz wartości null, czy $null.
Prawidłowy sposób odwołowania się do wartości null jest następujący:
user.mail –ne null
Reguły z wieloma wyrażeniami
Zarządzanie regułami dla dynamicznych grup członkostwa może składać się z więcej niż jednego wyrażenia połączonego za pomocą operatorów logicznych -i, -lub i -, a nie . Operatory logiczne mogą być również używane w połączeniu.
Poniżej przedstawiono przykłady prawidłowo skonstruowanych reguł członkostwa z wieloma wyrażeniami:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
Priorytet
Wszystkie operatory są wymienione poniżej w kolejności od najwyższego do najniższego. Operatory w tym samym wierszu mają równe pierwszeństwo:
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
W poniższym przykładzie pokazano pierwszeństwo operatora, w którym są oceniane dwa wyrażenia dla użytkownika:
user.department –eq "Marketing" –and user.country –eq "US"
Nawiasy są potrzebne tylko wtedy, gdy pierwszeństwo nie spełnia wymagań. Jeśli na przykład chcesz, aby dział był oceniany jako pierwszy, poniżej pokazano, jak można użyć nawiasów do określenia kolejności:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Reguły z wyrażeniami złożonymi
Reguła członkostwa może składać się z złożonych wyrażeń, w których właściwości, operatory i wartości przyjmują bardziej złożone formy. Wyrażenia są uznawane za złożone, gdy którekolwiek z następujących warunków są prawdziwe:
- Właściwość składa się z kolekcji wartości; w szczególności właściwości wielowartościowe
- Wyrażenia używają operatorów -any i -all
- Wartość wyrażenia może być co najmniej jednym wyrażeniem
Właściwości wielowartościowe
Właściwości wielowartościowe to kolekcje obiektów tego samego typu. Mogą służyć do tworzenia reguł członkostwa przy użyciu operatorów logicznych -any i -all.
| Właściwości | Wartości | Zwyczaj |
|---|---|---|
| assignedPlans | Każdy obiekt w kolekcji uwidacznia następujące właściwości ciągu: capabilityStatus, service, servicePlanId | user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeee4e4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled") |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | (user.proxyAddresses -any (_ -startsWith "contoso")) |
Używanie operatorów -any i -all
Można użyć operatorów -any i -all, aby zastosować warunek odpowiednio do jednego lub wszystkich elementów w kolekcji.
- -any (spełniony, gdy co najmniej jeden element w kolekcji pasuje do warunku)
- -all (spełnione, gdy wszystkie elementy w kolekcji są zgodne z warunkiem)
Przykład 1
assignedPlans to właściwość wielowartość zawierająca listę wszystkich planów usług przypisanych do użytkownika. Następujące wyrażenie wybiera użytkowników, którzy mają plan usługi Exchange Online (plan 2) (jako wartość identyfikatora GUID), który jest również w stanie Włączone:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
Reguła taka jak ta może służyć do grupowania wszystkich użytkowników, dla których włączono usługę Microsoft 365 lub inną funkcję usługi online firmy Microsoft. Następnie można zastosować zestaw zasad do grupy.
Przykład 2
Następujące wyrażenie wybiera wszystkich użytkowników, którzy mają dowolny plan usługi skojarzony z usługą Intune (identyfikowany przez nazwę usługi "SCO"):
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Przykład 3
Następujące wyrażenie wybiera wszystkich użytkowników, którzy nie mają przypisanego planu usługi:
user.assignedPlans -all (assignedPlan.servicePlanId -eq null)
Używanie składni podkreślenia (_)
Składnia podkreślenia (_) pasuje do wystąpień określonej wartości w jednej z wielowartościowych właściwości kolekcji ciągów w celu dodania użytkowników lub urządzeń do dynamicznej grupy członkostwa. Jest on używany z operatorami -any lub -all.
Oto przykład użycia podkreślenia (_) w regule w celu dodania elementów członkowskich na podstawie elementu user.proxyAddress (działa on tak samo w przypadku elementu user.otherMails). Ta reguła dodaje dowolnego użytkownika z adresem proxy rozpoczynającym się od "contoso" do grupy.
(user.proxyAddresses -any (_ -startsWith "contoso"))
Inne właściwości i typowe reguły
Tworzenie reguły "Raporty bezpośrednie"
Możesz utworzyć grupę zawierającą wszystkie bezpośrednie raporty menedżera. Gdy bezpośrednie raporty menedżera zmienią się w przyszłości, członkostwo grupy zostanie automatycznie dostosowane.
Reguła raportów bezpośrednich jest tworzona przy użyciu następującej składni:
Direct Reports for "{objectID_of_manager}"
Oto przykład prawidłowej reguły, gdzie "aaaa-0000-1111-2222-bbbbbbbbbb" jest objectID menedżera:
Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
Poniższe porady mogą pomóc w prawidłowym użyciu reguły.
- Identyfikator menedżera to identyfikator obiektu menedżera. Można go znaleźć w profilu menedżera.
- Aby reguła działała, upewnij się, że właściwość Manager jest poprawnie ustawiona dla użytkowników w organizacji. Bieżącą wartość można sprawdzić w profilu użytkownika.
- Ta reguła obsługuje tylko bezpośrednie raporty menedżera. Innymi słowy, nie można utworzyć grupy z bezpośrednimi raportami menedżera i ich raportami.
- Tej reguły nie można połączyć z żadnymi innymi regułami członkostwa.
Tworzenie reguły "Wszyscy użytkownicy"
Grupę zawierającą wszystkich użytkowników w organizacji można utworzyć przy użyciu reguły członkostwa. Po dodaniu lub usunięciu użytkowników z organizacji w przyszłości członkostwo w grupie zostanie automatycznie dostosowane.
Reguła "Wszyscy użytkownicy" jest tworzona przy użyciu pojedynczego wyrażenia przy użyciu operatora -ne i wartości null. Ta reguła dodaje użytkowników-gości B2B i użytkowników będących członkami do grupy.
user.objectId -ne null
Jeśli chcesz, aby grupa wykluczała użytkowników-gości i uwzględniała tylko członków organizacji, możesz użyć następującej składni:
(user.objectId -ne null) -and (user.userType -eq "Member")
Tworzenie reguły "Wszystkie urządzenia"
Grupę zawierającą wszystkie urządzenia w organizacji można utworzyć przy użyciu reguły członkostwa. Po dodaniu lub usunięciu urządzeń z organizacji w przyszłości członkostwo w grupie zostanie automatycznie dostosowane.
Reguła "Wszystkie urządzenia" jest konstruowana przy użyciu pojedynczego wyrażenia przy użyciu operatora -ne i wartości null:
device.objectId -ne null
Właściwości rozszerzenia i właściwości rozszerzenia niestandardowego
Atrybuty rozszerzenia i niestandardowe właściwości rozszerzenia są obsługiwane jako właściwości ciągu w regułach dla dynamicznych grup członkostwa. Atrybuty rozszerzenia można synchronizować z lokalnej usługi Active Directory serwera okien lub aktualizować przy użyciu programu Microsoft Graph i przyjmować format "ExtensionAttributeX", gdzie X równa się 1–15. Właściwości rozszerzenia wielowartościowego nie są obsługiwane w regułach dla dynamicznych grup członkostwa.
Oto przykład reguły, która używa atrybutu rozszerzenia jako właściwości:
(user.extensionAttribute15 -eq "Marketing")
Niestandardowe właściwości rozszerzenia można synchronizować z lokalnej usługi Active Directory systemu Windows Server, z połączonej aplikacji SaaS lub tworzone przy użyciu programu Microsoft Graph i mają format user.extension_[GUID]_[Attribute], gdzie:
- [GUID] to usunięta wersja unikatowego identyfikatora w identyfikatorze Entra firmy Microsoft dla aplikacji, która utworzyła właściwość. Zawiera tylko znaki 0-9 i A-Z
- [Attribute] to nazwa właściwości, która została utworzona
Przykładem reguły używającej niestandardowej właściwości rozszerzenia jest:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Właściwości rozszerzenia niestandardowego są również nazywane właściwościami katalogu lub rozszerzenia Entra firmy Microsoft.
Nazwę właściwości niestandardowej można znaleźć w katalogu, wysyłając zapytanie do właściwości użytkownika przy użyciu Eksploratora programu Graph i wyszukując nazwę właściwości. Ponadto możesz teraz wybrać link Pobierz niestandardowe właściwości rozszerzenia w konstruktorze reguł dynamicznych grup członkostwa, aby wprowadzić unikatowy identyfikator aplikacji i otrzymać pełną listę właściwości rozszerzenia niestandardowego do użycia podczas tworzenia reguły dla dynamicznych grup członkostwa. Tę listę można również odświeżyć, aby uzyskać wszelkie nowe niestandardowe właściwości rozszerzenia dla tej aplikacji. Atrybuty rozszerzenia i niestandardowe właściwości rozszerzenia muszą pochodzić z aplikacji w dzierżawie.
Aby uzyskać więcej informacji, zobacz Używanie atrybutów w dynamicznych grupach członkostwa w artykule Microsoft Entra Connect Sync: rozszerzenia katalogu.
Reguły dla urządzeń
Możesz również utworzyć regułę, która wybiera obiekty urządzeń dla członkostwa w grupie. Nie można mieć użytkowników i urządzeń jako członków grupy.
Nuta
Atrybut organizationalUnit nie jest już wymieniony i nie powinien być używany. Ten ciąg jest ustawiany przez usługę Intune w określonych przypadkach, ale nie jest rozpoznawany przez identyfikator Entra firmy Microsoft, więc żadne urządzenia nie są dodawane do grup na podstawie tego atrybutu.
Atrybut systemlabels jest tylko do odczytu i nie można go ustawić w usłudze Intune.
W przypadku systemu Windows 10 prawidłowy format atrybutu deviceOSVersion jest następujący: (device.deviceOSVersion -startsWith "10.0.1"). Formatowanie można zweryfikować za pomocą polecenia cmdlet Get-MgDevice programu PowerShell:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
Można użyć następujących atrybutów urządzenia.
| Atrybut urządzenia | Wartości | Przykład |
|---|---|---|
| accountEnabled | true false | device.accountEnabled -eq true |
| deviceCategory | prawidłowa nazwa kategorii urządzeń | device.deviceCategory -eq "BYOD" |
| deviceId | prawidłowy identyfikator urządzenia Firmy Microsoft Entra | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
| deviceManagementAppId | prawidłowy identyfikator aplikacji MDM w identyfikatorze entra firmy Microsoft | device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" dla usługi Microsoft Intune zarządzane lub "54b943f8-d761-4f8d-951e-9cea1846db5a" dla urządzeń współzarządzanych przez program System Center Configuration Manager |
| deviceManufacturer | dowolna wartość ciągu | device.deviceManufacturer -eq "Samsung" |
| deviceModel | dowolna wartość ciągu | device.deviceModel -eq "iPad Air" |
| displayName | dowolna wartość ciągu | device.displayName -eq "Rob iPhone" |
| deviceOSType | dowolna wartość ciągu | (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iOS") device.deviceOSType -startsWith "AndroidEnterprise" device.deviceOSType -eq "AndroidForWork" device.deviceOSType -eq "Windows" |
| deviceOSVersion | dowolna wartość ciągu | device.deviceOSVersion -eq "9.1" device.deviceOSVersion -startsWith "10.0.1" |
| deviceOwnership | Osobiste, Firmowe, Nieznane | device.deviceOwnership -eq "Company" |
| devicePhysicalIds | dowolna wartość ciągu używana przez rozwiązanie Autopilot, taka jak wszystkie urządzenia rozwiązania Autopilot, OrderID lub PurchaseOrderID | device.devicePhysicalIDs -any _ -startsWith "[ZTDId]" (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881" (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
| deviceTrustType | AzureAD, ServerAD, Workplace | device.deviceTrustType -eq "AzureAD" |
| enrollmentProfileName | Nazwa profilu rejestracji urządzeń firmy Apple, nazwa profilu rejestracji urządzeń należących do firmy z systemem Android Enterprise lub nazwa profilu rozwiązania Windows Autopilot | device.enrollmentProfileName -eq "DEP iPhones" |
| extensionAttribute1 | dowolna wartość ciągu | device.extensionAttribute1 -eq "some string value" |
| extensionAttribute2 | dowolna wartość ciągu | device.extensionAttribute2 -eq "some string value" |
| extensionAttribute3 | dowolna wartość ciągu | device.extensionAttribute3 -eq "some string value" |
| extensionAttribute4 | dowolna wartość ciągu | device.extensionAttribute4 -eq "some string value" |
| extensionAttribute5 | dowolna wartość ciągu | device.extensionAttribute5 -eq "some string value" |
| extensionAttribute6 | dowolna wartość ciągu | device.extensionAttribute6 -eq "some string value" |
| extensionAttribute7 | dowolna wartość ciągu | device.extensionAttribute7 -eq "some string value" |
| extensionAttribute8 | dowolna wartość ciągu | device.extensionAttribute8 -eq "some string value" |
| extensionAttribute9 | dowolna wartość ciągu | device.extensionAttribute9 -eq "some string value" |
| extensionAttribute10 | dowolna wartość ciągu | device.extensionAttribute10 -eq "some string value" |
| extensionAttribute11 | dowolna wartość ciągu | device.extensionAttribute11 -eq "some string value" |
| extensionAttribute12 | dowolna wartość ciągu | device.extensionAttribute12 -eq "some string value" |
| extensionAttribute13 | dowolna wartość ciągu | device.extensionAttribute13 -eq "some string value" |
| extensionAttribute14 | dowolna wartość ciągu | device.extensionAttribute14 -eq "some string value" |
| extensionAttribute15 | dowolna wartość ciągu | device.extensionAttribute15 -eq "some string value" |
| isRooted | true false | device.isRooted -eq true |
| managementType | MdM (dla urządzeń przenośnych) | device.managementType -eq "MDM" |
| memberOf | Dowolna wartość ciągu (prawidłowy identyfikator obiektu grupy) | device.memberOf -any (group.objectId -in ['value']) |
| objectId | prawidłowy identyfikator obiektu Microsoft Entra | device.objectId -eq "aaaaaaa-0000-1111-2222-bbbbbbbbbb" |
| profileType | prawidłowy typ profilu w identyfikatorze Entra firmy Microsoft | device.profileType -eq "RegisteredDevice" |
| systemLabels | ciąg tylko do odczytu pasujący do właściwości urządzenia usługi Intune do tagowania nowoczesnych urządzeń w miejscu pracy | device.systemLabels -startsWith "M365Managed" SystemLabels |
Nuta
W przypadku używania atrybutu systemLabelstylko do odczytu, który jest używany w różnych kontekstach, takich jak zarządzanie urządzeniami i etykietowanie poufności, nie można edytować za pośrednictwem usługi Intune.
Podczas tworzenia deviceOwnership dynamicznych grup członkostwa dla urządzeń należy ustawić wartość równą Company. W usłudze Intune własność urządzenia jest reprezentowana zamiast tego jako firmowe. Aby uzyskać więcej informacji, zobacz OwnerTypes , aby uzyskać więcej informacji.
Podczas tworzenia deviceTrustType dynamicznych grup członkostwa dla urządzeń należy ustawić wartość równą AzureAD reprezentowaniu urządzeń dołączonych do firmy Microsoft Entra, ServerAD aby reprezentować urządzenia dołączone hybrydowo do firmy Microsoft Entra lub Workplace reprezentować zarejestrowane urządzenia firmy Microsoft Entra.
Podczas tworzenia extensionAttribute1-15 dynamicznych grup członkostwa dla urządzeń należy ustawić wartość dla extensionAttribute1-15 urządzenia. Dowiedz się więcej na temat pisania extensionAttributes w obiekcie urządzenia Entra firmy Microsoft
Następne kroki
Te artykuły zawierają dodatkowe informacje o grupach w usłudze Microsoft Entra ID.