Reguły członkostwa dynamicznego dla grup w usłudze Azure Active Directory
Reguły oparte na atrybutach umożliwiają dynamiczne członkostwo w grupie w usłudze Azure Active Directory (Azure AD), część Microsoft Entra. Dynamiczne członkostwo w grupie dodaje i usuwa członków grupy automatycznie przy użyciu reguł członkostwa na podstawie atrybutów składowych. W tym artykule opisano właściwości i składnię tworzenia dynamicznych reguł członkostwa dla użytkowników lub urządzeń. Regułę członkostwa dynamicznego w grupach zabezpieczeń lub grupach platformy Microsoft 365 można skonfigurować.
Gdy atrybuty użytkownika lub urządzenia zmieniają się, system ocenia wszystkie reguły grupy dynamicznej w katalogu, aby sprawdzić, czy zmiana spowoduje dodanie lub usunięcie dowolnej grupy. Jeśli użytkownik lub urządzenie spełnia regułę w grupie, zostaną one dodane jako członek tej grupy. Jeśli reguła nie spełnia już wymagań, zostaną one usunięte. Nie można ręcznie dodać ani usunąć członka grupy dynamicznej.
- Możesz utworzyć grupę dynamiczną dla urządzeń lub użytkowników, ale nie można utworzyć reguły zawierającej zarówno użytkowników, jak i urządzeń.
- Nie można utworzyć grupy urządzeń na podstawie atrybutów użytkownika właściciela urządzenia. Reguły członkostwa urządzeń mogą odwoływać się tylko do atrybutów urządzeń.
Uwaga
Ta funkcja wymaga licencji Azure AD — wersja Premium P1 lub Intune for Education dla każdego unikatowego użytkownika, który jest członkiem co najmniej jednej grupy dynamicznej. Nie musisz przypisywać licencji do użytkowników, aby należeli do grup dynamicznych, ale musisz mieć minimalną liczbę licencji w organizacji Azure AD, aby pokryć wszystkich takich użytkowników. Jeśli na przykład masz łącznie 1000 unikatowych użytkowników we wszystkich grupach dynamicznych w organizacji, potrzebujesz co najmniej 1000 licencji dla Azure AD — wersja Premium P1, aby spełnić wymagania licencyjne. W przypadku urządzeń należących do dynamicznej grupy urządzeń nie jest wymagana żadna licencja.
Konstruktor reguł w Azure Portal
Azure AD zapewnia konstruktorowi reguł tworzenie i aktualizowanie ważnych reguł szybciej. Konstruktor reguł obsługuje konstrukcję maksymalnie pięciu wyrażeń. Konstruktor reguł ułatwia tworzenie reguły przy użyciu kilku prostych wyrażeń, jednak nie można jej używać do odtworzenia każdej reguły. Jeśli konstruktor reguł nie obsługuje reguły, którą chcesz utworzyć, możesz użyć pola tekstowego.
Poniżej przedstawiono kilka przykładów zaawansowanych reguł lub składni, dla których zalecamy konstruowanie przy użyciu pola tekstowego:
- Reguła z więcej niż pięcioma wyrażeniami
- Reguła bezpośrednich raportów
- Ustawianie pierwszeństwa operatora
- Reguły ze złożonymi wyrażeniami; na przykład:
(user.proxyAddresses -any (_ -contains "contoso"))
Uwaga
Konstruktor reguł może nie być w stanie wyświetlić niektórych reguł utworzonych w polu tekstowym. Może zostać wyświetlony komunikat, gdy konstruktor reguł nie może wyświetlić reguły. Konstruktor reguł nie zmienia obsługiwanej składni, walidacji ani przetwarzania reguł grupy dynamicznej w żaden sposób.
Aby uzyskać więcej instrukcji krok po kroku, zobacz Tworzenie lub aktualizowanie grupy dynamicznej.
Składnia reguły dla pojedynczego wyrażenia
Jedno wyrażenie jest najprostszą formą reguły członkostwa i ma tylko trzy części wymienione powyżej. Reguła z pojedynczym wyrażeniem wygląda podobnie do tego przykładu: Property Operator Value, gdzie składnia właściwości jest nazwą object.property.
Poniższy przykład ilustruje prawidłowo skonstruowaną regułę członkostwa z pojedynczym wyrażeniem:
user.department -eq "Sales"
Nawiasy są opcjonalne dla pojedynczego wyrażenia. Całkowita długość treści reguły członkostwa nie może przekraczać 3072 znaków.
Konstruowanie treści reguły członkostwa
Reguła członkostwa, która automatycznie wypełnia grupę użytkownikami lub urządzeniami, jest wyrażeniem binarnym, które powoduje wynik true lub false. Trzy części prostej reguły to:
- Właściwość
- Operator
- Wartość
Kolejność części w wyrażeniu jest ważna, aby uniknąć błędów składniowych.
Obsługiwane właściwości
Istnieją trzy typy właściwości, których można użyć do konstruowania reguły członkostwa.
- Boolean (wartość logiczna)
- String (ciąg)
- Kolekcja ciągów
Poniżej przedstawiono właściwości użytkownika, których można użyć do utworzenia pojedynczego wyrażenia.
Właściwości typu logicznego
| Właściwości | Dozwolone wartości | Użycie |
|---|---|---|
| accountEnabled | true false | user.accountEnabled -eq true |
| dirSyncEnabled | true false | user.dirSyncEnabled -eq true |
Właściwości ciągu typu
| Właściwości | Dozwolone wartości | Użycie |
|---|---|---|
| city | Dowolna wartość ciągu lub wartość null | user.city -eq "value" |
| country | Dowolna wartość ciągu lub wartość null | user.country -eq "value" |
| Companyname | Dowolna wartość ciągu lub wartość null | user.companyName -eq "value" |
| działu, | Dowolna wartość ciągu lub wartość null | user.department -eq "value" |
| displayName | Dowolna wartość ciągu | user.displayName -eq "value" |
| Idpracownika | Dowolna wartość ciągu | user.employeeId -eq "value" user.employeeId -ne null |
| facsimileTelephoneNumber | Dowolna wartość ciągu lub wartość null | user.facsimileTelephoneNumber -eq "value" |
| givenName | Dowolna wartość ciągu lub wartość null | user.givenName -eq "value" |
| jobTitle | Dowolna wartość ciągu lub wartość null | user.jobTitle -eq "value" |
| mail (poczta) | Dowolna wartość ciągu lub wartość null (adres SMTP użytkownika) | user.mail -eq "value" |
| mailNickName | Dowolna wartość ciągu (alias poczty użytkownika) | user.mailNickName -eq "value" |
| memberOf | Dowolna wartość ciągu (prawidłowy identyfikator obiektu grupy) | user.memberof -any (group.objectId -in ['value']) |
| telefon komórkowy | Dowolna wartość ciągu lub wartość null | user.mobile -eq "value" |
| objectId | Identyfikator GUID obiektu użytkownika | user.objectId -eq "111111111-1111-1111-1111-1111111111111111" |
| onPremisesDistinguishedName | Dowolna wartość ciągu lub wartość null | user.onPremisesDistinguishedName -eq "value" |
| onPremisesSecurityIdentifier | Lokalny identyfikator zabezpieczeń (SID) dla użytkowników, którzy zostali zsynchronizowani ze środowiska lokalnego do chmury. | user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111111-11111111111-1111111111" |
| passwordPolicies | Brak DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
| physicalDeliveryOfficeName | Dowolna wartość ciągu lub wartość null | user.physicalDeliveryOfficeName -eq "value" |
| postalCode | Dowolna wartość ciągu lub wartość null | user.postalCode -eq "value" |
| preferredLanguage | Kod ISO 639-1 | user.preferredLanguage -eq "en-US" |
| sipProxyAddress | Dowolna wartość ciągu lub wartość null | user.sipProxyAddress -eq "value" |
| stan | Dowolna wartość ciągu lub wartość null | user.state -eq "value" |
| streetAddress | Dowolna wartość ciągu lub wartość null | user.streetAddress -eq "value" |
| surname | Dowolna wartość ciągu lub wartość null | user.surname -eq "value" |
| telephoneNumber | Dowolna wartość ciągu lub wartość null | user.phoneNumber -eq "value" |
| usageLocation | Dwuliterowy kod kraju lub regionu | user.usageLocation -eq "US" |
| userPrincipalName | Dowolna wartość ciągu | user.userPrincipalName -eq "alias@domain" |
| userType | wartość null gościa elementu członkowskiego | user.userType -eq "Członek" |
Właściwości kolekcji ciągów typu
| Właściwości | Dozwolone wartości | Przykład |
|---|---|---|
| otherMails | Dowolna wartość ciągu | user.otherMails — zawiera "alias@domain" |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | user.proxyAddresses — zawiera wartość "SMTP: alias@domain" |
Aby uzyskać informacje o właściwościach używanych dla reguł urządzeń, zobacz Reguły dla urządzeń.
Obsługiwane operatory wyrażeń
W poniższej tabeli wymieniono wszystkie obsługiwane operatory i ich składnię dla pojedynczego wyrażenia. Operatory mogą być używane z prefiksem łącznika (-) lub bez. Operator Contains nie pasuje do częściowego ciągu, ale nie pasuje do elementu w kolekcji.
| Operator | Składnia |
|---|---|
| Nie równa się | -Ne |
| Równa się | -Eq |
| Nie zaczyna się od | -notStartsWith |
| Rozpoczyna się od | -Startswith |
| Nie zawiera | -notContains |
| Contains | -Zawiera |
| Niezgodne | -notMatch |
| Dopasowanie | -Mecz |
| W | -Cala |
| Nie w | -notIn |
Używanie operatorów -in i -notIn
Jeśli chcesz porównać wartość atrybutu użytkownika z wieloma wartościami, możesz użyć operatorów -in lub -notIn. Użyj symboli nawiasów "[" i "]", aby rozpocząć i zakończyć listę wartości.
W poniższym przykładzie wyrażenie zwraca wartość true, jeśli wartość user.department jest równa dowolnej wartości na liście:
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
Korzystanie z operatora -match
Operator -match służy do dopasowywania dowolnego wyrażenia regularnego. Przykłady:
user.displayName -match "Da.*"
DaDavid, Dav, daje w wyniku wartość true, aDa daje wartość false.
user.displayName -match ".*vid"
David wartość zwraca wartość true, Da oblicza wartość false.
Obsługiwane wartości
Wartości używane w wyrażeniu mogą składać się z kilku typów, w tym:
- Ciągi
- Wartość logiczna — prawda, fałsz
- Liczby
- Tablice — tablica liczbowa, tablica ciągów
Podczas określania wartości w wyrażeniu należy użyć poprawnej składni, aby uniknąć błędów. Oto kilka porad dotyczących składni:
- Cudzysłowy są opcjonalne, chyba że wartość jest ciągiem.
- W operacjach ciągów i wyrażeń regularnych nie jest uwzględniana wielkość liter.
- Jeśli wartość ciągu zawiera cudzysłowy podwójne, oba cudzysłowy powinny zostać zmienione przy użyciu znaku ", na przykład user.department -eq "Sales" jest właściwą składnią, gdy wartość to "Sales". Cudzysłów pojedynczych należy unikać przy użyciu dwóch apostrofów zamiast po jednym za każdym razem.
- Możesz również wykonać kontrole wartości Null, używając wartości null jako wartości, na przykład
user.department -eq null.
Użycie wartości null
Aby określić wartość null w regule, można użyć wartości null .
- Użyj -eq lub -ne podczas porównywania wartości null w wyrażeniu.
- Użyj cudzysłowów wokół słowa null tylko wtedy, gdy chcesz, aby był interpretowany jako wartość ciągu literału.
- Operator -not nie może być używany jako operator porównawczy dla wartości null. Jeśli go używasz, wystąpi błąd, niezależnie od tego, czy używasz wartości null, czy $null.
Prawidłowy sposób odwołowania się do wartości null jest następujący:
user.mail –ne null
Reguły z wieloma wyrażeniami
Reguła członkostwa w grupie może składać się z więcej niż jednego wyrażenia połączonego za pomocą operatorów logicznych -i, -lub, a nie .. Operatory logiczne mogą być również używane w połączeniu.
Poniżej przedstawiono przykłady prawidłowo skonstruowanych reguł członkostwa z wieloma wyrażeniami:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -contains "SDE")
Pierwszeństwo operatorów
Wszystkie operatory są wymienione poniżej w kolejności od najwyższego do najniższego. Operatory w tym samym wierszu mają równe pierwszeństwo:
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
Poniższy przykład ilustruje pierwszeństwo operatora, w którym dwa wyrażenia są oceniane dla użytkownika:
user.department –eq "Marketing" –and user.country –eq "US"
Nawiasy są potrzebne tylko wtedy, gdy pierwszeństwo nie spełnia Twoich wymagań. Jeśli na przykład chcesz, aby dział był oceniany jako pierwszy, poniżej pokazano, jak można użyć nawiasów do określenia kolejności:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Reguły z wyrażeniami złożonymi
Reguła członkostwa może składać się ze złożonych wyrażeń, w których właściwości, operatory i wartości przyjmują bardziej złożone formy. Wyrażenia są uznawane za złożone, gdy dowolne z następujących warunków jest prawdziwe:
- Właściwość składa się z kolekcji wartości; w szczególności właściwości wielowartościowe
- Wyrażenia używają operatorów -any i -all
- Wartość wyrażenia może być co najmniej jednym wyrażeniem
Właściwości wielowartościowe
Właściwości wielowartościowe to kolekcje obiektów tego samego typu. Mogą służyć do tworzenia reguł członkostwa przy użyciu operatorów logicznych -any i -all.
| Właściwości | Wartości | Użycie |
|---|---|---|
| assignedPlans | Każdy obiekt w kolekcji uwidacznia następujące właściwości ciągu: capabilityStatus, service, servicePlanId | user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled") |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | (user.proxyAddresses -any (_ -contains "contoso")) |
Używanie operatorów -any i -all
Można użyć operatorów -any i -all, aby zastosować warunek do jednego lub wszystkich elementów w kolekcji, odpowiednio.
- -any (spełnione, gdy co najmniej jeden element w kolekcji pasuje do warunku)
- -all (spełnione, gdy wszystkie elementy w kolekcji są zgodne z warunkiem)
Przykład 1
assignedPlans to właściwość wielowartość zawierająca listę wszystkich planów usług przypisanych do użytkownika. Następujące wyrażenie wybiera użytkowników, którzy mają plan usługi Exchange Online (plan 2) (jako wartość identyfikatora GUID), który jest również w stanie Włączone:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
Reguła taka jak ta może służyć do grupowania wszystkich użytkowników, dla których włączono usługę Microsoft 365 lub inną funkcję usługi online firmy Microsoft. Następnie można zastosować zestaw zasad do grupy.
Przykład 2
Następujące wyrażenie wybiera wszystkich użytkowników, którzy mają dowolny plan usługi skojarzony z usługą Intune (identyfikowaną przez nazwę usługi "SCO"):
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Przykład 3
Następujące wyrażenie wybiera wszystkich użytkowników, którzy nie mają przypisanego planu usługi:
user.assignedPlans -all (assignedPlan.servicePlanId -ne null)
Używanie składni podkreślenia (_)
Składnia podkreślenia (_) pasuje do wystąpień określonej wartości w jednej z wielowartościowych właściwości kolekcji ciągów w celu dodania użytkowników lub urządzeń do grupy dynamicznej. Jest on używany z operatorami -any lub -all.
Oto przykład użycia podkreślenia (_) w regule w celu dodania członków na podstawie user.proxyAddress (działa to samo dla user.otherMails). Ta reguła dodaje każdego użytkownika z adresem proxy zawierającym "contoso" do grupy.
(user.proxyAddresses -any (_ -contains "contoso"))
Inne właściwości i typowe reguły
Tworzenie reguły "Raporty bezpośrednie"
Można utworzyć grupę zawierającą wszystkie bezpośrednie raporty menedżera. Gdy bezpośrednie raporty menedżera zmienią się w przyszłości, członkostwo grupy zostanie automatycznie dostosowane.
Reguła raportów bezpośrednich jest tworzona przy użyciu następującej składni:
Direct Reports for "{objectID_of_manager}"
Oto przykład prawidłowej reguły, gdzie "62e19b97-8b3d-4d4a-a106-4ce66896a8663" jest identyfikatorem objectID menedżera:
Direct Reports for "62e19b97-8b3d-4d4a-a106-4ce66896a863"
Poniższe porady mogą pomóc w prawidłowym użyciu reguły.
- Identyfikator menedżera jest identyfikatorem obiektu menedżera. Można go znaleźć w profilu menedżera.
- Aby reguła działała, upewnij się, że właściwość Manager jest poprawnie ustawiona dla użytkowników w organizacji. Bieżącą wartość można sprawdzić w profilu użytkownika.
- Ta reguła obsługuje tylko bezpośrednie raporty menedżera. Innymi słowy, nie można utworzyć grupy z bezpośrednimi raportami menedżera i ich raportami.
- Tej reguły nie można połączyć z żadnymi innymi regułami członkostwa.
Tworzenie reguły "Wszyscy użytkownicy"
Grupę zawierającą wszystkich użytkowników w organizacji można utworzyć przy użyciu reguły członkostwa. Po dodaniu lub usunięciu użytkowników z organizacji w przyszłości członkostwo w grupie zostanie automatycznie dostosowane.
Reguła "Wszyscy użytkownicy" jest tworzona przy użyciu pojedynczego wyrażenia przy użyciu operatora -ne i wartości null. Ta reguła dodaje użytkowników-gości B2B i użytkowników będących członkami do grupy.
user.objectId -ne null
Jeśli chcesz, aby grupa wykluczyła użytkowników-gości i uwzględniła tylko członków organizacji, możesz użyć następującej składni:
(user.objectId -ne null) -and (user.userType -eq "Member")
Tworzenie reguły "Wszystkie urządzenia"
Grupę zawierającą wszystkie urządzenia w organizacji można utworzyć przy użyciu reguły członkostwa. Po dodaniu lub usunięciu urządzeń z organizacji w przyszłości członkostwo w grupie zostanie automatycznie dostosowane.
Reguła "Wszystkie urządzenia" jest tworzona przy użyciu pojedynczego wyrażenia przy użyciu operatora -ne i wartości null:
device.objectId -ne null
Właściwości rozszerzenia i właściwości rozszerzenia niestandardowego
Atrybuty rozszerzenia i niestandardowe właściwości rozszerzenia są obsługiwane jako właściwości ciągu w regułach członkostwa dynamicznego. Atrybuty rozszerzenia można synchronizować z lokalnej usługi Active Directory serwera okien lub aktualizować przy użyciu programu Microsoft Graph i mieć format "ExtensionAttributeX", gdzie X jest równe 1–15. Właściwości rozszerzenia wielowartościowego nie są obsługiwane w regułach członkostwa dynamicznego. Oto przykład reguły, która używa atrybutu rozszerzenia jako właściwości:
(user.extensionAttribute15 -eq "Marketing")
Niestandardowe właściwości rozszerzenia można synchronizować z Windows Server Active Directory lokalnych, z połączonej aplikacji SaaS lub tworzone przy użyciu programu Microsoft Graph i mają format user.extension_[GUID]_[Attribute], gdzie:
- [GUID] to usunięta wersja unikatowego identyfikatora w Azure AD dla aplikacji, która utworzyła właściwość. Zawiera tylko znaki 0–9 i A–Z
- [Atrybut] to nazwa właściwości, która została utworzona
Przykładem reguły korzystającej z niestandardowej właściwości rozszerzenia jest:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Właściwości rozszerzenia niestandardowego są również nazywane właściwościami katalogu lub rozszerzenia Azure AD.
Nazwę właściwości niestandardowej można znaleźć w katalogu, wysyłając zapytanie do właściwości użytkownika przy użyciu Eksploratora programu Graph i wyszukując nazwę właściwości. Ponadto możesz teraz wybrać link Pobierz niestandardowe właściwości rozszerzenia w konstruktorze dynamicznych reguł grupy użytkowników, aby wprowadzić unikatowy identyfikator aplikacji i otrzymać pełną listę właściwości rozszerzenia niestandardowego do użycia podczas tworzenia reguły członkostwa dynamicznego. Tę listę można również odświeżyć, aby uzyskać wszelkie nowe niestandardowe właściwości rozszerzenia dla tej aplikacji. Atrybuty rozszerzenia i niestandardowe właściwości rozszerzenia muszą pochodzić z aplikacji w dzierżawie.
Aby uzyskać więcej informacji, zobacz Używanie atrybutów w grupach dynamicznych w artykule Azure AD Connect sync: Directory extensions (Używanie atrybutów w grupach dynamicznych) w artykule Azure AD Connect sync: Directory extensions (Łączenie z rozszerzeniami katalogu).
Reguły dotyczące urządzeń
Możesz również utworzyć regułę, która wybiera obiekty urządzeń do członkostwa w grupie. Nie można mieć zarówno użytkowników, jak i urządzeń jako członków grupy.
Uwaga
Atrybut organizationalUnit nie jest już wymieniony i nie powinien być używany. Ten ciąg jest ustawiany przez Intune w określonych przypadkach, ale nie jest rozpoznawany przez Azure AD, więc żadne urządzenia nie są dodawane do grup na podstawie tego atrybutu.
Uwaga
systemlabels to atrybut tylko do odczytu, którego nie można ustawić za pomocą Intune.
W przypadku Windows 10 prawidłowy format atrybutu deviceOSVersion jest następujący: (device.deviceOSVersion -startsWith "10.0.1"). Formatowanie można zweryfikować za pomocą polecenia cmdlet Get-MgDevice programu PowerShell:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
Można użyć następujących atrybutów urządzenia.
| Atrybut urządzenia | Wartości | Przykład |
|---|---|---|
| accountEnabled | true false | device.accountEnabled -eq true |
| deviceCategory | prawidłowa nazwa kategorii urządzeń | device.deviceCategory -eq "BYOD" |
| deviceId | prawidłowy identyfikator urządzenia Azure AD | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
| deviceManagementAppId | prawidłowy identyfikator aplikacji MDM w Azure AD | device.deviceManagementAppId -eq "0000000a-0000-0000-c000-0000000000" dla Microsoft Intune zarządzanych lub "54b943f8-d761-4f8d-951e-9cea1846db5a" dla urządzeń System Center Configuration Manager współzarządzanych |
| deviceManufacturer | dowolna wartość ciągu | device.deviceManufacturer -eq "Samsung" |
| deviceModel | dowolna wartość ciągu | device.deviceModel -eq "iPad Air" |
| displayName | dowolna wartość ciągu | device.displayName -eq "Rob iPhone" |
| deviceOSType | dowolna wartość ciągu | (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iPhone") device.deviceOSType — zawiera ciąg "AndroidEnterprise" device.deviceOSType -eq "AndroidForWork" device.deviceOSType -eq "Windows" |
| deviceOSVersion | dowolna wartość ciągu | device.deviceOSVersion -eq "9.1" device.deviceOSVersion - startsWith "10.0.1" |
| deviceOwnership | Osobiste, Firmowe, Nieznane | device.deviceOwnership -eq "Company" |
| devicePhysicalIds | dowolna wartość ciągu używana przez rozwiązanie Autopilot, na przykład wszystkie urządzenia rozwiązania Autopilot, OrderID lub PurchaseOrderID | device.devicePhysicalIDs -any _ -contains "[ZTDId]" (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881" (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
| deviceTrustType | AzureAD, ServerAD, Workplace | device.deviceTrustType -eq "AzureAD" |
| enrollmentProfileName | Nazwa profilu rejestracji urządzeń firmy Apple, nazwa profilu rejestracji urządzeń należących do firmy z rozwiązaniem Android Enterprise lub nazwa profilu rozwiązania Windows Autopilot | device.enrollmentProfileName -eq "DEP iPhones" |
| extensionAttribute1 | dowolna wartość ciągu | device.extensionAttribute1 -eq "some string value" |
| extensionAttribute2 | dowolna wartość ciągu | device.extensionAttribute2 -eq "some string value" |
| extensionAttribute3 | dowolna wartość ciągu | device.extensionAttribute3 -eq "some string value" |
| extensionAttribute4 | dowolna wartość ciągu | device.extensionAttribute4 -eq "some string value" |
| extensionAttribute5 | dowolna wartość ciągu | device.extensionAttribute5 -eq "some string value" |
| extensionAttribute6 | dowolna wartość ciągu | device.extensionAttribute6 -eq "some string value" |
| extensionAttribute7 | dowolna wartość ciągu | device.extensionAttribute7 -eq "some string value" |
| extensionAttribute8 | dowolna wartość ciągu | device.extensionAttribute8 -eq "some string value" |
| extensionAttribute9 | dowolna wartość ciągu | device.extensionAttribute9 -eq "some string value" |
| extensionAttribute10 | dowolna wartość ciągu | device.extensionAttribute10 -eq "niektóre wartości ciągu" |
| extensionAttribute11 | dowolna wartość ciągu | device.extensionAttribute11 -eq "pewna wartość ciągu" |
| extensionAttribute12 | dowolna wartość ciągu | device.extensionAttribute12 -eq "some string value" |
| extensionAttribute13 | dowolna wartość ciągu | device.extensionAttribute13 -eq "some string value" |
| extensionAttribute14 | dowolna wartość ciągu | device.extensionAttribute14 -eq "some string value" |
| extensionAttribute15 | dowolna wartość ciągu | device.extensionAttribute15 -eq "some string value" |
| isRooted | true false | device.isRooted -eq true |
| managementType | MDM (dla urządzeń przenośnych) | device.managementType -eq "MDM" |
| memberOf | Dowolna wartość ciągu (prawidłowy identyfikator obiektu grupy) | device.memberof -any (group.objectId -in ['value']) |
| objectId | prawidłowy identyfikator obiektu Azure AD | device.objectId -eq "76ad43c9-32c5-45e8-a272-7b58b58f596d" |
| profileType | prawidłowy typ profilu w Azure AD | device.profileType -eq "RegisteredDevice" |
| systemLabels | dowolny ciąg pasujący do właściwości urządzenia Intune do tagowania nowoczesnych urządzeń w miejscu pracy | device.systemLabels — zawiera "M365Managed" |
Uwaga
W przypadku używania urządzeniaOwnership do tworzenia grup dynamicznych dla urządzeń należy ustawić wartość równą "Firmie". Na Intune własność urządzenia jest reprezentowana zamiast jako firmowe. Aby uzyskać więcej informacji, zobacz OwnerTypes , aby uzyskać więcej informacji. W przypadku używania parametru deviceTrustType do tworzenia grup dynamicznych dla urządzeń należy ustawić wartość równą "AzureAD", aby reprezentować urządzenia przyłączone do Azure AD, "ServerAD", aby reprezentować urządzenia przyłączone hybrydowo Azure AD lub "Miejsce pracy", aby reprezentować urządzenia zarejestrowane Azure AD. W przypadku używania rozszerzeniaAttribute1-15 do tworzenia grup dynamicznych dla urządzeń należy ustawić wartość extensionAttribute1-15 na urządzeniu. Dowiedz się więcej na temat zapisywania rozszerzeńAttributes w obiekcie urządzenia Azure AD
Następne kroki
Te artykuły zawierają dodatkowe informacje na temat grup w usłudze Azure Active Directory.