Udostępnij za pośrednictwem


Zarządzanie regułami dla dynamicznych grup członkostwa w usłudze Microsoft Entra ID

Możesz utworzyć reguły oparte na atrybutach użytkowników lub urządzeń, aby umożliwić członkostwo w dynamicznych grupach członkostwa w usłudze Microsoft Entra ID, część firmy Microsoft Entra. Dynamiczne grupy członkostwa można dodawać i usuwać automatycznie przy użyciu reguł członkostwa na podstawie atrybutów składowych. W usłudze Microsoft Entra jedna dzierżawa może mieć maksymalnie 15 000 dynamicznych grup członkostwa.

W tym artykule szczegółowo przedstawiono właściwości i składnię tworzenia reguł dla dynamicznych grup członkostwa na podstawie użytkowników lub urządzeń.

Nuta

Grupy zabezpieczeń mogą być używane dla urządzeń lub użytkowników, ale grupy platformy Microsoft 365 mogą zawierać tylko użytkowników.

Gdy atrybuty użytkownika lub urządzenia zmienią się, system ocenia wszystkie reguły dla dynamicznych grup członkostwa w katalogu, aby sprawdzić, czy zmiana spowoduje dodanie lub usunięcie dowolnej grupy. Jeśli użytkownik lub urządzenie spełnia regułę grupy, są one dodawane jako członek tej grupy. Jeśli reguła nie spełnia już wymagań, zostaną usunięte. Nie można ręcznie dodać ani usunąć członka grupy członkostwa dynamicznego.

  • Możesz utworzyć dynamiczne grupy członkostwa dla użytkowników lub urządzeń, ale nie można utworzyć reguły zawierającej zarówno użytkowników, jak i urządzeń.
  • Nie można utworzyć grupy członkostwa urządzeń na podstawie atrybutów użytkownika właściciela urządzenia. Reguły członkostwa urządzeń mogą odwoływać się tylko do atrybutów urządzeń.

Nuta

Ta funkcja wymaga licencji microsoft Entra ID P1 lub usługi Intune for Education dla każdego unikatowego użytkownika, który jest członkiem co najmniej jednej dynamicznej grupy członkostwa. Nie musisz przypisywać licencji do użytkowników, aby należeli do dynamicznych grup członkostwa, ale musisz mieć minimalną liczbę licencji w organizacji Microsoft Entra, aby objąć wszystkich takich użytkowników. Jeśli na przykład masz łącznie 1000 unikatowych użytkowników we wszystkich dynamicznych grupach członkostwa w organizacji, potrzebujesz co najmniej 1000 licencji dla firmy Microsoft Entra ID P1, aby spełnić wymagania licencyjne. Nie jest wymagana licencja dla urządzeń, które są członkami dynamicznej grupy członkostwa na podstawie urządzenia.

Konstruktor reguł w witrynie Azure Portal

Identyfikator Entra firmy Microsoft udostępnia konstruktor reguł do szybszego tworzenia i aktualizowania ważnych reguł. Konstruktor reguł obsługuje konstrukcję maksymalnie pięciu wyrażeń. Konstruktor reguł ułatwia tworzenie reguły za pomocą kilku prostych wyrażeń, jednak nie można jej używać do odtworzenia każdej reguły. Jeśli konstruktor reguł nie obsługuje reguły, którą chcesz utworzyć, możesz użyć pola tekstowego.

Oto kilka przykładów zaawansowanych reguł lub składni, które wymagają użycia pola tekstowego:

Nuta

Konstruktor reguł może nie być w stanie wyświetlić niektórych reguł skonstruowanych w polu tekstowym. Może zostać wyświetlony komunikat, gdy konstruktor reguł nie może wyświetlić reguły. Konstruktor reguł nie zmienia obsługiwanej składni, walidacji ani przetwarzania reguł dla dynamicznych grup członkostwa w żaden sposób.

Aby uzyskać więcej instrukcji krok po kroku, zobacz Tworzenie lub aktualizowanie dynamicznej grupy członkostwa.

Zrzut ekranu przedstawiający regułę dodawania członkostwa dla dynamicznej grupy członkostwa.

Składnia reguły dla pojedynczego wyrażenia

Pojedyncze wyrażenie jest najprostszą formą reguły członkostwa i ma tylko trzy części wymienione powyżej. Reguła z pojedynczym wyrażeniem wygląda podobnie do tego przykładu: Property Operator Value, gdzie składnia właściwości to nazwa object.property.

Poniższy przykład ilustruje prawidłowo skonstruowaną regułę członkostwa z pojedynczym wyrażeniem:

user.department -eq "Sales"

Nawiasy są opcjonalne dla pojedynczego wyrażenia. Całkowita długość treści reguły członkostwa nie może przekraczać 3072 znaków.

Konstruowanie treści reguły członkostwa

Reguła członkostwa, która automatycznie wypełnia grupę użytkownikami lub urządzeniami, jest wyrażeniem binarnym, które powoduje wynik true lub false. Trzy części prostej reguły to:

  • Własność
  • Operator
  • Wartość

Kolejność części w wyrażeniu jest ważna, aby uniknąć błędów składniowych.

Obsługiwane właściwości

Istnieją trzy typy właściwości, których można użyć do konstruowania reguły członkostwa.

  • Boolowski
  • Data/godzina
  • Struna
  • Kolekcja ciągów

Poniżej przedstawiono właściwości użytkownika, których można użyć do utworzenia pojedynczego wyrażenia.

Właściwości typu logicznego

Właściwości Dozwolone wartości Zwyczaj
accountEnabled true false user.accountEnabled -eq true
dirSyncEnabled true false user.dirSyncEnabled -eq true

Właściwości typu dateTime

Właściwości Dozwolone wartości Zwyczaj
employeeHireDate (wersja zapoznawcza) Dowolna wartość DateTimeOffset lub system słowa kluczowego.now user.employeeHireDate -eq "value"

Właściwości ciągu typu

Właściwości Dozwolone wartości Zwyczaj
miasto Dowolna wartość ciągu lub wartość null user.city -eq "value"
kraj Dowolna wartość ciągu lub wartość null user.country -eq "value"
nazwa_firmy Dowolna wartość ciągu lub wartość null user.companyName -eq "value"
dział Dowolna wartość ciągu lub wartość null user.department -eq "value"
displayName Dowolna wartość ciągu user.displayName -eq "value"
employeeId Dowolna wartość ciągu user.employeeId -eq "value"
user.employeeId -ne null
facsimileTelephoneNumber Dowolna wartość ciągu lub wartość null user.facsimileTelephoneNumber -eq "value"
givenName Dowolna wartość ciągu lub wartość null user.givenName -eq "value"
jobTitle Dowolna wartość ciągu lub wartość null user.jobTitle -eq "value"
poczta Dowolna wartość ciągu lub wartość null (adres SMTP użytkownika) user.mail -eq "value"
mailNickName Dowolna wartość ciągu (alias poczty użytkownika) user.mailNickName -eq "value"
memberOf Dowolna wartość ciągu (prawidłowy identyfikator obiektu grupy) user.memberOf -any (group.objectId -in ['value'])
ruchomy Dowolna wartość ciągu lub wartość null user.mobile -eq "value"
objectId Identyfikator GUID obiektu użytkownika user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbb"
onPremisesDistinguishedName Dowolna wartość ciągu lub wartość null user.onPremisesDistinguishedName -eq "value"
onPremisesSecurityIdentifier Lokalny identyfikator zabezpieczeń (SID) dla użytkowników, którzy zostali zsynchronizowani ze środowiska lokalnego do chmury. user.onPremisesSecurityIdentifier -eq "S-1-1-11-11111111111-11111111111-111111111111- 11111111"
passwordPolicies Żaden
DisableStrongPassword
DisablePasswordExpiration
DisablePasswordExpiration, DisableStrongPassword
user.passwordPolicies -eq "DisableStrongPassword"
physicalDeliveryOfficeName Dowolna wartość ciągu lub wartość null user.physicalDeliveryOfficeName -eq "value"
postalCode Dowolna wartość ciągu lub wartość null user.postalCode -eq "value"
preferredLanguage Kod ISO 639-1 user.preferredLanguage -eq "en-US"
sipProxyAddress Dowolna wartość ciągu lub wartość null user.sipProxyAddress -eq "value"
stan Dowolna wartość ciągu lub wartość null user.state -eq "value"
streetAddress Dowolna wartość ciągu lub wartość null user.streetAddress -eq "value"
nazwisko Dowolna wartość ciągu lub wartość null user.surname -eq "value"
numer telefonu Dowolna wartość ciągu lub wartość null user.phoneNumber -eq "value"
usageLocation Dwuliterowy kod kraju lub regionu user.usageLocation -eq "US"
userPrincipalName Dowolna wartość ciągu user.userPrincipalName -eq "alias@domain"
userType wartość null gościa elementu członkowskiego user.userType -eq "Członek"

Właściwości kolekcji ciągów typów

Właściwości Dozwolone wartości Przykład
otherMails Dowolna wartość ciągu user.otherMails -startsWith "alias@domain"
proxyAddresses SMTP: alias@domain smtp: alias@domain user.proxyAddresses -startsWith "SMTP: alias@domain"

Aby uzyskać właściwości używane dla reguł urządzeń, zobacz Reguły dla urządzeń.

Obsługiwane operatory wyrażeń

W poniższej tabeli wymieniono wszystkie obsługiwane operatory i ich składnię dla pojedynczego wyrażenia. Operatory mogą być używane z prefiksem łącznika (-). Operator Contains nie pasuje do częściowego ciągu, ale nie pasuje do elementu w kolekcji.

Operator Składnia
Nie równa się -Ne
Equals -Eq
Nie zaczyna się od -notStartsWith
Rozpoczyna się od -startsWith
Nie zawiera -notContains
Contains -Contains
Niezgodne -notMatch
Zapałka -zapałka
W -w
Nie w -notIn

Używanie operatorów -in i -notIn

Jeśli chcesz porównać wartość atrybutu użytkownika z wieloma wartościami, możesz użyć operatorów -in lub -notIn. Użyj symboli nawiasów "[" i "]", aby rozpocząć i zakończyć listę wartości.

W poniższym przykładzie wyrażenie daje wartość true, jeśli wartość user.department jest równa dowolnej wartości na liście:

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

Używanie operatorów -le i -ge

W przypadku używania atrybutu employeeHireDate w regułach dla grup członkostwa dynamicznego można użyć operatora mniejszego niż (-le) lub większego niż (-ge).
Przykłady:

user.employeehiredate -ge system.now -plus p1d 

user.employeehiredate -le 2020-06-10T18:13:20Z 

Korzystanie z operatora -match

Operator -match służy do dopasowywania dowolnego wyrażenia regularnego. Przykłady:

user.displayName -match "^Da.*"   

Da, Dav, David daje wartość true, aDa daje wartość false.

user.displayName -match ".*vid"

David oblicza wartość true, Da oblicza wartość false.

Obsługiwane wartości

Wartości używane w wyrażeniu mogą składać się z kilku typów, w tym:

  • Ciągi
  • Wartość logiczna — prawda, fałsz
  • Liczby
  • Tablice — tablica liczbowa, tablica ciągów

Podczas określania wartości w wyrażeniu należy użyć poprawnej składni, aby uniknąć błędów. Oto kilka wskazówek dotyczących składni:

  • Cudzysłowy podwójne są opcjonalne, chyba że wartość jest ciągiem.
  • Operacje wyrażeń regularnych i ciągów nie są uwzględniane wielkości liter.
  • Upewnij się, że nazwy właściwości są poprawnie sformatowane, jak pokazano, ponieważ są uwzględniane wielkość liter.
  • Jeśli wartość ciągu zawiera cudzysłowy podwójne, oba cudzysłowy powinny zostać uniknięte przy użyciu znaku ", na przykład user.department -eq "Sales" jest właściwą składnią, gdy wartość to "Sales". Pojedyncze cudzysłów należy unikać przy użyciu dwóch pojedynczych cudzysłowów zamiast jednego za każdym razem.
  • Możesz również wykonać kontrole wartości Null, używając wartości null jako wartości, na przykład user.department -eq null.

Używanie wartości null

Aby określić wartość null w regule, możesz użyć wartości null .

  • Użyj -eq lub -ne podczas porównywania wartości null w wyrażeniu.
  • Użyj cudzysłowów wokół słowa null tylko wtedy, gdy chcesz, aby był interpretowany jako wartość ciągu literału.
  • Operator -not nie może być używany jako operator porównawczy dla wartości null. Jeśli go używasz, wystąpi błąd niezależnie od tego, czy używasz wartości null, czy $null.

Prawidłowy sposób odwołowania się do wartości null jest następujący:

   user.mail –ne null

Reguły z wieloma wyrażeniami

Zarządzanie regułami dla dynamicznych grup członkostwa może składać się z więcej niż jednego wyrażenia połączonego za pomocą operatorów logicznych -i, -lub i -, a nie . Operatory logiczne mogą być również używane w połączeniu.

Poniżej przedstawiono przykłady prawidłowo skonstruowanych reguł członkostwa z wieloma wyrażeniami:

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")

Priorytet

Wszystkie operatory są wymienione poniżej w kolejności od najwyższego do najniższego. Operatory w tym samym wierszu mają równe pierwszeństwo:

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all

W poniższym przykładzie pokazano pierwszeństwo operatora, w którym są oceniane dwa wyrażenia dla użytkownika:

   user.department –eq "Marketing" –and user.country –eq "US"

Nawiasy są potrzebne tylko wtedy, gdy pierwszeństwo nie spełnia wymagań. Jeśli na przykład chcesz, aby dział był oceniany jako pierwszy, poniżej pokazano, jak można użyć nawiasów do określenia kolejności:

   user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

Reguły z wyrażeniami złożonymi

Reguła członkostwa może składać się z złożonych wyrażeń, w których właściwości, operatory i wartości przyjmują bardziej złożone formy. Wyrażenia są uznawane za złożone, gdy którekolwiek z następujących warunków są prawdziwe:

  • Właściwość składa się z kolekcji wartości; w szczególności właściwości wielowartościowe
  • Wyrażenia używają operatorów -any i -all
  • Wartość wyrażenia może być co najmniej jednym wyrażeniem

Właściwości wielowartościowe

Właściwości wielowartościowe to kolekcje obiektów tego samego typu. Mogą służyć do tworzenia reguł członkostwa przy użyciu operatorów logicznych -any i -all.

Właściwości Wartości Zwyczaj
assignedPlans Każdy obiekt w kolekcji uwidacznia następujące właściwości ciągu: capabilityStatus, service, servicePlanId user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeee4e4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled")
proxyAddresses SMTP: alias@domain smtp: alias@domain (user.proxyAddresses -any (_ -startsWith "contoso"))

Używanie operatorów -any i -all

Można użyć operatorów -any i -all, aby zastosować warunek odpowiednio do jednego lub wszystkich elementów w kolekcji.

  • -any (spełniony, gdy co najmniej jeden element w kolekcji pasuje do warunku)
  • -all (spełnione, gdy wszystkie elementy w kolekcji są zgodne z warunkiem)

Przykład 1

assignedPlans to właściwość wielowartość zawierająca listę wszystkich planów usług przypisanych do użytkownika. Następujące wyrażenie wybiera użytkowników, którzy mają plan usługi Exchange Online (plan 2) (jako wartość identyfikatora GUID), który jest również w stanie Włączone:

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

Reguła taka jak ta może służyć do grupowania wszystkich użytkowników, dla których włączono usługę Microsoft 365 lub inną funkcję usługi online firmy Microsoft. Następnie można zastosować zestaw zasad do grupy.

Przykład 2

Następujące wyrażenie wybiera wszystkich użytkowników, którzy mają dowolny plan usługi skojarzony z usługą Intune (identyfikowany przez nazwę usługi "SCO"):

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")

Przykład 3

Następujące wyrażenie wybiera wszystkich użytkowników, którzy nie mają przypisanego planu usługi:

user.assignedPlans -all (assignedPlan.servicePlanId -eq null)

Używanie składni podkreślenia (_)

Składnia podkreślenia (_) pasuje do wystąpień określonej wartości w jednej z wielowartościowych właściwości kolekcji ciągów w celu dodania użytkowników lub urządzeń do dynamicznej grupy członkostwa. Jest on używany z operatorami -any lub -all.

Oto przykład użycia podkreślenia (_) w regule w celu dodania elementów członkowskich na podstawie elementu user.proxyAddress (działa on tak samo w przypadku elementu user.otherMails). Ta reguła dodaje dowolnego użytkownika z adresem proxy rozpoczynającym się od "contoso" do grupy.

(user.proxyAddresses -any (_ -startsWith "contoso"))

Inne właściwości i typowe reguły

Tworzenie reguły "Raporty bezpośrednie"

Możesz utworzyć grupę zawierającą wszystkie bezpośrednie raporty menedżera. Gdy bezpośrednie raporty menedżera zmienią się w przyszłości, członkostwo grupy zostanie automatycznie dostosowane.

Reguła raportów bezpośrednich jest tworzona przy użyciu następującej składni:

Direct Reports for "{objectID_of_manager}"

Oto przykład prawidłowej reguły, gdzie "aaaa-0000-1111-2222-bbbbbbbbbb" jest objectID menedżera:

Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"

Poniższe porady mogą pomóc w prawidłowym użyciu reguły.

  • Identyfikator menedżera to identyfikator obiektu menedżera. Można go znaleźć w profilu menedżera.
  • Aby reguła działała, upewnij się, że właściwość Manager jest poprawnie ustawiona dla użytkowników w organizacji. Bieżącą wartość można sprawdzić w profilu użytkownika.
  • Ta reguła obsługuje tylko bezpośrednie raporty menedżera. Innymi słowy, nie można utworzyć grupy z bezpośrednimi raportami menedżera i ich raportami.
  • Tej reguły nie można połączyć z żadnymi innymi regułami członkostwa.

Tworzenie reguły "Wszyscy użytkownicy"

Grupę zawierającą wszystkich użytkowników w organizacji można utworzyć przy użyciu reguły członkostwa. Po dodaniu lub usunięciu użytkowników z organizacji w przyszłości członkostwo w grupie zostanie automatycznie dostosowane.

Reguła "Wszyscy użytkownicy" jest tworzona przy użyciu pojedynczego wyrażenia przy użyciu operatora -ne i wartości null. Ta reguła dodaje użytkowników-gości B2B i użytkowników będących członkami do grupy.

user.objectId -ne null

Jeśli chcesz, aby grupa wykluczała użytkowników-gości i uwzględniała tylko członków organizacji, możesz użyć następującej składni:

(user.objectId -ne null) -and (user.userType -eq "Member")

Tworzenie reguły "Wszystkie urządzenia"

Grupę zawierającą wszystkie urządzenia w organizacji można utworzyć przy użyciu reguły członkostwa. Po dodaniu lub usunięciu urządzeń z organizacji w przyszłości członkostwo w grupie zostanie automatycznie dostosowane.

Reguła "Wszystkie urządzenia" jest konstruowana przy użyciu pojedynczego wyrażenia przy użyciu operatora -ne i wartości null:

device.objectId -ne null

Właściwości rozszerzenia i właściwości rozszerzenia niestandardowego

Atrybuty rozszerzenia i niestandardowe właściwości rozszerzenia są obsługiwane jako właściwości ciągu w regułach dla dynamicznych grup członkostwa. Atrybuty rozszerzenia można synchronizować z lokalnej usługi Active Directory serwera okien lub aktualizować przy użyciu programu Microsoft Graph i przyjmować format "ExtensionAttributeX", gdzie X równa się 1–15. Właściwości rozszerzenia wielowartościowego nie są obsługiwane w regułach dla dynamicznych grup członkostwa.

Oto przykład reguły, która używa atrybutu rozszerzenia jako właściwości:

(user.extensionAttribute15 -eq "Marketing")

Niestandardowe właściwości rozszerzenia można synchronizować z lokalnej usługi Active Directory systemu Windows Server, z połączonej aplikacji SaaS lub tworzone przy użyciu programu Microsoft Graph i mają format user.extension_[GUID]_[Attribute], gdzie:

  • [GUID] to usunięta wersja unikatowego identyfikatora w identyfikatorze Entra firmy Microsoft dla aplikacji, która utworzyła właściwość. Zawiera tylko znaki 0-9 i A-Z
  • [Attribute] to nazwa właściwości, która została utworzona

Przykładem reguły używającej niestandardowej właściwości rozszerzenia jest:

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

Właściwości rozszerzenia niestandardowego są również nazywane właściwościami katalogu lub rozszerzenia Entra firmy Microsoft.

Nazwę właściwości niestandardowej można znaleźć w katalogu, wysyłając zapytanie do właściwości użytkownika przy użyciu Eksploratora programu Graph i wyszukując nazwę właściwości. Ponadto możesz teraz wybrać link Pobierz niestandardowe właściwości rozszerzenia w konstruktorze reguł dynamicznych grup członkostwa, aby wprowadzić unikatowy identyfikator aplikacji i otrzymać pełną listę właściwości rozszerzenia niestandardowego do użycia podczas tworzenia reguły dla dynamicznych grup członkostwa. Tę listę można również odświeżyć, aby uzyskać wszelkie nowe niestandardowe właściwości rozszerzenia dla tej aplikacji. Atrybuty rozszerzenia i niestandardowe właściwości rozszerzenia muszą pochodzić z aplikacji w dzierżawie.

Aby uzyskać więcej informacji, zobacz Używanie atrybutów w dynamicznych grupach członkostwa w artykule Microsoft Entra Connect Sync: rozszerzenia katalogu.

Reguły dla urządzeń

Możesz również utworzyć regułę, która wybiera obiekty urządzeń dla członkostwa w grupie. Nie można mieć użytkowników i urządzeń jako członków grupy.

Nuta

Atrybut organizationalUnit nie jest już wymieniony i nie powinien być używany. Ten ciąg jest ustawiany przez usługę Intune w określonych przypadkach, ale nie jest rozpoznawany przez identyfikator Entra firmy Microsoft, więc żadne urządzenia nie są dodawane do grup na podstawie tego atrybutu.

Atrybut systemlabels jest tylko do odczytu i nie można go ustawić w usłudze Intune.

W przypadku systemu Windows 10 prawidłowy format atrybutu deviceOSVersion jest następujący: (device.deviceOSVersion -startsWith "10.0.1"). Formatowanie można zweryfikować za pomocą polecenia cmdlet Get-MgDevice programu PowerShell:

Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'

Można użyć następujących atrybutów urządzenia.

Atrybut urządzenia Wartości Przykład
accountEnabled true false device.accountEnabled -eq true
deviceCategory prawidłowa nazwa kategorii urządzeń device.deviceCategory -eq "BYOD"
deviceId prawidłowy identyfikator urządzenia Firmy Microsoft Entra device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d"
deviceManagementAppId prawidłowy identyfikator aplikacji MDM w identyfikatorze entra firmy Microsoft device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" dla usługi Microsoft Intune zarządzane lub "54b943f8-d761-4f8d-951e-9cea1846db5a" dla urządzeń współzarządzanych przez program System Center Configuration Manager
deviceManufacturer dowolna wartość ciągu device.deviceManufacturer -eq "Samsung"
deviceModel dowolna wartość ciągu device.deviceModel -eq "iPad Air"
displayName dowolna wartość ciągu device.displayName -eq "Rob iPhone"
deviceOSType dowolna wartość ciągu (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iOS")
device.deviceOSType -startsWith "AndroidEnterprise"
device.deviceOSType -eq "AndroidForWork"
device.deviceOSType -eq "Windows"
deviceOSVersion dowolna wartość ciągu device.deviceOSVersion -eq "9.1"
device.deviceOSVersion -startsWith "10.0.1"
deviceOwnership Osobiste, Firmowe, Nieznane device.deviceOwnership -eq "Company"
devicePhysicalIds dowolna wartość ciągu używana przez rozwiązanie Autopilot, taka jak wszystkie urządzenia rozwiązania Autopilot, OrderID lub PurchaseOrderID device.devicePhysicalIDs -any _ -startsWith "[ZTDId]"
(device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881"
(device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342"
deviceTrustType AzureAD, ServerAD, Workplace device.deviceTrustType -eq "AzureAD"
enrollmentProfileName Nazwa profilu rejestracji urządzeń firmy Apple, nazwa profilu rejestracji urządzeń należących do firmy z systemem Android Enterprise lub nazwa profilu rozwiązania Windows Autopilot device.enrollmentProfileName -eq "DEP iPhones"
extensionAttribute1 dowolna wartość ciągu device.extensionAttribute1 -eq "some string value"
extensionAttribute2 dowolna wartość ciągu device.extensionAttribute2 -eq "some string value"
extensionAttribute3 dowolna wartość ciągu device.extensionAttribute3 -eq "some string value"
extensionAttribute4 dowolna wartość ciągu device.extensionAttribute4 -eq "some string value"
extensionAttribute5 dowolna wartość ciągu device.extensionAttribute5 -eq "some string value"
extensionAttribute6 dowolna wartość ciągu device.extensionAttribute6 -eq "some string value"
extensionAttribute7 dowolna wartość ciągu device.extensionAttribute7 -eq "some string value"
extensionAttribute8 dowolna wartość ciągu device.extensionAttribute8 -eq "some string value"
extensionAttribute9 dowolna wartość ciągu device.extensionAttribute9 -eq "some string value"
extensionAttribute10 dowolna wartość ciągu device.extensionAttribute10 -eq "some string value"
extensionAttribute11 dowolna wartość ciągu device.extensionAttribute11 -eq "some string value"
extensionAttribute12 dowolna wartość ciągu device.extensionAttribute12 -eq "some string value"
extensionAttribute13 dowolna wartość ciągu device.extensionAttribute13 -eq "some string value"
extensionAttribute14 dowolna wartość ciągu device.extensionAttribute14 -eq "some string value"
extensionAttribute15 dowolna wartość ciągu device.extensionAttribute15 -eq "some string value"
isRooted true false device.isRooted -eq true
managementType MdM (dla urządzeń przenośnych) device.managementType -eq "MDM"
memberOf Dowolna wartość ciągu (prawidłowy identyfikator obiektu grupy) device.memberOf -any (group.objectId -in ['value'])
objectId prawidłowy identyfikator obiektu Microsoft Entra device.objectId -eq "aaaaaaa-0000-1111-2222-bbbbbbbbbb"
profileType prawidłowy typ profilu w identyfikatorze Entra firmy Microsoft device.profileType -eq "RegisteredDevice"
systemLabels ciąg tylko do odczytu pasujący do właściwości urządzenia usługi Intune do tagowania nowoczesnych urządzeń w miejscu pracy device.systemLabels -startsWith "M365Managed" SystemLabels

Nuta

W przypadku używania atrybutu systemLabelstylko do odczytu, który jest używany w różnych kontekstach, takich jak zarządzanie urządzeniami i etykietowanie poufności, nie można edytować za pośrednictwem usługi Intune.
Podczas tworzenia deviceOwnership dynamicznych grup członkostwa dla urządzeń należy ustawić wartość równą Company. W usłudze Intune własność urządzenia jest reprezentowana zamiast tego jako firmowe. Aby uzyskać więcej informacji, zobacz OwnerTypes , aby uzyskać więcej informacji.
Podczas tworzenia deviceTrustType dynamicznych grup członkostwa dla urządzeń należy ustawić wartość równą AzureAD reprezentowaniu urządzeń dołączonych do firmy Microsoft Entra, ServerAD aby reprezentować urządzenia dołączone hybrydowo do firmy Microsoft Entra lub Workplace reprezentować zarejestrowane urządzenia firmy Microsoft Entra.
Podczas tworzenia extensionAttribute1-15 dynamicznych grup członkostwa dla urządzeń należy ustawić wartość dla extensionAttribute1-15 urządzenia. Dowiedz się więcej na temat pisania extensionAttributes w obiekcie urządzenia Entra firmy Microsoft

Następne kroki

Te artykuły zawierają dodatkowe informacje o grupach w usłudze Microsoft Entra ID.