Udostępnij za pośrednictwem

Zarządzanie regułami dla dynamicznych grup członkostwa w usłudze Microsoft Entra ID

Możesz utworzyć reguły oparte na atrybutach użytkownika lub urządzenia, aby włączyć członkostwo dla dynamicznych grup członkostwa w usłudze Microsoft Entra ID. Grupy członkostwa dynamicznego można dodawać i usuwać automatycznie przy użyciu reguł członkostwa na podstawie atrybutów członków. W usłudze Microsoft Entra jedna dzierżawa może mieć maksymalnie 15 000 dynamicznych grup członkostwa.

W tym artykule szczegółowo przedstawiono właściwości i składnię tworzenia reguł dla dynamicznych grup członkostwa na podstawie użytkowników lub urządzeń.

Uwaga

Grupy zabezpieczeń mogą obejmować urządzenia lub użytkowników, ale grupy platformy Microsoft 365 mogą obejmować tylko użytkowników.

Zagadnienia dotyczące dynamicznych grup członkostwa

W przypadku zmiany atrybutów użytkownika lub urządzenia system ocenia wszystkie reguły dla dynamicznych grup członkostwa w katalogu, aby sprawdzić, czy zmiana wyzwoli jakiekolwiek dodatki lub usunięcia grup. Jeśli użytkownicy lub urządzenia spełniają regułę grupy, zostaną dodani jako członkowie tej grupy. Jeśli przestaną spełniać regułę, zostaną usunięte. Nie można ręcznie dodać ani usunąć członka grupy członkostwa dynamicznego.

Należy również pamiętać o następujących ograniczeniach:

  • Możesz utworzyć dynamiczne grupy członkostwa dla użytkowników lub urządzeń, ale nie można utworzyć reguły zawierającej zarówno użytkowników, jak i urządzeń.
  • Nie można utworzyć grupy członkostwa urządzeń na podstawie atrybutów użytkownika właściciela urządzenia. Reguły członkostwa urządzeń mogą odwoływać się tylko do atrybutów urządzeń.

Wymagania licencyjne

Funkcja dynamicznych grup członkostwa wymaga licencji Microsoft Entra ID P1 lub licencji usługi Intune for Education dla każdego unikatowego użytkownika, który jest członkiem co najmniej jednej dynamicznej grupy członkostwa. Nie musisz przypisywać licencji do użytkowników, aby należeli do dynamicznych grup członkostwa. Musisz jednak mieć minimalną liczbę licencji w organizacji Microsoft Entra, aby uwzględnić wszystkich takich użytkowników.

Jeśli na przykład masz łącznie 1000 unikatowych użytkowników we wszystkich dynamicznych grupach członkostwa w organizacji, potrzebujesz co najmniej 1000 licencji dla firmy Microsoft Entra ID P1, aby spełnić wymagania licencyjne.

Nie jest wymagana licencja dla urządzeń, które są członkami dynamicznej grupy opartej na urządzeniu.

Konstruktor reguł w witrynie Azure Portal

Identyfikator Entra firmy Microsoft udostępnia konstruktor reguł do szybszego tworzenia i aktualizowania ważnych reguł. Konstruktor reguł obsługuje konstrukcję maksymalnie pięciu wyrażeń. Możesz użyć konstruktora reguł, aby utworzyć regułę z kilkoma prostymi wyrażeniami, ale nie można jej użyć do odtworzenia każdej reguły. Jeśli konstruktor reguł nie obsługuje reguły, którą chcesz utworzyć, możesz użyć pola tekstowego.

Zrzut ekranu przedstawiający konstruktora reguł z wyróżnioną akcją dodawania wyrażenia.

Aby uzyskać instrukcje krok po kroku, zobacz Tworzenie lub aktualizowanie dynamicznej grupy członkostwa.

Ważny

Konstruktor reguł jest dostępny tylko dla grup członkostwa dynamicznego opartego na użytkownikach. Dynamiczne grupy członkostwa oparte na urządzeniach można tworzyć tylko przy użyciu pola tekstowego.

Oto kilka przykładów zaawansowanych reguł lub składni, które wymagają użycia pola tekstowego:

Uwaga

Konstruktor reguł może nie być w stanie wyświetlić niektórych reguł skonstruowanych w polu tekstowym. Może zostać wyświetlony komunikat, gdy konstruktor reguł nie może wyświetlić reguły. Konstruktor reguł nie zmienia obsługiwanej składni, walidacji ani przetwarzania reguł dla dynamicznych grup członkostwa w żaden sposób.

Składnia reguły dla pojedynczego wyrażenia

Pojedyncze wyrażenie jest najprostszą formą reguły członkostwa. Reguła z pojedynczym wyrażeniem ma postać <Property> <Operator> <Value>, gdzie składnia właściwości jest nazwą <object>.<property>.

Poniższy przykład ilustruje prawidłowo skonstruowaną regułę członkostwa z pojedynczym wyrażeniem:

user.department -eq "Sales"

Nawiasy są opcjonalne dla pojedynczego wyrażenia. Całkowita długość treści reguły członkostwa nie może przekraczać 3072 znaków.

Konstruowanie treści reguły członkostwa

Reguła członkostwa, która automatycznie wypełnia grupę użytkownikami lub urządzeniami, jest wyrażeniem binarnym, które powoduje wynik true lub false. Trzy części prostej reguły to:

  • Nieruchomość
  • Obsługujący
  • Wartość

Kolejność części w wyrażeniu jest ważna, aby uniknąć błędów składniowych.

Obsługiwane właściwości

Do konstruowania reguły członkostwa można użyć trzech typów właściwości:

  • Typ logiczny
  • Data i godzina
  • Sznurek
  • Kolekcja ciągów znaków

Do utworzenia pojedynczego wyrażenia można użyć następujących właściwości użytkownika.

Właściwości typu logicznego

Nieruchomość Dozwolone wartości Użycie
accountEnabled true, false user.accountEnabled -eq true
dirSyncEnabled true, false user.dirSyncEnabled -eq true

Właściwości typu daty/czasu

Nieruchomość Dozwolone wartości Użycie
employeeHireDate (wersja zapoznawcza) Dowolna DateTimeOffset wartość lub słowo kluczowe system.now user.employeeHireDate -eq "value"

Właściwości ciągu typu

Nieruchomość Dozwolone wartości Użycie
city Dowolna wartość ciągu lub null user.city -eq "value"
country Dowolna wartość ciągu lub null user.country -eq "value"
companyName Dowolna wartość ciągu lub null user.companyName -eq "value"
department Dowolna wartość ciągu lub null user.department -eq "value"
displayName Dowolna wartość ciągu user.displayName -eq "value"
employeeId Dowolna wartość ciągu user.employeeId -eq "value"

user.employeeId -ne "null"
facsimileTelephoneNumber Dowolna wartość ciągu lub null user.facsimileTelephoneNumber -eq "value"
givenName Dowolna wartość ciągu lub null user.givenName -eq "value"
jobTitle Dowolna wartość ciągu lub null user.jobTitle -eq "value"
mail Dowolna wartość ciągu lub null (adres SMTP użytkownika) user.mail -eq "value"

user.mail -notEndsWith "@Contoso.com"
mailNickName Dowolna wartość ciągu (alias poczty użytkownika) user.mailNickName -eq "value"

user.mailNickname -endsWith "-vendor"
memberOf Dowolna wartość ciągu (prawidłowy identyfikator obiektu grupy) user.memberOf -any (group.objectId -in ['value'])
mobile Dowolna wartość ciągu lub null user.mobile -eq "value"
objectId Identyfikator GUID obiektu użytkownika user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
onPremisesDistinguishedName Dowolna wartość ciągu lub null user.onPremisesDistinguishedName -eq "value"
onPremisesSecurityIdentifier Lokalny identyfikator zabezpieczeń (SID) dla użytkowników, którzy zostali zsynchronizowani ze środowiska lokalnego do chmury user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111"
passwordPolicies None, , DisableStrongPassword, DisablePasswordExpiration, , DisablePasswordExpirationDisableStrongPassword user.passwordPolicies -eq "DisableStrongPassword"
physicalDeliveryOfficeName Dowolna wartość ciągu lub null user.physicalDeliveryOfficeName -eq "value"
postalCode Dowolna wartość ciągu lub null user.postalCode -eq "value"
preferredLanguage Kod ISO 639-1 user.preferredLanguage -eq "en-US"
sipProxyAddress Dowolna wartość ciągu lub null user.sipProxyAddress -eq "value"
state Dowolna wartość ciągu lub null user.state -eq "value"
streetAddress Dowolna wartość ciągu lub null user.streetAddress -eq "value"
surname Dowolna wartość ciągu lub null user.surname -eq "value"
telephoneNumber Dowolna wartość ciągu lub null user.telephoneNumber -eq "value"
usageLocation Dwuliterowy kod kraju lub regionu user.usageLocation -eq "US"
userPrincipalName Dowolna wartość ciągu user.userPrincipalName -eq "alias@domain"
userType member guest, null user.userType -eq "Member"

Właściwości kolekcji ciągów typów

Nieruchomość Dozwolone wartości Przykłady
otherMails Dowolna wartość ciągu user.otherMails -startsWith "alias@domain"

user.otherMails -endsWith"@contoso.com"
proxyAddresses SMTP: alias@domain, smtp: alias@domain user.proxyAddresses -startsWith "SMTP: alias@domain"

user.proxyAddresses -notEndsWith "@outlook.com"

Aby uzyskać właściwości używane dla reguł urządzeń, zobacz Reguły dla urządzeń.

Obsługiwane operatory wyrażeń

W poniższej tabeli wymieniono wszystkie obsługiwane operatory i ich składnię dla pojedynczego wyrażenia. Można używać operatorów z prefiksem łącznika (-) lub bez niego. Operator Contains wykonuje częściowe dopasowania ciągów, ale nie obsługuje dopasowań dla elementów w kolekcji.

Ostrożność

Aby uzyskać najlepsze wyniki, zminimalizuj użycie Match lub Contains jak najwięcej. Artykuł Tworzenie prostszych, bardziej wydajnych reguł dla dynamicznych grup członkostwa zawiera wskazówki dotyczące tworzenia reguł, które powodują lepsze dynamiczne czasy przetwarzania grup. Operator memberOf jest w wersji zapoznawczej i ma pewne ograniczenia, dlatego należy używać go ostrożnie.

Obsługujący Składnia
Ends With -endsWith
Not Ends With -notEndsWith
Not Equals -ne
Equals -eq
Not Starts With -notStartsWith
Starts With -startsWith
Not Contains -notContains
Contains -contains
Not Match -notMatch
Match -match
In -in
Not In -notIn

Używanie operatorów -in i -notIn

Jeśli chcesz porównać wartość atrybutu użytkownika z wieloma wartościami, możesz użyć operatora -in lub -notIn. Użyj symboli nawiasów kwadratowych ([ i ]), aby rozpocząć i zakończyć listę wartości.

W poniższym przykładzie wyrażenie oblicza wartość true , jeśli wartość user.department jest równa dowolnej wartości na liście:

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

Używanie operatorów -le i -ge

Jeśli używasz atrybutu employeeHireDate w regułach dla dynamicznych grup członkostwa, możesz użyć operatora mniejszego niż (-le) lub większego niż (-ge).

Oto przykłady:

user.employeehiredate -ge system.now -plus p1d 

user.employeehiredate -le 2020-06-10T18:13:20Z

Korzystanie z operatora -match

Możesz użyć -match operatora do dopasowania dowolnego wyrażenia regularnego.

W poniższym przykładzie wartości Da, Davi David są obliczane na wartość true. aDa jest równy false.

user.displayName -match "^Da.*"

W poniższym przykładzie David jest równe true. Da jest równy false.

user.displayName -match ".*vid"

Obsługiwane wartości

Wartości używane w wyrażeniu mogą składać się z kilku typów:

  • Ciągi
  • Wartość logiczna (true, false)
  • Liczby
  • Tablice (tablica liczbowa, tablica ciągów)

Po określeniu wartości w wyrażeniu ważne jest użycie poprawnej składni, aby uniknąć błędów. Oto kilka wskazówek dotyczących składni:

  • Znaki podwójnego cudzysłowu są opcjonalne, chyba że wartość jest ciągiem.
  • Operacje wyrażeń regularnych i ciągów są niewrażliwe na wielkość liter.
  • Upewnij się, że nazwy właściwości są poprawnie sformatowane, jak pokazano, ponieważ wielkość liter ma znaczenie.
  • Gdy wartość ciągu zawiera znaki podwójnego cudzysłowu, należy oba cudzysłowy poprzedzić znakiem odwrotnego ukośnika (\). Na przykład user.department -eq "Sales" to właściwa składnia, gdy Sales jest wartością. Ucieczka pojedynczych cudzysłowów przy użyciu dwóch pojedynczych cudzysłowów zamiast jednego za każdym razem.
  • Możesz również wykonać kontrole wartości null przy użyciu wartości null jako wartości, na przykład user.department -eq null.

Używanie wartości null

Aby określić wartość null w regule:

  • Użyj -eq lub -ne podczas porównywania wartości null w wyrażeniu.
  • Użyj cudzysłowów wokół wyrazu null tylko wtedy, gdy chcesz, aby był interpretowany jako wartość ciągu literału.
  • Nie używaj -not operatora jako operatora porównawczego dla wartości null. Jeśli go używasz, zostanie wyświetlony błąd niezależnie od tego, czy używasz null, czy $null.

Prawidłowy sposób odwołania się do wartości null jest następujący:

   user.mail –ne null

Reguły z wieloma wyrażeniami

Reguły dla dynamicznych grup członkostwa mogą składać się z więcej niż jednego pojedynczego wyrażenia połączonego przez operatory logiczne -and, -or i -not. Operatory logiczne można również używać w połączeniu.

Poniżej przedstawiono przykłady prawidłowo skonstruowanych reguł członkostwa z wieloma wyrażeniami:

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")

Kolejność wykonywania działań

Na poniższej liście przedstawiono wszystkie operatory według pierwszeństwa od najwyższego do najniższego. Operatory w tym samym wierszu mają równą kolejność pierwszeństwa.

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all

W poniższym przykładzie pokazano pierwszeństwo operatora, w którym są oceniane dwa wyrażenia dla użytkownika:

   user.department –eq "Marketing" –and user.country –eq "US"

Nawiasy są potrzebne tylko wtedy, gdy pierwszeństwo nie spełnia wymagań. Jeśli na przykład chcesz, aby dział był oceniany jako pierwszy, poniższy kod pokazuje, jak można użyć nawiasów, aby określić kolejność:

   user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

Reguły z wyrażeniami złożonymi

Reguła członkostwa może składać się z złożonych wyrażeń, w których właściwości, operatory i wartości przyjmują bardziej złożone formy. Wyrażenia są uznawane za złożone, gdy którekolwiek z następujących punktów ma wartość true:

  • Właściwość składa się z kolekcji wartości; w szczególności właściwości wielowartościowe.
  • Wyrażenia używają operatorów -any i -all.
  • Wartość wyrażenia sama w sobie może być jednym lub więcej wyrażeniami.

Właściwości wielowartościowe

Właściwości wielowartościowe to kolekcje obiektów tego samego typu. Można ich używać do tworzenia reguł członkostwa przy użyciu operatorów logicznych -any i -all .

Nieruchomość Wartości Użycie
assignedPlans Każdy obiekt w kolekcji uwidacznia następujące właściwości ciągu: capabilityStatus, , serviceservicePlanId user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled")
proxyAddresses SMTP: alias@domain, smtp: alias@domain (user.proxyAddresses -any (\_ -startsWith "contoso"))

Używanie operatorów -any i -all

Następujące operatory umożliwiają zastosowanie warunku do jednego lub wszystkich elementów w kolekcji:

  • -any: spełniony, gdy co najmniej jeden element w kolekcji jest zgodny z warunkiem.
  • -all: Zadowolony, gdy wszystkie elementy w kolekcji spełniają warunek.
Przykład 1

assignedPlans jest właściwością wielowartościową, która wymienia wszystkie plany usług przypisane do użytkownika. Następujące wyrażenie wybiera użytkowników, którzy mają plan usługi Exchange Online (plan 2) (jako wartość identyfikatora GUID), który jest również w Enabled stanie:

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

Możesz użyć reguły podobnej do tej, aby zgrupować wszystkich użytkowników, dla których włączono usługę Microsoft 365 lub inną funkcję usług Online Services firmy Microsoft. Następnie można zastosować regułę wraz z zestawem zasad do grupy.

Przykład 2

Następujące wyrażenie wybiera wszystkich użytkowników, którzy mają dowolny plan usługi skojarzony z usługą Intune (identyfikowany przez nazwę SCOusługi ):

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Przykład 3

Następujące wyrażenie wybiera wszystkich użytkowników, którzy nie mają przypisanego planu usługi:

user.assignedPlans -all (assignedPlan.servicePlanId -eq null)

Używanie składni podkreślenia (_)

Składnia podkreślenia (_) odpowiada przypadkom wystąpienia określonej wartości w jednej z wielowartościowych właściwości kolekcji ciągów znaków, aby dodać użytkowników lub urządzenia do dynamicznej grupy członkowskiej. Używasz go z operatorem -any lub -all.

Oto przykład użycia podkreślenia w regule do dodawania członków na podstawie user.proxyAddress. (W przypadku user.otherMails działa to tak samo.) Ta reguła dodaje do grupy każdego użytkownika, który ma adres proxy rozpoczynający się od contoso.

(user.proxyAddresses -any (_ -startsWith "contoso"))

Inne właściwości i typowe reguły

Tworzenie reguły dla raportów bezpośrednich

Możesz utworzyć grupę zawierającą wszystkie bezpośrednie raporty menedżera. Gdy bezpośrednie raporty menedżera zmienią się w przyszłości, członkostwo grupy zostanie automatycznie dostosowane.

Regułę raportów bezpośrednich tworzy się przy użyciu następującej składni:

Direct Reports for "{objectID_of_manager}"

Oto przykład prawidłowej reguły, gdzie aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb jest identyfikatorem obiektu menedżera:

Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"

Poniższe porady mogą pomóc w prawidłowym użyciu reguły:

  • Identyfikator menedżera jest identyfikatorem obiektu menedżera. Można go znaleźć w profilu menedżera.
  • Aby reguła działała, upewnij się, że Manager właściwość jest poprawnie ustawiona dla użytkowników w organizacji. Bieżącą wartość można sprawdzić w profilu użytkownika.
  • Ta reguła obsługuje tylko bezpośrednie raporty menedżera. Nie można utworzyć grupy, która ma bezpośrednie raporty menedżera i ich raporty.
  • Nie można połączyć tej reguły z żadnymi innymi regułami członkostwa.

Tworzenie reguły dla wszystkich użytkowników

Grupę zawierającą wszystkich użytkowników w organizacji można utworzyć przy użyciu reguły członkostwa. Po dodaniu lub usunięciu użytkowników z organizacji w przyszłości członkostwo w grupie zostanie automatycznie dostosowane.

Regułę można utworzyć dla wszystkich użytkowników przy użyciu pojedynczego wyrażenia zawierającego -ne operator i null wartość. Ta reguła dodaje użytkowników-gości biznesowych i użytkowników będących członkami do grupy.

user.objectId -ne null

Jeśli chcesz, aby grupa wykluczała użytkowników-gości i uwzględniała tylko członków organizacji, możesz użyć następującej składni:

(user.objectId -ne null) -and (user.userType -eq "Member")

Tworzenie reguły dla wszystkich urządzeń

Grupę zawierającą wszystkie urządzenia w organizacji można utworzyć przy użyciu reguły członkostwa. Po dodaniu lub usunięciu urządzeń z organizacji w przyszłości członkostwo w grupie zostanie automatycznie dostosowane.

Reguła dla wszystkich urządzeń jest tworzona przy użyciu pojedynczego wyrażenia zawierającego -ne operator i null wartość:

device.objectId -ne null

Atrybuty rozszerzenia i właściwości rozszerzenia niestandardowego

Atrybuty rozszerzenia i niestandardowe właściwości rozszerzenia są obsługiwane jako właściwości ciągu w regułach dla dynamicznych grup członkostwa.

Można synchronizować atrybuty rozszerzenia z usługi Active Directory systemu Windows Server działającej lokalnie. Możesz też zaktualizować atrybuty rozszerzenia przy użyciu programu Microsoft Graph.

Atrybuty rozszerzenia przyjmują format ExtensionAttribute<X>, gdzie <X> równa-115 . W regułach dla dynamicznych grup członkostwa nie są obsługiwane właściwości rozszerzenia wielowartościowego.

Oto przykład reguły, która używa atrybutu rozszerzenia jako właściwości:

(user.extensionAttribute15 -eq "Marketing")

Możesz synchronizować niestandardowe właściwości rozszerzenia z lokalnego Windows Server Active Directory albo z połączonej aplikacji typu oprogramowanie jako usługa (SaaS). Można utworzyć niestandardowe właściwości rozszerzeń za pomocą platformy Microsoft Graph.

Właściwości rozszerzenia niestandardowego mają format user.extension_[GUID]_[Attribute], gdzie:

  • [GUID] to odchudzona wersja unikatowego identyfikatora w Microsoft Entra ID dla aplikacji, która utworzyła tę właściwość. Zawiera tylko znaki 0-9 i A-Z.
  • [Attribute] to nazwa właściwości taka, jaka została stworzona.

Przykładem reguły używającej niestandardowej właściwości rozszerzenia jest:

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

Właściwości rozszerzenia niestandardowego są również nazywane właściwościami katalogu lub rozszerzeniami Microsoft Entra.

Nazwę właściwości niestandardowej można znaleźć w katalogu, wysyłając zapytanie do właściwości użytkownika w Eksploratorze programu Graph i wyszukując nazwę właściwości. Ponadto możesz teraz wybrać link Pobierz właściwości rozszerzenia niestandardowego w konstruktorze reguł dynamicznych, aby wprowadzić unikatowy identyfikator aplikacji i otrzymać pełną listę właściwości rozszerzenia niestandardowego, które mają być używane podczas tworzenia reguły dla dynamicznych grup członkostwa. Możesz odświeżyć tę listę, aby uzyskać jakiekolwiek nowe niestandardowe właściwości rozszerzenia dla tej aplikacji. Atrybuty rozszerzenia i niestandardowe właściwości rozszerzenia muszą pochodzić z aplikacji w Twojej dzierżawie.

Aby uzyskać więcej informacji, zobacz Używanie atrybutów w dynamicznych grupach członkostwa.

Reguły dla urządzeń

Możesz utworzyć regułę, która wybiera obiekty urządzeń dla członkostwa w grupie. Nie można mieć użytkowników i urządzeń jako członków grupy.

Uwaga

Atrybut organizationalUnit nie jest już wymieniony i nie należy go używać. Usługa Intune ustawia ten ciąg w określonych przypadkach, ale identyfikator Entra firmy Microsoft nie rozpoznaje go. Żadne urządzenia nie są dodawane do grup na podstawie tego atrybutu.

Atrybut systemlabels jest tylko do odczytu. Nie można go ustawić za pomocą usługi Intune.

W systemie Windows 10 poprawny format atrybutu deviceOSVersion to device.deviceOSVersion -startsWith "10.0.1". Formatowanie można zweryfikować przy użyciu Get-MgDevice polecenia cmdlet programu PowerShell:

Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'

Możesz użyć następujących atrybutów urządzenia.

Atrybut urządzenia Wartości Przykłady
accountEnabled true, false device.accountEnabled -eq true
deviceCategory Prawidłowa nazwa kategorii urządzeń device.deviceCategory -eq "BYOD"
deviceId Prawidłowy identyfikator urządzenia Microsoft Entra device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d"
deviceManagementAppId Prawidłowy identyfikator aplikacji do zarządzania urządzeniami przenośnymi w usłudze Microsoft Entra ID device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" dla urządzeń zarządzanych przez usługę Microsoft Intune

"54b943f8-d761-4f8d-951e-9cea1846db5a" dla współzarządzanych urządzeń programu System Center Configuration Manager
deviceManufacturer Dowolna wartość ciągu device.deviceManufacturer -eq "Samsung"
deviceModel Dowolna wartość ciągu device.deviceModel -eq "iPad Air"
displayName Dowolna wartość ciągu device.displayName -eq "Rob iPhone"
deviceOSType Dowolna wartość ciągu (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iOS")

device.deviceOSType -startsWith "AndroidEnterprise"

device.deviceOSType -eq "AndroidForWork"

device.deviceOSType -eq "Windows"
deviceOSVersion Dowolna wartość ciągu device.deviceOSVersion -eq "9.1"

device.deviceOSVersion -startsWith "10.0.1"
deviceOwnership 1 Personal Company, Unknown device.deviceOwnership -eq "Company"
devicePhysicalIds Dowolna wartość ciągu używana przez rozwiązanie Windows Autopilot, taka jak wszystkie urządzenia rozwiązania Windows Autopilot, OrderID lub PurchaseOrderID device.devicePhysicalIDs -any _ -startsWith "[ZTDId]"

device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881"

device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342"
deviceTrustType 2 AzureAD ServerAD, Workplace device.deviceTrustType -eq "AzureAD"
enrollmentProfileName Nazwa profilu dla automatycznego rejestrowania urządzeń firmy Apple, rejestracji dedykowanych urządzeń należących do firmy z systemem Android Enterprise lub rozwiązania Windows Autopilot device.enrollmentProfileName -eq "DEP iPhones"
extensionAttribute1 3 Dowolna wartość ciągu device.extensionAttribute1 -eq "some string value"
extensionAttribute2 Dowolna wartość ciągu device.extensionAttribute2 -eq "some string value"
extensionAttribute3 Dowolna wartość ciągu device.extensionAttribute3 -eq "some string value"
extensionAttribute4 Dowolna wartość ciągu device.extensionAttribute4 -eq "some string value"
extensionAttribute5 Dowolna wartość ciągu device.extensionAttribute5 -eq "some string value"
extensionAttribute6 Dowolna wartość ciągu device.extensionAttribute6 -eq "some string value"
extensionAttribute7 Dowolna wartość ciągu device.extensionAttribute7 -eq "some string value"
extensionAttribute8 Dowolna wartość ciągu device.extensionAttribute8 -eq "some string value"
extensionAttribute9 Dowolna wartość ciągu device.extensionAttribute9 -eq "some string value"
extensionAttribute10 Dowolna wartość ciągu device.extensionAttribute10 -eq "some string value"
extensionAttribute11 Dowolna wartość ciągu device.extensionAttribute11 -eq "some string value"
extensionAttribute12 Dowolna wartość ciągu device.extensionAttribute12 -eq "some string value"
extensionAttribute13 Dowolna wartość ciągu device.extensionAttribute13 -eq "some string value"
extensionAttribute14 Dowolna wartość ciągu device.extensionAttribute14 -eq "some string value"
extensionAttribute15 Dowolna wartość ciągu device.extensionAttribute15 -eq "some string value"
isRooted true, false device.isRooted -eq true
managementType Zarządzanie urządzeniami przenośnymi (dla urządzeń przenośnych) device.managementType -eq "MDM"
memberOf Dowolna wartość ciągu (prawidłowy identyfikator obiektu grupy) device.memberOf -any (group.objectId -in ['value'])
objectId Prawidłowy identyfikator obiektu Entra firmy Microsoft device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
profileType Prawidłowy typ profilu w identyfikatorze Entra firmy Microsoft device.profileType -eq "RegisteredDevice"
systemLabels 4 Ciąg tylko do odczytu zgodny z właściwością urządzenia Intune do tagowania urządzeń Modern Workplace. device.systemLabels -startsWith "M365Managed" SystemLabels

1 W przypadku tworzenia deviceOwnership dynamicznych grup członkostwa dla urządzeń należy ustawić wartość równą Company. W usłudze Intune własność urządzenia jest reprezentowana zamiast tego jako Corporate. Aby uzyskać więcej informacji, zobacz ownerTypes.

2 Jeśli używasz deviceTrustType do tworzenia dynamicznych grup członkostwa dla urządzeń, musisz ustawić wartość równą AzureAD reprezentowaniu urządzeń dołączonych do firmy Microsoft Entra, ServerAD aby reprezentować urządzenia dołączone hybrydowo do firmy Microsoft Entra lub Workplace reprezentować zarejestrowane urządzenia firmy Microsoft Entra.

3 W przypadku tworzenia dynamicznych grup członkostwa extensionAttribute1-15 dla urządzeń, należy ustawić wartość extensionAttribute1-15 na urządzeniu. Dowiedz się więcej o sposobie pisania extensionAttributes w obiekcie urządzenia Entra firmy Microsoft.

4 Gdy używasz atrybutu systemLabels, który jest tylko do odczytu i używanego w różnych kontekstach (takich jak zarządzanie urządzeniami i etykietowanie poufności), nie można go edytować za pośrednictwem usługi Intune.

Treści powiązane