Gerenciar regras de grupos de associação dinâmica no Microsoft Entra ID
Você pode criar regras baseadas em atributos de usuário ou dispositivo para habilitar a associação para um grupo de associação dinâmica no Microsoft Entra ID, parte do Microsoft Entra. Você pode adicionar e remover os grupos de associação dinâmica automaticamente usando regras de associação com base em atributos de membro. No Microsoft Entra, um único locatário pode ter no máximo 15.000 grupos de associação dinâmica.
Este artigo detalha as propriedades e a sintaxe para criar regras de grupos de associação dinâmica com base em usuários ou dispositivos.
Nota
Os grupos de segurança podem ser usados para dispositivos ou usuários, mas os grupos do Microsoft 365 grupos só podem ser usuários.
Quando os atributos de um usuário ou um dispositivo são alterados, o sistema avalia todas as regras de grupos de associação dinâmica em um diretório para ver se a alteração dispararia adições ou remoções de grupo. Se um usuário ou dispositivo atender a uma regra em um grupo, ele será adicionado como membro desse grupo. Se não atender mais à regra, ele será removido. Manualmente, não é possível adicionar nem remover um grupo de associação dinâmica.
- Você pode criar grupos de associação dinâmica para usuários ou dispositivos, mas não pode criar uma regra que contenha usuários e dispositivos.
- Você não pode criar um grupo de associação de dispositivos com base nos atributos de usuário do proprietário do dispositivo. Regras de associação de dispositivo podem fazer referência somente a atributos do dispositivo.
Nota
Este recurso requer uma licença do Microsoft Entra ID P1 ou Intune para Educação para cada usuário único que seja membro de um ou mais grupos de associação dinâmica. Você não precisa atribuir licenças aos usuários para que eles sejam membros de grupos de associação dinâmica, mas é necessário ter o número mínimo de licenças na organização do Microsoft Entra para incluir todos esses usuários. Por exemplo, se você tiver o total de 1.000 usuários exclusivos em todos os grupos de associação dinâmica na organização, serão necessárias pelo menos 1.000 licenças do Microsoft Entra ID P1 para atender ao requisito de licença. Nenhuma licença é necessária para dispositivos que são membros de um grupo de associação dinâmica com base em dispositivo.
Construtor de regras no portal do Azure
O Microsoft Entra ID fornece um construtor de regras para criar e atualizar suas regras importantes mais rapidamente. O construtor de regras dá suporte à construção de até cinco expressões. O construtor de regras torna mais fácil formar uma regra com algumas expressões simples, no entanto, ela não pode ser usada para reproduzir todas as regras. Se o construtor de regras não oferecer suporte à regra que você deseja criar, você poderá usar a caixa de texto.
Aqui estão alguns exemplos de regras ou sintaxe avançadas que exigem o uso da caixa de texto:
- Regra com mais de cinco expressões
- A regra de funcionário subordinado
- Regras com o operador -contains ou -notContains
- Definir a precedência do operador
- Regras com expressões complexas; por exemplo,
(user.proxyAddresses -any (_ -startsWith "contoso"))
Nota
O construtor de regras pode não conseguir exibir algumas regras construídas na caixa de texto. Você poderá ver uma mensagem quando o construtor de regras não puder exibir a regra. O construtor de regras não altera de nenhuma forma a sintaxe, a validação nem o processamento de regras aceitos de grupos de associação dinâmica.
Para obter instruções passo a passo, consulte Criar ou atualizar um grupo de associação dinâmica.
Sintaxe de regra para uma única expressão
Uma única expressão é a forma mais simples de uma regra de associação e só tem as três partes mencionadas acima. Uma regra com uma única expressão é semelhante a este exemplo: Property Operator Value, em que a sintaxe para a propriedade é o nome do object.property.
O exemplo a seguir ilustra uma regra de associação construída de maneira adequada com uma única expressão:
user.department -eq "Sales"
Parênteses são opcionais para uma única expressão. O comprimento total do corpo de sua regra de associação não pode ultrapassar 3072 caracteres.
Construir o corpo de uma regra de associação
Uma regra de associação que preenche automaticamente um grupo de usuários ou dispositivos é uma expressão binária que resulta em um resultado verdadeiro ou falso. As três partes de uma regra simples são:
- Propriedade
- Operador
- Valor
A ordem das partes de uma expressão é importante para evitar erros de sintaxe.
Propriedades aceitas
Há três tipos de propriedades que podem ser usadas para construir uma regra de associação.
- Booliano
- Data/Hora
- Cadeia de caracteres
- Coleção de cadeias de caracteres
Estas são todas as propriedades do usuário que você pode usar para criar uma expressão única.
Propriedades de tipo booliano
| Propriedades | Valores permitidos | Uso |
|---|---|---|
| accountEnabled | verdadeiro, falso | user.accountEnabled -eq true |
| dirSyncEnabled | verdadeiro, falso | user.dirSyncEnabled -eq true |
Propriedades do tipo dateTime
| Propriedades | Valores permitidos | Uso |
|---|---|---|
| employeeHireDate (versão prévia) | Qualquer valor de DateTimeOffset ou palavra-chave system.now | user.employeeHireDate -eq "value" |
Propriedades do tipo cadeia de caracteres
| Propriedades | Valores permitidos | Uso |
|---|---|---|
| cidade | Qualquer valor de cadeia de caracteres ou null | user.city -eq "value" |
| país | Qualquer valor de cadeia de caracteres ou null | user.country -eq "value" |
| companyName | Qualquer valor de cadeia de caracteres ou null | user.companyName -eq "value" |
| departamento | Qualquer valor de cadeia de caracteres ou null | user.department -eq "value" |
| displayName | Qualquer valor de cadeia de caracteres | user.displayName -eq "value" |
| employeeId | Qualquer valor de cadeia de caracteres | user.employeeId -eq "value" user.employeeId -ne null |
| facsimileTelephoneNumber | Qualquer valor de cadeia de caracteres ou null | user.facsimileTelephoneNumber -eq "value" |
| givenName | Qualquer valor de cadeia de caracteres ou null | user.givenName -eq "value" |
| jobTitle | Qualquer valor de cadeia de caracteres ou null | user.jobTitle -eq "value" |
| Qualquer valor de cadeia de caracteres ou null (endereço SMTP do usuário) | user.mail -eq "value" | |
| mailNickname | Qualquer valor de cadeia de caracteres (alias de email do usuário) | user.mailNickName -eq "value" |
| memberOf | Qualquer valor de cadeia de caracteres (ID de objeto de grupo válido) | user.memberOf -any (group.objectId -in ['value']) |
| móvel | Qualquer valor de cadeia de caracteres ou null | user.mobile -eq "value" |
| objectId | GUID do objeto de usuário | user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
| onPremisesDistinguishedName | Qualquer valor de cadeia de caracteres ou null | user.onPremisesDistinguishedName -eq "value" |
| onPremisesSecurityIdentifier | SID (ID de segurança) local para usuários que foram sincronizados do local para a nuvem. | user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111" |
| passwordPolicies | Nenhum DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
| physicalDeliveryOfficeName | Qualquer valor de cadeia de caracteres ou null | user.physicalDeliveryOfficeName -eq "value" |
| postalCode | Qualquer valor de cadeia de caracteres ou null | user.postalCode -eq "value" |
| preferredLanguage | ISO 639-1 code | user.preferredLanguage -eq "en-US" |
| sipProxyAddress | Qualquer valor de cadeia de caracteres ou null | user.sipProxyAddress -eq "value" |
| estado | Qualquer valor de cadeia de caracteres ou null | user.state -eq "value" |
| streetAddress | Qualquer valor de cadeia de caracteres ou null | user.streetAddress -eq "value" |
| surname | Qualquer valor de cadeia de caracteres ou null | user.surname -eq "value" |
| telephoneNumber | Qualquer valor de cadeia de caracteres ou null | user.telephoneNumber -eq "value" |
| usageLocation | Código de duas letras do país ou região | user.usageLocation -eq "US" |
| userPrincipalName | Qualquer valor de cadeia de caracteres | user.userPrincipalName -eq "alias@domain" |
| userType | member guest null | user.userType -eq "Member" |
Propriedades do tipo coleção de cadeias de caracteres
| Propriedades | Valores permitidos | Exemplo |
|---|---|---|
| otherMails | Qualquer valor de cadeia de caracteres | user.otherMails -startsWith "alias@domain" |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | user.proxyAddresses -startsWith "SMTP: alias@domain" |
Para as propriedades usadas para regras de dispositivo, consulte Regras para dispositivos.
Operadores de expressão aceitos
A tabela a seguir lista os operadores aceitos e sua sintaxe para uma única expressão. Os operadores podem ser usados com ou sem o prefixo de hífen (-). O operador Contains faz correspondências parciais de cadeia de caracteres, mas não faz correspondências do tipo item em uma coleção.
| Operador | Sintaxe |
|---|---|
| Diferente de | -ne |
| Igual a | -eq |
| Não começa com | -notStartsWith |
| Começa com | -startsWith |
| Não contém | -notContains |
| Contém | -contains |
| Não corresponde a | -notMatch |
| Corresponde a | -match |
| Está em | -in |
| Não está em | -notIn |
Usar os operadores -in e -notIn
Se quiser comparar o valor de um atributo de usuário com diversos valores, você poderá usar os operadores -in ou -notIn. Use os símbolos entre colchetes "[" e "]" para iniciar e finalizar a lista de valores.
No exemplo a seguir, a expressão será verdadeira se o valor de user.department for igual a um dos valores na lista:
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
Usar os operadores -le e -ge
Você pode usar operadores menores que (-le) ou maiores que (-ge) ao usar o atributo employeeHireDate em regras de grupos de associação dinâmica.
Exemplos:
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
Usar o operador -match
O operador -match é usado para corresponder qualquer expressão regular. Exemplos:
user.displayName -match "^Da.*"
Da, Dav, David são interpretados como true, aDa é interpretado como false.
user.displayName -match ".*vid"
David é interpretado como true, Da é interpretado como false.
Valores aceitos
Os valores usados em uma expressão podem consistir em vários tipos, incluindo:
- Cadeias de caracteres
- Booliano – verdadeiro, falso
- Números
- Matrizes – matriz de número, matriz de cadeia de caracteres
Ao especificar um valor dentro de uma expressão é importante usar a sintaxe correta para evitar erros. Algumas dicas de sintaxe são:
- Aspas duplas são opcionais, a menos que o valor seja uma cadeia de caracteres.
- As operações de cadeia de caracteres e Regex não diferenciam maiúsculas de minúsculas.
- Verifique se os nomes de propriedade estão formatados corretamente conforme mostrado, pois diferenciam maiúsculas de minúsculas.
- Quando um valor de cadeia de caracteres contiver aspas duplas, ambas as aspas devem ser ignoradas usando-se o caracter `. Por exemplo, `"Vendas`" é a sintaxe adequada quando o valor é "Vendas". É preciso fazer o escape de aspas simples usando duas aspas simples em vez de uma a cada vez.
- Você também pode fazer verficações de Null, usando null como valor, por exemplo,
user.department -eq null.
Uso de valores nulos
Para especificar um valor nulo em uma regra, você pode usar o valor null.
- Use -eq ou -ne ao comparar o valor null em uma expressão.
- Use aspas em torno da palavra null apenas se você quiser que ela seja interpretada como um valor literal de cadeia de caracteres.
- O operador -not não pode ser usado para comparação com null. Se for utilizado, você receberá um erro quer use null ou $null.
A maneira correta de referenciar o valor null é da seguinte maneira:
user.mail –ne null
Regras com várias expressões
Gerenciar regras de grupos de associação dinâmica pode consistir em mais de uma única expressão conectada pelos operadores lógicos -and, -or e -not. Operadores lógicos também podem ser usados em combinação.
A seguir estão exemplos de regras de associação devidamente construídas com várias expressões:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
Precedência do operador
Todos os operadores estão listados abaixo na ordem de precedência, da mais alta para a mais baixa. Os operadores na mesma linha têm a mesma precedência:
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
O exemplo a seguir ilustra a precedência de operador em que as duas expressões estão sendo avaliadas para o usuário:
user.department –eq "Marketing" –and user.country –eq "US"
Parênteses são necessários somente quando a precedência não atender aos seus requisitos. Por exemplo, se desejar que o departamento seja avaliado primeiro, o código a seguir mostra como usar os parênteses para determinar a ordem:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Regras com expressões complexas
Uma regra de associação pode consistir em expressões complexas, onde as propriedades, operadores e valores assumem formas mais complexas. Expressões são consideradas complexas quando qualquer uma das seguintes opções for verdadeira:
- A propriedade consiste em uma coleção de valores; especificamente, as propriedades de vários valores
- As expressões usam os operadores -any e -all
- O valor da expressão pode ser uma ou mais expressões
Propriedades de vários valores
As propriedades de vários valores são coleções de objetos do mesmo tipo. Elas podem ser usadas para criar regras de associação usando os operadores lógicos -any e -all.
| Propriedades | Valores | Uso |
|---|---|---|
| assignedPlans | Cada objeto na coleção expõe as seguintes propriedades de cadeia de caracteres: capabilityStatus, service, servicePlanId | user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled") |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | (user.proxyAddresses -any (_ -startsWith "contoso")) |
Usar os operadores -any e -all
Você pode usar os operadores -any e -all para aplicar uma condição a um ou todos os itens na coleção, respectivamente.
- -any (atendida quando pelo menos um item na coleção corresponde à condição)
- -all (atendida quando todos os itens na coleção correspondem à condição)
Exemplo 1
assignedPlans é uma propriedade de valores múltiplos que lista todos os planos de serviço atribuídos ao usuário. A expressão abaixo seleciona os usuários que tenham o plano de serviço Exchange Online (Plano 2) (como o valor GUID) e que também estejam no estado Habilitado:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
Uma regra como esta pode ser usada para agrupar todos os usuários para os quais está habilitada uma funcionalidade do Microsoft 365 ou de outro Microsoft Online Service. Você poderia aplicar com um conjunto de políticas ao grupo.
Exemplo 2
A expressão a seguir seleciona todos os usuários que possuem algum plano de serviço associado ao serviço do Intune (identificado pelo nome de serviço "SCO"):
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Exemplo 3
A seguinte expressão seleciona todos os usuários que não têm nenhum plano de serviço atribuído:
user.assignedPlans -all (assignedPlan.servicePlanId -eq null)
Usar a sintaxe de sublinhado (_)
A sintaxe de sublinhado (_) corresponde a ocorrências de um valor específico em uma das propriedades de coleção de cadeia caracteres de valores variados para adicionar usuários ou dispositivos a um grupo de associação dinâmica. Ele é usado com os operadores -any ou -all.
Aqui está um exemplo do uso do sublinhado (_) em uma regra para adicionar membros com base em user.proxyAddress (funciona da mesma forma para user.otherMails). Essa regra adiciona ao grupo qualquer usuário com endereço proxy que comece com "contoso".
(user.proxyAddresses -any (_ -startsWith "contoso"))
Outras propriedades e regras comuns
Criar uma regra de "funcionários subordinados"
Você pode criar um grupo contendo todos os funcionários subordinados de um gerente. Quando os funcionários subordinados do gerente forem alterados no futuro, a associação de grupo será ajustada automaticamente.
Os funcionários subordinados são construídos usando a sintaxe a seguir:
Direct Reports for "{objectID_of_manager}"
Aqui está um exemplo de regra válida, em que "aaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" é o objectID do gerente:
Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
As dicas a seguir podem ajudá-lo a usar a regra corretamente.
- O Manager ID é a ID de objeto do gerente. Ele pode ser encontrado no Perfil do gerente.
- Para que a regra funcione, verifique se a propriedade Gerente está definida corretamente para os usuários da sua organização. Você pode verificar o valor atual no Perfil do usuário.
- Essa regra aceita apenas os funcionários subordinados do gerente. Em outras palavras, é possível criar um grupo com os funcionários subordinados do gerente e respectivos funcionários.
- Essa regra não pode ser combinada com nenhuma outra regra avançada.
Criar uma regra de "Todos os usuários"
Você pode criar um grupo contendo todos os usuários dentro de uma organização usando uma regra de associação. Quando os usuários forem adicionados ou removidos da organização no futuro, a associação de grupo será ajustada automaticamente.
A regra de "Todos os usuários" é construída com uma única expressão usando o operador -ne e o valor null. Essa regra adiciona usuários convidados de B2B e usuários membros ao grupo.
user.objectId -ne null
Se você quiser que o grupo exclua os usuários convidados e inclua somente os membros da sua organização, poderá usar a seguinte sintaxe:
(user.objectId -ne null) -and (user.userType -eq "Member")
Criar uma regra de "Todos os dispositivos"
Você pode criar um grupo contendo todos os dispositivos dentro de uma organização usando uma regra de associação. Quando os dispositivos forem adicionados ou removidos da organização no futuro, a associação do grupo será ajustada automaticamente.
A regra de "Todos os dispositivos" é construída com uma única expressão usando o operador -ne e o valor null:
device.objectId -ne null
Propriedades de extensão e propriedades de extensão personalizadas
Os atributos de extensão e as propriedades de extensão personalizadas são aceitos como propriedades de cadeia de caracteres nas regras de grupos de associação dinâmica. Os atributos de extensão podem ser sincronizados do Active Directory do Windows Server local ou atualizados usando o Microsoft Graph e têm o formato "ExtensionAttributeX", em que X é igual a 1 a 15. As propriedades de extensão de vários valores não são aceitas em regras de grupos de associação dinâmica.
Um exemplo de uma regra que usa um atributo de extensão como propriedade:
(user.extensionAttribute15 -eq "Marketing")
As propriedades de extensão personalizadas podem ser sincronizadas do Windows Server Active Directory local, de um aplicativo SaaS conectado ou criados usando o Microsoft Graph e estão no formato user.extension_[GUID]_[Attribute], em que:
- [GUID] é uma versão separada do identificador exclusivo no Microsoft Entra ID para o aplicativo que criou a propriedade. Ele contém apenas caracteres de 0 a 9 e de A a Z
- [Attribute] é o nome da propriedade como ele foi criado
Exemplo de regra que usa uma propriedade de extensão personalizada:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Propriedades de extensão personalizadas também são chamadas de propriedades de extensão de diretório ou do Microsoft Entra.
O nome da propriedade personalizada pode ser encontrado no diretório por meio da consulta do atributo de um usuário, usando o Explorador de gráficos e procurando o nome do atributo. Além disso, agora você pode selecionar o link Obter propriedades de extensão personalizadas no construtor de regras de grupos de associação dinâmica para inserir uma ID do aplicativo exclusiva e receber a lista completa de propriedades de extensão personalizadas para usar ao criar uma regra de grupos de associação dinâmica. Essa lista também pode ser atualizada para obter as novas propriedades de extensão personalizadas do aplicativo. Atributos de extensão e propriedades de extensão personalizadas precisam ser de aplicativos em seu locatário.
Para obter mais informações, consulte Usar os atributos em grupos de associação dinâmica no artigo Microsoft Entra Connect Sync: Extensões de diretório.
Regras para dispositivos
Você também pode criar uma regra que seleciona objetos de dispositivo para associação a um grupo. Você não pode ter usuários e dispositivos como membros do grupo.
Nota
O atributo organizationalUnit não está mais listado e não deve ser usado. Essa cadeia de caracteres é definida pelo Intune em casos específicos, mas não é reconhecida pelo Microsoft Entra ID, portanto, nenhum dispositivo é adicionado aos grupos com base nesse atributo.
O atributo systemlabels é somente leitura e não pode ser definido com o Intune.
Para o Windows 10, o formato correto do atributo deviceOSVersion é o seguinte: (device.deviceOSVersion -startsWith "10.0.1"). A formatação pode ser validada com o cmdlet Get-MgDevice do PowerShell:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
Os seguintes atributos de dispositivo podem ser usados.
| Atributo de dispositivo | Valores | Exemplo |
|---|---|---|
| accountEnabled | verdadeiro, falso | device.accountEnabled -eq true |
| deviceCategory | um nome válido de categoria de dispositivo | device.deviceCategory -eq "BYOD" |
| deviceId | uma ID válida de dispositivo do Microsoft Entra | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
| deviceManagementAppId | uma ID válida de aplicativo MDM no Microsoft Entra ID | device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" para dispositivos gerenciados do Microsoft Intune ou "54b943f8-d761-4f8d-951e-9cea1846db5a" para dispositivos cogerenciados do System Center Configuration Manager |
| deviceManufacturer | qualquer valor de cadeia de caracteres | device.deviceManufacturer -eq "Samsung" |
| deviceModel | qualquer valor de cadeia de caracteres | device.deviceModel -eq "iPad Air" |
| displayName | qualquer valor de cadeia de caracteres | device.displayName -eq "Rob iPhone" |
| deviceOSType | qualquer valor de cadeia de caracteres | (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iPhone") device.deviceOSType -startsWith "AndroidEnterprise" device.deviceOSType -eq "AndroidForWork" device.deviceOSType -eq "Windows" |
| deviceOSVersion | qualquer valor de cadeia de caracteres | device.deviceOSVersion -eq "9.1" device.deviceOSVersion -startsWith "10.0.1" |
| deviceOwnership | Pessoal, Empresa, Desconhecido | device.deviceOwnership -eq "Company" |
| devicePhysicalIds | qualquer valor de cadeia de caracteres usado pelo Autopilot, como todos os dispositivos Autopilot, OrderID ou PurchaseOrderID | device.devicePhysicalIDs -any _ -startsWith "[ZTDId]" (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881" (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
| deviceTrustType | AzureAD, ServerAD, Workplace | device.deviceTrustType -eq "AzureAD" |
| enrollmentProfileName | Nome do Perfil de Registro de Dispositivo Apple, nome do Perfil de Registro de dispositivo dedicado de propriedade do Android Enterprise Corporativo ou nome do perfil do Windows Autopilot | device.enrollmentProfileName -eq "DEP iPhones" |
| extensionAttribute1 | qualquer valor de cadeia de caracteres | device.extensionAttribute1 -eq "some string value" |
| extensionAttribute2 | qualquer valor de cadeia de caracteres | device.extensionAttribute2 -eq "some string value" |
| extensionAttribute3 | qualquer valor de cadeia de caracteres | device.extensionAttribute3 -eq "some string value" |
| extensionAttribute4 | qualquer valor de cadeia de caracteres | device.extensionAttribute4 -eq "some string value" |
| extensionAttribute5 | qualquer valor de cadeia de caracteres | device.extensionAttribute5 -eq "some string value" |
| extensionAttribute6 | qualquer valor de cadeia de caracteres | device.extensionAttribute6 -eq "some string value" |
| extensionAttribute7 | qualquer valor de cadeia de caracteres | device.extensionAttribute7 -eq "some string value" |
| extensionAttribute8 | qualquer valor de cadeia de caracteres | device.extensionAttribute8 -eq "some string value" |
| extensionAttribute9 | qualquer valor de cadeia de caracteres | device.extensionAttribute9 -eq "some string value" |
| extensionAttribute10 | qualquer valor de cadeia de caracteres | device.extensionAttribute10 -eq "some string value" |
| extensionAttribute11 | qualquer valor de cadeia de caracteres | device.extensionAttribute11 -eq "some string value" |
| extensionAttribute12 | qualquer valor de cadeia de caracteres | device.extensionAttribute12 -eq "some string value" |
| extensionAttribute13 | qualquer valor de cadeia de caracteres | device.extensionAttribute13 -eq "some string value" |
| extensionAttribute14 | qualquer valor de cadeia de caracteres | device.extensionAttribute14 -eq "some string value" |
| extensionAttribute15 | qualquer valor de cadeia de caracteres | device.extensionAttribute15 -eq "some string value" |
| isRooted | verdadeiro, falso | device.isRooted -eq true |
| managementType | MDM (para dispositivos móveis) | device.managementType -eq "MDM" |
| memberOf | Qualquer valor de cadeia de caracteres (ID de objeto de grupo válido) | device.memberOf -any (group.objectId -in ['value']) |
| objectId | uma ID válida de objeto do Microsoft Entra | device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
| profileType | um tipo de perfil válido no Microsoft Entra ID | device.profileType -eq "RegisteredDevice" |
| systemLabels | uma cadeia de caracteres somente leitura correspondente à propriedade de dispositivo do Intune para marcação de dispositivos de ambiente de trabalho moderno | device.systemLabels -startsWith "M365Managed" SystemLabels |
Nota
Ao usar systemLabels, um atributo somente leitura usado em vários contextos, como gerenciamento de dispositivo e rotulagem de confidencialidade, não poderá ser editado por meio do Intune.
Ao usar deviceOwnership para criar grupos de associação dinâmica para dispositivos, é necessário definir o valor igual a Company. No Intune, a propriedade do dispositivo é representada como Corporate. Para saber mais, consulte OwnerTypes.
Ao usar deviceTrustType para criar grupos de associação dinâmica para dispositivos, você precisa definir o valor igual a AzureAD para representar dispositivos ingressados do Microsoft Entra, ServerAD para representar dispositivos híbridos ingressados do Microsoft Entra ou Workplace para representar dispositivos registrados do Microsoft Entra.
Ao usar extensionAttribute1-15 para criar grupos de associação dinâmica para dispositivos, é necessário definir o valor como extensionAttribute1-15 no dispositivo. Saiba mais sobre como gravar extensionAttributes em um objeto de dispositivo do Microsoft Entra
Próximas etapas
Esses artigos fornecem mais informações sobre grupos no Microsoft Entra ID.