Regras dinâmicas de adesão para grupos no Azure Ative Directory

Pode criar regras baseadas em atributos para permitir a adesão dinâmica a um grupo no Azure Ative Directory (Azure AD), parte de Microsoft Entra. A adesão ao grupo dinâmico adiciona e remove os membros do grupo automaticamente usando regras de adesão com base em atributos dos membros. Este artigo detalha as propriedades e sintaxe para criar regras dinâmicas de adesão para utilizadores ou dispositivos. Pode configurar uma regra para a adesão dinâmica em grupos de segurança ou grupos Microsoft 365.

Quando os atributos de um utilizador ou de um dispositivo mudam, o sistema avalia todas as regras dinâmicas do grupo num diretório para ver se a alteração desencadearia qualquer grupo que adicionasse ou removesse. Se um utilizador ou dispositivo satisfaz uma regra de um grupo, são adicionados como membro desse grupo. Se já não satisfazem a regra, são removidos. Não é possível adicionar ou remover manualmente um membro de um grupo dinâmico.

  • Pode criar um grupo dinâmico para dispositivos ou para utilizadores, mas não é possível criar uma regra que contenha tanto os utilizadores como os dispositivos.
  • Não é possível criar um grupo de dispositivos baseado nos atributos do utilizador do proprietário do dispositivo. As regras de adesão ao dispositivo só podem fazer referência a atributos do dispositivo.

Nota

Esta funcionalidade requer uma licença de Azure AD Premium P1 ou Intune para a Educação para cada utilizador único que seja membro de um ou mais grupos dinâmicos. Não é necessário atribuir licenças aos utilizadores para que sejam membros de grupos dinâmicos, mas deve ter o número mínimo de licenças na organização Azure AD para abranger todos esses utilizadores. Por exemplo, se tivesse um total de 1.000 utilizadores únicos em todos os grupos dinâmicos da sua organização, precisaria de pelo menos 1.000 licenças para Azure AD Premium P1 para satisfazer o requisito da licença. Não é necessária qualquer licença para dispositivos que sejam membros de um grupo de dispositivos dinâmicos.

Construtor de regras no portal do Azure

Azure AD fornece um construtor de regras para criar e atualizar as suas regras importantes mais rapidamente. O construtor de regras apoia a construção de até cinco expressões. O construtor de regras torna mais fácil formar uma regra com algumas expressões simples, no entanto, não pode ser usado para reproduzir todas as regras. Se o construtor de regras não apoiar a regra que pretende criar, pode utilizar a caixa de texto.

Aqui estão alguns exemplos de regras avançadas ou sintaxe para as quais recomendamos que construa usando a caixa de texto:

Nota

O construtor de regras pode não ser capaz de exibir algumas regras construídas na caixa de texto. Pode ver uma mensagem quando o construtor de regras não é capaz de mostrar a regra. O construtor de regras não altera a sintaxe suportada, validação ou processamento de regras dinâmicas de grupo de qualquer forma.

Para obter mais instruções passo a passo, consulte Criar ou atualizar um grupo dinâmico.

Adicionar regra de adesão para um grupo dinâmico

Sintaxe de regra para uma única expressão

Uma única expressão é a forma mais simples de uma regra de adesão e só tem as três partes acima mencionadas. Uma regra com uma única expressão é semelhante a este exemplo: Property Operator Value, onde a sintaxe para a propriedade é o nome de object.property.

O exemplo a seguir ilustra uma regra de adesão devidamente construída com uma única expressão:

user.department -eq "Sales"

Os parênteses são opcionais para uma única expressão. O comprimento total do corpo da sua regra de adesão não pode exceder 3072 caracteres.

Construção do corpo de uma regra de adesão

Uma regra de adesão que povoa automaticamente um grupo com utilizadores ou dispositivos é uma expressão binária que resulta num resultado verdadeiro ou falso. As três partes de uma regra simples são:

  • Propriedade
  • Operador
  • Valor

A ordem das peças dentro de uma expressão é importante para evitar erros de sintaxe.

Propriedades suportadas

Existem três tipos de propriedades que podem ser usadas para construir uma regra de adesão.

  • Booleano
  • Cadeia
  • Coleção de cordas

Seguem-se as propriedades do utilizador que pode utilizar para criar uma única expressão.

Propriedades do tipo boolean

Propriedades Valores permitidos Utilização
accountEnabled verdadeiro falso user.accountEnabled -eq verdadeiro
dirSyncEnabled verdadeiro falso user.dirSyncEnabled -eq verdadeiro

Propriedades de tipo de cadeia

Propriedades Valores permitidos Utilização
city Qualquer valor de corda ou nulo user.city -eq "valor"
país Qualquer valor de corda ou nulo user.country -eq "valor"
nome da empresa Qualquer valor de corda ou nulo user.companyName -eq "valor"
departamento Qualquer valor de corda ou nulo user.department -eq "valor"
displayName Qualquer valor de corda user.displayName -eq "valor"
employeeId Qualquer valor de corda user.employeeId -eq "valor"
user.employeeId -ne nulo
facsimileTelephoneNumber Qualquer valor de corda ou nulo user.facsimileTelephoneNumber -eq "valor"
nomeDado Qualquer valor de corda ou nulo user.givenName -eq "valor"
jobTitle Qualquer valor de corda ou nulo user.jobTit -eq "valor"
correio Qualquer valor de cadeia ou nulo (endereço SMTP do utilizador) user.mail -eq "valor"
mailNickName Qualquer valor de cadeia (pseudónimo de correio do utilizador) user.mailNickName -eq "valor"
membroOf Qualquer valor de cadeia (ID de objeto de grupo válido) user.memberof -any (group.objectId -in ['value'])
dispositivo móvel Qualquer valor de corda ou nulo user.mobile -eq "valor"
objectId GUIA do objeto do utilizador user.objectId -eq "11111111-1111-1111-1111-1111-111111111111111"
onPremisesDistinguishedName (pré-visualização) Qualquer valor de corda ou nulo user.onPremisesDistinguishedName -eq "value"
onPremisesSecurityIdentifier Identificador de segurança no local (SID) para utilizadores que foram sincronizados desde as instalações até à nuvem. user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-11111111-1111111-11111111-1111111"
passwordPolícias Nenhuma
Desativar a palavra-passe desativada
DisablePasswordExpiration
DisablePasswordExpiration, DisableStrongPassword
user.passwordPolicies -eq "DisableStrongPassword"
physicalDeliveryOfficeName Qualquer valor de corda ou nulo user.physicalDeliveryOfficeName -eq "valor"
postalCode Qualquer valor de corda ou nulo user.postalCode -eq "valor"
preferiuLanguage Código ISO 639-1 user.preferredLanguage -eq "en-US"
sipProxyAddress Qualquer valor de corda ou nulo user.sipProxyAddress -eq "value"
state Qualquer valor de corda ou nulo user.state -eq "valor"
streetAddress Qualquer valor de corda ou nulo user.streetAddress -eq "valor"
surname Qualquer valor de corda ou nulo user.surname -eq "valor"
telephoneNumber Qualquer valor de corda ou nulo user.telephoneNumber -eq "valor"
usageLocation Código de dois letras do país ou da região user.usageLocation -eq "US"
userPrincipalName Qualquer valor de corda user.userPrincipalName -eq "alias@domain"
userType membro convidado nulo user.userType -eq "Member"

Propriedades da coleção de cordas tipo

Propriedades Valores permitidos Exemplo
outras Mensagens Qualquer valor de corda user.otherMails -contém "alias@domain"
proxyAddresses SMTP: SmtP alias@domain: alias@domain user.proxyAddresses -contém "SMTP: alias@domain"

Para as propriedades utilizadas para as regras do dispositivo, consulte regras para dispositivos.

Operadores de expressão apoiados

A tabela que se segue lista todos os operadores apoiados e a sua sintaxe para uma única expressão. Os operadores podem ser utilizados com ou sem o prefixo hífen (-) do hífen. O operador Contém partidas parciais de cordas, mas não item numa coleção corresponde.

Operador Syntax
Não é igual -ne
Igual a -eq
Não começa com -notStartsWith
Começa com -começa Com
Não contém -nãoContes
Contains -contém
Não corresponder -não-Mese-não
Match -combinar
Em -em
Não em -notIn

Utilizando os operadores -in e -notIn

Se quiser comparar o valor de um atributo de utilizador com vários valores, pode utilizar os operadores -in ou -notIn. Utilize os símbolos do suporte "[" e "]" para iniciar e terminar a lista de valores.

No exemplo seguinte, a expressão avalia a verdade se o valor do utilizador.departamento é igual a qualquer um dos valores da lista:

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

Utilizando o operador de correspondência

O operador de correspondência é utilizado para corresponder a qualquer expressão regular. Exemplos:

user.displayName -match "Da.*"   

Da, Davavaliar David a verdade, a ADa avalia a falsa.

user.displayName -match ".*vid"

David avalia a verdade, Da avalia a falsa.

Valores suportados

Os valores utilizados numa expressão podem consistir em vários tipos, incluindo:

  • Cadeias
  • Booleano - verdadeiro, falso
  • Números
  • Arrays - matriz de números, matriz de cordas

Ao especificar um valor dentro de uma expressão, é importante usar a sintaxe correta para evitar erros. Algumas dicas de sintaxe são:

  • As cotações duplas são opcionais, a menos que o valor seja uma corda.
  • As operações de cordas e regex não são sensíveis a casos.
  • Quando um valor de cadeia contém citações duplas, ambas as citações devem ser escapadas usando o ' caracter, por exemplo, user.department -eq 'Sales'" é a sintaxe adequada quando "Vendas" é o valor. As cotações individuais devem ser escapadas usando duas cotações únicas em vez de uma de cada vez.
  • Também pode efetuar verificações nulas, utilizando nulos como valor, por exemplo, user.department -eq null.

Utilização de valores nulos

Para especificar um valor nulo numa regra, pode utilizar o valor nulo .

  • Utilize -eq ou -ne ao comparar o valor nulo numa expressão.
  • Utilize aspas em torno da palavra nulo apenas se quiser que seja interpretada como um valor de cadeia literal.
  • O operador não pode ser usado como um operador comparativo para nulo. Se o utilizar, terá um erro quer utilize nulo ou $null.

A forma correta de referenciar o valor nulo é a seguinte:

   user.mail –ne null

Regras com múltiplas expressões

Uma regra de adesão ao grupo pode consistir em mais de uma única expressão ligada pelos operadores -e, ou não lógicos. Os operadores lógicos também podem ser usados em combinação.

Seguem-se exemplos de regras de adesão devidamente construídas com múltiplas expressões:

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -contains "SDE")

Precedência de operadores

Todos os operadores estão listados abaixo por ordem de precedência do mais alto para o mais baixo. Os operadores na mesma linha têm igual precedência:

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all

O exemplo a seguir ilustra a precedência do operador onde estão a ser avaliadas duas expressões para o utilizador:

   user.department –eq "Marketing" –and user.country –eq "US"

Parênteses só são necessários quando a precedência não satisfaz os seus requisitos. Por exemplo, se pretender que o departamento seja avaliado primeiro, o seguinte mostra como os parênteses podem ser usados para determinar a ordem:

   user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

Regras com expressões complexas

Uma regra de adesão pode consistir em expressões complexas onde as propriedades, operadores e valores assumem formas mais complexas. As expressões são consideradas complexas quando qualquer uma das seguintes são verdadeiras:

  • O imóvel é constituído por uma coleção de valores; especificamente, propriedades multi-valorizadas
  • As expressões usam os operadores -todos e todos os operadores
  • O valor da expressão pode ser uma ou mais expressões

Propriedades multi-valor

Propriedades multi-valor são coleções de objetos do mesmo tipo. Podem ser usados para criar regras de adesão utilizando os operadores lógicos .

Propriedades Valores Utilização
planos atribuídos Cada objeto da coleção expõe as seguintes propriedades de cordas: capabilityStatus, serviço, serviçoPlanId user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -e designado Plano.capabilityStatus -eq "Enabled")
proxyAddresses SMTP: SmtP alias@domain: alias@domain (user.proxyAddresses -any (_ -contém "contoso"))

Usando os -todos e todos os operadores

Pode utilizar -todos e todos os operadores para aplicar uma condição a um ou todos os itens da coleção, respectivamente.

  • -qualquer (satisfeito quando pelo menos um item da recolha corresponde à condição)
  • -todos (satisfeitos quando todos os itens da recolha correspondem à condição)

Exemplo 1

a assignedPlans é uma propriedade de vários valores que lista todos os planos de serviço atribuídos ao utilizador. A expressão a seguir seleciona utilizadores que tenham o plano de serviço Exchange Online (Plano 2) (como um valor GUID) que também está em estado habilitado:

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

Uma regra como esta pode ser usada para agrupar todos os utilizadores para os quais uma capacidade microsoft 365 ou outra microsoft online service está ativada. Pode então aplicar-se com um conjunto de políticas ao grupo.

Exemplo 2

A expressão a seguir seleciona todos os utilizadores que tenham qualquer plano de serviço associado ao serviço Intune (identificado pelo nome de serviço "SCO"):

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")

Exemplo 3

A expressão a seguir seleciona todos os utilizadores que não tenham um plano de serviço atribuído:

user.assignedPlans -all (assignedPlan.servicePlanId -eq "")

Usando a sintaxe sublinhada (_)

O sublinhado (_) sintaxe corresponde a ocorrências de um valor específico numa das propriedades de recolha de cordas multivalorizadas para adicionar utilizadores ou dispositivos a um grupo dinâmico. É usado com todos os operadores.

Aqui está um exemplo de utilização do sublinhado (_) numa regra para adicionar membros com base no user.proxyAddress (funciona da mesma forma para o utilizador.otherMails). Esta regra adiciona qualquer utilizador com endereço proxy que contenha "contoso" ao grupo.

(user.proxyAddresses -any (_ -contains "contoso"))

Outras propriedades e regras comuns

Criar uma regra de "relatórios diretos"

Pode criar um grupo que contenha todos os relatórios diretos de um gestor. Quando os relatórios diretos do gestor mudam no futuro, a adesão do grupo é ajustada automaticamente.

A regra dos relatórios diretos é construída utilizando a seguinte sintaxe:

Direct Reports for "{objectID_of_manager}"

Aqui está um exemplo de uma regra válida, onde "62e19b97-8b3d-4d4a-a106-4ce66896a863" é o objectID do gestor:

Direct Reports for "62e19b97-8b3d-4d4a-a106-4ce66896a863"

As seguintes dicas podem ajudá-lo a utilizar a regra corretamente.

  • A identificação do gerente é a identificação do objeto do gerente. Pode ser encontrado no Perfil do gestor.
  • Para que a regra funcione, certifique-se de que a propriedade do Manager está corretamente definida para os utilizadores da sua organização. Pode verificar o valor atual no Perfil do utilizador.
  • Esta regra apoia apenas os relatórios diretos do gestor. Por outras palavras, não se pode criar um grupo com os relatórios diretos do gestor e os seus relatórios.
  • Esta regra não pode ser combinada com quaisquer outras regras de adesão.

Criar uma regra "Todos os utilizadores"

Pode criar um grupo que contenha todos os utilizadores dentro de uma organização utilizando uma regra de adesão. Quando os utilizadores são adicionados ou removidos da organização no futuro, a adesão do grupo é ajustada automaticamente.

A regra "Todos os utilizadores" é construída com uma única expressão utilizando o operador -ne e o valor nulo. Esta regra adiciona utilizadores convidados B2B e utilizadores membros ao grupo.

user.objectId -ne null

Se quiser que o seu grupo exclua os utilizadores convidados e inclua apenas membros da sua organização, pode utilizar a seguinte sintaxe:

(user.objectId -ne null) -and (user.userType -eq "Member")

Criar uma regra "Todos os dispositivos"

Pode criar um grupo que contenha todos os dispositivos dentro de uma organização utilizando uma regra de adesão. Quando os dispositivos são adicionados ou removidos da organização no futuro, a adesão do grupo é ajustada automaticamente.

A regra "Todos os Dispositivos" é construída com uma única expressão utilizando o operador -ne e o valor nulo:

device.objectId -ne null

Propriedades de extensão e propriedades de extensão personalizadas

Os atributos de extensão e as propriedades de extensão personalizadas são suportados como propriedades de cordas em regras dinâmicas de adesão. Os atributos de extensão podem ser sincronizados a partir do Diretor Ativo do Servidor de Janelas ou atualizados usando o Microsoft Graph e tomar o formato de "ExtensionAttributeX", onde X é igual a 1 - 15. As propriedades de extensão de vários valores não são suportadas em regras dinâmicas de adesão. Aqui está um exemplo de uma regra que usa um atributo de extensão como uma propriedade:

(user.extensionAttribute15 -eq "Marketing")

As propriedades de extensão personalizada podem ser sincronizadas a partir de instalações Windows Server Ative Directory, a partir de uma aplicação SaaS conectada, ou criadas usando o Microsoft Graph, e são do formato de user.extension_[GUID]_[Attribute], onde:

  • [GUID] é a versão despida do identificador único em Azure AD para a aplicação que criou o imóvel. Contém apenas caracteres 0-9 e A-Z
  • [Atributo] é o nome da propriedade tal como foi criado

Um exemplo de uma regra que usa uma propriedade de extensão personalizada é:

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

As propriedades de extensão personalizada também são chamadas de propriedades de extensão de Azure AD.

O nome da propriedade personalizada pode ser encontrado no diretório consultando a propriedade de um utilizador usando o Graph Explorer e procurando o nome da propriedade. Além disso, pode agora selecionar Obter o link de propriedades de extensão personalizada no dinâmico construtor de regras do grupo de utilizadores para introduzir um ID de aplicação único e receber a lista completa de propriedades de extensão personalizadas para usar ao criar uma regra de adesão dinâmica. Esta lista também pode ser atualizada para obter quaisquer novas propriedades de extensão personalizada para essa aplicação. Os atributos de extensão e as propriedades de extensão personalizadas devem ser de aplicações no seu inquilino.

Para obter mais informações, consulte Utilizar os atributos em grupos dinâmicos no artigo Azure AD Conscron: Extensões de diretório.

Regras para dispositivos

Também pode criar uma regra que selecione objetos de dispositivo para a adesão a um grupo. Não pode ter utilizadores e dispositivos como membros do grupo.

Nota

O atributo organizationalUnit já não está listado e não deve ser utilizado. Esta cadeia é definida por Intune em casos específicos, mas não é reconhecida por Azure AD, pelo que nenhum dispositivo é adicionado a grupos com base neste atributo.

Nota

systemlabels é um atributo apenas de leitura que não pode ser definido com Intune.

Para Windows 10, o formato correto do atributo deviceOSVersion é o seguinte: (device.deviceOSVersion -startsCom "10.0.1"). A formatação pode ser validada com o Get-MsolDevice cmdlet PowerShell.

Podem ser utilizados os seguintes atributos do dispositivo.

Atributo do dispositivo Valores Exemplo
accountEnabled verdadeiro falso device.accountEnabled -eq verdadeiro
dispositivoCategoria um nome válido da categoria de dispositivo dispositivo.deviceCategoria -eq "BYOD"
deviceId um ID de dispositivo de Azure AD válido dispositivo.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d"
dispositivoManagementAppId um ID de aplicação de MDM válido em Azure AD dispositivo.deviceManagementAppId -eq "000000a-0000-0000-c000-0000000000000000000000" para Microsoft Intune gerido ou "54b943f8-d761-4f8d-951e-9cea1846db5a" para System Center Configuration Manager dispositivos cogeridos
dispositivo Manfacturer qualquer valor de cadeia dispositivo.deviceManufacturer -eq "Samsung"
modelo de dispositivo qualquer valor de cadeia dispositivo.deviceModel -eq "iPad Air"
displayName qualquer valor de cadeia dispositivo.displayName -eq "Rob iPhone"
tipoDeSODoDispositivo qualquer valor de cadeia (dispositivo.deviceOSType -eq "iPad") - ou (dispositivo.deviceOSType -eq "iPhone")
device.deviceOSType -contém "AndroidEnterprise"
device.deviceOSType -eq "AndroidForWork"
dispositivo.deviceOSType -eq "Windows"
versãoDeSODoDispositivo qualquer valor de cadeia dispositivo.deviceOSVersion -eq "9.1"
dispositivo.deviceOSVersion -começa com "10.0.1"
deviceOwnership Pessoal, Companhia, Desconhecido dispositivo.deviceOwnership -eq "Empresa"
dispositivoSFÍsicos qualquer valor de cadeia utilizado pelo Autopilot, como todos os dispositivos Autopilot, OrderID ou PurchaseOrderID dispositivo.devicePhysicalIDs -any _ -contém "[ZTDId]"
(dispositivo.deviceFísicos -qualquer _ -eq "[OrderID]:179887111881"
(dispositivo.deviceFísicos -any _ -eq "[PurchaseOrderId]:76222342342"
DispositivoTrustType AzureAD, ServerAD, Local de Trabalho dispositivo.deviceAnership -eq "AzureAD"
matrículaProfileName Nome do perfil de inscrição de dispositivo apple, nome de perfil de inscrição de dispositivo dedicado da Empresa Android Enterprise ou nome do perfil do Windows Autopilot device.registrationProfileName -eq "DEP iPhones"
extensãoAttribute1 qualquer valor de cadeia dispositivo.extensionAttribute1 -eq "algum valor de corda"
extensãoAttribute2 qualquer valor de cadeia dispositivo.extensionAttribute2 -eq "algum valor de corda"
extensãoAttribute3 qualquer valor de cadeia dispositivo.extensionAttribute3 -eq "algum valor de corda"
extensãoAttribute4 qualquer valor de cadeia dispositivo.extensionAttribute4 -eq "algum valor de corda"
extensãoAttribute5 qualquer valor de cadeia dispositivo.extensionAttribute5 -eq "algum valor de corda"
extensãoAttribute6 qualquer valor de cadeia dispositivo.extensionAttribute6 -eq "algum valor de corda"
extensãoAttribute7 qualquer valor de cadeia dispositivo.extensionAttribute7 -eq "algum valor de corda"
extensãoAttribute8 qualquer valor de cadeia dispositivo.extensionAttribute8 -eq "algum valor de cadeia"
extensãoAttribute9 qualquer valor de cadeia dispositivo.extensionAttribute9 -eq "algum valor de corda"
extensãoTribui10 qualquer valor de cadeia dispositivo.extensionAttribute10 -eq "algum valor de corda"
extensãoAttribute11 qualquer valor de cadeia dispositivo.extensionAttribute11 -eq "algum valor de corda"
extensãoAttribute12 qualquer valor de cadeia dispositivo.extensionAttribute12 -eq "algum valor de corda"
extensãoAttribute13 qualquer valor de cadeia dispositivo.extensionAttribute13 -eq "algum valor de corda"
extensãoAttribute14 qualquer valor de cadeia dispositivo.extensionAttribute14 -eq "algum valor de corda"
extensãoTribui15 qualquer valor de cadeia dispositivo.extensionAttribute15 -eq "algum valor de corda"
isRooted verdadeiro falso dispositivo.isRooted -eq verdadeiro
tipo de gestão MDM (para dispositivos móveis) dispositivo.managementType -eq "MDM"
membroOf Qualquer valor de cadeia (ID de objeto de grupo válido) device.memberof -any (group.objectId -in ['value'])
objectId um ID de objeto Azure AD válido device.objectId -eq "76ad43c9-32c5-45e8-a272-7b58b58f596d"
perfilType um tipo de perfil válido em Azure AD device.profileType -eq "RegisteredDevice"
systemLabels qualquer cadeia que combine a propriedade do dispositivo Intune para a marcação de dispositivos do Local de Trabalho Moderno device.systemLabels -contém "M365Managed"

Nota

Ao utilizar o dispositivoAlesão para criar Grupos Dinâmicos para dispositivos, é necessário definir o valor igual a "Empresa". Na Intune a propriedade do dispositivo é representada como Corporate. Para mais informações, consulte o OwnerTypes para obter mais detalhes. Ao utilizar o dispositivoTrustType para criar Grupos Dinâmicos para dispositivos, é necessário definir o valor igual ao "AzureAD" para representar Azure AD dispositivos unidos, "ServerAD" para representar dispositivos híbridos Azure AD unidos ou "Workplace" para representar Azure AD dispositivos registados. Ao utilizar a extensãoAttribute1-15 para criar Grupos Dinâmicos para dispositivos, é necessário definir o valor para a extensãoAtribuição1-15 no dispositivo. Saiba mais sobre como escrever extensõesAtribuções num objeto de dispositivo Azure AD

Passos seguintes

Estes artigos fornecem informações adicionais sobre grupos no Diretório Ativo Azure.