Partilhar via

Gerenciar regras para grupos dinâmicos de associação no Microsoft Entra ID

Você pode criar regras baseadas em atributos de usuário ou de dispositivo para habilitar a associação para grupos de associação dinâmica no Microsoft Entra ID. Você pode adicionar e remover grupos dinâmicos de associação automaticamente usando regras de associação baseadas em atributos de membro. No Microsoft Entra, um único locatário pode ter um máximo de 15.000 grupos de associação dinâmica.

Este artigo detalha as propriedades e a sintaxe para criar regras para grupos de associação dinâmica com base em usuários ou dispositivos.

Nota

Os grupos de segurança podem incluir dispositivos ou utilizadores, mas os grupos do Microsoft 365 podem incluir apenas utilizadores.

Considerações para grupos dinâmicos de membros

Quando os atributos de um usuário ou dispositivo mudam, o sistema avalia todas as regras para grupos de associação dinâmica em um diretório para ver se a alteração desencadearia quaisquer adições ou remoções de grupo. Se os usuários ou dispositivos satisfizerem uma regra em um grupo, eles serão adicionados como membros desse grupo. Se já não cumprirem a regra, são removidos. Não é possível adicionar ou remover manualmente um membro de um grupo de associação dinâmica.

Tenha também estas limitações em mente:

  • Você pode criar grupos de associação dinâmica para usuários ou dispositivos, mas não pode criar uma regra que contenha usuários e dispositivos.
  • Não é possível criar um grupo de associação de dispositivo com base nos atributos de usuário do proprietário do dispositivo. As regras de associação de dispositivo podem fazer referência apenas a atributos de dispositivo.

Requisitos de licença

O recurso de grupos de associação dinâmica requer uma licença P1 do Microsoft Entra ID ou uma licença do Intune for Education para cada usuário exclusivo que seja membro de um ou mais grupos de associação dinâmica. Não é necessário atribuir licenças aos usuários para que eles sejam membros de grupos dinâmicos de associação. Mas você deve ter o número mínimo de licenças na organização do Microsoft Entra para cobrir todos esses usuários.

Por exemplo, se você tiver um total de 1.000 usuários exclusivos em todos os grupos de associação dinâmica em sua organização, precisará de pelo menos 1.000 licenças para que o Microsoft Entra ID P1 atenda ao requisito de licença.

Nenhuma licença é necessária para dispositivos que são membros de um grupo de associação dinâmica com base em um dispositivo.

Construtor de regras no portal do Azure

O Microsoft Entra ID fornece um construtor de regras para criar e atualizar suas regras importantes mais rapidamente. O construtor de regras suporta a construção de até cinco expressões. Você pode usar o construtor de regras para formar uma regra com algumas expressões simples, mas não pode usá-lo para reproduzir todas as regras. Se o construtor de regras não suportar a regra que pretende criar, pode utilizar a caixa de texto.

Captura de ecrã que mostra o construtor de regras, com a ação para adicionar uma expressão realçada.

Para obter instruções passo a passo, consulte Criar ou atualizar um grupo dinâmico de associação.

Importante

O construtor de regras está disponível apenas para grupos de associação dinâmica baseados no usuário. Você pode criar grupos de associação dinâmica baseados em dispositivo somente usando a caixa de texto.

Aqui estão alguns exemplos de regras avançadas ou sintaxe que exigem o uso da caixa de texto:

Nota

O construtor de regras pode não conseguir exibir algumas regras construídas na caixa de texto. Você pode ver uma mensagem quando o construtor de regras não puder exibi-la. O construtor de regras não altera de forma alguma a sintaxe, a validação ou o processamento suportados de regras para grupos dinâmicos de membros.

Sintaxe da regra para uma única expressão

Uma única expressão é a forma mais simples de uma regra de adesão. Uma regra com uma única expressão assume a forma de <Property> <Operator> <Value>, onde a sintaxe da propriedade é o nome de <object>.<property>.

O exemplo a seguir ilustra uma regra de associação construída corretamente com uma única expressão:

user.department -eq "Sales"

Parênteses são opcionais para uma única expressão. O comprimento total do corpo da sua regra de associação não pode exceder 3.072 caracteres.

Construindo o corpo de uma regra de associação

Uma regra de associação que preenche automaticamente um grupo com usuários ou dispositivos é uma expressão binária que resulta em um resultado verdadeiro ou falso. As três partes de uma regra simples são:

  • Propriedade
  • Operador
  • Valor

A ordem das partes dentro de uma expressão é importante para evitar erros de sintaxe.

Propriedades suportadas

Você pode usar três tipos de propriedades para construir uma regra de associação:

  • Booleano
  • Data/hora
  • Cordão
  • Coleção String

Você pode usar as seguintes propriedades de usuário para criar uma única expressão.

Propriedades do tipo Boolean

Propriedade Valores permitidos Utilização
accountEnabled true, false user.accountEnabled -eq true
dirSyncEnabled true, false user.dirSyncEnabled -eq true

Propriedades do tipo data/hora

Propriedade Valores permitidos Utilização
employeeHireDate (pré-visualização) Qualquer DateTimeOffset valor ou palavra-chave system.now user.employeeHireDate -eq "value"

Propriedades do tipo string

Propriedade Valores permitidos Utilização
city Qualquer valor de cadeia de caracteres ou null user.city -eq "value"
country Qualquer valor de cadeia de caracteres ou null user.country -eq "value"
companyName Qualquer valor de cadeia de caracteres ou null user.companyName -eq "value"
department Qualquer valor de cadeia de caracteres ou null user.department -eq "value"
displayName Qualquer valor de cadeia de caracteres user.displayName -eq "value"
employeeId Qualquer valor de cadeia de caracteres user.employeeId -eq "value"

user.employeeId -ne "null"
facsimileTelephoneNumber Qualquer valor de cadeia de caracteres ou null user.facsimileTelephoneNumber -eq "value"
givenName Qualquer valor de cadeia de caracteres ou null user.givenName -eq "value"
jobTitle Qualquer valor de cadeia de caracteres ou null user.jobTitle -eq "value"
mail Qualquer valor de cadeia de caracteres ou null (endereço SMTP do usuário) user.mail -eq "value"

user.mail -notEndsWith "@Contoso.com"
mailNickName Qualquer valor de cadeia de caracteres (alias de email do usuário) user.mailNickName -eq "value"

user.mailNickname -endsWith "-vendor"
memberOf Qualquer valor de cadeia de caracteres (ID de objeto de grupo válido) user.memberOf -any (group.objectId -in ['value'])
mobile Qualquer valor de cadeia de caracteres ou null user.mobile -eq "value"
objectId GUID do objeto de usuário user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
onPremisesDistinguishedName Qualquer valor de cadeia de caracteres ou null user.onPremisesDistinguishedName -eq "value"
onPremisesSecurityIdentifier Identificador de segurança local (SID) para usuários que foram sincronizados do local para a nuvem user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111"
passwordPolicies None, DisableStrongPassword, DisablePasswordExpiration, DisablePasswordExpiration, DisableStrongPassword user.passwordPolicies -eq "DisableStrongPassword"
physicalDeliveryOfficeName Qualquer valor de cadeia de caracteres ou null user.physicalDeliveryOfficeName -eq "value"
postalCode Qualquer valor de cadeia de caracteres ou null user.postalCode -eq "value"
preferredLanguage Código ISO 639-1 user.preferredLanguage -eq "en-US"
sipProxyAddress Qualquer valor de cadeia de caracteres ou null user.sipProxyAddress -eq "value"
state Qualquer valor de cadeia de caracteres ou null user.state -eq "value"
streetAddress Qualquer valor de cadeia de caracteres ou null user.streetAddress -eq "value"
surname Qualquer valor de cadeia de caracteres ou null user.surname -eq "value"
telephoneNumber Qualquer valor de cadeia de caracteres ou null user.telephoneNumber -eq "value"
usageLocation Código de país ou região com duas letras user.usageLocation -eq "US"
userPrincipalName Qualquer valor de cadeia de caracteres user.userPrincipalName -eq "alias@domain"
userType member, guest, null user.userType -eq "Member"

Propriedades de coleção de cadeias de caracteres tipo

Propriedade Valores permitidos Exemplos
otherMails Qualquer valor de cadeia de caracteres user.otherMails -startsWith "alias@domain"

user.otherMails -endsWith"@contoso.com"
proxyAddresses SMTP: alias@domain, smtp: alias@domain user.proxyAddresses -startsWith "SMTP: alias@domain"

user.proxyAddresses -notEndsWith "@outlook.com"

Para obter as propriedades usadas para regras de dispositivo, consulte Regras para dispositivos.

Operadores de expressão suportados

A tabela a seguir lista todos os operadores suportados e sua sintaxe para uma única expressão. Você pode usar operadores com ou sem o prefixo hífen (-). O Contains operador faz correspondências parciais de cadeia de caracteres, mas não correspondências para itens numa coleção.

Atenção

Para melhores resultados, minimize o uso de Match ou Contains tanto quanto possível. O artigo Criar regras mais simples e eficientes para grupos de associação dinâmica fornece orientação sobre como criar regras que resultem em melhores tempos de processamento de grupos dinâmicos. O memberOf operador está em pré-visualização e tem algumas limitações, por isso use-o com cuidado.

Operador Sintaxe
Ends With -endsWith
Not Ends With -notEndsWith
Not Equals -ne
Equals -eq
Not Starts With -notStartsWith
Starts With -startsWith
Not Contains -notContains
Contains -contains
Not Match -notMatch
Match -match
In -in
Not In -notIn

Usando os operadores -in e -notIn

Se quiser comparar o valor de um atributo de utilizador com vários valores, pode-se usar o operador -in ou -notIn. Use os símbolos de colchete ([ e ]) para iniciar e terminar a lista de valores.

No exemplo a seguir, a expressão avalia true se o valor de user.department é igual a qualquer um dos valores na lista:

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

Usando os operadores -le e -ge

Você pode usar o operador menor que (-le) ou maior que (-ge) quando estiver usando o employeeHireDate atributo em regras para grupos dinâmicos de associação.

Eis alguns exemplos:

user.employeehiredate -ge system.now -plus p1d 

user.employeehiredate -le 2020-06-10T18:13:20Z

Usando o operador -match

Você pode usar o -match operador para corresponder a qualquer expressão regular.

Para o exemplo a seguir, Da, Dav, e David avaliam true. aDa resulta em false.

user.displayName -match "^Da.*"

Para o exemplo a seguir, David é avaliado como true. Da resulta em false.

user.displayName -match ".*vid"

Valores suportados

Os valores que você usa em uma expressão podem consistir em vários tipos:

  • Cadeias
  • Booleano (true, false)
  • Números
  • Matrizes (matriz numérica, matriz de cadeia de caracteres)

Quando você especifica um valor dentro de uma expressão, é importante usar a sintaxe correta para evitar erros. Aqui estão algumas dicas de sintaxe:

  • As aspas duplas são opcionais, a menos que o valor seja uma cadeia de caracteres.
  • As operações Regex e string não diferenciam maiúsculas de minúsculas.
  • Certifique-se de que os nomes de propriedade estejam formatados corretamente conforme mostrado, pois são sensíveis a maiúsculas e minúsculas.
  • Quando um valor de cadeia de caracteres contém aspas duplas, você deve escapar de ambas as aspas usando o caractere de barra invertida (\). Por exemplo, user.department -eq '"Sales'" é a sintaxe adequada quando Sales é o valor. Fuja de aspas simples usando duas aspas simples em vez de uma de cada vez.
  • Você também pode executar verificações nulas usando null como um valor, por exemplo, user.department -eq null.

Uso de valores nulos

Para especificar um null valor em uma regra:

  • Use -eq ou -ne quando você estiver comparando o null valor em uma expressão.
  • Use aspas ao redor da palavra null somente se quiser que ela seja interpretada como um valor de cadeia de caracteres literal.
  • Não use o -not operador como um operador comparativo para o valor nulo. Se tu o usares, recebes um erro quer uses null ou $null.

A maneira correta de referenciar o null valor é a seguinte:

   user.mail –ne null

Regras com múltiplas expressões

As regras para grupos dinâmicos de associação podem consistir em mais de uma única expressão conectada pelos operadores lógicos -and, -or e -not. Você também pode usar operadores lógicos em combinação.

Seguem-se exemplos de regras de associação devidamente construídas com várias expressões:

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")

Precedência dos operadores

A lista a seguir mostra todos os operadores em ordem de precedência do mais alto para o mais baixo. Os operadores na mesma linha têm a mesma precedência.

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all

O exemplo a seguir ilustra a precedência do operador onde duas expressões estão sendo avaliadas para o usuário:

   user.department –eq "Marketing" –and user.country –eq "US"

Você só precisa de parênteses quando a precedência não atende aos seus requisitos. Por exemplo, se você quiser que o departamento seja avaliado primeiro, o código a seguir mostra como você pode usar parênteses para determinar a ordem:

   user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

Regras com expressões complexas

Uma regra de associação pode consistir em expressões complexas onde as propriedades, operadores e valores assumem formas mais complexas. As expressões são consideradas complexas quando qualquer um dos seguintes pontos é verdadeiro:

  • O imóvel é constituído por uma coleção de valores; especificamente, propriedades de vários valores.
  • As expressões usam os -any operadores e -all .
  • O valor da expressão pode ser uma ou mais expressões.

Propriedades com múltiplos valores

As propriedades de vários valores são coleções de objetos do mesmo tipo. Você pode usá-los para criar regras de associação usando os -any operadores lógicos e -all .

Propriedade Valores Utilização
assignedPlans Cada objeto na coleção expõe as seguintes propriedades de cadeia de caracteres: capabilityStatus, service, servicePlanId user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled")
proxyAddresses SMTP: alias@domain, smtp: alias@domain (user.proxyAddresses -any (\_ -startsWith "contoso"))

Usando os operadores -any e -all

Você pode usar os seguintes operadores para aplicar uma condição a um ou todos os itens da coleção:

  • -any: Satisfeito quando pelo menos um item da coleção corresponde à condição.
  • -all: Satisfeito quando todos os itens da coleção correspondem à condição.
Exemplo 1

assignedPlans é uma propriedade de vários valores que lista todos os planos de serviço atribuídos ao usuário. A expressão a seguir seleciona os usuários que têm o plano de serviço do Exchange Online (Plano 2) (como um valor GUID) que também está em um Enabled estado:

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

Você pode usar uma regra como esta para agrupar todos os usuários para os quais um recurso do Microsoft 365 ou outro recurso do Microsoft Online Services está habilitado. Em seguida, você pode aplicar a regra com um conjunto de políticas ao grupo.

Exemplo 2

A expressão a seguir seleciona todos os usuários que têm qualquer plano de serviço associado ao serviço do Intune (identificado pelo nome SCOdo serviço):

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Exemplo 3

A expressão a seguir seleciona todos os usuários que não têm nenhum plano de serviço atribuído:

user.assignedPlans -all (assignedPlan.servicePlanId -eq null)

Usando a sintaxe de sublinhado (_)

A sintaxe de sublinhado (_) corresponde a ocorrências de um valor específico em uma das propriedades de coleção de cadeia de caracteres de vários valores para adicionar usuários ou dispositivos a um grupo dinâmico de associação. Você usa-o com o -any ou -all operador.

Veja um exemplo de como usar o sublinhado em uma regra para adicionar membros com base no user.proxyAddress. (Funciona da mesma forma para user.otherMails.) Esta regra adiciona qualquer usuário que tenha um endereço proxy que comece com contoso ao grupo.

(user.proxyAddresses -any (_ -startsWith "contoso"))

Outras propriedades e regras comuns

Criar uma regra para subordinados diretos

Você pode criar um grupo que contenha todos os relatórios diretos de um gerente. Quando os subordinados diretos do gerente mudam no futuro, a associação do grupo é ajustada automaticamente.

Você constrói a regra de relatórios diretos usando a seguinte sintaxe:

Direct Reports for "{objectID_of_manager}"

Aqui está um exemplo de uma regra válida, onde aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb é o ID do objeto do gerente:

Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"

As dicas a seguir podem ajudá-lo a usar a regra corretamente:

  • O ID do gerente é o ID do objeto do gerente. Você pode encontrá-lo no perfil do gerente.
  • Para que a regra funcione, verifique se a Manager propriedade está definida corretamente para os usuários em sua organização. Você pode verificar o valor atual no perfil do usuário.
  • Esta regra suporta apenas os subordinados diretos do gerente. Não é possível criar um grupo que tenha os subordinados diretos do gerente e seus relatórios.
  • Não é possível combinar esta regra com outras regras de adesão.

Criar uma regra para todos os usuários

Você pode criar um grupo que contenha todos os usuários dentro de uma organização usando uma regra de associação. Quando os usuários são adicionados ou removidos da organização no futuro, a associação do grupo é ajustada automaticamente.

Você constrói a regra para todos os usuários usando uma única expressão que inclui o -ne operador e o null valor. Esta regra adiciona usuários convidados de empresa para empresa e usuários membros ao grupo.

user.objectId -ne null

Se pretender que o seu grupo exclua utilizadores convidados e inclua apenas membros da sua organização, pode utilizar a seguinte sintaxe:

(user.objectId -ne null) -and (user.userType -eq "Member")

Criar uma regra para todos os dispositivos

Você pode criar um grupo que contenha todos os dispositivos dentro de uma organização usando uma regra de associação. Quando dispositivos são adicionados ou removidos da organização no futuro, a associação do grupo é ajustada automaticamente.

Você constrói a regra para todos os dispositivos usando uma única expressão que inclui o -ne operador e o null valor:

device.objectId -ne null

Atributos de extensão e propriedades de extensão personalizadas

Atributos de extensão e propriedades de extensão personalizadas são suportados como propriedades de cadeia de caracteres em regras para grupos de associação dinâmica.

Você pode sincronizar atributos de extensão do Ative Directory do Windows Server local. Ou você pode atualizar atributos de extensão usando o Microsoft Graph.

Os atributos de extensão assumem o formato de ExtensionAttribute<X>, onde <X> é igual a 1-15. As propriedades de extensão de vários valores não são suportadas em regras para grupos de associação dinâmica.

Aqui está um exemplo de uma regra que usa um atributo de extensão como uma propriedade:

(user.extensionAttribute15 -eq "Marketing")

Você pode sincronizar propriedades de extensão personalizadas do Ative Directory do Windows Server local ou de um aplicativo SaaS (software como serviço) conectado. Você pode criar propriedades de extensão personalizadas usando o Microsoft Graph.

As propriedades de extensão personalizadas assumem o formato de user.extension_[GUID]_[Attribute], onde:

  • [GUID] é a versão despojada do identificador exclusivo no Microsoft Entra ID para o aplicativo que criou a propriedade. Contém apenas os caracteres 0-9 e A-Z.
  • [Attribute] é o nome da propriedade tal como foi criada.

Um exemplo de uma regra que usa uma propriedade de extensão personalizada é:

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

As propriedades de extensão personalizadas também são chamadas de propriedades de extensão de diretório ou do Microsoft Entra.

Você pode encontrar o nome da propriedade personalizada no diretório consultando a propriedade de um usuário no Graph Explorer e procurando pelo nome da propriedade. Além disso, agora você pode selecionar o link Obter propriedades de extensão personalizadas no construtor de regras dinâmicas para inserir uma ID de aplicativo exclusiva e receber a lista completa de propriedades de extensão personalizadas a serem usadas ao criar uma regra para grupos de associação dinâmica. Você pode atualizar essa lista para obter novas propriedades de extensão personalizadas para esse aplicativo. Os atributos de extensão e as propriedades de extensão personalizadas devem ser de aplicativos em seu locatário.

Para obter mais informações, consulte Usar os atributos em grupos dinâmicos de associação.

Regras para dispositivos

Você pode criar uma regra que seleciona objetos de dispositivo para associação a um grupo. Não é possível ter usuários e dispositivos como membros do grupo.

Nota

O organizationalUnit atributo não está mais listado e você não deve usá-lo. O Intune define esta cadeia de caracteres em casos específicos, mas o Microsoft Entra ID não a reconhece. Nenhum dispositivo é adicionado a grupos com base nesse atributo.

O systemlabels atributo é somente leitura. Não é possível defini-lo com o Intune.

Para o Windows 10, o formato correto do deviceOSVersion atributo é device.deviceOSVersion -startsWith "10.0.1". Você pode validar a formatação usando o Get-MgDevice cmdlet do PowerShell:

Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'

Você pode usar os seguintes atributos de dispositivo.

Atributo do dispositivo Valores Exemplos
accountEnabled true, false device.accountEnabled -eq true
deviceCategory Um nome de categoria de dispositivo válido device.deviceCategory -eq "BYOD"
deviceId Um ID de dispositivo Microsoft Entra válido device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d"
deviceManagementAppId Um ID de aplicativo válido para gerenciamento de dispositivos móveis no Microsoft Entra ID device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" para dispositivos geridos pelo Microsoft Intune

"54b943f8-d761-4f8d-951e-9cea1846db5a" para dispositivos co-geridos do System Center Configuration Manager
deviceManufacturer Qualquer valor de cadeia de caracteres device.deviceManufacturer -eq "Samsung"
deviceModel Qualquer valor de cadeia de caracteres device.deviceModel -eq "iPad Air"
displayName Qualquer valor de cadeia de caracteres device.displayName -eq "Rob iPhone"
deviceOSType Qualquer valor de cadeia de caracteres (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iOS")

device.deviceOSType -startsWith "AndroidEnterprise"

device.deviceOSType -eq "AndroidForWork"

device.deviceOSType -eq "Windows"
deviceOSVersion Qualquer valor de cadeia de caracteres device.deviceOSVersion -eq "9.1"

device.deviceOSVersion -startsWith "10.0.1"
deviceOwnership 1 Personal, Company, Unknown device.deviceOwnership -eq "Company"
devicePhysicalIds Qualquer valor de cadeia de caracteres que o Windows Autopilot usa, como todos os dispositivos Windows Autopilot, OrderIDou PurchaseOrderID device.devicePhysicalIDs -any _ -startsWith "[ZTDId]"

device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881"

device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342"
deviceTrustType 2 AzureAD, ServerAD, Workplace device.deviceTrustType -eq "AzureAD"
enrollmentProfileName Nome do perfil para inscrição automática de dispositivos Apple, inscrição de dispositivos corporativos dedicados do Android Enterprise ou Windows Autopilot device.enrollmentProfileName -eq "DEP iPhones"
extensionAttribute1 3 Qualquer valor de cadeia de caracteres device.extensionAttribute1 -eq "some string value"
extensionAttribute2 Qualquer valor de cadeia de caracteres device.extensionAttribute2 -eq "some string value"
extensionAttribute3 Qualquer valor de cadeia de caracteres device.extensionAttribute3 -eq "some string value"
extensionAttribute4 Qualquer valor de cadeia de caracteres device.extensionAttribute4 -eq "some string value"
extensionAttribute5 Qualquer valor de cadeia de caracteres device.extensionAttribute5 -eq "some string value"
extensionAttribute6 Qualquer valor de cadeia de caracteres device.extensionAttribute6 -eq "some string value"
extensionAttribute7 Qualquer valor de cadeia de caracteres device.extensionAttribute7 -eq "some string value"
extensionAttribute8 Qualquer valor de cadeia de caracteres device.extensionAttribute8 -eq "some string value"
extensionAttribute9 Qualquer valor de cadeia de caracteres device.extensionAttribute9 -eq "some string value"
extensionAttribute10 Qualquer valor de cadeia de caracteres device.extensionAttribute10 -eq "some string value"
extensionAttribute11 Qualquer valor de cadeia de caracteres device.extensionAttribute11 -eq "some string value"
extensionAttribute12 Qualquer valor de cadeia de caracteres device.extensionAttribute12 -eq "some string value"
extensionAttribute13 Qualquer valor de cadeia de caracteres device.extensionAttribute13 -eq "some string value"
extensionAttribute14 Qualquer valor de cadeia de caracteres device.extensionAttribute14 -eq "some string value"
extensionAttribute15 Qualquer valor de cadeia de caracteres device.extensionAttribute15 -eq "some string value"
isRooted true, false device.isRooted -eq true
managementType Gestão de dispositivos móveis (para dispositivos móveis) device.managementType -eq "MDM"
memberOf Qualquer valor de cadeia de caracteres (ID de objeto de grupo válido) device.memberOf -any (group.objectId -in ['value'])
objectId Um ID de objeto válido do Microsoft Entra device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
profileType Um tipo de perfil válido no Microsoft Entra ID device.profileType -eq "RegisteredDevice"
systemLabels 4 Uma cadeia de caracteres somente leitura que corresponde à propriedade de dispositivo do Intune para marcar dispositivos do Ambiente de Trabalho Moderno device.systemLabels -startsWith "M365Managed" SystemLabels

1 Quando você usa deviceOwnership para criar grupos de associação dinâmica para dispositivos, você precisa definir o valor igual a Company. No Intune, a propriedade do dispositivo é representada como Corporate. Para obter mais informações, consulte ownerTypes.

2 Quando você usa deviceTrustType para criar grupos de associação dinâmica para dispositivos, você precisa definir o valor igual para AzureAD representar dispositivos associados ao Microsoft Entra, ServerAD para representar dispositivos associados híbridos do Microsoft Entra ou Workplace para representar dispositivos registrados do Microsoft Entra.

3 Quando você usa extensionAttribute1-15 para criar grupos de associação dinâmica para dispositivos, você precisa definir o valor para extensionAttribute1-15 no dispositivo. Saiba mais sobre como escrever extensionAttributes em um objeto de dispositivo Microsoft Entra.

4 Quando se utiliza systemLabels, um atributo somente leitura usado em vários contextos (como gestão de dispositivos e rotulagem de sensibilidade) não pode ser editado através do Intune.

Conteúdo relacionado