Regler för dynamiskt medlemskap för grupper i Microsoft Entra-ID
Du kan skapa attributbaserade regler för att aktivera dynamiskt medlemskap för en grupp i Microsoft Entra ID, en del av Microsoft Entra. Dynamiskt gruppmedlemskap lägger till och tar bort gruppmedlemmar automatiskt med hjälp av medlemskapsregler baserat på medlemsattribut. Den här artikeln beskriver egenskaperna och syntaxen för att skapa regler för dynamiskt medlemskap för användare eller enheter. Du kan konfigurera en regel för dynamiskt medlemskap i säkerhetsgrupper eller Microsoft 365-grupper.
När attributen för en användare eller en enhet ändras utvärderar systemet alla dynamiska gruppregler i en katalog för att se om ändringen utlöser någon grupp som lägger till eller tar bort. Om en användare eller enhet uppfyller en regel för en grupp läggs de till som medlem i den gruppen. Om de inte längre uppfyller regeln tas de bort. Du kan inte lägga till eller ta bort en medlem i en dynamisk grupp manuellt.
- Du kan skapa en dynamisk grupp för enheter eller för användare, men du kan inte skapa en regel som innehåller både användare och enheter.
- Du kan inte skapa en enhetsgrupp baserat på enhetsägarens användarattribut. Regler för enhetsmedlemskap kan endast referera till enhetsattribut.
Kommentar
Den här funktionen kräver en Microsoft Entra ID P1-licens eller Intune for Education för varje unik användare som är medlem i en eller flera dynamiska grupper. Du behöver inte tilldela licenser till användare för att de ska vara medlemmar i dynamiska grupper, men du måste ha det minsta antalet licenser i Microsoft Entra-organisationen för att täcka alla sådana användare. Om du till exempel hade totalt 1 000 unika användare i alla dynamiska grupper i organisationen skulle du behöva minst 1 000 licenser för Microsoft Entra ID P1 för att uppfylla licenskravet. Ingen licens krävs för enheter som är medlemmar i en dynamisk enhetsgrupp.
Regelbyggare i Azure-portalen
Microsoft Entra ID tillhandahåller en regelbyggare för att skapa och uppdatera dina viktiga regler snabbare. Regelverktyget stöder konstruktion av upp till fem uttryck. Regelverktyget gör det enklare att skapa en regel med några enkla uttryck, men det kan inte användas för att återskapa varje regel. Om regelverktyget inte stöder den regel som du vill skapa kan du använda textrutan.
Här är några exempel på avancerade regler eller syntax som kräver användning av textrutan:
- Regel med fler än fem uttryck
- Regeln För direktrapporter
- Regler med operatorn -contains eller -notContains
- Ange operatorpriorence
- Regler med komplexa uttryck, till exempel
(user.proxyAddresses -any (_ -startsWith "contoso"))
Kommentar
Regelverktyget kanske inte kan visa vissa regler som skapats i textrutan. Du kan se ett meddelande när regelverktyget inte kan visa regeln. Regelverktyget ändrar inte den syntax, validering eller bearbetning av dynamiska gruppregler som stöds på något sätt.
Mer stegvisa instruktioner finns i Skapa eller uppdatera en dynamisk grupp.
Regelsyntax för ett enda uttryck
Ett enda uttryck är den enklaste formen av en medlemskapsregel och har bara de tre delarna som nämns ovan. En regel med ett enda uttryck liknar det här exemplet: Property Operator Value
, där syntaxen för egenskapen är namnet på object.property.
I följande exempel visas en korrekt konstruerad medlemskapsregel med ett enda uttryck:
user.department -eq "Sales"
Parenteser är valfria för ett enda uttryck. Den totala längden på brödtexten i medlemskapsregeln får inte överstiga 3 072 tecken.
Konstruera brödtexten för en medlemskapsregel
En medlemskapsregel som automatiskt fyller i en grupp med användare eller enheter är ett binärt uttryck som resulterar i ett sant eller falskt resultat. De tre delarna i en enkel regel är:
- Property
- Operator
- Värde
Ordningen på delarna i ett uttryck är viktig för att undvika syntaxfel.
Egenskaper som stöds
Det finns tre typer av egenskaper som kan användas för att skapa en medlemskapsregel.
- Booleskt
- Datum/tid
- String
- Strängsamling
Följande är de användaregenskaper som du kan använda för att skapa ett enda uttryck.
Egenskaper av typen booleskt värde
Egenskaper | Tillåtna värden | Användning |
---|---|---|
accountEnabled | sant falskt | user.accountEnabled -eq true |
dirSyncEnabled | sant falskt | user.dirSyncEnabled -eq true |
Egenskaper av typen dateTime
Egenskaper | Tillåtna värden | Användning |
---|---|---|
employeeHireDate (förhandsversion) | DateTimeOffset-värde eller nyckelordssystem.nu | user.employeeHireDate -eq "value" |
Egenskaper för typsträng
Egenskaper | Tillåtna värden | Användning |
---|---|---|
ort | Valfritt strängvärde eller null | user.city -eq "value" |
land | Valfritt strängvärde eller null | user.country -eq "value" |
companyName | Valfritt strängvärde eller null | user.companyName -eq "value" |
Avdelning | Valfritt strängvärde eller null | user.department -eq "value" |
displayName | Valfritt strängvärde | user.displayName -eq "value" |
Employeeid | Valfritt strängvärde | user.employeeId -eq "value" user.employeeId -ne null |
facsimileTelephoneNumber | Valfritt strängvärde eller null | user.facsimileTelephoneNumber -eq "value" |
givenName | Valfritt strängvärde eller null | user.givenName -eq "value" |
jobTitle | Valfritt strängvärde eller null | user.jobTitle -eq "value" |
e-post | Valfritt strängvärde eller null (SMTP-adress för användaren) | user.mail -eq "value" |
mailNickName | Valfritt strängvärde (användarens e-postalias) | user.mailNickName -eq "value" |
memberOf | Valfritt strängvärde (giltigt gruppobjekt-ID) | user.memberof -any (group.objectId -in ['value']) |
Mobil | Valfritt strängvärde eller null | user.mobile -eq "value" |
objectId | GUID för användarobjektet | user.objectId -eq "11111111-1111-1111-1111-1111111111111111" |
onPremisesDistinguishedName | Valfritt strängvärde eller null | user.onPremisesDistinguishedName -eq "value" |
onPremisesSecurityIdentifier | Lokal säkerhetsidentifierare (SID) för användare som synkroniserades från en lokal plats till molnet. | user.onPremisesSecurityIdentifier -eq "S-1-1-11-111111111-11111111111-111111111-1111111" |
passwordPolicies | Ingen DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
physicalDeliveryOfficeName | Valfritt strängvärde eller null | user.physicalDeliveryOfficeName -eq "värde" |
postalCode | Valfritt strängvärde eller null | user.postalCode -eq "value" |
preferredLanguage | ISO 639-1-kod | user.preferredLanguage -eq "en-US" |
sipProxyAddress | Valfritt strängvärde eller null | user.sipProxyAddress -eq "värde" |
tillstånd | Valfritt strängvärde eller null | user.state -eq "value" |
streetAddress | Valfritt strängvärde eller null | user.streetAddress -eq "value" |
surname | Valfritt strängvärde eller null | user.surname -eq "value" |
telephoneNumber | Valfritt strängvärde eller null | user.telephoneNumber -eq "value" |
usageLocation | Lands- eller regionkod med två bokstäver | user.usageLocation -eq "US" |
userPrincipalName | Valfritt strängvärde | user.userPrincipalName -eq "alias@domain" |
userType | medlemsgäst null | user.userType -eq "Member" |
Egenskaper för typsträngssamling
Egenskaper | Tillåtna värden | Exempel |
---|---|---|
otherMails | Valfritt strängvärde | user.otherMails -startsWith "alias@domain" |
proxyAddresses | SMTP: alias@domain smtp: alias@domain | user.proxyAddresses -startsWith "SMTP: alias@domain" |
De egenskaper som används för enhetsregler finns i Regler för enheter.
Uttrycksoperatorer som stöds
I följande tabell visas alla operatorer som stöds och deras syntax för ett enda uttryck. Operatorer kan användas med eller utan bindestrecksprefixet (-). Operatorn Contains utför partiella strängmatchningar men inte objekt i en samling matchar.
Operator | Syntax |
---|---|
Inte lika med | -Ne |
Lika med | -Eq |
Börjar inte med | -notStartsWith |
Börjar med | -startsWith |
Innehåller inte | -notContains |
Innehåller | -Innehåller |
Matchar inte | -notMatch |
Matchning | -Matcha |
I | -I |
Inte i | -notIn |
Använda operatorerna -in och -notIn
Om du vill jämföra värdet för ett användarattribut med flera värden kan du använda operatorerna -in eller -notIn. Använd hakparentessymbolerna "[" och "]" för att börja och avsluta listan med värden.
I följande exempel utvärderas uttrycket till sant om värdet för user.department är lika med något av värdena i listan:
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
Använda operatorerna -le och -ge
Du kan använda operatorerna mindre än (-le) eller större än (-ge) när du använder attributet employeeHireDate i dynamiska gruppregler.
Exempel:
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
Använda operatorn -match
Operatorn -match används för att matcha alla reguljära uttryck. Exempel:
user.displayName -match "^Da.*"
Da
, Dav
, David
utvärderas till true, aDa utvärderas till false.
user.displayName -match ".*vid"
David
utvärderas till sant, Da
utvärderas till false.
Värden som stöds
Värdena som används i ett uttryck kan bestå av flera typer, inklusive:
- Strängar
- Booleskt – sant, falskt
- Nummer
- Matriser – talmatris, strängmatris
När du anger ett värde i ett uttryck är det viktigt att använda rätt syntax för att undvika fel. Några syntaxtips är:
- Dubbla citattecken är valfria om inte värdet är en sträng.
- Sträng- och regexåtgärder är inte skiftlägeskänsliga.
- När ett strängvärde innehåller dubbla citattecken bör båda citattecknas med hjälp av tecknet , till exempel user.department -eq '"Sales'" är rätt syntax när "Sales" är värdet. Enkla citattecken bör kringgås med hjälp av två enkla citattecken i stället för ett varje gång.
- Du kan också utföra Null-kontroller med null som ett värde,
user.department -eq null
till exempel .
Användning av Null-värden
Om du vill ange ett null-värde i en regel kan du använda null-värdet .
- Använd -eq eller -ne när du jämför null-värdet i ett uttryck.
- Använd bara citattecken runt ordet null om du vill att det ska tolkas som ett strängvärde med literaltecken.
- Operatorn -not kan inte användas som en jämförande operator för null. Om du använder det får du ett felmeddelande om du använder null eller $null.
Det rätta sättet att referera till null-värdet är följande:
user.mail –ne null
Regler med flera uttryck
En gruppmedlemskapsregel kan bestå av mer än ett enda uttryck som är anslutet av operatorerna -and, -or och -not logical. Logiska operatorer kan också användas i kombination.
Följande är exempel på korrekt konstruerade medlemskapsregler med flera uttryck:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
Prioritet för operator
Alla operatorer visas nedan i prioritetsordning från högsta till lägsta. Operatorer på samma rad har samma prioritet:
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
I följande exempel visas operatorprioret där två uttryck utvärderas för användaren:
user.department –eq "Marketing" –and user.country –eq "US"
Parenteser behövs bara när prioriteten inte uppfyller dina krav. Om du till exempel vill att avdelningen ska utvärderas först visar följande hur parenteser kan användas för att fastställa ordning:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Regler med komplexa uttryck
En medlemskapsregel kan bestå av komplexa uttryck där egenskaper, operatorer och värden får mer komplexa former. Uttryck anses vara komplexa när något av följande är sant:
- Egenskapen består av en samling värden; mer specifikt flervärdesegenskaper
- Uttrycken använder operatorerna -any och -all
- Värdet för uttrycket kan vara ett eller flera uttryck
Egenskaper för flera värden
Egenskaper för flera värden är samlingar av objekt av samma typ. De kan användas för att skapa medlemskapsregler med hjälp av de logiska operatorerna -any och -all.
Egenskaper | Värden | Användning |
---|---|---|
assignedPlans | Varje objekt i samlingen visar följande strängegenskaper: capabilityStatus, service, servicePlanId | user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled") |
proxyAddresses | SMTP: alias@domain smtp: alias@domain | (user.proxyAddresses -any (_ -startsWith "contoso")) |
Använda operatorerna -any och -all
Du kan använda alla operatorer för att tillämpa ett villkor på ett eller alla objekt i samlingen.
- -alla (uppfyllda när minst ett objekt i samlingen matchar villkoret)
- -alla (uppfyllda när alla objekt i samlingen matchar villkoret)
Exempel 1
assignedPlans är en egenskap med flera värden som visar alla tjänstplaner som tilldelats användaren. Följande uttryck väljer användare som har Exchange Online (alternativ 2) tjänstplan (som ett GUID-värde) som också är i aktiverat tillstånd:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
En regel som den här kan användas för att gruppera alla användare för vilka en Microsoft 365- eller annan Microsoft Online Service-funktion är aktiverad. Du kan sedan tillämpa med en uppsättning principer för gruppen.
Exempel 2
Följande uttryck väljer alla användare som har en tjänstplan som är associerad med Intune-tjänsten (identifieras med tjänstnamnet "SCO"):
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Exempel 3
Följande uttryck väljer alla användare som inte har någon tilldelad tjänstplan:
user.assignedPlans -all (assignedPlan.servicePlanId -ne null)
Använda understreckssyntaxen (_)
Understreckssyntaxen (_) matchar förekomster av ett visst värde i en av egenskaperna för flervärdessträngssamlingen för att lägga till användare eller enheter i en dynamisk grupp. Den används med operatorerna -any eller -all.
Här är ett exempel på hur du använder understrecket (_) i en regel för att lägga till medlemmar baserat på user.proxyAddress (det fungerar på samma sätt för user.otherMails). Den här regeln lägger till alla användare med proxyadress som börjar med "contoso" i gruppen.
(user.proxyAddresses -any (_ -startsWith "contoso"))
Andra egenskaper och vanliga regler
Skapa en regel för direktrapporter
Du kan skapa en grupp som innehåller alla direktrapporter från en chef. När chefens direktrapporter ändras i framtiden justeras gruppens medlemskap automatiskt.
Regeln för direktrapporter konstrueras med hjälp av följande syntax:
Direct Reports for "{objectID_of_manager}"
Här är ett exempel på en giltig regel, där "62e19b97-8b3d-4d4a-a106-4ce66896a863" är objectID för chefen:
Direct Reports for "62e19b97-8b3d-4d4a-a106-4ce66896a863"
Följande tips kan hjälpa dig att använda regeln korrekt.
- Manager-ID:t är objekt-ID:t för chefen. Den finns i chefens profil.
- Kontrollera att egenskapen Manager är korrekt inställd för användare i din organisation för att regeln ska fungera. Du kan kontrollera det aktuella värdet i användarens profil.
- Den här regeln stöder endast chefens direktrapporter. Med andra ord kan du inte skapa en grupp med chefens direkta rapporter och deras rapporter.
- Den här regeln kan inte kombineras med andra medlemskapsregler.
Skapa en regel för alla användare
Du kan skapa en grupp som innehåller alla användare i en organisation med hjälp av en medlemskapsregel. När användare läggs till eller tas bort från organisationen i framtiden justeras gruppens medlemskap automatiskt.
Regeln "Alla användare" konstrueras med ett enda uttryck med operatorn -ne och null-värdet. Den här regeln lägger till B2B-gästanvändare och medlemsanvändare i gruppen.
user.objectId -ne null
Om du vill att din grupp ska undanta gästanvändare och endast inkludera medlemmar i organisationen kan du använda följande syntax:
(user.objectId -ne null) -and (user.userType -eq "Member")
Skapa en regel för alla enheter
Du kan skapa en grupp som innehåller alla enheter i en organisation med hjälp av en medlemskapsregel. När enheter läggs till eller tas bort från organisationen i framtiden justeras gruppens medlemskap automatiskt.
Regeln "Alla enheter" konstrueras med ett enda uttryck med operatorn -ne och null-värdet:
device.objectId -ne null
Tilläggsegenskaper och anpassade tilläggsegenskaper
Tilläggsattribut och anpassade tilläggsegenskaper stöds som strängegenskaper i regler för dynamiskt medlemskap. Tilläggsattribut kan synkroniseras från den lokala Windows Server Active Directory eller uppdateras med Microsoft Graph och har formatet "ExtensionAttributeX", där X är lika med 1–15. Egenskaper för flervärdestillägg stöds inte i regler för dynamiskt medlemskap. Här är ett exempel på en regel som använder ett tilläggsattribut som en egenskap:
(user.extensionAttribute15 -eq "Marketing")
Anpassade tilläggsegenskaper kan synkroniseras från lokala Windows Server Active Directory, från ett anslutet SaaS-program eller skapas med Microsoft Graph och är av user.extension_[GUID]_[Attribute]
formatet , där:
- [GUID] är den avskalade versionen av den unika identifieraren i Microsoft Entra-ID:t för programmet som skapade egenskapen. Den innehåller endast tecken 0-9 och A-Z
- [Attribut] är namnet på egenskapen när den skapades
Ett exempel på en regel som använder en anpassad tilläggsegenskap är:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Egenskaper för anpassade tillägg kallas även för katalog- eller Microsoft Entra-tilläggsegenskaper.
Det anpassade egenskapsnamnet finns i katalogen genom att fråga efter en användares egenskap med hjälp av Graph Explorer och söka efter egenskapsnamnet. Nu kan du också välja Länken Hämta anpassade tilläggsegenskaper i regelverktyget för dynamisk användargrupp för att ange ett unikt app-ID och ta emot den fullständiga listan över anpassade tilläggsegenskaper som ska användas när du skapar en regel för dynamiskt medlemskap. Den här listan kan också uppdateras för att hämta nya anpassade tilläggsegenskaper för appen. Tilläggsattribut och anpassade tilläggsegenskaper måste komma från program i klientorganisationen.
Mer information finns i Använda attributen i dynamiska grupper i artikeln Microsoft Entra Anslut Sync: Directory-tillägg.
Regler för enheter
Du kan också skapa en regel som väljer enhetsobjekt för medlemskap i en grupp. Du kan inte ha både användare och enheter som gruppmedlemmar.
Kommentar
Attributet organizationalUnit visas inte längre och bör inte användas. Den här strängen anges av Intune i specifika fall men känns inte igen av Microsoft Entra-ID, så inga enheter läggs till i grupper baserat på det här attributet.
Kommentar
systemlabels är ett skrivskyddat attribut som inte kan anges med Intune.
För Windows 10 är rätt format för attributet deviceOSVersion följande: (device.deviceOSVersion -startsWith "10.0.1"). Formateringen kan verifieras med PowerShell-cmdleten Get-MgDevice:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
Följande enhetsattribut kan användas.
Enhetsattribut | Värden | Exempel |
---|---|---|
accountEnabled | sant falskt | device.accountEnabled -eq true |
deviceCategory | ett giltigt enhetskategorinamn | device.deviceCategory -eq "BYOD" |
deviceId | ett giltigt Microsoft Entra-enhets-ID | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
deviceManagementAppId | ett giltigt MDM-program-ID i Microsoft Entra-ID | device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" för Microsoft In hanterad eller "54b943f8-d761-4f8d-951e-9cea1846db5a" för Samhanterade System Center Configuration Manager-enheter |
deviceManufacturer | valfritt strängvärde | device.deviceManufacturer -eq "Samsung" |
deviceModel | valfritt strängvärde | device.deviceModel -eq "iPad Air" |
displayName | valfritt strängvärde | device.displayName -eq "Rob i Telefon" |
deviceOSType | valfritt strängvärde | (device.deviceOSType -eq "iPad") - eller (device.deviceOSType -eq "i Telefon") device.deviceOSType -startsWith "AndroidEnterprise" device.deviceOSType -eq "AndroidForWork" device.deviceOSType -eq "Windows" |
deviceOSVersion | valfritt strängvärde | device.deviceOSVersion -eq "9.1" device.deviceOSVersion -startsWith "10.0.1" |
deviceOwnership | Personligt, Företag, Okänt | device.deviceOwnership –eq "Företag" |
devicePhysicalIds | alla strängvärden som används av Autopilot, till exempel alla Autopilot-enheter, OrderID eller PurchaseOrderID | device.devicePhysicalIDs -any _ -startsWith "[ZTDId]" (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881" (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
deviceTrustType | AzureAD, ServerAD, Workplace | device.deviceTrustType –eq "AzureAD" |
enrollmentProfileName | Namn på Apple-enhetsregistreringsprofil, Android Enterprise Företagsägd dedikerad enhetsregistreringsprofil eller Windows Autopilot-profilnamn | device.enrollmentProfileName -eq "DEP i Telefon s" |
extensionAttribute1 | valfritt strängvärde | device.extensionAttribute1 –eq "något strängvärde" |
extensionAttribute2 | valfritt strängvärde | device.extensionAttribute2 -eq "vissa strängvärden" |
extensionAttribute3 | valfritt strängvärde | device.extensionAttribute3 –eq "något strängvärde" |
extensionAttribute4 | valfritt strängvärde | device.extensionAttribute4 –eq "något strängvärde" |
extensionAttribute5 | valfritt strängvärde | device.extensionAttribute5 –eq "något strängvärde" |
extensionAttribute6 | valfritt strängvärde | device.extensionAttribute6 -eq "något strängvärde" |
extensionAttribute7 | valfritt strängvärde | device.extensionAttribute7 -eq "något strängvärde" |
extensionAttribute8 | valfritt strängvärde | device.extensionAttribute8 -eq "något strängvärde" |
extensionAttribute9 | valfritt strängvärde | device.extensionAttribute9 -eq "något strängvärde" |
extensionAttribute10 | valfritt strängvärde | device.extensionAttribute10 -eq "visst strängvärde" |
extensionAttribute11 | valfritt strängvärde | device.extensionAttribute11 -eq "något strängvärde" |
extensionAttribute12 | valfritt strängvärde | device.extensionAttribute12 -eq "något strängvärde" |
extensionAttribute13 | valfritt strängvärde | device.extensionAttribute13 -eq "något strängvärde" |
extensionAttribute14 | valfritt strängvärde | device.extensionAttribute14 –eq "något strängvärde" |
extensionAttribute15 | valfritt strängvärde | device.extensionAttribute15 -eq "något strängvärde" |
isRooted | sant falskt | device.isRooted -eq true |
managementType | MDM (för mobila enheter) | device.managementType -eq "MDM" |
memberOf | Valfritt strängvärde (giltigt gruppobjekt-ID) | device.memberof -any (group.objectId -in ['value']) |
objectId | ett giltigt Microsoft Entra-objekt-ID | device.objectId -eq "76ad43c9-32c5-45e8-a272-7b58b58f596d" |
profileType | en giltig profiltyp i Microsoft Entra-ID | device.profileType -eq "RegisteredDevice" |
systemLabels | valfri sträng som matchar Intune-enhetsegenskapen för taggning av Moderna arbetsplatsenheter | device.systemLabels -startsWith "M365Managed" |
Kommentar
När du använder deviceOwnership
för att skapa dynamiska grupper för enheter måste du ange värdet lika Company
med . I Intune representeras enhetsägarskapet i stället som Företag. Mer information finns i OwnerTypes för mer information.
När du använder deviceTrustType
för att skapa dynamiska grupper för enheter måste du ange värdet lika AzureAD
med för att representera Microsoft Entra-anslutna enheter, ServerAD
för att representera Microsoft Entra Hybrid-anslutna enheter eller Workplace
för att representera Microsoft Entra-registrerade enheter.
När du använder extensionAttribute1-15
för att skapa dynamiska grupper för enheter måste du ange värdet för extensionAttribute1-15
på enheten. Läs mer om hur du skriver extensionAttributes
på ett Microsoft Entra-enhetsobjekt
Nästa steg
De här artiklarna innehåller ytterligare information om grupper i Microsoft Entra-ID.