Microsoft Entra Id'deki gruplar için dinamik üyelik kuralları
Microsoft Entra'nın bir parçası olan Microsoft Entra Id'de bir grup için dinamik üyeliği etkinleştirmek için öznitelik tabanlı kurallar oluşturabilirsiniz. Dinamik grup üyeliği, üye özniteliklerine dayalı üyelik kurallarını kullanarak grup üyelerini otomatik olarak ekler ve kaldırır. Bu makalede, kullanıcılar veya cihazlar için dinamik üyelik kuralları oluşturmaya yönelik özellikler ve söz dizimi ayrıntılı olarak verilmiştir. Güvenlik gruplarında veya Microsoft 365 gruplarında dinamik üyelik için bir kural ayarlayabilirsiniz.
Bir kullanıcının veya cihazın öznitelikleri değiştiğinde, sistem bir dizindeki tüm dinamik grup kurallarını değerlendirir ve değişikliğin herhangi bir grup eklemesini veya kaldırmasını tetikleyemediğini denetler. Bir kullanıcı veya cihaz gruptaki bir kuralı karşılarsa, bu grup üyesi olarak eklenir. Artık kuralı karşılamıyorlarsa kaldırılırlar. Dinamik grubun üyesini el ile ekleyemez veya kaldıramazsınız.
- Cihazlar veya kullanıcılar için dinamik grup oluşturabilirsiniz, ancak hem kullanıcıları hem de cihazları içeren bir kural oluşturamazsınız.
- Cihaz sahibinin kullanıcı özniteliklerini temel alan bir cihaz grubu oluşturamazsınız. Cihaz üyeliği kuralları yalnızca cihaz özniteliklerine başvurabilir.
Not
Bu özellik, bir veya daha fazla dinamik grubun üyesi olan her benzersiz kullanıcı için bir Microsoft Entra ID P1 lisansı veya Eğitim için Intune gerektirir. Dinamik grupların üyesi olmaları için kullanıcılara lisans atamanız gerekmez, ancak bu tür tüm kullanıcıları kapsamak için Microsoft Entra kuruluşunda en az sayıda lisansa sahip olmanız gerekir. Örneğin, kuruluşunuzdaki tüm dinamik gruplarda toplam 1.000 benzersiz kullanıcınız varsa, lisans gereksinimini karşılamak için Microsoft Entra ID P1 için en az 1.000 lisans gerekir. Dinamik cihaz grubunun üyesi olan cihazlar için lisans gerekmez.
Azure portalında kural oluşturucu
Microsoft Entra ID, önemli kurallarınızı daha hızlı oluşturmak ve güncelleştirmek için bir kural oluşturucu sağlar. Kural oluşturucu, en fazla beş ifadenin oluşturulmasını destekler. Kural oluşturucu, birkaç basit ifadeyle kural oluşturmayı kolaylaştırır, ancak her kuralı yeniden oluşturmak için kullanılamaz. Kural oluşturucu oluşturmak istediğiniz kuralı desteklemiyorsa, metin kutusunu kullanabilirsiniz.
Aşağıda, metin kutusunun kullanılmasını gerektiren bazı gelişmiş kurallar veya söz dizimi örnekleri verilmiştir:
- Beşten fazla ifade içeren kural
- Doğrudan raporlar kuralı
- -contains veya -notContains işlecine sahip kurallar
- İşleç önceliğini ayarlama
- Karmaşık ifadeler içeren kurallar; örneğin,
(user.proxyAddresses -any (_ -startsWith "contoso"))
Not
Kural oluşturucu metin kutusunda bazı kuralları görüntüleyemeyebilir. Kural oluşturucu kuralı görüntüleyemediğinde bir ileti görebilirsiniz. Kural oluşturucu, dinamik grup kurallarının desteklenen söz dizimini, doğrulamasını veya işlenmesini hiçbir şekilde değiştirmez.
Daha fazla adım adım yönergeler için bkz . Dinamik grup oluşturma veya güncelleştirme.
Tek bir ifade için kural söz dizimi
Tek bir ifade, üyelik kuralının en basit biçimidir ve yalnızca yukarıda belirtilen üç bölüme sahiptir. Tek bir ifade içeren bir kural şu örneğe benzer: Property Operator Value, burada özelliğin söz dizimi object.property adıdır.
Aşağıdaki örnekte, tek bir ifadeyle düzgün şekilde oluşturulan bir üyelik kuralı gösterilmektedir:
user.department -eq "Sales"
Parantezler tek bir ifade için isteğe bağlıdır. Üyelik kuralınızın gövdesinin toplam uzunluğu 3072 karakteri aşamaz.
Üyelik kuralının gövdesini oluşturma
Bir grubu otomatik olarak kullanıcılar veya cihazlarla dolduran üyelik kuralı, doğru veya yanlış sonuç veren ikili bir ifadedir. Basit bir kuralın üç bölümü şunlardır:
- Özellik
- İşleç
- Değer
Söz dizimi hatalarını önlemek için bir ifade içindeki bölümlerin sırası önemlidir.
Desteklenen özellikler
Üyelik kuralı oluşturmak için kullanılabilecek üç özellik türü vardır.
- Boolean
- DateTime
- String
- Dize koleksiyonu
Aşağıda, tek bir ifade oluşturmak için kullanabileceğiniz kullanıcı özellikleri yer alır.
Boole türünün özellikleri
| Properties | İzin verilen değerler | Kullanım |
|---|---|---|
| accountEnabled | true false | user.accountEnabled -eq true |
| dirSyncEnabled | true false | user.dirSyncEnabled -eq true |
dateTime türünün özellikleri
| Properties | İzin verilen değerler | Kullanım |
|---|---|---|
| employeeHireDate (Önizleme) | Herhangi bir DateTimeOffset değeri veya anahtar sözcük sistemi.şimdi | user.employeeHireDate -eq "value" |
Dize türü özellikleri
| Properties | İzin verilen değerler | Kullanım |
|---|---|---|
| şehir | Herhangi bir dize değeri veya null | user.city -eq "value" |
| ülke | Herhangi bir dize değeri veya null | user.country -eq "value" |
| Şirketadı | Herhangi bir dize değeri veya null | user.companyName -eq "value" |
| department | Herhangi bir dize değeri veya null | user.department -eq "value" |
| displayName | Herhangi bir dize değeri | user.displayName -eq "value" |
| Employeeıd | Herhangi bir dize değeri | user.employeeId -eq "value" user.employeeId -ne null |
| facsimileTelephoneNumber | Herhangi bir dize değeri veya null | user.facsimileTelephoneNumber -eq "value" |
| givenName | Herhangi bir dize değeri veya null | user.givenName -eq "value" |
| jobTitle | Herhangi bir dize değeri veya null | user.jobTitle -eq "value" |
| posta | Herhangi bir dize değeri veya null (kullanıcının SMTP adresi) | user.mail -eq "value" |
| Mailnickname | Herhangi bir dize değeri (kullanıcının posta diğer adı) | user.mailNickName -eq "value" |
| Memberof | Herhangi bir dize değeri (geçerli grup nesnesi kimliği) | user.memberof -any (group.objectId -in ['value']) |
| http://technet.microsoft.com/en-us/dn451248 | Herhangi bir dize değeri veya null | user.mobile -eq "value" |
| objectId | Kullanıcı nesnesinin GUID'i | user.objectId -eq "11111111-1111-1111-1111-1111-1111111111" |
| onPremisesDistinguishedName | Herhangi bir dize değeri veya null | user.onPremisesDistinguishedName -eq "value" |
| onPremisesSecurityIdentifier | Şirket içinden buluta eşitlenen kullanıcılar için şirket içi güvenlik tanımlayıcısı (SID). | user.onPremisesSecurityIdentifier -eq "S-1-1-11-11-11111111-11111111-1111111111-1111111" |
| passwordPolicies | Hiçbiri DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
| physicalDeliveryOfficeName | Herhangi bir dize değeri veya null | user.physicalDeliveryOfficeName -eq "value" |
| postalCode | Herhangi bir dize değeri veya null | user.postalCode -eq "value" |
| preferredLanguage | ISO 639-1 kodu | user.preferredLanguage -eq "en-US" |
| sipProxyAddress | Herhangi bir dize değeri veya null | user.sipProxyAddress -eq "value" |
| semt | Herhangi bir dize değeri veya null | user.state -eq "value" |
| streetAddress | Herhangi bir dize değeri veya null | user.streetAddress -eq "value" |
| surname | Herhangi bir dize değeri veya null | user.surname -eq "value" |
| telephoneNumber | Herhangi bir dize değeri veya null | user.telephoneNumber -eq "value" |
| usageLocation | İki harfli ülke veya bölge kodu | user.usageLocation -eq "US" |
| userPrincipalName | Herhangi bir dize değeri | user.userPrincipalName -eq "alias@domain" |
| userType | üye konuk null | user.userType -eq "Üye" |
Tür dizesi koleksiyonunun özellikleri
| Properties | İzin verilen değerler | Örnek |
|---|---|---|
| diğer Postalar | Herhangi bir dize değeri | user.otherMails -startsWith "alias@domain" |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | user.proxyAddresses -startsWith "SMTP: alias@domain" |
Cihaz kuralları için kullanılan özellikler için bkz . Cihazlar için kurallar.
Desteklenen ifade işleçleri
Aşağıdaki tabloda, tek bir ifade için desteklenen tüm işleçler ve söz dizimi listelenmektedir. İşleçler kısa çizgi (-) ön eki ile veya olmadan kullanılabilir. Contains işleci kısmi dize eşleşmeleri yapar ancak koleksiyondaki öğe eşleşmelerini yapmaz.
| Operatör | Sözdizimi |
|---|---|
| Eşit Değil | -ne |
| Eşittir | -Eq |
| Başlangıç Değil | -notStartsWith |
| Şununla Başlar: | -Startswith |
| İçermez | -notContains |
| Contains | -Içerir |
| Eşleşmedi | -notMatch |
| Eşleştir | -Maç |
| İçinde | -Inç |
| Içinde Değil | -notIn |
-in ve -notIn işleçlerini kullanma
Bir kullanıcı özniteliğinin değerini birden çok değerle karşılaştırmak istiyorsanız - in veya -notIn işleçlerini kullanabilirsiniz. Değer listesini başlatmak ve sonlandırmak için köşeli ayraç simgelerini "[" ve "]" kullanın.
Aşağıdaki örnekte, user.department değerinin listedeki değerlerden herhangi birine eşit olması durumunda ifade true olarak değerlendirilir:
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
-le ve -ge işleçlerini kullanma
Dinamik grup kurallarında employeeHireDate özniteliğini kullanırken küçük (-le) veya büyüktür (-ge) işleçlerini kullanabilirsiniz.
Örnekler:
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
-match işlecini kullanma
-match işleci herhangi bir normal ifadeyi eşleştirmek için kullanılır. Örnekler:
user.displayName -match "^Da.*"
Da, Dav, David true olarak değerlendirin, aDa false olarak değerlendirilir.
user.displayName -match ".*vid"
David true olarak değerlendirilir, Da false olarak değerlendirilir.
Desteklenen değerler
İfadede kullanılan değerler aşağıdakiler gibi çeşitli türlerden oluşabilir:
- Dizeler
- Boole dili – true, false
- Numaralar
- Diziler – sayı dizisi, dize dizisi
İfade içinde bir değer belirtirken, hatalardan kaçınmak için doğru söz dizimini kullanmak önemlidir. Bazı söz dizimi ipuçları şunlardır:
- Değer bir dize olmadığı sürece çift tırnak işaretleri isteğe bağlıdır.
- Dize ve regex işlemleri büyük/küçük harfe duyarlı değildir.
- Bir dize değeri çift tırnak içerdiğinde, her iki tırnak işareti de ' karakteri kullanılarak kaçılmalıdır, örneğin, user.department -eq '"Sales'", "Sales" değeri olduğunda doğru söz dizimidir. Her seferinde bir tırnak yerine iki tek tırnak kullanılarak tek tırnak işaretinden kaçınılmalıdır.
- Null denetimleri gerçekleştirmek için null değerini de kullanabilirsiniz; örneğin,
user.department -eq null.
Null değerlerin kullanımı
Bir kuralda null değer belirtmek için null değerini kullanabilirsiniz.
- İfadedeki null değeri karşılaştırırken -eq veya -ne kullanın.
- Null sözcüğünün etrafındaki tırnak işaretleri yalnızca sabit dize değeri olarak yorumlanmasını istiyorsanız kullanın.
- -not işleci null için karşılaştırmalı işleç olarak kullanılamaz. Bunu kullanırsanız, null veya $null kullanmanız fark etmeksizin bir hata alırsınız.
Null değere başvurmanın doğru yolu aşağıdaki gibidir:
user.mail –ne null
Birden çok ifade içeren kurallar
Grup üyeliği kuralı, -ve , -veya ve -değil mantıksal işleçleri tarafından bağlanan birden fazla tek ifadeden oluşabilir. Mantıksal işleçler birlikte de kullanılabilir.
Aşağıda, birden çok ifadeyle düzgün şekilde oluşturulan üyelik kuralları örnekleri verilmiştir:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
İşleç önceliği
Tüm işleçler en yüksekten en düşüğe öncelik sırasına göre aşağıda listelenmiştir. Aynı satırdaki işleçler eşit önceliklidir:
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
Aşağıdaki örnek, kullanıcı için iki ifadenin değerlendirildiği işleç önceliğini gösterir:
user.department –eq "Marketing" –and user.country –eq "US"
Parantezler yalnızca öncelik gereksinimlerinizi karşılamadığında gereklidir. Örneğin, önce departmanın değerlendirilmesini istiyorsanız, aşağıdakiler sırayı belirlemek için parantezlerin nasıl kullanılabileceğini gösterir:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Karmaşık ifadeleri olan kurallar
Üyelik kuralı, özelliklerin, işleçlerin ve değerlerin daha karmaşık formlar aldığı karmaşık ifadelerden oluşabilir. Aşağıdakilerden herhangi biri doğru olduğunda ifadeler karmaşık olarak kabul edilir:
- özelliği bir değer koleksiyonundan oluşur; özellikle, çok değerli özellikler
- İfadeler -any ve -all işleçlerini kullanır
- İfadenin değeri bir veya daha fazla ifade olabilir
Çok değerli özellikler
Çok değerli özellikler, aynı türdeki nesne koleksiyonlarıdır. -any ve -all mantıksal işleçlerini kullanarak üyelik kuralları oluşturmak için kullanılabilirler.
| Properties | Değerler | Kullanım |
|---|---|---|
| assignedPlans | Koleksiyondaki her nesne şu dize özelliklerini kullanıma sunar: capabilityStatus, service, servicePlanId | user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled") |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | (user.proxyAddresses -any (_ -startsWith "contoso")) |
-any ve -all işleçlerini kullanma
Koleksiyondaki öğelerden birine veya tümüne sırasıyla bir koşul uygulamak için -any ve -all işleçlerini kullanabilirsiniz.
- -any (koleksiyondaki en az bir öğe koşulla eşleştiğinde karşılandı)
- -all (koleksiyondaki tüm öğeler koşulla eşleştiğinde karşılandı)
Örnek 1
assignedPlans, kullanıcıya atanan tüm hizmet planlarını listeleyen çok değerli bir özelliktir. Aşağıdaki ifade, Aynı zamanda Etkin durumda olan Exchange Online (Plan 2) hizmet planına (GUID değeri olarak) sahip kullanıcıları seçer:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
Bunun gibi bir kural, Microsoft 365 veya başka bir Microsoft Çevrimiçi Hizmet özelliğinin etkinleştirildiği tüm kullanıcıları gruplandırmak için kullanılabilir. Daha sonra gruba bir ilke kümesiyle uygulayabilirsiniz.
Örnek 2
Aşağıdaki ifade, Intune hizmetiyle ilişkili herhangi bir hizmet planına sahip olan tüm kullanıcıları seçer (hizmet adı "SCO" ile tanımlanır):
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Örnek 3
Aşağıdaki ifade, atanmış hizmet planı olmayan tüm kullanıcıları seçer:
user.assignedPlans -all (assignedPlan.servicePlanId -ne null)
Alt çizgi (_) söz dizimini kullanma
Alt çizgi (_) söz dizimi, kullanıcıları veya cihazları dinamik bir gruba eklemek için çok değerli dize koleksiyonu özelliklerinden birinde belirli bir değerin oluşumlarıyla eşleşir. -any veya -all işleçleriyle kullanılır.
Aşağıda user.proxyAddress (user.otherMails için aynı şekilde çalışır) temelinde üye eklemek için bir kuralda alt çizgi (_) kullanma örneği verilmiştir. Bu kural, ara sunucu adresi "contoso" ile başlayan tüm kullanıcıları gruba ekler.
(user.proxyAddresses -any (_ -startsWith "contoso"))
Diğer özellikler ve ortak kurallar
"Doğrudan raporlar" kuralı oluşturma
Bir yöneticinin tüm doğrudan raporlarını içeren bir grup oluşturabilirsiniz. Yöneticinin doğrudan raporları gelecekte değiştiğinde, grubun üyeliği otomatik olarak ayarlanır.
Doğrudan raporlar kuralı aşağıdaki söz dizimi kullanılarak oluşturulur:
Direct Reports for "{objectID_of_manager}"
"62e19b97-8b3d-4d4a-a106-4ce66896a863" öğesinin yöneticinin objectID değeri olduğu geçerli bir kural örneği aşağıda verilmiştir:
Direct Reports for "62e19b97-8b3d-4d4a-a106-4ce66896a863"
Aşağıdaki ipuçları kuralı düzgün kullanmanıza yardımcı olabilir.
- Yönetici Kimliği , yöneticinin nesne kimliğidir. Yöneticinin Profilinde bulunabilir.
- Kuralın çalışması için, Kuruluşunuzdaki kullanıcılar için Manager özelliğinin doğru ayarlandığından emin olun. Kullanıcının Profilinde geçerli değeri de kontrol edebilirsiniz.
- Bu kural yalnızca yöneticinin doğrudan raporlarını destekler. Başka bir deyişle, yöneticinin doğrudan raporları ve raporlarıyla grup oluşturamazsınız.
- Bu kural diğer üyelik kurallarıyla birleştirilemiyor.
"Tüm kullanıcılar" kuralı oluşturma
Üyelik kuralı kullanarak bir kuruluştaki tüm kullanıcıları içeren bir grup oluşturabilirsiniz. Gelecekte kullanıcılar kuruluşa eklendiğinde veya kuruluştan kaldırıldığında, grubun üyeliği otomatik olarak ayarlanır.
"Tüm kullanıcılar" kuralı , -ne işleci ve null değeri kullanılarak tek bir ifade kullanılarak oluşturulur. Bu kural gruba B2B konuk kullanıcıları ve üye kullanıcıları ekler.
user.objectId -ne null
Grubunuzun konuk kullanıcıları dışlamasını ve yalnızca kuruluşunuzun üyelerini içermesini istiyorsanız, aşağıdaki söz dizimini kullanabilirsiniz:
(user.objectId -ne null) -and (user.userType -eq "Member")
"Tüm cihazlar" kuralı oluşturma
Üyelik kuralı kullanarak bir kuruluştaki tüm cihazları içeren bir grup oluşturabilirsiniz. Gelecekte cihazlar kuruluşa eklendiğinde veya kuruluştan kaldırıldığında, grubun üyeliği otomatik olarak ayarlanır.
"Tüm Cihazlar" kuralı - ne işleci ve null değeri kullanılarak tek bir ifade kullanılarak oluşturulur:
device.objectId -ne null
Uzantı özellikleri ve özel uzantı özellikleri
Uzantı öznitelikleri ve özel uzantı özellikleri, dinamik üyelik kurallarında dize özellikleri olarak desteklenir. Uzantı öznitelikleri şirket içi Pencere Sunucusu Active Directory'den eşitlenebilir veya Microsoft Graph kullanılarak güncelleştirilebilir ve X'in 1 - 15'e eşit olduğu "ExtensionAttributeX" biçimini alabilir. Dinamik üyelik kurallarında çok değerli uzantı özellikleri desteklenmez. Aşağıda, özellik olarak uzantı özniteliği kullanan bir kural örneği verilmiştir:
(user.extensionAttribute15 -eq "Marketing")
Özel uzantı özellikleri şirket içi Windows Server Active Directory'den, bağlı bir SaaS uygulamasından eşitlenebilir veya Microsoft Graph kullanılarak oluşturulabilir ve şu biçimdedir user.extension_[GUID]_[Attribute]:
- [GUID], özelliği oluşturan uygulamanın Microsoft Entra Id içindeki benzersiz tanımlayıcının kaldırılmış sürümüdür. Yalnızca 0-9 ve A-Z karakterlerini içerir
- [Öznitelik], özelliğin oluşturulduğu adıdır
Özel uzantı özelliği kullanan bir kurala örnek olarak:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Özel uzantı özellikleri dizin veya Microsoft Entra uzantısı özellikleri olarak da adlandırılır.
Özel özellik adı, Grafik Gezgini'ni kullanarak bir kullanıcının özelliğini sorgulayarak ve özellik adını arayarak dizinde bulunabilir. Ayrıca, artık dinamik kullanıcı grubu kural oluşturucusunda Özel uzantı özelliklerini al bağlantısını seçerek benzersiz bir uygulama kimliği girebilir ve dinamik üyelik kuralı oluştururken kullanılacak özel uzantı özelliklerinin tam listesini alabilirsiniz. Bu liste, söz konusu uygulamanın yeni özel uzantı özelliklerini almak için de yenilenebilir. Uzantı öznitelikleri ve özel uzantı özellikleri kiracınızdaki uygulamalardan olmalıdır.
Daha fazla bilgi için Microsoft Entra Bağlan Sync: Dizin uzantıları makalesindeki Dinamik gruplarda öznitelikleri kullanma bölümüne bakın.
Cihazlar için kurallar
Grupta üyelik için cihaz nesnelerini seçen bir kural da oluşturabilirsiniz. Hem kullanıcıları hem de cihazları grup üyesi olarak kullanamazsınız.
Not
organizationalUnit özniteliği artık listelenmiyor ve kullanılmamalıdır. Bu dize belirli durumlarda Intune tarafından ayarlanır, ancak Microsoft Entra Kimliği tarafından tanınmaz, bu nedenle bu özniteliği temel alan gruplara cihaz eklenmez.
Not
systemlabels, Intune ile ayarlanamayan salt okunur bir özniteliktir.
Windows 10 için deviceOSVersion özniteliğinin doğru biçimi şu şekildedir: (device.deviceOSVersion -startsWith "10.0.1"). Biçimlendirme Get-MgDevice PowerShell cmdlet'iyle doğrulanabilir:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
Aşağıdaki cihaz öznitelikleri kullanılabilir.
| Cihaz özniteliği | Değerler | Örnek |
|---|---|---|
| accountEnabled | true false | device.accountEnabled -eq true |
| Cihazlar | geçerli bir cihaz kategorisi adı | device.deviceCategory -eq "KCG" |
| deviceId | geçerli bir Microsoft Entra cihaz kimliği | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
| deviceManagementAppId | Microsoft Entra Id'de geçerli bir MDM uygulama kimliği | Microsoft için device.deviceManagementAppId -eq "0000000a-0000-0000-c000-00000000000000" System Center Configuration Manager Ortak yönetilen cihazlar için Intune tarafından yönetilen veya "54b943f8-d761-4f8d-951e-9cea1846db5a" |
| deviceManufacturer | herhangi bir dize değeri | device.deviceManufacturer -eq "Samsung" |
| deviceModel | herhangi bir dize değeri | device.deviceModel -eq "iPad Air" |
| displayName | herhangi bir dize değeri | device.displayName -eq "Rob i Telefon" |
| deviceOSType | herhangi bir dize değeri | (device.deviceOSType -eq "iPad") -veya (device.deviceOSType -eq "i Telefon") device.deviceOSType -startsWith "AndroidEnterprise" device.deviceOSType -eq "AndroidForWork" device.deviceOSType -eq "Windows" |
| deviceOSVersion | herhangi bir dize değeri | device.deviceOSVersion -eq "9.1" device.deviceOSVersion -startsWith "10.0.1" |
| deviceOwnership | Kişisel, Şirket, Bilinmiyor | device.deviceOwnership -eq "Şirket" |
| devicePhysicalIds | Autopilot tarafından kullanılan tüm Autopilot cihazları, OrderID veya PurchaseOrderID gibi herhangi bir dize değeri | device.devicePhysicalIDs -any _ -startsWith "[ZTDId]" (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881" (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
| deviceTrustType | AzureAD, ServerAD, Çalışma Alanı | device.deviceTrustType -eq "AzureAD" |
| enrollmentProfileName | Apple Cihaz Kayıt Profili adı, Android Kurumsal Şirkete ait ayrılmış cihaz Kayıt Profili adı veya Windows Autopilot profil adı | device.enrollmentProfileName -eq "DEP i Telefon s" |
| extensionAttribute1 | herhangi bir dize değeri | device.extensionAttribute1 -eq "bazı dize değeri" |
| extensionAttribute2 | herhangi bir dize değeri | device.extensionAttribute2 -eq "bazı dize değeri" |
| extensionAttribute3 | herhangi bir dize değeri | device.extensionAttribute3 -eq "bazı dize değeri" |
| extensionAttribute4 | herhangi bir dize değeri | device.extensionAttribute4 -eq "bazı dize değeri" |
| extensionAttribute5 | herhangi bir dize değeri | device.extensionAttribute5 -eq "bazı dize değeri" |
| extensionAttribute6 | herhangi bir dize değeri | device.extensionAttribute6 -eq "bazı dize değeri" |
| extensionAttribute7 | herhangi bir dize değeri | device.extensionAttribute7 -eq "bazı dize değeri" |
| extensionAttribute8 | herhangi bir dize değeri | device.extensionAttribute8 -eq "bazı dize değeri" |
| extensionAttribute9 | herhangi bir dize değeri | device.extensionAttribute9 -eq "bazı dize değeri" |
| extensionAttribute10 | herhangi bir dize değeri | device.extensionAttribute10 -eq "bazı dize değeri" |
| extensionAttribute11 | herhangi bir dize değeri | device.extensionAttribute11 -eq "bazı dize değeri" |
| extensionAttribute12 | herhangi bir dize değeri | device.extensionAttribute12 -eq "bazı dize değeri" |
| extensionAttribute13 | herhangi bir dize değeri | device.extensionAttribute13 -eq "bazı dize değeri" |
| extensionAttribute14 | herhangi bir dize değeri | device.extensionAttribute14 -eq "bazı dize değeri" |
| extensionAttribute15 | herhangi bir dize değeri | device.extensionAttribute15 -eq "bazı dize değeri" |
| isRooted | true false | device.isRooted -eq true |
| managementType | MDM (mobil cihazlar için) | device.managementType -eq "MDM" |
| Memberof | Herhangi bir dize değeri (geçerli grup nesnesi kimliği) | device.memberof -any (group.objectId -in ['value']) |
| objectId | geçerli bir Microsoft Entra nesne kimliği | device.objectId -eq "76ad43c9-32c5-45e8-a272-7b58b58f596d" |
| profileType | Microsoft Entra Id'de geçerli bir profil türü | device.profileType -eq "RegisteredDevice" |
| systemLabels | Modern Workplace cihazlarını etiketlemek için Intune cihaz özelliğiyle eşleşen herhangi bir dize | device.systemLabels -startsWith "M365Managed" |
Not
deviceOwnership kullanarak cihazlar için Dinamik Gruplar oluştururken değerini değerine eşit Companyayarlamanız gerekir. Intune'da cihaz sahipliği şirket olarak temsil edilir. Daha fazla bilgi için bkz . OwnerTypes .
deviceTrustType Kullanırken cihazlar için Dinamik Gruplar oluştururken değerini Microsoft Entra'ya katılmış cihazları temsil etmekAzureAD, ServerAD Microsoft Entra karma katılmış cihazları temsil etmek veya Workplace Microsoft Entra kayıtlı cihazları temsil etmek için değerine eşit olarak ayarlamanız gerekir.
kullanarak extensionAttribute1-15 cihazlar için Dinamik Gruplar oluştururken cihazdaki değerini extensionAttribute1-15 ayarlamanız gerekir. Microsoft Entra cihaz nesnesine yazma extensionAttributes hakkında daha fazla bilgi edinin
Sonraki adımlar
Bu makaleler, Microsoft Entra Id'deki gruplar hakkında ek bilgi sağlar.