Aracılığıyla paylaş


Microsoft Entra Id'de dinamik üyelik grupları için kuralları yönetme

Microsoft Entra'nın bir parçası olan Microsoft Entra Id'de dinamik üyelik grupları için üyeliği etkinleştirmek için kullanıcı veya cihaz özniteliği tabanlı kurallar oluşturabilirsiniz. Üye özniteliklerine dayalı üyelik kurallarını kullanarak dinamik üyelik gruplarını otomatik olarak ekleyebilir ve kaldırabilirsiniz. Microsoft Entra'da tek bir kiracı en fazla 15.000 dinamik üyelik grubuna sahip olabilir.

Bu makalede, kullanıcılara veya cihazlara göre dinamik üyelik grupları için kurallar oluşturmaya yönelik özellikler ve söz dizimi ayrıntılı olarak açıklanır.

Not

Güvenlik grupları cihazlar veya kullanıcılar için kullanılabilir, ancak Microsoft 365 grupları yalnızca kullanıcıları içerebilir.

Bir kullanıcının veya cihazın öznitelikleri değiştiğinde, sistem bir dizindeki dinamik üyelik grupları için tüm kuralları değerlendirir ve değişikliğin herhangi bir grup eklemesini veya kaldırmasını tetikleyemediğini denetler. Bir kullanıcı veya cihaz gruptaki bir kuralı karşılarsa, bu grup üyesi olarak eklenir. Artık kuralı karşılamıyorlarsa kaldırılırlar. Dinamik üyelik grubunun üyesini el ile ekleyemez veya kaldıramazsınız.

  • Kullanıcılar veya cihazlar için dinamik üyelik grupları oluşturabilirsiniz, ancak hem kullanıcıları hem de cihazları içeren bir kural oluşturamazsınız.
  • Cihaz sahibinin kullanıcı özniteliklerini temel alan bir cihaz üyelik grubu oluşturamazsınız. Cihaz üyeliği kuralları yalnızca cihaz özniteliklerine başvurabilir.

Not

Bu özellik, bir veya daha fazla dinamik üyelik grubunun üyesi olan her benzersiz kullanıcı için bir Microsoft Entra ID P1 lisansı veya Eğitim için Intune gerektirir. Dinamik üyelik gruplarının üyesi olmaları için kullanıcılara lisans atamanız gerekmez, ancak bu tür tüm kullanıcıları kapsamak için Microsoft Entra kuruluşunda en az sayıda lisansa sahip olmanız gerekir. Örneğin, kuruluşunuzdaki tüm dinamik üyelik gruplarında toplam 1.000 benzersiz kullanıcınız varsa, lisans gereksinimini karşılamak için Microsoft Entra ID P1 için en az 1.000 lisans gerekir. Bir cihazı temel alan dinamik üyelik grubunun üyesi olan cihazlar için lisans gerekmez.

Azure portalında kural oluşturucu

Microsoft Entra ID, önemli kurallarınızı daha hızlı oluşturmak ve güncelleştirmek için bir kural oluşturucu sağlar. Kural oluşturucu, en fazla beş ifadenin oluşturulmasını destekler. Kural oluşturucu, birkaç basit ifadeyle kural oluşturmayı kolaylaştırır, ancak her kuralı yeniden oluşturmak için kullanılamaz. Kural oluşturucu oluşturmak istediğiniz kuralı desteklemiyorsa, metin kutusunu kullanabilirsiniz.

Aşağıda, metin kutusunun kullanılmasını gerektiren bazı gelişmiş kurallar veya söz dizimi örnekleri verilmiştir:

  • Beşten fazla ifade içeren kural
  • Doğrudan raporlar kuralı
  • -contains veya -notContains işlecine sahip kurallar
  • İşleç önceliğini ayarlama
  • Karmaşık ifadeler içeren kurallar; örneğin, (user.proxyAddresses -any (_ -startsWith "contoso"))

Not

Kural oluşturucu metin kutusunda bazı kuralları görüntüleyemeyebilir. Kural oluşturucu kuralı görüntüleyemediğinde bir ileti görebilirsiniz. Kural oluşturucu, dinamik üyelik grupları için kuralların desteklenen söz dizimini, doğrulamasını veya işlenmesini hiçbir şekilde değiştirmez.

Daha fazla adım adım yönergeler için bkz . Dinamik üyelik grubu oluşturma veya güncelleştirme.

Dinamik üyelik grubu için üyelik kuralı ekleme işleminin ekran görüntüsü.

Tek bir ifade için kural söz dizimi

Tek bir ifade, üyelik kuralının en basit biçimidir ve yalnızca yukarıda belirtilen üç bölüme sahiptir. Tek bir ifade içeren bir kural şu örneğe benzer: Property Operator Value, burada özelliğin söz dizimi object.property adıdır.

Aşağıdaki örnekte, tek bir ifadeyle düzgün şekilde oluşturulan bir üyelik kuralı gösterilmektedir:

user.department -eq "Sales"

Parantezler tek bir ifade için isteğe bağlıdır. Üyelik kuralınızın gövdesinin toplam uzunluğu 3072 karakteri aşamaz.

Üyelik kuralının gövdesini oluşturma

Bir grubu otomatik olarak kullanıcılar veya cihazlarla dolduran üyelik kuralı, doğru veya yanlış sonuç veren ikili bir ifadedir. Basit bir kuralın üç bölümü şunlardır:

  • Mülk
  • Operatör
  • Değer

Söz dizimi hatalarını önlemek için bir ifade içindeki bölümlerin sırası önemlidir.

Desteklenen özellikler

Üyelik kuralı oluşturmak için kullanılabilecek üç özellik türü vardır.

  • Boolean
  • DateTime
  • Dizgi
  • Dize koleksiyonu

Aşağıda, tek bir ifade oluşturmak için kullanabileceğiniz kullanıcı özellikleri yer alır.

Boole türünün özellikleri

Özellikler İzin verilen değerler Kullanım
accountEnabled true false user.accountEnabled -eq true
dirSyncEnabled true false user.dirSyncEnabled -eq true

dateTime türünün özellikleri

Özellikler İzin verilen değerler Kullanım
employeeHireDate (Önizleme) Herhangi bir DateTimeOffset değeri veya anahtar sözcük sistemi.şimdi user.employeeHireDate -eq "value"

Dize türü özellikleri

Özellikler İzin verilen değerler Kullanım
şehir Herhangi bir dize değeri veya null user.city -eq "value"
ülke Herhangi bir dize değeri veya null user.country -eq "value"
companyName Herhangi bir dize değeri veya null user.companyName -eq "value"
bölüm Herhangi bir dize değeri veya null user.department -eq "value"
displayName Herhangi bir dize değeri user.displayName -eq "value"
employeeId Herhangi bir dize değeri user.employeeId -eq "value"
user.employeeId -ne null
facsimileTelephoneNumber Herhangi bir dize değeri veya null user.facsimileTelephoneNumber -eq "value"
givenName Herhangi bir dize değeri veya null user.givenName -eq "value"
jobTitle Herhangi bir dize değeri veya null user.jobTitle -eq "value"
posta Herhangi bir dize değeri veya null (kullanıcının SMTP adresi) user.mail -eq "value"
mailNickName Herhangi bir dize değeri (kullanıcının posta diğer adı) user.mailNickName -eq "value"
memberOf Herhangi bir dize değeri (geçerli grup nesnesi kimliği) user.memberOf -any (group.objectId -in ['value'])
cep Herhangi bir dize değeri veya null user.mobile -eq "value"
objectId Kullanıcı nesnesinin GUID'i user.objectId -eq "aaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
onPremisesDistinguishedName Herhangi bir dize değeri veya null user.onPremisesDistinguishedName -eq "value"
onPremisesSecurityIdentifier Şirket içinden buluta eşitlenen kullanıcılar için şirket içi güvenlik tanımlayıcısı (SID). user.onPremisesSecurityIdentifier -eq "S-1-1-11-11-11111111-11111111-1111111111-1111111"
passwordPolicies Hiç kimse
DisableStrongPassword
DisablePasswordExpiration
DisablePasswordExpiration, DisableStrongPassword
user.passwordPolicies -eq "DisableStrongPassword"
physicalDeliveryOfficeName Herhangi bir dize değeri veya null user.physicalDeliveryOfficeName -eq "value"
postalCode Herhangi bir dize değeri veya null user.postalCode -eq "value"
preferredLanguage ISO 639-1 kodu user.preferredLanguage -eq "en-US"
sipProxyAddress Herhangi bir dize değeri veya null user.sipProxyAddress -eq "value"
devlet Herhangi bir dize değeri veya null user.state -eq "value"
streetAddress Herhangi bir dize değeri veya null user.streetAddress -eq "value"
soyadı Herhangi bir dize değeri veya null user.surname -eq "value"
telephoneNumber Herhangi bir dize değeri veya null user.telephoneNumber -eq "value"
usageLocation İki harfli ülke veya bölge kodu user.usageLocation -eq "US"
userPrincipalName Herhangi bir dize değeri user.userPrincipalName -eq "alias@domain"
userType üye konuk null user.userType -eq "Üye"

Tür dizesi koleksiyonunun özellikleri

Özellikler İzin verilen değerler Örnek
diğer Postalar Herhangi bir dize değeri user.otherMails -startsWith "alias@domain"
proxyAddresses SMTP: alias@domain smtp: alias@domain user.proxyAddresses -startsWith "SMTP: alias@domain"

Cihaz kuralları için kullanılan özellikler için bkz . Cihazlar için kurallar.

Desteklenen ifade işleçleri

Aşağıdaki tabloda, tek bir ifade için desteklenen tüm işleçler ve söz dizimi listelenmektedir. İşleçler kısa çizgi (-) ön eki ile veya olmadan kullanılabilir. Contains işleci kısmi dize eşleşmeleri yapar ancak koleksiyondaki öğe eşleşmelerini yapmaz.

Operatör Sözdizimi
Eşit Değil -ne
Eşit -tir -Eq
Başlangıç Değil -notStartsWith
Şununla Başlar: -startsWith
İçermiyor -notContains
Içerir -Içerir
Eşleşmedi -notMatch
Maç -maç
İçinde -içinde
Içinde Değil -notIn

-in ve -notIn işleçlerini kullanma

Bir kullanıcı özniteliğinin değerini birden çok değerle karşılaştırmak istiyorsanız - in veya -notIn işleçlerini kullanabilirsiniz. Değer listesini başlatmak ve sonlandırmak için köşeli ayraç simgelerini "[" ve "]" kullanın.

Aşağıdaki örnekte, user.department değerinin listedeki değerlerden herhangi birine eşit olması durumunda ifade true olarak değerlendirilir:

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

-le ve -ge işleçlerini kullanma

Dinamik üyelik grupları için kurallarda employeeHireDate özniteliğini kullanırken küçük (-le) veya büyüktür (-ge) işleçlerini kullanabilirsiniz.
Örnekler:

user.employeehiredate -ge system.now -plus p1d 

user.employeehiredate -le 2020-06-10T18:13:20Z 

-match işlecini kullanma

-match işleci herhangi bir normal ifadeyi eşleştirmek için kullanılır. Örnekler:

user.displayName -match "^Da.*"   

Da, Dav, David true olarak değerlendirin, aDa false olarak değerlendirilir.

user.displayName -match ".*vid"

David true olarak değerlendirilir, Da false olarak değerlendirilir.

Desteklenen değerler

İfadede kullanılan değerler aşağıdakiler gibi çeşitli türlerden oluşabilir:

  • Dize
  • Boole dili – true, false
  • Sayılar
  • Diziler – sayı dizisi, dize dizisi

İfade içinde bir değer belirtirken, hatalardan kaçınmak için doğru söz dizimini kullanmak önemlidir. Bazı söz dizimi ipuçları şunlardır:

  • Değer bir dize olmadığı sürece çift tırnak işaretleri isteğe bağlıdır.
  • Regex ve dize işlemleri büyük/küçük harfe duyarlı değildir.
  • Özellik adlarının büyük/küçük harfe duyarlı olduğundan gösterildiği gibi doğru biçimlendirildiğinden emin olun.
  • Bir dize değeri çift tırnak içerdiğinde, her iki tırnak işareti de ' karakteri kullanılarak kaçılmalıdır, örneğin, user.department -eq '"Sales'", "Sales" değeri olduğunda doğru söz dizimidir. Her seferinde bir tırnak yerine iki tek tırnak kullanılarak tek tırnak işaretinden kaçınılmalıdır.
  • Null denetimleri gerçekleştirmek için null değerini de kullanabilirsiniz; örneğin, user.department -eq null.

Null değerlerin kullanımı

Bir kuralda null değer belirtmek için null değerini kullanabilirsiniz.

  • İfadedeki null değeri karşılaştırırken -eq veya -ne kullanın.
  • Null sözcüğünün etrafındaki tırnak işaretleri yalnızca sabit dize değeri olarak yorumlanmasını istiyorsanız kullanın.
  • -not işleci null için karşılaştırmalı işleç olarak kullanılamaz. Bunu kullanırsanız, null veya $null kullanmanız fark etmeksizin bir hata alırsınız.

Null değere başvurmanın doğru yolu aşağıdaki gibidir:

   user.mail –ne null

Birden çok ifade içeren kurallar

Dinamik üyelik grupları için kuralları yönetme, -ve, -veya ve -değil mantıksal işleçleri tarafından bağlanan birden fazla tek ifadeden oluşabilir. Mantıksal işleçler birlikte de kullanılabilir.

Aşağıda, birden çok ifadeyle düzgün şekilde oluşturulan üyelik kuralları örnekleri verilmiştir:

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")

İşleç önceliği

Tüm işleçler en yüksekten en düşüğe öncelik sırasına göre aşağıda listelenmiştir. Aynı satırdaki işleçler eşit önceliklidir:

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all

Aşağıdaki örnek, kullanıcı için iki ifadenin değerlendirildiği işleç önceliğini gösterir:

   user.department –eq "Marketing" –and user.country –eq "US"

Parantezler yalnızca öncelik gereksinimlerinizi karşılamadığında gereklidir. Örneğin, önce departmanın değerlendirilmesini istiyorsanız, aşağıdakiler sırayı belirlemek için parantezlerin nasıl kullanılabileceğini gösterir:

   user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

Karmaşık ifadeleri olan kurallar

Üyelik kuralı, özelliklerin, işleçlerin ve değerlerin daha karmaşık formlar aldığı karmaşık ifadelerden oluşabilir. Aşağıdakilerden herhangi biri doğru olduğunda ifadeler karmaşık olarak kabul edilir:

  • özelliği bir değer koleksiyonundan oluşur; özellikle, çok değerli özellikler
  • İfadeler -any ve -all işleçlerini kullanır
  • İfadenin değeri bir veya daha fazla ifade olabilir

Çok değerli özellikler

Çok değerli özellikler, aynı türdeki nesne koleksiyonlarıdır. -any ve -all mantıksal işleçlerini kullanarak üyelik kuralları oluşturmak için kullanılabilirler.

Özellikler Değer Kullanım
assignedPlans Koleksiyondaki her nesne şu dize özelliklerini kullanıma sunar: capabilityStatus, service, servicePlanId user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled")
proxyAddresses SMTP: alias@domain smtp: alias@domain (user.proxyAddresses -any (_ -startsWith "contoso"))

-any ve -all işleçlerini kullanma

Koleksiyondaki öğelerden birine veya tümüne sırasıyla bir koşul uygulamak için -any ve -all işleçlerini kullanabilirsiniz.

  • -any (koleksiyondaki en az bir öğe koşulla eşleştiğinde karşılandı)
  • -all (koleksiyondaki tüm öğeler koşulla eşleştiğinde karşılandı)

Örnek 1

assignedPlans, kullanıcıya atanan tüm hizmet planlarını listeleyen çok değerli bir özelliktir. Aşağıdaki ifade, Aynı zamanda Etkin durumda olan Exchange Online (Plan 2) hizmet planına (GUID değeri olarak) sahip kullanıcıları seçer:

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

Bunun gibi bir kural, Microsoft 365 veya başka bir Microsoft Çevrimiçi Hizmet özelliğinin etkinleştirildiği tüm kullanıcıları gruplandırmak için kullanılabilir. Daha sonra gruba bir ilke kümesiyle uygulayabilirsiniz.

Örnek 2

Aşağıdaki ifade, Intune hizmetiyle ilişkili herhangi bir hizmet planına sahip olan tüm kullanıcıları seçer (hizmet adı "SCO" ile tanımlanır):

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")

Örnek 3

Aşağıdaki ifade, atanmış hizmet planı olmayan tüm kullanıcıları seçer:

user.assignedPlans -all (assignedPlan.servicePlanId -eq null)

Alt çizgi (_) söz dizimini kullanma

Alt çizgi (_) söz dizimi, dinamik üyelik grubuna kullanıcı veya cihaz eklemek için çok değerli dize koleksiyonu özelliklerinden birinde belirli bir değerin oluşumlarıyla eşleşir. -any veya -all işleçleriyle kullanılır.

Aşağıda user.proxyAddress (user.otherMails için aynı şekilde çalışır) temelinde üye eklemek için bir kuralda alt çizgi (_) kullanma örneği verilmiştir. Bu kural, ara sunucu adresi "contoso" ile başlayan tüm kullanıcıları gruba ekler.

(user.proxyAddresses -any (_ -startsWith "contoso"))

Diğer özellikler ve ortak kurallar

"Doğrudan raporlar" kuralı oluşturma

Bir yöneticinin tüm doğrudan raporlarını içeren bir grup oluşturabilirsiniz. Yöneticinin doğrudan raporları gelecekte değiştiğinde, grubun üyeliği otomatik olarak ayarlanır.

Doğrudan raporlar kuralı aşağıdaki söz dizimi kullanılarak oluşturulur:

Direct Reports for "{objectID_of_manager}"

"aaaa-0000-1111-2222-bbbbbbbbbbbb" öğesinin yöneticinin objectID değeri olduğu geçerli bir kural örneği aşağıda verilmiştir:

Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"

Aşağıdaki ipuçları kuralı düzgün kullanmanıza yardımcı olabilir.

  • Yönetici Kimliği , yöneticinin nesne kimliğidir. Yöneticinin Profilinde bulunabilir.
  • Kuralın çalışması için, Kuruluşunuzdaki kullanıcılar için Manager özelliğinin doğru ayarlandığından emin olun. Kullanıcının Profilinde geçerli değeri de kontrol edebilirsiniz.
  • Bu kural yalnızca yöneticinin doğrudan raporlarını destekler. Başka bir deyişle, yöneticinin doğrudan raporları ve raporlarıyla grup oluşturamazsınız.
  • Bu kural diğer üyelik kurallarıyla birleştirilemiyor.

"Tüm kullanıcılar" kuralı oluşturma

Üyelik kuralı kullanarak bir kuruluştaki tüm kullanıcıları içeren bir grup oluşturabilirsiniz. Gelecekte kullanıcılar kuruluşa eklendiğinde veya kuruluştan kaldırıldığında, grubun üyeliği otomatik olarak ayarlanır.

"Tüm kullanıcılar" kuralı , -ne işleci ve null değeri kullanılarak tek bir ifade kullanılarak oluşturulur. Bu kural gruba B2B konuk kullanıcıları ve üye kullanıcıları ekler.

user.objectId -ne null

Grubunuzun konuk kullanıcıları dışlamasını ve yalnızca kuruluşunuzun üyelerini içermesini istiyorsanız, aşağıdaki söz dizimini kullanabilirsiniz:

(user.objectId -ne null) -and (user.userType -eq "Member")

"Tüm cihazlar" kuralı oluşturma

Üyelik kuralı kullanarak bir kuruluştaki tüm cihazları içeren bir grup oluşturabilirsiniz. Gelecekte cihazlar kuruluşa eklendiğinde veya kuruluştan kaldırıldığında, grubun üyeliği otomatik olarak ayarlanır.

"Tüm Cihazlar" kuralı - ne işleci ve null değeri kullanılarak tek bir ifade kullanılarak oluşturulur:

device.objectId -ne null

Uzantı özellikleri ve özel uzantı özellikleri

Uzantı öznitelikleri ve özel uzantı özellikleri, dinamik üyelik gruplarının kurallarında dize özellikleri olarak desteklenir. Uzantı öznitelikleri şirket içi Pencere Sunucusu Active Directory'den eşitlenebilir veya Microsoft Graph kullanılarak güncelleştirilebilir ve X'in 1 - 15'e eşit olduğu "ExtensionAttributeX" biçimini alabilir. Dinamik üyelik grupları için kurallarda çok değerli uzantı özellikleri desteklenmez.

Aşağıda, özellik olarak uzantı özniteliği kullanan bir kural örneği verilmiştir:

(user.extensionAttribute15 -eq "Marketing")

Özel uzantı özellikleri şirket içi Windows Server Active Directory'den, bağlı bir SaaS uygulamasından eşitlenebilir veya Microsoft Graph kullanılarak oluşturulabilir ve şu biçimdedir user.extension_[GUID]_[Attribute]:

  • [GUID], özelliği oluşturan uygulamanın Microsoft Entra Id içindeki benzersiz tanımlayıcının kaldırılmış sürümüdür. Yalnızca 0-9 ve A-Z karakterlerini içerir
  • [Öznitelik], özelliğin oluşturulduğu adıdır

Özel uzantı özelliği kullanan bir kurala örnek olarak:

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

Özel uzantı özellikleri dizin veya Microsoft Entra uzantısı özellikleri olarak da adlandırılır.

Özel özellik adı, Grafik Gezgini'ni kullanarak bir kullanıcının özelliğini sorgulayarak ve özellik adını arayarak dizinde bulunabilir. Ayrıca, artık dinamik üyelik grupları kural oluşturucusunda Özel uzantı özelliklerini al bağlantısını seçerek benzersiz bir uygulama kimliği girebilir ve dinamik üyelik grupları için bir kural oluştururken kullanılacak özel uzantı özelliklerinin tam listesini alabilirsiniz. Bu liste, söz konusu uygulamanın yeni özel uzantı özelliklerini almak için de yenilenebilir. Uzantı öznitelikleri ve özel uzantı özellikleri kiracınızdaki uygulamalardan olmalıdır.

Daha fazla bilgi için Microsoft Entra Connect Sync: Dizin uzantıları makalesindeki Dinamik üyelik gruplarındaki öznitelikleri kullanma bölümüne bakın.

Cihazlar için kurallar

Grupta üyelik için cihaz nesnelerini seçen bir kural da oluşturabilirsiniz. Hem kullanıcıları hem de cihazları grup üyesi olarak kullanamazsınız.

Not

organizationalUnit Öznitelik artık listelenmiyor ve kullanılmamalıdır. Bu dize belirli durumlarda Intune tarafından ayarlanır, ancak Microsoft Entra Kimliği tarafından tanınmaz, bu nedenle bu özniteliği temel alan gruplara cihaz eklenmez.

systemlabels Özniteliği salt okunurdur ve Intune ile ayarlanamaz.

Windows 10 için özniteliğin deviceOSVersion doğru biçimi şu şekildedir: (device.deviceOSVersion -startsWith "10.0.1"). Biçimlendirme Get-MgDevice PowerShell cmdlet'iyle doğrulanabilir:

Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'

Aşağıdaki cihaz öznitelikleri kullanılabilir.

Cihaz özniteliği Değer Örnek
accountEnabled true false device.accountEnabled -eq true
deviceCategory geçerli bir cihaz kategorisi adı device.deviceCategory -eq "KCG"
deviceId geçerli bir Microsoft Entra cihaz kimliği device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d"
deviceManagementAppId Microsoft Entra Id'de geçerli bir MDM uygulama kimliği Microsoft için device.deviceManagementAppId -eq "0000000a-0000-0000-c000-00000000000000" System Center Configuration Manager Ortak yönetilen cihazlar için Intune tarafından yönetilen veya "54b943f8-d761-4f8d-951e-9cea1846db5a"
deviceManufacturer herhangi bir dize değeri device.deviceManufacturer -eq "Samsung"
deviceModel herhangi bir dize değeri device.deviceModel -eq "iPad Air"
displayName herhangi bir dize değeri device.displayName -eq "Rob iPhone"
deviceOSType herhangi bir dize değeri (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iOS")
device.deviceOSType -startsWith "AndroidEnterprise"
device.deviceOSType -eq "AndroidForWork"
device.deviceOSType -eq "Windows"
deviceOSVersion herhangi bir dize değeri device.deviceOSVersion -eq "9.1"
device.deviceOSVersion -startsWith "10.0.1"
deviceOwnership Kişisel, Şirket, Bilinmiyor device.deviceOwnership -eq "Şirket"
devicePhysicalIds Autopilot tarafından kullanılan tüm Autopilot cihazları, OrderID veya PurchaseOrderID gibi herhangi bir dize değeri device.devicePhysicalIDs -any _ -startsWith "[ZTDId]"
(device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881"
(device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342"
deviceTrustType AzureAD, ServerAD, Çalışma Alanı device.deviceTrustType -eq "AzureAD"
enrollmentProfileName Apple Cihaz Kayıt Profili adı, Android Kurumsal Şirkete ait ayrılmış cihaz Kayıt Profili adı veya Windows Autopilot profil adı device.enrollmentProfileName -eq "DEP iPhones"
extensionAttribute1 herhangi bir dize değeri device.extensionAttribute1 -eq "bazı dize değeri"
extensionAttribute2 herhangi bir dize değeri device.extensionAttribute2 -eq "bazı dize değeri"
extensionAttribute3 herhangi bir dize değeri device.extensionAttribute3 -eq "bazı dize değeri"
extensionAttribute4 herhangi bir dize değeri device.extensionAttribute4 -eq "bazı dize değeri"
extensionAttribute5 herhangi bir dize değeri device.extensionAttribute5 -eq "bazı dize değeri"
extensionAttribute6 herhangi bir dize değeri device.extensionAttribute6 -eq "bazı dize değeri"
extensionAttribute7 herhangi bir dize değeri device.extensionAttribute7 -eq "bazı dize değeri"
extensionAttribute8 herhangi bir dize değeri device.extensionAttribute8 -eq "bazı dize değeri"
extensionAttribute9 herhangi bir dize değeri device.extensionAttribute9 -eq "bazı dize değeri"
extensionAttribute10 herhangi bir dize değeri device.extensionAttribute10 -eq "bazı dize değeri"
extensionAttribute11 herhangi bir dize değeri device.extensionAttribute11 -eq "bazı dize değeri"
extensionAttribute12 herhangi bir dize değeri device.extensionAttribute12 -eq "bazı dize değeri"
extensionAttribute13 herhangi bir dize değeri device.extensionAttribute13 -eq "bazı dize değeri"
extensionAttribute14 herhangi bir dize değeri device.extensionAttribute14 -eq "bazı dize değeri"
extensionAttribute15 herhangi bir dize değeri device.extensionAttribute15 -eq "bazı dize değeri"
isRooted true false device.isRooted -eq true
managementType MDM (mobil cihazlar için) device.managementType -eq "MDM"
memberOf Herhangi bir dize değeri (geçerli grup nesnesi kimliği) device.memberOf -any (group.objectId -in ['value'])
objectId geçerli bir Microsoft Entra nesne kimliği device.objectId -eq "aaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
profileType Microsoft Entra Id'de geçerli bir profil türü device.profileType -eq "RegisteredDevice"
systemLabels Modern Workplace cihazlarını etiketlemek için Intune cihaz özelliğiyle eşleşen salt okunur bir dize device.systemLabels -startsWith "M365Managed" SystemLabels

Not

kullanırken systemLabels, cihaz yönetimi ve duyarlılık etiketleme gibi çeşitli bağlamlarda kullanılan salt okunur bir öznitelik Intune aracılığıyla düzenlenemez.
deviceOwnership kullanarak cihazlar için dinamik üyelik grupları oluştururken değerini değerine eşit Companyayarlamanız gerekir. Intune'da cihaz sahipliği şirket olarak temsil edilir. Daha fazla bilgi için bkz . OwnerTypes .
deviceTrustType kullanırken cihazlar için dinamik üyelik grupları oluştururken değerini Microsoft Entra'ya katılmış cihazları temsil etmekAzureAD, ServerAD Microsoft Entra karma katılmış cihazları temsil etmek veya Workplace Microsoft Entra kayıtlı cihazları temsil etmek için değerine eşit olarak ayarlamanız gerekir.
kullanarak extensionAttribute1-15 cihazlar için dinamik üyelik grupları oluştururken, cihazdaki değerini extensionAttribute1-15 ayarlamanız gerekir. Microsoft Entra cihaz nesnesine yazma extensionAttributes hakkında daha fazla bilgi edinin

Sonraki adımlar

Bu makaleler, Microsoft Entra Id'deki gruplar hakkında ek bilgi sağlar.