Microsoft Entra Id'de dinamik üyelik grupları için kuralları yönetme

Microsoft Entra'nın bir parçası olan Microsoft Entra Id'de dinamik üyelik grupları için üyeliği etkinleştirmek için kullanıcı veya cihaz özniteliği tabanlı kurallar oluşturabilirsiniz. Üye özniteliklerine dayalı üyelik kurallarını kullanarak dinamik üyelik gruplarını otomatik olarak ekleyebilir ve kaldırabilirsiniz. Microsoft Entra'da tek bir kiracı en fazla 15.000 dinamik üyelik grubuna sahip olabilir.

Bu makalede, kullanıcılara veya cihazlara göre dinamik üyelik grupları için kurallar oluşturmaya yönelik özellikler ve söz dizimi ayrıntılı olarak açıklanır.

Not

Güvenlik grupları cihazlar veya kullanıcılar için kullanılabilir, ancak Microsoft 365 grupları yalnızca kullanıcıları içerebilir.

Bir kullanıcının veya cihazın öznitelikleri değiştiğinde, sistem bir dizindeki dinamik üyelik grupları için tüm kuralları değerlendirir ve değişikliğin herhangi bir grup eklemesini veya kaldırmasını tetikleyemediğini denetler. Bir kullanıcı veya cihaz gruptaki bir kuralı karşılarsa, bu grup üyesi olarak eklenir. Artık kuralı karşılamıyorlarsa kaldırılırlar. Dinamik üyelik grubunun üyesini el ile ekleyemez veya kaldıramazsınız.

• Kullanıcılar veya cihazlar için dinamik üyelik grupları oluşturabilirsiniz, ancak hem kullanıcıları hem de cihazları içeren bir kural oluşturamazsınız.
• Cihaz sahibinin kullanıcı özniteliklerini temel alan bir cihaz üyelik grubu oluşturamazsınız. Cihaz üyeliği kuralları yalnızca cihaz özniteliklerine başvurabilir.

Not

Bu özellik, bir veya daha fazla dinamik üyelik grubunun üyesi olan her benzersiz kullanıcı için bir Microsoft Entra ID P1 lisansı veya Eğitim için Intune gerektirir. Dinamik üyelik gruplarının üyesi olmaları için kullanıcılara lisans atamanız gerekmez, ancak bu tür tüm kullanıcıları kapsamak için Microsoft Entra kuruluşunda en az sayıda lisansa sahip olmanız gerekir. Örneğin, kuruluşunuzdaki tüm dinamik üyelik gruplarında toplam 1.000 benzersiz kullanıcınız varsa, lisans gereksinimini karşılamak için Microsoft Entra ID P1 için en az 1.000 lisans gerekir. Bir cihazı temel alan dinamik üyelik grubunun üyesi olan cihazlar için lisans gerekmez.

Azure portalında kural oluşturucu

Microsoft Entra ID, önemli kurallarınızı daha hızlı oluşturmak ve güncelleştirmek için bir kural oluşturucu sağlar. Kural oluşturucu, en fazla beş ifadenin oluşturulmasını destekler. Kural oluşturucu, birkaç basit ifadeyle kural oluşturmayı kolaylaştırır, ancak her kuralı yeniden oluşturmak için kullanılamaz. Kural oluşturucu oluşturmak istediğiniz kuralı desteklemiyorsa, metin kutusunu kullanabilirsiniz.

Önemli

Kural oluşturucu yalnızca kullanıcı tabanlı dinamik üyelik grupları için kullanılabilir. Cihaz tabanlı dinamik üyelik grupları yalnızca metin kutusu kullanılarak oluşturulabilir.

Aşağıda, metin kutusunun kullanılmasını gerektiren bazı gelişmiş kurallar veya söz dizimi örnekleri verilmiştir:

• Beşten fazla ifade içeren kural
• Doğrudan raporlar kuralı
• -contains veya -notContains işlecine sahip kurallar
• İşleç önceliğini ayarlama
• Karmaşık ifadeler içeren kurallar; örneğin, (user.proxyAddresses -any (_ -startsWith "contoso"))

Not

Kural oluşturucu metin kutusunda bazı kuralları görüntüleyemeyebilir. Kural oluşturucu kuralı görüntüleyemediğinde bir ileti görebilirsiniz. Kural oluşturucu, dinamik üyelik grupları için kuralların desteklenen söz dizimini, doğrulamasını veya işlenmesini hiçbir şekilde değiştirmez.

Daha fazla adım adım yönergeler için bkz . Dinamik üyelik grubu oluşturma veya güncelleştirme.

Tek bir ifade için kural söz dizimi

Tek bir ifade, üyelik kuralının en basit biçimidir ve yalnızca yukarıda belirtilen üç bölüme sahiptir. Tek bir ifade içeren bir kural şu örneğe benzer: Property Operator Value, burada özelliğin söz dizimi object.property adıdır.

Aşağıdaki örnekte, tek bir ifadeyle düzgün şekilde oluşturulan bir üyelik kuralı gösterilmektedir:

user.department -eq "Sales"

Parantezler tek bir ifade için isteğe bağlıdır. Üyelik kuralınızın gövdesinin toplam uzunluğu 3.072 karakteri aşamaz.

Üyelik kuralının gövdesini oluşturma

Bir grubu otomatik olarak kullanıcılar veya cihazlarla dolduran üyelik kuralı, doğru veya yanlış sonuç veren ikili bir ifadedir. Basit bir kuralın üç bölümü şunlardır:

• Özellik
• İşleç
• Değer

Söz dizimi hatalarını önlemek için bir ifade içindeki bölümlerin sırası önemlidir.

Desteklenen özellikler

Üyelik kuralı oluşturmak için kullanılabilecek üç özellik türü vardır.

• Boolean
• DateTime
• String
• Dize koleksiyonu

Aşağıda, tek bir ifade oluşturmak için kullanabileceğiniz kullanıcı özellikleri yer alır.

Boole türünün özellikleri

Properties	İzin verilen değerler	Kullanım
accountEnabled	true false	user.accountEnabled -eq true
dirSyncEnabled	true false	user.dirSyncEnabled -eq true

dateTime türünün özellikleri

Properties	İzin verilen değerler	Kullanım
employeeHireDate (Önizleme)	Herhangi bir DateTimeOffset değeri veya anahtar sözcük sistemi.şimdi	user.employeeHireDate -eq "value"

Dize türü özellikleri

Properties	İzin verilen değerler	Kullanım
şehir	Herhangi bir dize değeri veya null	user.city -eq "value"
ülke	Herhangi bir dize değeri veya null	user.country -eq "value"
companyName	Herhangi bir dize değeri veya null	user.companyName -eq "value"
department	Herhangi bir dize değeri veya null	user.department -eq "value"
displayName	Herhangi bir dize değeri	user.displayName -eq "value"
employeeId	Herhangi bir dize değeri	user.employeeId -eq "value"<br>user.employeeId -ne *null*
facsimileTelephoneNumber	Herhangi bir dize değeri veya null	user.facsimileTelephoneNumber -eq "value"
givenName	Herhangi bir dize değeri veya null	user.givenName -eq "value"
jobTitle	Herhangi bir dize değeri veya null	user.jobTitle -eq "value"
posta	Herhangi bir dize değeri veya null (kullanıcının SMTP adresi)	user.mail -eq "value" veya user.mail -notEndsWith "@Contoso.com"
mailNickName	Herhangi bir dize değeri (kullanıcının posta diğer adı)	user.mailNickName -eq "value" veya user.mailNickname -endsWith "-vendor"
memberOf	Herhangi bir dize değeri (geçerli grup nesnesi kimliği)	user.memberOf -any (group.objectId -in ['value'])
http://technet.microsoft.com/en-us/dn451248	Herhangi bir dize değeri veya null	user.mobile -eq "value"
objectId	Kullanıcı nesnesinin GUID'i	user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
onPremisesDistinguishedName	Herhangi bir dize değeri veya null	user.onPremisesDistinguishedName -eq "value"
onPremisesSecurityIdentifier	Şirket içinden buluta eşitlenen kullanıcılar için şirket içi güvenlik tanımlayıcısı (SID).	user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111"
passwordPolicies	Hiçbiri DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword	user.passwordPolicies -eq "DisableStrongPassword"
physicalDeliveryOfficeName	Herhangi bir dize değeri veya null	user.physicalDeliveryOfficeName -eq "value"
postalCode	Herhangi bir dize değeri veya null	user.postalCode -eq "value"
preferredLanguage	ISO 639-1 kodu	user.preferredLanguage -eq "en-US"
sipProxyAddress	Herhangi bir dize değeri veya null	user.sipProxyAddress -eq "value"
semt	Herhangi bir dize değeri veya null	user.state -eq "value"
streetAddress	Herhangi bir dize değeri veya null	user.streetAddress -eq "value"
surname	Herhangi bir dize değeri veya null	user.surname -eq "value"
telephoneNumber	Herhangi bir dize değeri veya null	user.telephoneNumber -eq "value"
usageLocation	İki harfli ülke veya bölge kodu	user.usageLocation -eq "US"
userPrincipalName	Herhangi bir dize değeri	user.userPrincipalName -eq "alias@domain"
userType	üye konuk null	user.userType -eq "Member"

Tür dizesi koleksiyonunun özellikleri

Properties	İzin verilen değerler	Örnek
diğer Postalar	Herhangi bir dize değeri	user.otherMails -startsWith "alias@domain", user.otherMails -endsWith"@contoso.com"
proxyAddresses	SMTP: alias@domain smtp: alias@domain	user.proxyAddresses -startsWith "SMTP: alias@domain", user.proxyAddresses -notEndsWith "@outlook.com"

Cihaz kuralları için kullanılan özellikler için bkz . Cihazlar için kurallar.

Desteklenen ifade işleçleri

Aşağıdaki tabloda, tek bir ifade için desteklenen tüm işleçler ve söz dizimi listelenmektedir. İşleçler kısa çizgi (-) ön eki ile veya olmadan kullanılabilir. Contains işleci kısmi dize eşleşmeleri yapar ancak koleksiyondaki öğe eşleşmelerini yapmaz.

Dikkat

En iyi sonuçlar için, KAÇINCI veya CONTAINS kullanımını mümkün olduğunca en aza indirin. Dinamik üyelik grupları için daha basit ve daha verimli kurallar oluşturma, dinamik grup işleme sürelerinin daha iyi olmasını sağlayan kuralların nasıl oluşturulacağı konusunda rehberlik sağlar. ''memberOf'' işleci önizleme aşamasındadır ve bazı sınırlamaları olduğundan dikkatli kullanılmalıdır.

İşleç	Sözdizimi
Şununla biter:	-endsWith
Şununla Bitmiyor	-ileBitenDeğil
Eşit Değil	-ne
Eşittir	-Eq
Başlangıç Değil	-notStartsWith
Şununla Başlar:	-startsWith
İçermez	-notContains
Contains	-Içerir
Eşleşmedi	-notMatch
Eşleştir	-maç
İçinde	-içinde
Içinde Değil	-notIn

-in ve -notIn işleçlerini kullanma

Bir kullanıcı özniteliğinin değerini birden çok değerle karşılaştırmak istiyorsanız - in veya -notIn işleçlerini kullanabilirsiniz. Değer listesini başlatmak ve sonlandırmak için köşeli ayraç simgelerini "[" ve "]" kullanın.

Aşağıdaki örnekte, user.department değerinin listedeki değerlerden herhangi birine eşit olması durumunda ifade true olarak değerlendirilir:

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

-le ve -ge işleçlerini kullanma

Dinamik üyelik grupları için kurallarda employeeHireDate özniteliğini kullanırken küçük (-le) veya büyüktür (-ge) işleçlerini kullanabilirsiniz.
Örnekler:

user.employeehiredate -ge system.now -plus p1d 

user.employeehiredate -le 2020-06-10T18:13:20Z 

-match işlecini kullanma

-match işleci herhangi bir normal ifadeyi eşleştirmek için kullanılır. Örnekler:

user.displayName -match "^Da.*"   

Da, Dav, David true olarak değerlendirin, aDa false olarak değerlendirilir.

user.displayName -match ".*vid"

David true olarak değerlendirilir, Da false olarak değerlendirilir.

Desteklenen değerler

İfadede kullanılan değerler aşağıdakiler gibi çeşitli türlerden oluşabilir:

• Dizeler
• Boole dili – true, false
• Numaralar
• Diziler – sayı dizisi, dize dizisi

İfade içinde bir değer belirtirken, hatalardan kaçınmak için doğru söz dizimini kullanmak önemlidir. Bazı söz dizimi ipuçları şunlardır:

• Değer bir dize olmadığı sürece çift tırnak işaretleri isteğe bağlıdır.
• Regex ve dize işlemleri büyük/küçük harfe duyarsızdır.
• Özellik adlarının büyük/küçük harfe duyarlı olduğundan gösterildiği gibi doğru biçimlendirildiğinden emin olun.
• Bir dize değeri çift tırnak içerdiğinde, her iki tırnak işareti de ' karakteri kullanılarak kaçılmalıdır, örneğin, user.department -eq '"Sales'", "Sales" değeri olduğunda doğru söz dizimidir. Her seferinde bir tırnak yerine iki tek tırnak kullanılarak tek tırnak işaretinden kaçınılmalıdır.
• Null denetimleri gerçekleştirmek için null değerini de kullanabilirsiniz; örneğin, user.department -eq null.

Null değerlerin kullanımı

Bir kuralda null değer belirtmek için null değerini kullanabilirsiniz.

• İfadedeki null değeri karşılaştırırken -eq veya -ne kullanın.
• Null sözcüğünün etrafındaki tırnak işaretleri yalnızca sabit dize değeri olarak yorumlanmasını istiyorsanız kullanın.
• -not işleci null için karşılaştırmalı işleç olarak kullanılamaz. Bunu kullanırsanız, null veya $null kullanmanız fark etmeksizin bir hata alırsınız.

Null değere başvurmanın doğru yolu aşağıdaki gibidir:

   user.mail –ne null

Birden çok ifade içeren kurallar

Dinamik üyelik grupları için kuralları yönetme, -ve, -veya ve -değil mantıksal işleçleri tarafından bağlanan birden fazla tek ifadeden oluşabilir. Mantıksal işleçler birlikte de kullanılabilir.

Aşağıda, birden çok ifadeyle düzgün şekilde oluşturulan üyelik kuralları örnekleri verilmiştir:

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")

İşleç önceliği

Tüm işleçler en yüksekten en düşüğe öncelik sırasına göre aşağıda listelenmiştir. Aynı satırdaki işleçler eşit önceliklidir:

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all

Aşağıdaki örnek, kullanıcı için iki ifadenin değerlendirildiği işleç önceliğini gösterir:

   user.department –eq "Marketing" –and user.country –eq "US"

Parantezler yalnızca öncelik gereksinimlerinizi karşılamadığında gereklidir. Örneğin, önce departmanın değerlendirilmesini istiyorsanız, aşağıdakiler sırayı belirlemek için parantezlerin nasıl kullanılabileceğini gösterir:

   user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

Karmaşık ifadeleri olan kurallar

Üyelik kuralı, özelliklerin, işleçlerin ve değerlerin daha karmaşık formlar aldığı karmaşık ifadelerden oluşabilir. Aşağıdakilerden herhangi biri doğru olduğunda ifadeler karmaşık olarak kabul edilir:

• özelliği bir değer koleksiyonundan oluşur; özellikle, çok değerli özellikler
• İfadeler -any ve -all işleçlerini kullanır
• İfadenin değeri bir veya daha fazla ifade olabilir

Çok değerli özellikler

Çok değerli özellikler, aynı türdeki nesne koleksiyonlarıdır. -any ve -all mantıksal işleçlerini kullanarak üyelik kuralları oluşturmak için kullanılabilirler.

Properties	Değerler	Kullanım
assignedPlans	Koleksiyondaki her nesne şu dize özelliklerini kullanıma sunar: capabilityStatus, service, servicePlanId	user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled")
proxyAddresses	SMTP: alias@domain smtp: alias@domain	(user.proxyAddresses -any (\_ -startsWith "contoso"))

-any ve -all işleçlerini kullanma

Koleksiyondaki öğelerden birine veya tümüne sırasıyla bir koşul uygulamak için -any ve -all işleçlerini kullanabilirsiniz.

• -any (koleksiyondaki en az bir öğe koşulla eşleştiğinde karşılandı)
• -all (koleksiyondaki tüm öğeler koşulla eşleştiğinde karşılandı)

Örnek 1

assignedPlans, kullanıcıya atanan tüm hizmet planlarını listeleyen çok değerli bir özelliktir. Aşağıdaki ifade, Aynı zamanda Etkin durumda olan Exchange Online (Plan 2) hizmet planına (GUID değeri olarak) sahip kullanıcıları seçer:

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

Bunun gibi bir kural, Microsoft 365 veya başka bir Microsoft Çevrimiçi Hizmet özelliğinin etkinleştirildiği tüm kullanıcıları gruplandırmak için kullanılabilir. Daha sonra gruba bir ilke kümesiyle uygulayabilirsiniz.

Örnek 2

Aşağıdaki ifade, Intune hizmetiyle ilişkili herhangi bir hizmet planına sahip olan tüm kullanıcıları seçer (hizmet adı "SCO" ile tanımlanır):

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")

Örnek 3

Aşağıdaki ifade, atanmış hizmet planı olmayan tüm kullanıcıları seçer:

user.assignedPlans -all (assignedPlan.servicePlanId -eq null)

Alt çizgi (_) söz dizimini kullanma

Alt çizgi (_) söz dizimi, dinamik üyelik grubuna kullanıcı veya cihaz eklemek için çok değerli dize koleksiyonu özelliklerinden birinde belirli bir değerin oluşumlarıyla eşleşir. -any veya -all işleçleriyle kullanılır.

Aşağıda user.proxyAddress (user.otherMails için aynı şekilde çalışır) temelinde üye eklemek için bir kuralda alt çizgi (_) kullanma örneği verilmiştir. Bu kural, ara sunucu adresi "contoso" ile başlayan tüm kullanıcıları gruba ekler.

(user.proxyAddresses -any (_ -startsWith "contoso"))

Diğer özellikler ve ortak kurallar

"Doğrudan raporlar" kuralı oluşturma

Bir yöneticinin tüm doğrudan raporlarını içeren bir grup oluşturabilirsiniz. Yöneticinin doğrudan raporları gelecekte değiştiğinde, grubun üyeliği otomatik olarak ayarlanır.

Doğrudan raporlar kuralı aşağıdaki söz dizimi kullanılarak oluşturulur:

Direct Reports for "{objectID_of_manager}"

"aaaa-0000-1111-2222-bbbbbbbbbbbb" öğesinin yöneticinin objectID değeri olduğu geçerli bir kural örneği aşağıda verilmiştir:

Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"

Aşağıdaki ipuçları kuralı düzgün kullanmanıza yardımcı olabilir.

• Yönetici Kimliği , yöneticinin nesne kimliğidir. Yöneticinin Profilinde bulunabilir.
• Kuralın çalışması için, Kuruluşunuzdaki kullanıcılar için Manager özelliğinin doğru ayarlandığından emin olun. Kullanıcının Profilinde geçerli değeri de kontrol edebilirsiniz.
• Bu kural yalnızca yöneticinin doğrudan raporlarını destekler. Başka bir deyişle, yöneticinin doğrudan raporları ve raporlarıyla grup oluşturamazsınız.
• Bu kural diğer üyelik kurallarıyla birleştirilemiyor.

"Tüm kullanıcılar" kuralı oluşturma

Üyelik kuralı kullanarak bir kuruluştaki tüm kullanıcıları içeren bir grup oluşturabilirsiniz. Gelecekte kullanıcılar kuruluşa eklendiğinde veya kuruluştan kaldırıldığında, grubun üyeliği otomatik olarak ayarlanır.

"Tüm kullanıcılar" kuralı , -ne işleci ve null değeri kullanılarak tek bir ifade kullanılarak oluşturulur. Bu kural gruba B2B konuk kullanıcıları ve üye kullanıcıları ekler.

user.objectId -ne null

Grubunuzun konuk kullanıcıları dışlamasını ve yalnızca kuruluşunuzun üyelerini içermesini istiyorsanız, aşağıdaki söz dizimini kullanabilirsiniz:

(user.objectId -ne null) -and (user.userType -eq "Member")

"Tüm cihazlar" kuralı oluşturma

Üyelik kuralı kullanarak bir kuruluştaki tüm cihazları içeren bir grup oluşturabilirsiniz. Gelecekte cihazlar kuruluşa eklendiğinde veya kuruluştan kaldırıldığında, grubun üyeliği otomatik olarak ayarlanır.

"Tüm Cihazlar" kuralı - ne işleci ve null değeri kullanılarak tek bir ifade kullanılarak oluşturulur:

device.objectId -ne null

Uzantı özellikleri ve özel uzantı özellikleri

Uzantı öznitelikleri ve özel uzantı özellikleri, dinamik üyelik gruplarının kurallarında dize özellikleri olarak desteklenir. Uzantı öznitelikleri şirket içi Window Server Active Directory'den eşitlenebilir veya Microsoft Graph kullanılarak güncelleştirilebilir ve X'in 1 - 15'e eşit olduğu "ExtensionAttributeX" biçimini alabilir. Dinamik üyelik grupları için kurallarda çok değerli uzantı özellikleri desteklenmez.

Aşağıda, özellik olarak uzantı özniteliği kullanan bir kural örneği verilmiştir:

(user.extensionAttribute15 -eq "Marketing")

Özel uzantı özellikleri şirket içi Windows Server Active Directory'den, bağlı bir SaaS uygulamasından eşitlenebilir veya Microsoft Graph kullanılarak oluşturulabilir ve şu biçimdedir user.extension_[GUID]_[Attribute]:

• [GUID], özelliği oluşturan uygulamanın Microsoft Entra Id içindeki benzersiz tanımlayıcının kaldırılmış sürümüdür. Yalnızca 0-9 ve A-Z karakterlerini içerir
• [Öznitelik], özelliğin oluşturulduğu adıdır

Özel uzantı özelliği kullanan bir kurala örnek olarak:

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

Özel uzantı özellikleri dizin veya Microsoft Entra uzantısı özellikleri olarak da adlandırılır.

Özel özellik adı, Grafik Gezgini'ni kullanarak bir kullanıcının özelliğini sorgulayarak ve özellik adını arayarak dizinde bulunabilir. Ayrıca, artık dinamik üyelik grupları kural oluşturucusunda Özel uzantı özelliklerini al bağlantısını seçerek benzersiz bir uygulama kimliği girebilir ve dinamik üyelik grupları için bir kural oluştururken kullanılacak özel uzantı özelliklerinin tam listesini alabilirsiniz. Bu liste, söz konusu uygulamanın yeni özel uzantı özelliklerini almak için de yenilenebilir. Uzantı öznitelikleri ve özel uzantı özellikleri kiracınızdaki uygulamalardan olmalıdır.

Daha fazla bilgi için Microsoft Entra Connect Sync: Dizin uzantıları makalesindeki Dinamik üyelik gruplarındaki öznitelikleri kullanma bölümüne bakın.

Cihazlar için kurallar

Grupta üyelik için cihaz nesnelerini seçen bir kural da oluşturabilirsiniz. Hem kullanıcıları hem de cihazları grup üyesi olarak kullanamazsınız.

Not

organizationalUnit Öznitelik artık listelenmiyor ve kullanılmamalıdır. Bu dize belirli durumlarda Intune tarafından ayarlanır, ancak Microsoft Entra Kimliği tarafından tanınmaz, bu nedenle bu özniteliği temel alan gruplara cihaz eklenmez.

systemlabels Özniteliği salt okunurdur ve Intune ile ayarlanamaz.

Windows 10 için özniteliğin deviceOSVersion doğru biçimi şu şekildedir: (device.deviceOSVersion -startsWith "10.0.1"). Biçimlendirme Get-MgDevice PowerShell cmdlet'iyle doğrulanabilir:

Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'

Aşağıdaki cihaz öznitelikleri kullanılabilir.

Cihaz özniteliği	Değerler	Örnek
accountEnabled	true false	device.accountEnabled -eq true
deviceCategory	geçerli bir cihaz kategorisi adı	device.deviceCategory -eq "KCG"
deviceId	geçerli bir Microsoft Entra cihaz kimliği	device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d"
deviceManagementAppId	Microsoft Entra Id'de geçerli bir MDM uygulama kimliği	Microsoft için device.deviceManagementAppId -eq "0000000a-0000-0000-c000-00000000000000" System Center Configuration Manager Ortak yönetilen cihazlar için Intune tarafından yönetilen veya "54b943f8-d761-4f8d-951e-9cea1846db5a"
deviceManufacturer	herhangi bir dize değeri	device.deviceManufacturer -eq "Samsung"
deviceModel	herhangi bir dize değeri	device.deviceModel -eq "iPad Air"
displayName	herhangi bir dize değeri	device.displayName -eq "Rob iPhone"
deviceOSType	herhangi bir dize değeri	(device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iOS") device.deviceOSType -startsWith "AndroidEnterprise" device.deviceOSType -eq "AndroidForWork" device.deviceOSType -eq "Windows"
deviceOSVersion	herhangi bir dize değeri	device.deviceOSVersion -eq "9.1" device.deviceOSVersion -startsWith "10.0.1"
deviceOwnership	Kişisel, Şirket, Bilinmiyor	device.deviceOwnership -eq "Şirket"
devicePhysicalIds	Autopilot tarafından kullanılan tüm Autopilot cihazları, OrderID veya PurchaseOrderID gibi herhangi bir dize değeri	device.devicePhysicalIDs -any _ -startsWith "[ZTDId]" (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881" (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342"
deviceTrustType	AzureAD, ServerAD, Çalışma Alanı	device.deviceTrustType -eq "AzureAD"
enrollmentProfileName	Apple Cihaz Kayıt Profili adı, Android Kurumsal Şirkete ait ayrılmış cihaz Kayıt Profili adı veya Windows Autopilot profil adı	device.enrollmentProfileName -eq "DEP iPhones"
extensionAttribute1	herhangi bir dize değeri	device.extensionAttribute1 -eq "bazı dize değeri"
extensionAttribute2	herhangi bir dize değeri	device.extensionAttribute2 -eq "bazı dize değeri"
extensionAttribute3	herhangi bir dize değeri	device.extensionAttribute3 -eq "bazı dize değeri"
extensionAttribute4	herhangi bir dize değeri	device.extensionAttribute4 -eq "bazı dize değeri"
extensionAttribute5	herhangi bir dize değeri	device.extensionAttribute5 -eq "bazı dize değeri"
extensionAttribute6	herhangi bir dize değeri	device.extensionAttribute6 -eq "bazı dize değeri"
extensionAttribute7	herhangi bir dize değeri	device.extensionAttribute7 -eq "bazı dize değeri"
extensionAttribute8	herhangi bir dize değeri	device.extensionAttribute8 -eq "bazı dize değeri"
extensionAttribute9	herhangi bir dize değeri	device.extensionAttribute9 -eq "bazı dize değeri"
extensionAttribute10	herhangi bir dize değeri	device.extensionAttribute10 -eq "bazı dize değeri"
extensionAttribute11	herhangi bir dize değeri	device.extensionAttribute11 -eq "bazı dize değeri"
extensionAttribute12	herhangi bir dize değeri	device.extensionAttribute12 -eq "bazı dize değeri"
extensionAttribute13	herhangi bir dize değeri	device.extensionAttribute13 -eq "bazı dize değeri"
extensionAttribute14	herhangi bir dize değeri	device.extensionAttribute14 -eq "bazı dize değeri"
extensionAttribute15	herhangi bir dize değeri	device.extensionAttribute15 -eq "bazı dize değeri"
isRooted	true false	device.isRooted -eq true
managementType	MDM (mobil cihazlar için)	device.managementType -eq "MDM"
memberOf	Herhangi bir dize değeri (geçerli grup nesnesi kimliği)	device.memberOf -any (group.objectId -in ['value'])
objectId	geçerli bir Microsoft Entra nesne kimliği	device.objectId -eq "aaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
profileType	Microsoft Entra Id'de geçerli bir profil türü	device.profileType -eq "RegisteredDevice"
systemLabels	Modern Workplace cihazlarını etiketlemek için Intune cihaz özelliğiyle eşleşen salt okunur bir dize	device.systemLabels -startsWith "M365Managed" SystemLabels

Not

kullanırken systemLabels, cihaz yönetimi ve duyarlılık etiketleme gibi çeşitli bağlamlarda kullanılan salt okunur bir öznitelik Intune aracılığıyla düzenlenemez.
deviceOwnership kullanarak cihazlar için dinamik üyelik grupları oluştururken değerini değerine eşit Companyayarlamanız gerekir. Intune'da cihaz sahipliği şirket olarak temsil edilir. Daha fazla bilgi için bkz . OwnerTypes .
deviceTrustType kullanırken cihazlar için dinamik üyelik grupları oluştururken değerini Microsoft Entra'ya katılmış cihazları temsil etmekAzureAD, ServerAD Microsoft Entra karma katılmış cihazları temsil etmek veya Workplace Microsoft Entra kayıtlı cihazları temsil etmek için değerine eşit olarak ayarlamanız gerekir.
kullanarak extensionAttribute1-15 cihazlar için dinamik üyelik grupları oluştururken, cihazdaki değerini extensionAttribute1-15 ayarlamanız gerekir. Microsoft Entra cihaz nesnesine yazma extensionAttributes hakkında daha fazla bilgi edinin

Sonraki adımlar

Bu makaleler, Microsoft Entra Id'deki gruplar hakkında ek bilgi sağlar.

• Var olan grupları görme
• Yeni grup oluşturma ve üye ekleme
• Bir grubun ayarlarını yönetme
• Bir grubun üyeliklerini yönetme
• Kullanıcılar için dinamik üyelik gruplarının kurallarını yönetme