Správa pravidel pro dynamické skupiny členství v Microsoft Entra ID
Můžete vytvořit pravidla založená na atributech uživatele nebo zařízení, která umožní členství pro dynamické skupiny členství v Microsoft Entra ID, součást Microsoft Entra. Dynamické skupiny členství můžete přidávat a odebírat automaticky pomocí pravidel členství na základě atributů členů. V Microsoft Entra může mít jeden tenant maximálně 15 000 dynamických skupin členství.
Tento článek podrobně popisuje vlastnosti a syntaxi pro vytváření pravidel pro dynamické skupiny členství na základě uživatelů nebo zařízení.
Poznámka:
Skupiny zabezpečení se dají používat pro zařízení nebo uživatele, ale skupiny Microsoftu 365 můžou zahrnovat jenom uživatele.
Když se atributy uživatele nebo zařízení změní, systém vyhodnotí všechna pravidla pro dynamické skupiny členství v adresáři a zjistí, jestli by změna aktivovala přidání nebo odebrání jakékoli skupiny. Pokud uživatel nebo zařízení splňuje pravidlo pro skupinu, přidá se jako člen této skupiny. Pokud již pravidlo nesplňují, jsou odstraněni. Člena dynamické skupiny členství nemůžete přidat ani odebrat ručně.
- Můžete vytvořit dynamické skupiny členství pro uživatele nebo zařízení, ale nemůžete vytvořit pravidlo, které obsahuje uživatele i zařízení.
- Nemůžete vytvořit skupinu členství zařízení na základě atributů uživatele vlastníka zařízení. Pravidla členství zařízení můžou odkazovat pouze na atributy zařízení.
Poznámka:
Tato funkce vyžaduje licenci Microsoft Entra ID P1 nebo Intune for Education pro každého jedinečného uživatele, který je členem jedné nebo více dynamických skupin členství. Licence uživatelům nemusíte přiřazovat, aby mohli být členy dynamických skupin členství, ale musíte mít minimální počet licencí v organizaci Microsoft Entra, abyste mohli pokrýt všechny tyto uživatele. Pokud byste například měli celkem 1 000 jedinečných uživatelů ve všech dynamických skupinách členství ve vaší organizaci, potřebujete alespoň 1 000 licencí pro Microsoft Entra ID P1, abyste splnili licenční požadavek. Pro zařízení, která jsou členy dynamické skupiny na základě svého zařízení, se nevyžaduje žádná licence.
Tvůrce pravidel na webu Azure Portal
Microsoft Entra ID poskytuje tvůrci pravidel pro vytváření a aktualizaci důležitých pravidel rychleji. Tvůrce pravidel podporuje vytváření až pěti výrazů. Tvůrce pravidel usnadňuje vytvoření pravidla s několika jednoduchými výrazy, ale nedá se použít k reprodukci každého pravidla. Pokud tvůrce pravidel nepodporuje pravidlo, které chcete vytvořit, můžete použít textové pole.
Důležitý
Tvůrce pravidel je k dispozici pouze pro skupiny dynamického členství na základě uživatelů. Dynamické skupiny členství založené na zařízení je možné vytvářet pouze pomocí textového pole.
Tady je několik příkladů pokročilých pravidel nebo syntaxe, které vyžadují použití textového pole:
- Pravidlo s více než pěti výrazy
- Pravidlo přímých podřízených
- Pravidla s operátorem -contains nebo -notContains
- Nastavení priority operátoru
-
Pravidla se složitými výrazy, například
(user.proxyAddresses -any (_ -startsWith "contoso"))
Poznámka:
Tvůrce pravidel nemusí být schopen zobrazit některá pravidla konstruovaná v textovém poli. Pokud tvůrce pravidel nemůže pravidlo zobrazit, může se zobrazit zpráva. Tvůrce pravidel nijak nemění podporovanou syntaxi, ověřování ani zpracování pravidel pro dynamické skupiny členství.
Další podrobné pokyny najdete v tématu Vytvoření nebo aktualizace dynamické skupiny členství.
Syntaxe pravidla pro jeden výraz
Jediný výraz je nejjednodušší formou pravidla členství a má pouze tři části uvedené výše. Pravidlo s jedním výrazem vypadá podobně jako v tomto příkladu: Property Operator Value, kde syntaxe vlastnosti je název object.property.
Následující příklad znázorňuje správně vytvořené pravidlo členství s jedním výrazem:
user.department -eq "Sales"
Závorky jsou volitelné pro jeden výraz. Celková délka textu pravidla členství nesmí překročit 3 072 znaků.
Vytvoření těla pravidla členství
Pravidlo členství, které automaticky naplní skupinu uživateli nebo zařízeními, je binární výraz, který má za následek pravdivý nebo nepravdivý výsledek. Tři části jednoduchého pravidla jsou:
- (If specific context requires): Nemovitost / Majetek
- Operátor
- Hodnota
Pořadí částí ve výrazu je důležité, aby nedocházelo k chybám syntaxe.
Podporované vlastnosti
Existují tři typy vlastností, které lze použít k vytvoření pravidla členství.
- Boolean
- Datum čas
- Řetězec
- Kolekce řetězců
Následují vlastnosti uživatele, které můžete použít k vytvoření jednoho výrazu.
Vlastnosti typu boolean
| Vlastnosti | Povolené hodnoty | Využití |
|---|---|---|
| účet je povolen | pravda nepravda | user.accountEnabled -eq true |
| dirSyncEnabled | pravda nepravda | user.dirSyncEnabled -eq true |
Vlastnosti typu dateTime
| Vlastnosti | Povolené hodnoty | Využití |
|---|---|---|
| datumNástupuZaměstnance (Preview) | Jakákoli hodnota DateTimeOffset nebo klíčové slovo system.now | user.employeeHireDate -eq "value" |
Vlastnosti typu řetězec
| Vlastnosti | Povolené hodnoty | Využití |
|---|---|---|
| město | Libovolná řetězcová hodnota nebo null | user.city -eq "value" |
| země | Libovolná řetězcová hodnota nebo null | user.country -eq "value" |
| companyName | Libovolná řetězcová hodnota nebo null | user.companyName -eq "value" |
| oddělení | Libovolná řetězcová hodnota nebo null | user.department -eq "value" |
| zobrazované jméno | Libovolná řetězcová hodnota | user.displayName -eq "value" |
| ID zaměstnance | Libovolná řetězcová hodnota | user.employeeId -eq "value"<br>user.employeeId -ne *null* |
| číslo faxu | Libovolná řetězcová hodnota nebo null | user.facsimileTelephoneNumber -eq "value" |
| givenName | Libovolná řetězcová hodnota nebo null | user.givenName -eq "value" |
| pracovní pozice | Libovolná řetězcová hodnota nebo null | user.jobTitle -eq "value" |
| pošta | Libovolná řetězcová hodnota nebo null (SMTP adresa uživatele) |
user.mail -eq "value" nebo user.mail -notEndsWith "@Contoso.com" |
| přezdívka pošty | Libovolná řetězcová hodnota (alias e-mailu uživatele) |
user.mailNickName -eq "value" nebo user.mailNickname -endsWith "-vendor" |
| člen | Jakákoli hodnota řetězce (platné ID objektu skupiny) | user.memberOf -any (group.objectId -in ['value']) |
| mobil | Libovolná řetězcová hodnota nebo null | user.mobile -eq "value" |
| objectId | identifikátor GUID objektu uživatele | user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
| onPremisesDistinguishedName | Libovolná řetězcová hodnota nebo null | user.onPremisesDistinguishedName -eq "value" |
| onPremisesSecurityIdentifier | Identifikátor zabezpečení (SID) pro uživatele, kteří byli synchronizováni z místního prostředí do cloudu. | user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111" |
| pravidlaProHesla | Nic DisableStrongPassword Zakázat vypršení platnosti hesla ZakázatVypršeníHesla, ZakázatSilnéHeslo |
user.passwordPolicies -eq "DisableStrongPassword" |
| physicalDeliveryOfficeName | Libovolná řetězcová hodnota nebo null | user.physicalDeliveryOfficeName -eq "value" |
| PSČ | Libovolná řetězcová hodnota nebo null | user.postalCode -eq "value" |
| preferovaný_jazyk | Kód ISO 639-1 | user.preferredLanguage -eq "en-US" |
| sipProxyAddress | Libovolná řetězcová hodnota nebo null | user.sipProxyAddress -eq "value" |
| stát | Libovolná řetězcová hodnota nebo null | user.state -eq "value" |
| ulice | Libovolná řetězcová hodnota nebo null | user.streetAddress -eq "value" |
| surname | Jakákoliv řetězcová hodnota nebo null | user.surname -eq "value" |
| telefonní číslo | Libovolná řetězcová hodnota nebo null | user.telephoneNumber -eq "value" |
| Místo použití | Dvoumísmenný kód země nebo oblasti | user.usageLocation -eq "US" |
| userPrincipalName (Hlavní název uživatele) | Libovolná řetězcová hodnota | user.userPrincipalName -eq "alias@domain" |
| typ uživatele | host člena null | user.userType -eq "Member" |
Vlastnosti typu kolekce řetězců
| Vlastnosti | Povolené hodnoty | Příklad |
|---|---|---|
| ostatní e-maily | Libovolná řetězcová hodnota |
user.otherMails -startsWith "alias@domain", user.otherMails -endsWith"@contoso.com" |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | user.proxyAddresses -startsWith "SMTP: alias@domain", user.proxyAddresses -notEndsWith "@outlook.com" |
Vlastnosti používané pro pravidla zařízení najdete v tématu Pravidla pro zařízení.
Podporované operátory výrazů
Následující tabulka uvádí všechny podporované operátory a jejich syntaxi pro jeden výraz. Operátory lze použít s nebo bez předpony spojovníku (-). Operátor Contains provádí částečné shody řetězců, ale ne provádí shody položek v kolekci.
Opatrnost
Nejlepších výsledků dosáhnete, když minimalizujete použití funkce POZVYHLEDAT nebo CONTAINS co nejvíce. Vytvoření jednodušších, efektivnějších pravidel pro skupiny dynamického členství poskytuje pokyny k vytváření pravidel, která vedou k lepší době zpracování dynamických skupin. Operátor ''memberOf'' je ve verzi Preview a měl by se používat s opatrností, protože má určitá omezení.
| Operátor | Syntaxe |
|---|---|
| Končí na | -končíS |
| Nekončí na | -nekončí_s |
| Nerovná se | -ne |
| Je rovno | -Eq |
| Nezačíná na | -nezapočínáSe |
| Začíná na | -začínáS |
| Neobsahuje | -neobsahuje |
| Obsahuje | -obsahuje |
| Neodpovídá | -neshoduje se |
| Párování | -utkání |
| V | -v |
| Není v | -neníV |
Použití operátorů -in a -notIn
Pokud chcete porovnat hodnotu atributu uživatele s více hodnotami, můžete použít operátory -in nebo -notIn. K zahájení a ukončení seznamu hodnot použijte symboly závorek "[" a "]".
V následujícím příkladu se výraz vyhodnotí jako true, pokud se hodnota user.department rovná některé z hodnot v seznamu:
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
Použití operátorů -le a -ge
Při použití atributu employeeHireDate v pravidlech pro dynamické skupiny členství můžete použít operátory menší než (-le) nebo větší než (-ge).
Příklady:
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
Použití operátoru -match
Operátor -match se používá pro porovnávání libovolného regulárního výrazu. Příklady:
user.displayName -match "^Da.*"
Da, Dav a David jsou vyhodnoceny jako pravda, aDa je vyhodnoceno jako nepravda.
user.displayName -match ".*vid"
David vyhodnotí se jako pravda, Da vyhodnotí se jako nepravda.
Podporované hodnoty
Hodnoty použité ve výrazu se můžou skládat z několika typů, mezi které patří:
- Řetězce
- Logická hodnota – pravda, nepravda
- Čísla
- Pole – číselné pole, řetězcové pole
Při zadávání hodnoty ve výrazu je důležité použít správnou syntaxi, abyste se vyhnuli chybám. Tady je několik tipů pro syntaxi:
- Dvojité uvozovky jsou volitelné, pokud se nejedná o řetězec.
- Operace regulárních výrazů a řetězců nerozlišují velká a malá písmena.
- Ujistěte se, že jsou názvy vlastností správně formátované, jak je znázorněno, protože rozlišují malá a velká písmena.
- Pokud řetězcová hodnota obsahuje dvojité uvozovky, obě uvozovky by měly být uvozeny pomocí znaku `, například user.department -eq `"Sales`" je správná syntaxe, pokud je hodnota "Sales". Jednoduché uvozovky by měly být nahrazeny dvěma jednoduchými uvozovkami místo jedné pokaždé.
- Můžete také provést kontroly null pomocí null jako hodnoty, například
user.department -eq null.
Použití hodnot Null
Chcete-li zadat hodnotu null v pravidle, můžete použít hodnotu null .
- Při porovnávání hodnoty null ve výrazu použijte parametr -eq nebo -ne.
- Uvozovky kolem slova null použijte pouze v případě, že chcete, aby to bylo interpretováno jako literálová řetězcová hodnota.
- Operátor -not nelze použít jako srovnávací operátor s hodnotou null. Pokud ji použijete, zobrazí se chyba, jestli používáte hodnotu null nebo $null.
Správný způsob, jak odkazovat na hodnotu null, je následující:
user.mail –ne null
Pravidla s více výrazy
Spravovat pravidla pro dynamické skupiny členství může být složeno z více než jednoho výrazu propojeného logickými operátory -a, -nebo, a -ne. Logické operátory lze použít také v kombinaci.
Následující jsou příklady správně sestavených pravidel členství s více výrazy:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
Priorita operátorů
Všechny operátory jsou uvedené níže v pořadí podle priority od nejvyššího po nejnižší. Operátory na stejném řádku mají stejnou prioritu:
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
Následující příklad znázorňuje prioritu operátoru, kde se pro uživatele vyhodnocují dva výrazy:
user.department –eq "Marketing" –and user.country –eq "US"
Závorky jsou potřeba jenom v případě, že priorita nesplňuje vaše požadavky. Pokud například chcete, aby bylo oddělení vyhodnoceno jako první, ukazuje následující příklad, jak lze použít závorky k určení pořadí:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Pravidla s komplexními výrazy
Pravidlo členství se může skládat ze složitých výrazů, ve kterých vlastnosti, operátory a hodnoty přebírají složitější formy. Výrazy se považují za složité, pokud platí některá z následujících možností:
- Vlastnost se skládá z kolekce hodnot; konkrétně vlastnosti s více hodnotami
- Výrazy používají operátory -any a -all.
- Hodnota výrazu může být jeden nebo více výrazů.
Vlastnosti s více hodnotami
Vlastnosti s více hodnotami jsou kolekce objektů stejného typu. Dají se použít k vytvoření pravidel členství pomocí logických operátorů -any a -all.
| Vlastnosti | Hodnoty | Využití |
|---|---|---|
| přiřazené plány | Každý objekt v kolekci zveřejňuje následující vlastnosti řetězce: capabilityStatus, service, servicePlanId | user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled") |
| adresa proxy | SMTP: alias@domain smtp: alias@domain | (user.proxyAddresses -any (\_ -startsWith "contoso")) |
Použití operátorů -any a -all
Pomocí operátoru -any a -all můžete použít podmínku pro jednu nebo všechny položky v kolekci.
- -any (splněno, když alespoň jedna položka v kolekci odpovídá podmínce)
- -all (splněno, když všechny položky v kolekci odpovídají podmínce)
Příklad 1
assignedPlans je vlastnost s více hodnotami, která obsahuje seznam všech plánů služeb přiřazených uživateli. Následující výraz vybere uživatele, kteří mají plán služby Exchange Online (Plán 2) (jako hodnotu GUID), který je také ve stavu Povoleno:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
Pravidlo, jako je tento, se dá použít k seskupení všech uživatelů, pro které je povolená služba Microsoft 365 nebo jiná funkce online služby Microsoftu. Pak byste mohli použít sadu zásad pro skupinu.
Příklad 2
Následující výraz vybere všechny uživatele, kteří mají jakýkoli plán služby přidružený ke službě Intune (identifikovaný názvem služby SCO):
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Příklad 3
Následující výraz vybere všechny uživatele, kteří nemají přiřazený plán služby:
user.assignedPlans -all (assignedPlan.servicePlanId -eq null)
Použití syntaxe podtržítka (_)
Syntaxe podtržítka (_) odpovídá výskytům určité hodnoty v jedné z vlastností kolekce vícehodnotových řetězců pro přidání uživatelů nebo zařízení do dynamické skupiny členství. Používá se s operátory -any nebo -all.
Tady je příklad použití podtržítka (_) v pravidle k přidání členů na základě user.proxyAddress (funguje to stejně pro user.otherMails). Toto pravidlo přidá do skupiny všechny uživatele s adresou proxy, která začíná na "contoso".
(user.proxyAddresses -any (_ -startsWith "contoso"))
Další vlastnosti a běžná pravidla
Vytvořit pravidlo "Přímí podřízení"
Můžete vytvořit skupinu obsahující všechny přímé podřízené vedoucího. Když se změní přímí podřízení vedoucího, členství ve skupině se automaticky upraví.
Pravidlo přímých sestav se konstruuje pomocí následující syntaxe:
Direct Reports for "{objectID_of_manager}"
Tady je příklad platného pravidla, kde "aaaaaaaaaa-1111-2222-bbbbbbbb" je ID objektu správce:
Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
Následující tipy vám můžou pomoct správně použít pravidlo.
- ID manažera je ID objektu manažera. Najdete ho v profilu manažera.
- Aby pravidlo fungovalo, ujistěte se, že je vlastnost Správce správně nastavená pro uživatele ve vaší organizaci. Aktuální hodnotu můžete zkontrolovat v profilu uživatele.
- Toto pravidlo podporuje pouze přímé podřízené vedoucího. Jinými slovy, nemůžete vytvořit skupinu s přímými podřízenými vedoucího a jejich podřízenými.
- Toto pravidlo nelze kombinovat s žádnými dalšími pravidly členství.
Vytvoření pravidla Všichni uživatelé
Pomocí pravidla členství můžete vytvořit skupinu obsahující všechny uživatele v organizaci. Když se uživatelé v budoucnu přidají nebo odeberou z organizace, členství ve skupině se upraví automaticky.
Pravidlo "Všichni uživatelé" je vytvořené pomocí jednoho výrazu pomocí operátoru -ne a hodnoty null. Toto pravidlo přidá uživatele typu host B2B a členské uživatele do skupiny.
user.objectId -ne null
Pokud chcete, aby vaše skupina vyloučila uživatele typu host a zahrnovala pouze členy vaší organizace, můžete použít následující syntaxi:
(user.objectId -ne null) -and (user.userType -eq "Member")
Vytvoření pravidla Všechna zařízení
Pomocí pravidla členství můžete vytvořit skupinu obsahující všechna zařízení v organizaci. Když se zařízení v budoucnu přidají nebo odeberou z organizace, členství ve skupině se automaticky upraví.
Pravidlo Všechna zařízení se konstruuje pomocí jednoho výrazu pomocí operátoru -ne a hodnoty null:
device.objectId -ne null
Vlastnosti rozšíření a vlastní vlastnosti rozšíření
Atributy rozšíření a vlastní vlastnosti rozšíření jsou podporovány jako řetězcové vlastnosti v pravidlech pro dynamické členské skupiny. atributy rozšíření je možné synchronizovat z místní služby Windows Server Active Directory nebo aktualizovat pomocí Microsoft Graphu a použít formát ExtensionAttributeX, kde X se rovná 1 až 15. Vlastnosti rozšíření s více hodnotami nejsou podporovány v pravidlech pro dynamické skupiny členství.
Tady je příklad pravidla, které jako vlastnost používá atribut rozšíření:
(user.extensionAttribute15 -eq "Marketing")
Vlastní vlastnosti rozšíření je možné synchronizovat z místní služby Windows Server Active Directory, z připojené aplikace SaaS nebo vytvořit pomocí Microsoft Graphu a jsou ve formátu user.extension_[GUID]_[Attribute], kde:
- [GUID] je upravená verze jedinečného identifikátoru v Microsoft Entra ID pro aplikaci, která vytvořila atribut. Obsahuje pouze znaky 0–9 a A-Z.
- [Attribute] je název vlastnosti při jejím vytvoření.
Příkladem pravidla, které používá vlastní vlastnost rozšíření, je:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Vlastní vlastnosti rozšíření se také nazývají vlastnosti rozšíření adresáře nebo vlastnosti rozšíření Microsoft Entra.
Název vlastní vlastnosti najdete v adresáři dotazováním vlastnosti uživatele pomocí Graph Exploreru a vyhledáním názvu vlastnosti. Také nyní můžete v tvůrci pravidel pro skupiny s dynamickým členstvím vybrat odkaz Získat vlastnosti vlastního rozšíření, zadat jedinečné ID aplikace a získat kompletní seznam vlastností vlastních rozšíření, které použijete při vytváření pravidla pro dynamické skupiny s členstvím. Tento seznam můžete také aktualizovat, abyste získali všechny nové vlastnosti vlastního rozšíření pro danou aplikaci. Atributy rozšíření a vlastní vlastnosti rozšíření musí pocházet z aplikací ve vašem prostředí tenant.
Další informace naleznete v tématu Použití atributů v dynamických skupinách členství v článku Microsoft Entra Connect Sync: Rozšíření adresáře.
Pravidla pro zařízení
Můžete také vytvořit pravidlo, které vybere objekty zařízení pro členství ve skupině. Uživatele i zařízení nemůžete mít jako členy skupiny.
Poznámka:
Atribut organizationalUnit již není uvedený a neměl by být použit. Tento řetězec nastavuje Intune v konkrétních případech, ale Microsoft Entra ID jej nerozpozná, a proto se zařízení nepřidávají do skupin podle tohoto atributu.
Atribut systemlabels je jen pro čtení a nejde ho nastavit v Intune.
Pro Windows 10 je správný formát atributu deviceOSVersion takový: (device.deviceOSVersion -startsWith "10.0.1"). Formátování je možné ověřit pomocí rutiny PowerShellu Get-MgDevice:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
Můžete použít následující atributy zařízení.
| Atribut zařízení | Hodnoty | Příklad |
|---|---|---|
| Účet povolen | pravda nepravda | zařízení.účetPovoleno -eq true |
| Kategorie zařízení | platný název kategorie zařízení | device.deviceCategory -eq "BYOD" |
| ID zařízení | platné ID zařízení Microsoft Entra | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
| ID aplikace pro správu zařízení | platné ID aplikace MDM v Microsoft Entra ID | device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" pro zařízení spravovaná nástrojem Microsoft Intune nebo "54b943f8-d761-4f8d-951e-9cea1846db5a" pro zařízení spoluspravovaná nástrojem System Center Configuration Manager. |
| výrobce zařízení | libovolná řetězcová hodnota | device.deviceManufacturer -eq "Samsung" |
| model zařízení | libovolná řetězcová hodnota | device.deviceModel -eq "iPad Air" |
| zobrazovanýNázev | libovolná řetězcová hodnota | device.displayName -eq "Rob iPhone" |
| typ OS zařízení | libovolná řetězcová hodnota | (device.deviceOSType -eq "iPad") -nebo (device.deviceOSType -eq "iOS") device.deviceOSType -začíná s "AndroidEnterprise" device.deviceOSType -eq "AndroidForWork" device.deviceOSType -eq "Windows" |
| verze operačního systému zařízení | libovolná řetězcová hodnota | device.deviceOSVersion -eq "9.1" device.deviceOSVersion -startsWith "10.0.1" |
| Vlastnictví zařízení | Osobní, Společnost, Neznámé | device.deviceOwnership -eq "Společnost" |
| devicePhysicalIds | libovolná řetězcová hodnota používaná Autopilotem, například všechna zařízení Autopilot, ID objednávky nebo ID nákupní objednávky | device.devicePhysicalIDs -any _ -startsWith "[ZTDId]" (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881" (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
| typDůvěryZařízení | AzureAD, ServerAD, Pracoviště | device.deviceTrustType -eq "AzureAD" |
| název profilu zápisu | Název profilu registrace zařízení Apple, název profilu zařízení s Androidem Enterprise vyhrazeného pro podnik nebo název profilu Windows Autopilot | device.enrollmentProfileName -eq "DEP iPhones" |
| extensionAttribute1 | libovolná řetězcová hodnota | device.extensionAttribute1 -eq "some string value" |
| extensionAttribute2 | libovolná řetězcová hodnota | device.extensionAttribute2 -eq "nějaká textová hodnota" |
| extensionAttribute3 | libovolná řetězcová hodnota | device.extensionAttribute3 -eq "nějaká textová hodnota" |
| extensionAttribute4 | libovolná řetězcová hodnota | device.extensionAttribute4 -eq "nějaká řetězcová hodnota" |
| extensionAttribute5 | libovolná řetězcová hodnota | device.extensionAttribute5 -eq "nějaká řetězcová hodnota" |
| extensionAttribute6 | libovolná řetězcová hodnota | device.extensionAttribute6 -eq "some string value" |
| extensionAttribute7 | libovolná řetězcová hodnota | device.extensionAttribute7 -eq "nějaká řetězcová hodnota" |
| extensionAttribute8 | libovolná řetězcová hodnota | device.extensionAttribute8 -eq "nějaká řetězcová hodnota" |
| extensionAttribute9 | libovolná řetězcová hodnota | zařízení.extensionAttribute9 -eq "nějaká textová hodnota" |
| extensionAttribute10 | libovolná řetězcová hodnota | device.extensionAttribute10 -eq "nějaká řetězcová hodnota" |
| extensionAttribute11 | libovolná řetězcová hodnota | device.extensionAttribute11 -eq "some string value" |
| extensionAttribute12 | libovolná řetězcová hodnota | device.extensionAttribute12 -eq "nějaká řetězcová hodnota" |
| extensionAttribute13 | libovolná řetězcová hodnota | device.extensionAttribute13 -eq "nějaká textová hodnota" |
| extensionAttribute14 | libovolná řetězcová hodnota | device.extensionAttribute14 -eq "some string value" |
| extensionAttribute15 | libovolná řetězcová hodnota | device.extensionAttribute15 -eq "nějaká řetězcová hodnota" |
| isRooted | pravda nepravda | device.isRooted -eq true (zařízení je rootnuté) |
| typ řízení | MDM (pro mobilní zařízení) | device.managementType -eq "MDM" |
| člen | Jakákoli hodnota řetězce (platné ID objektu skupiny) | device.memberOf -any (group.objectId -in ['value']) |
| objectId | platné objektové ID Microsoft Entra | device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
| typ profilu | platný typ profilu v Microsoft Entra ID | device.profileType -eq "RegisteredDevice" |
| systémové štítky | Řetězec jen pro čtení odpovídající atributu zařízení Intune pro označování zařízení Modern Workplace | device.systemLabels -startsWith "M365Managed" SystemLabels |
Poznámka:
Při použití systemLabelsatributu jen pro čtení, který se používá v různých kontextech, jako je správa zařízení a popisování citlivosti, není možné upravovat prostřednictvím Intune.
Při vytváření deviceOwnership dynamických skupin členství pro zařízení musíte nastavit hodnotu rovnající se Company. V Intune je vlastnictví zařízení reprezentováno jako podnikové. Další informace naleznete v tématu OwnerTypes.
Pokud používáte deviceTrustType k vytváření dynamických skupin členství pro zařízení, musíte nastavit hodnotu na AzureAD pro zastoupení zařízení připojených k Microsoft Entra, ServerAD pro zastoupení zařízení hybridně připojených k Microsoft Entra, nebo Workplace pro zastoupení registrovaných zařízení Microsoft Entra.
Při použití extensionAttribute1-15 pro vytvoření dynamických skupin členství pro zařízení musíte nastavit hodnotu pro extensionAttribute1-15 na zařízení. Další informace o tom, jak psát extensionAttributes na objektu zařízení Microsoft Entra
Další kroky
Tyto články obsahují další informace o skupinách v Microsoft Entra ID.