Dinamikus tagsági csoportok szabályainak kezelése a Microsoft Entra-azonosítóban
Felhasználói vagy eszközattribútum-alapú szabályokat hozhat létre, amelyek lehetővé teszik a tagságot dinamikus tagsági csoportok számára a Microsoft Entra-azonosítóban, a Microsoft Entra részeként. A dinamikus tagsági csoportok automatikusan felvehetők és eltávolíthatók tagsági szabályok használatával, a tagok attribútumai alapján. A Microsoft Entra-ban egyetlen bérlő legfeljebb 15 000 dinamikus tagsági csoporttal rendelkezhet.
Ez a cikk részletesen ismerteti a tulajdonságokat és a szintaxist, amelyek felhasználók vagy eszközök alapján hozhatnak létre szabályokat a dinamikus tagsági csoportokhoz.
Feljegyzés
A biztonsági csoportok eszközökhöz vagy felhasználókhoz is használhatók, de a Microsoft 365-csoportok csak felhasználókat tartalmazhatnak.
Amikor egy felhasználó vagy egy eszköz attribútumai megváltoznak, a rendszer kiértékeli a címtár dinamikus tagsági csoportjaira vonatkozó összes szabályt, és ellenőrzi, hogy a módosítás aktiválja-e a csoport hozzáadását vagy eltávolítását. Ha egy felhasználó vagy eszköz megfelel egy csoportra vonatkozó szabálynak, az adott csoport tagjaként lesz hozzáadva. Ha már nem felelnek meg a szabálynak, a rendszer eltávolítja őket. Nem vehet fel vagy távolíthat el manuálisan egy dinamikus tagsági csoport tagját.
- Dinamikus tagsági csoportokat hozhat létre felhasználók vagy eszközök számára, de nem hozhat létre olyan szabályt, amely felhasználókat és eszközöket is tartalmaz.
- Az eszköztulajdonos felhasználói attribútumai alapján nem hozhat létre eszköztagságcsoportot. Az eszköztagság szabályai csak eszközattribútumokra hivatkozhatnak.
Feljegyzés
Ehhez a funkcióhoz p1 Microsoft Entra-azonosítójú licencre vagy Intune for Educationre van szükség minden olyan egyedi felhasználóhoz, aki egy vagy több dinamikus tagsági csoport tagja. Nem kell licenceket hozzárendelnie a felhasználókhoz ahhoz, hogy dinamikus tagsági csoportok tagjai legyenek, de a Microsoft Entra-szervezetben a minimális számú licenccel kell rendelkeznie ahhoz, hogy az összes ilyen felhasználót lefedje. Ha például összesen 1000 egyedi felhasználóval rendelkezik a szervezet összes dinamikus tagsági csoportjában, a licenckövetelmények teljesítéséhez legalább 1000 licencre lenne szüksége a Microsoft Entra ID P1-hez. Nem szükséges licenc az olyan eszközökhöz, amelyek egy eszköz alapján egy dinamikus tagsági csoport tagjai.
Szabályszerkesztő az Azure Portalon
A Microsoft Entra ID egy szabályszerkesztőt biztosít a fontos szabályok gyorsabb létrehozásához és frissítéséhez. A szabályszerkesztő legfeljebb öt kifejezés felépítését támogatja. A szabályszerkesztővel egyszerűbben hozhat létre szabályt néhány egyszerű kifejezéssel, de nem használható minden szabály reprodukálására. Ha a szabályszerkesztő nem támogatja a létrehozni kívánt szabályt, használhatja a szövegdobozt.
Fontos
A szabályszerkesztő csak felhasználóalapú dinamikus tagsági csoportokhoz érhető el. Eszközalapú dinamikus tagsági csoportok csak a szövegmező használatával hozhatók létre.
Íme néhány példa a szövegdoboz használatát igénylő speciális szabályokra vagy szintaxisokra:
- Szabály ötnél több kifejezéssel
- A Közvetlen jelentések szabály
- -contains vagy -notContains operátorral rendelkező szabályok
- Az operátorok elsőbbségének beállítása
-
Összetett kifejezéseket tartalmazó szabályok; például:
(user.proxyAddresses -any (_ -startsWith "contoso"))
Feljegyzés
Előfordulhat, hogy a szabályszerkesztő nem tudja megjeleníteni a szövegmezőben létrehozott néhány szabályt. Előfordulhat, hogy egy üzenet jelenik meg, ha a szabályszerkesztő nem tudja megjeleníteni a szabályt. A szabályszerkesztő semmilyen módon nem módosítja a dinamikus tagsági csoportok szabályainak támogatott szintaxisát, érvényesítését vagy feldolgozását.
További részletes útmutatást a dinamikus tagsági csoport létrehozása vagy frissítése című témakörben talál.
Egyetlen kifejezés szabályszintaxisa
Egyetlen kifejezés a tagsági szabály legegyszerűbb formája, és csak a fent említett három részből áll. Az egyetlen kifejezéssel rendelkező szabály az alábbi példához hasonlóan néz ki: Property Operator Valueahol a tulajdonság szintaxisa az object.property neve.
Az alábbi példa egy megfelelően összeállított tagsági szabályt szemléltet egyetlen kifejezéssel:
user.department -eq "Sales"
A zárójelek nem kötelezőek egyetlen kifejezéshez. A tagsági szabály törzsének teljes hossza nem haladhatja meg a 3072 karaktert.
Tagsági szabály törzsének létrehozása
A csoportokat felhasználókkal vagy eszközökkel automatikusan kitöltő tagsági szabály egy bináris kifejezés, amely igaz vagy hamis eredményt eredményez. Az egyszerű szabály három része:
- Tulajdonság
- Operátor
- Érték
A kifejezések részeinek sorrendje fontos a szintaxishibák elkerülése érdekében.
Támogatott tulajdonságok
A tagsági szabály létrehozásához háromféle tulajdonság használható.
- Logikai
- Dátum/idő
- Sztring
- Sztringgyűjtemény
A következő felhasználói tulajdonságokat használhatja egyetlen kifejezés létrehozásához.
Logikai típusú tulajdonságok
| Tulajdonságok | Megengedett értékek | Használat |
|---|---|---|
| fiók engedélyezve | igaz hamis | user.accountEnabled -eq true |
| dirSyncEnabled | igaz hamis | user.dirSyncEnabled -eq true |
DateTime típusú tulajdonságok
| Tulajdonságok | Megengedett értékek | Használat |
|---|---|---|
| employeeHireDate (előzetes verzió) | Bármely DateTimeOffset érték vagy kulcsszórendszer.now | user.employeeHireDate -eq "value" |
String típus tulajdonságai
| Tulajdonságok | Megengedett értékek | Használat |
|---|---|---|
| Város | Bármilyen sztringérték vagy null | user.city -eq "value" |
| Ország | Bármilyen sztringérték vagy null | user.country -eq "value" |
| vállalatNeve | Bármilyen sztringérték vagy null | user.companyName -eq "value" |
| osztály | Bármilyen sztringérték vagy null | user.department -eq "value" |
| megjelenítési név | Bármilyen sztringérték | user.displayName -eq "value" |
| dolgozói azonosító | Bármilyen sztringérték | user.employeeId -eq "value"<br>user.employeeId -ne *null* |
| faxtelefonszám | Bármilyen sztringérték vagy null | user.facsimileTelephoneNumber -eq "value" |
| givenName | Bármilyen sztringérték vagy null | user.givenName -eq "value" |
| munkakör | Bármilyen sztringérték vagy null | user.jobTitle -eq "value" |
| levél | Bármilyen karakterlánc érték vagy null (a felhasználó SMTP-címe) |
user.mail -eq "value" vagy user.mail -notEndsWith "@Contoso.com" |
| mailNickName | Bármilyen sztringérték (a felhasználó levelezési aliasa) |
user.mailNickName -eq "value" vagy user.mailNickname -endsWith "-vendor" |
| tagja | Bármilyen sztringérték (érvényes csoportobjektum-azonosító) | user.memberOf -any (group.objectId -in ['value']) |
| mobil | Bármilyen sztringérték vagy null | user.mobile -eq "value" |
| objectId | A felhasználói objektum GUID azonosítója | user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
| onPremisesDistinguishedName | Bármilyen sztringérték vagy null | user.onPremisesDistinguishedName -eq "value" |
| onPremisesSecurityIdentifier | Helyszíni biztonsági azonosító (SID) a helyszíniről a felhőbe szinkronizált felhasználók számára. | user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111" |
| jelszóirányelvek | Egyik sem ErősJelszóLetiltása JelszólejáratLetiltása JelszóLejáratiIdőKikapcsolása, ErősJelszóKikapcsolása |
user.passwordPolicies -eq "DisableStrongPassword" |
| fizikaiKézbesítésiIrodaNév | Bármilyen sztringérték vagy null | user.physicalDeliveryOfficeName -eq "value" |
| irányítószám | Bármilyen sztringérték vagy null | user.postalCode -eq "value" |
| előnyben részesített nyelv | ISO 639-1 kód | user.preferredLanguage -eq "en-US" |
| sipProxyAddress | Bármilyen sztringérték vagy null | user.sipProxyAddress -eq "value" |
| állapot | Bármilyen sztringérték vagy null | user.state -eq "value" |
| utcaCím | Bármilyen sztringérték vagy null | user.streetAddress -eq "value" |
| surname | Bármilyen sztringérték vagy null | user.surname -eq "value" |
| telefonszám | Bármilyen sztringérték vagy null | user.telephoneNumber -eq "value" |
| usageLocation | Kétbetűs ország- vagy régiókód | user.usageLocation -eq "US" |
| userPrincipalName | Bármilyen sztringérték | user.userPrincipalName -eq "alias@domain" |
| felhasználói típus | vendég tag null | user.userType -eq "Member" |
A karakterlánc típusú gyűjtemény tulajdonságai
| Tulajdonságok | Megengedett értékek | Példa |
|---|---|---|
| egyéb e-mailek | Bármilyen sztringérték |
user.otherMails -startsWith "alias@domain", user.otherMails -endsWith"@contoso.com" |
| proxy címek | SMTP: alias@domain smtp: alias@domain | user.proxyAddresses -kezdődik "SMTP: alias@domain", user.proxyAddresses -notEndsWith "@outlook.com" |
Az eszközszabályokhoz használt tulajdonságokért tekintse meg az eszközökre vonatkozó szabályokat.
Támogatott kifejezésoperátorok
Az alábbi táblázat felsorolja az összes támogatott operátort és azok szintaxisát egyetlen kifejezéshez. Az operátorok a kötőjel (-) előtaggal vagy anélkül is használhatók. A Contains operátor részleges sztring-egyezéseket hajt végre, de nem végez egyezéseket elemekkel egy gyűjteményben.
Vigyázat
A legjobb eredmény érdekében minimalizálja a MATCH vagy a CONTAINS használatát, amennyire csak lehetséges. Egyszerűbb és hatékonyabb szabályok létrehozása dinamikus tagsági csoportokhoz útmutatást nyújt a jobb dinamikus csoportfeldolgozási időt eredményező szabályok létrehozásához. A "memberOf" operátor előzetes verzióban érhető el, és körültekintően kell használni, mivel bizonyos korlátozásokkal rendelkezik.
| Operátor | Szintaxis |
|---|---|
| Végződés: | végződik |
| Nem végződik | -nemVégződikEzzel |
| Nem egyenlő | -ne |
| Egyenlő | -Eq |
| Nem a következővel kezdődik: | -nemKezdődik |
| A következővel kezdődik: | -startsWith |
| Nem tartalmazza | -nem tartalmaz |
| Tartalmaz | tartalmaz |
| Nincs egyezés | -notMatch |
| Match | -meccs |
| In | -ban |
| Nincs bent | -nemTartalmaz |
A -in és a -notIn operátor használata
Ha egy felhasználói attribútum értékét több értékkel szeretné összehasonlítani, használhatja a -in vagy a -notIn operátort. Az értékek listájának megkezdéséhez és befejezéséhez használja a "[" és a "]" zárójel szimbólumokat.
A következő példában a kifejezés igaz értéket ad vissza, ha a user.department értéke megegyezik a listában szereplő értékek bármelyikével:
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
A -le és a -ge operátor használata
Az employeeHireDate attribútum dinamikus tagsági csoportok szabályaiban való használatakor a kisebb mint (-le) vagy a nagyobb mint (-ge) operátorokat használhatja.
Példák:
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
A -match operátor használata
A -match operátor minden reguláris kifejezésnek megfeleltethető. Példák:
user.displayName -match "^Da.*"
Da, Dav és David igazra értékelődnek ki, míg az aDa hamisra.
user.displayName -match ".*vid"
David kiértékelése igaz, Da kiértékelése hamis.
Támogatott értékek
A kifejezésben használt értékek több típusból állhatnak, például:
- Sztringek
- Logikai – igaz, hamis
- Telefonszámok
- Tömbök – számtömb, sztringtömb
Egy kifejezésen belüli érték megadásakor fontos a helyes szintaxis használata a hibák elkerülése érdekében. Néhány szintaxistipp:
- Az érték dupla idézőjelekbe foglalása nem kötelező, kivéve, ha az egy szöveg.
- A regex- és karakterlánc-műveletek nem különböztetik meg a kis- és nagybetűket.
- Győződjön meg arról, hogy a tulajdonságnevek megfelelően vannak formázva az ábrán látható módon, mivel a kis- és nagybetűk megkülönböztetik őket.
- Ha egy sztring dupla idézőjeleket tartalmaz, mindkét idézőjelet a ` karaktert használva kell elmenekíteni, például a helyes szintaxis a user.department -eq `"Sales`", amikor az érték 'Értékesítés'. Az egyszeres idézőjeleket minden alkalommal két darab egyszeres idézőjellel kell kiemelni az egy helyett.
- Null értékű ellenőrzéseket is végrehajthat, például
user.department -eq nullnull értéket használva.
Null értékek használata
Ha null értéket szeretne megadni egy szabályban, használhatja a null értéket.
- A -eq vagy -ne értéket használja a null érték összehasonlításakor egy kifejezésben.
- Csak akkor használjon idézőjeleket a null szó körül, ha literális sztringértékként szeretné értelmezni.
- A -not operátor nem használható összehasonlító operátorként null értékre. Ha használja, hibaüzenet jelenik meg, függetlenül attól, hogy null vagy $null használ.
A null értékre való hivatkozás helyes módja a következő:
user.mail –ne null
Több kifejezéssel rendelkező szabályok
A dinamikus tagsági csoportok szabályainak kezelése több, a logikai operátorok által összekapcsolt kifejezésből állhat. A logikai operátorok együtt is használhatók.
Az alábbiakban példákat láthat több kifejezéssel rendelkező, megfelelően összeállított tagsági szabályokra:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
Operátorok műveleti sorrendje
Az összes operátor az alábbi sorrendben szerepel a legmagasabbtól a legalacsonyabbig tartó sorrendben. Az azonos sorban lévő operátorok elsőbbséget élveznek:
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
Az alábbi példa az operátorok elsőbbségét szemlélteti, ahol a felhasználó két kifejezést értékel ki:
user.department –eq "Marketing" –and user.country –eq "US"
Zárójelre csak akkor van szükség, ha az elsőbbség nem felel meg a követelményeknek. Ha például azt szeretné, hogy a részleget először értékeljék ki, az alábbi példa bemutatja, hogyan használhatók zárójelek a sorrend meghatározására.
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Összetett kifejezéseket tartalmazó szabályok
A tagsági szabály összetett kifejezésekből állhat, ahol a tulajdonságok, az operátorok és az értékek bonyolultabb formákat öltenek. A kifejezések összetettnek minősülnek, ha az alábbiak bármelyike igaz:
- A tulajdonság értékek gyűjteményéből áll; konkrétan többértékű tulajdonságok
- A kifejezések a -any és az -all operátort használják
- A kifejezés értéke lehet egy vagy több kifejezés is.
Többértékű tulajdonságok
A többértékű tulajdonságok azonos típusú objektumok gyűjteményei. Ezek felhasználhatók tagsági szabályok létrehozására a -any és -all logikai operátorok használatával.
| Tulajdonságok | Értékek | Használat |
|---|---|---|
| hozzárendelt tervek | A gyűjtemény minden objektuma a következő sztringtulajdonságokat teszi elérhetővé: capabilityStatus, service, servicePlanId | user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled") |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | (user.proxyAddresses -any (\_ -startsWith "contoso")) |
A -any és a -all operátor használata
A -any és -all operátorokkal feltételt alkalmazhat a gyűjtemény egy vagy az összes elemére.
- -bármely (elégedett, ha a gyűjtemény legalább egy eleme megfelel a feltételnek)
- -all (elégedett, ha a gyűjtemény összes eleme megfelel a feltételnek)
1. példa
A assignedPlans egy többértékű tulajdonság, amely felsorolja a felhasználóhoz rendelt összes szolgáltatáscsomagot. Az alábbi kifejezés azokat a felhasználókat választja ki, akik rendelkeznek a szintén engedélyezett állapotú Exchange Online (2. csomag) szolgáltatáscsomaggal (GUID-értékként):
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
Egy ilyen szabály segítségével csoportosíthatja azokat a felhasználókat, akiknek engedélyezve van a Microsoft 365 vagy más Microsoft Online Service-funkció. Ezután alkalmazhat egy szabályzatkészletet a csoportra.
2. példa
Az alábbi kifejezés kiválasztja az összes olyan felhasználót, aki rendelkezik az Intune szolgáltatáshoz társított szolgáltatáscsomaggal (amelyet a "SCO" szolgáltatásnév azonosít):
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
3. példa
Az alábbi kifejezés az összes olyan felhasználót választja ki, aki nem rendelkezik hozzárendelt szolgáltatáscsomaggal:
user.assignedPlans -all (assignedPlan.servicePlanId -eq null)
Az aláhúzás (_) szintaxis használata
Az aláhúzás (_) szintaxis segítségével egyeztetjük egy adott érték előfordulását a többértékű sztringgyűjtemény valamelyik tulajdonságában, hogy felhasználókat vagy eszközöket adjunk hozzá egy dinamikus tagsági csoporthoz. A -any vagy -all operátorral együtt használják.
Íme egy példa az aláhúzás (_) egy szabályban való használatára a user.proxyAddress alapján történő tagok hozzáadásához (ez ugyanúgy működik a user.otherMails esetében). Ez a szabály hozzáadja a csoporthoz a "contoso" kezdetű proxycímmel rendelkező felhasználókat.
(user.proxyAddresses -any (_ -startsWith "contoso"))
Egyéb tulajdonságok és gyakori szabályok
"Közvetlen jelentések" szabály létrehozása
Létrehozhat egy csoportot, amely egy vezető összes közvetlen jelentését tartalmazza. Amikor a vezető közvetlen jelentései a jövőben megváltoznak, a csoport tagsága automatikusan módosul.
A közvetlen jelentések szabálya a következő szintaxissal jön létre:
Direct Reports for "{objectID_of_manager}"
Íme egy példa egy érvényes szabályra, ahol az "aaaaa-0000-1111-2222-bbbbbbbbbbbb" a kezelő objektumazonosítója:
Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
Az alábbi tippek segíthetnek a szabály megfelelő használatához.
- A kezelő azonosítója a kezelő objektumazonosítója. Ez a vezető profiljában található.
- A szabály működéséhez győződjön meg arról, hogy a Manager tulajdonság helyesen van beállítva a szervezet felhasználói számára. A felhasználó profiljában ellenőrizheti az aktuális értéket.
- Ez a szabály csak a vezető közvetlen jelentéseit támogatja. Más szóval, nem hozhat létre csoportot a vezető közvetlen beosztottjaival és azok beosztottjaival.
- Ez a szabály nem kombinálható más tagsági szabályokkal.
"Minden felhasználó" szabály létrehozása
Létrehozhat egy csoportot, amely egy szervezet összes felhasználóját tartalmazza egy tagsági szabály használatával. Ha a jövőben felhasználókat adnak hozzá vagy távolítanak el a szervezetből, a rendszer automatikusan módosítja a csoport tagságát.
A "Minden felhasználó" szabály egyetlen kifejezéssel jön létre a -ne operátorral és a null értékkel. Ez a szabály B2B-vendégfelhasználókat és tagfelhasználókat ad hozzá a csoporthoz.
user.objectId -ne null
Ha azt szeretné, hogy a csoport kizárja a vendégfelhasználókat, és csak a szervezet felhasználóit vegye fel, az alábbi szintaxist használhatja:
(user.objectId -ne null) -and (user.userType -eq "Member")
"Minden eszköz" szabály létrehozása
Egy tagsági szabály használatával létrehozhat egy csoportot, amely egy szervezet összes eszközét tartalmazza. Amikor az eszközöket a jövőben hozzáadják vagy eltávolítják a szervezetből, a csoport tagsága automatikusan módosul.
A "Minden eszköz" szabály egyetlen kifejezéssel jön létre a -ne operátorral és a null értékkel:
device.objectId -ne null
Bővítménytulajdonságok és egyéni bővítménytulajdonságok
A dinamikus tagsági csoportok szabályai sztringtulajdonságként támogatják a bővítményattribútumokat és az egyéni bővítménytulajdonságokat. bővítményattribútumok szinkronizálhatók a helyszíni Windows Server Active Directoryból, vagy frissíthetők a Microsoft Graph használatával, és a "ExtensionAttributeX" formátumot használják, ahol az X értéke 1 és 15 között van. A többértékű bővítménytulajdonságok nem támogatottak a dinamikus tagsági csoportok szabályaiban.
Íme egy példa egy olyan szabályra, amely egy bővítményattribútumot használ tulajdonságként:
(user.extensionAttribute15 -eq "Marketing")
Az egyéni bővítménytulajdonságok szinkronizálhatók a helyszíni Windows Server Active Directoryból, egy csatlakoztatott SaaS-alkalmazásból, vagy a Microsoft Graph használatával hozhatók létre, és a következő formátumúak user.extension_[GUID]_[Attribute]:
- A [GUID] a tulajdonságot létrehozó alkalmazás Microsoft Entra-azonosítójában szereplő egyedi azonosító leválasztott verziója. Csak 0-9 és A-Z karaktereket tartalmaz
- Az [Attribútum] annak a tulajdonságnak a neve, ahogyan az létrehozva lett
Példa egy egyéni bővítménytulajdonságot használó szabályra:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Az egyéni bővítménytulajdonságokat címtár- vagy Microsoft Entra-bővítménytulajdonságoknak is nevezik.
Az egyéni tulajdonságnév a címtárban található, ha lekérdezi egy felhasználó tulajdonságát a Graph Explorerrel, és megkeresi a tulajdonság nevét. Emellett a dinamikus tagsági csoportok szabályszerkesztőjében kiválaszthatja az Egyéni bővítménytulajdonságok lekérése hivatkozást, hogy egyedi alkalmazásazonosítót adjon meg, és megkapja a dinamikus tagsági csoportokhoz tartozó szabály létrehozásakor használandó egyéni bővítménytulajdonságok teljes listáját. Ez a lista frissíthető az alkalmazás új egyéni bővítménytulajdonságainak lekéréséhez is. A bővítményattribútumoknak és az egyéni bővítménytulajdonságoknak a bérlő alkalmazásainak kell lenniük.
További információt a Microsoft Entra Connect Sync: Címtárbővítmények című cikkben a dinamikus tagsági csoportok attribútumainak használata című témakörben talál.
Eszközökre vonatkozó szabályok
Létrehozhat olyan szabályt is, amely kiválasztja a csoporttagsághoz tartozó eszközobjektumokat. A csoporttagok nem lehetnek egyszerre felhasználók és eszközök.
Feljegyzés
Az organizationalUnit attribútum már nem szerepel a listában, ezért nem használható. Ezt a sztringet az Intune adott esetekben állítja be, de a Microsoft Entra ID nem ismeri fel, ezért az attribútum alapján nem ad hozzá eszközöket a csoportokhoz.
Az systemlabels attribútum írásvédett, és nem állítható be az Intune-nal.
Windows 10 esetén a deviceOSVersion attribútum helyes formátuma így néz ki: (device.deviceOSVersion -startsWith "10.0.1"). A formázás a Get-MgDevice PowerShell-parancsmaggal érvényesíthető:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
Az alábbi eszközattribútumok használhatók.
| Eszközattribútum | Értékek | Példa |
|---|---|---|
| fiók engedélyezve | igaz hamis | device.accountEnabled -eq true |
| eszközkategória | érvényes eszközkategória neve | device.deviceCategory -eq "BYOD" |
| eszközazonosító | érvényes Microsoft Entra-eszközazonosító | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
| eszközkezelő alkalmazásazonosító | érvényes MDM-alkalmazásazonosító a Microsoft Entra-azonosítóban | device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" a Microsoft Intune által felügyelt eszközökhöz vagy "54b943f8-d761-4f8d-951e-9cea1846db5a" a System Center Configuration Manager által közösen felügyelt eszközökhöz |
| eszközgyártó | bármilyen sztringérték | device.deviceManufacturer -eq "Samsung" |
| eszközmodell | bármilyen sztringérték | device.deviceModel -eq "iPad Air" |
| megjelenítettNév | bármilyen sztringérték | device.displayName -eq "Rob iPhone" |
| eszköz operációs rendszer típusa | bármilyen sztringérték | (device.deviceOSType -eq "iPad") -vagy (device.deviceOSType -eq "iOS") device.deviceOSType –startsWith "AndroidEnterprise" device.deviceOSType -eq "AndroidForWork" device.deviceOSType -eq "Windows" |
| eszközOSverzió | bármilyen sztringérték | device.deviceOSVersion -eq "9.1" device.deviceOSVersion -startsWith "10.0.1" |
| eszköztulajdonjog | Személyes, Céges, Ismeretlen | device.deviceOwnership -eq "Vállalat" |
| eszköz fizikai azonosítók | Az Autopilot által bármilyen használandó karakterlánc érték, például az összes Autopilot-eszköz, az OrderID vagy a PurchaseOrderID. | device.devicePhysicalIDs -any _ -startsWith "[ZTDId]" (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881" (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
| eszközmegbízhatóság típusa | AzureAD, ServerAD, Munkahely | device.deviceTrustType –eq "AzureAD" |
| beiratkozásiProfilNév | Apple-eszköz regisztrációs profil neve, Android Enterprise vállalati tulajdonú dedikált eszközregisztrációs profil neve vagy Windows Autopilot-profil neve | device.enrollmentProfileName -eq "DEP iPhone-ok" |
| extensionAttribute1 | bármilyen sztringérték | device.extensionAttribute1 -eq "valamilyen karakterlánc érték" |
| extensionAttribute2 | bármilyen sztringérték | device.extensionAttribute2 -eq "valamilyen szöveges érték" |
| extensionAttribute3 | bármilyen sztringérték | device.extensionAttribute3 –eq "valamilyen sztringérték" |
| extensionAttribute4 | bármilyen sztringérték | device.extensionAttribute4 -eq "valamilyen szövegérték" |
| extensionAttribute5 | bármilyen sztringérték | device.extensionAttribute5 –eq "valamilyen sztringérték" |
| extensionAttribute6 | bármilyen sztringérték | device.extensionAttribute6 –eq "valamilyen sztringérték" |
| extensionAttribute7 | bármilyen sztringérték | device.extensionAttribute7 -eq "valamilyen karakterláncérték" |
| extensionAttribute8 | bármilyen sztringérték | device.extensionAttribute8 -eq "valamilyen karakterlánc érték" |
| extensionAttribute9 | bármilyen sztringérték | device.extensionAttribute9 –eq "valamilyen sztringérték" |
| extensionAttribute10 | bármilyen sztringérték | device.extensionAttribute10 -eq "valamilyen karakterlánc érték" |
| extensionAttribute11 | bármilyen sztringérték | device.extensionAttribute11 -eq "valamilyen karakterlánc érték" |
| extensionAttribute12 | bármilyen sztringérték | device.extensionAttribute12 –eq "valamilyen sztringérték" |
| extensionAttribute13 | bármilyen sztringérték | device.extensionAttribute13 –eq "valamilyen sztringérték" |
| extensionAttribute14 | bármilyen sztringérték | device.extensionAttribute14 –eq "valamilyen sztringérték" |
| extensionAttribute15 | bármilyen sztringérték | device.extensionAttribute15 -eq "valamilyen sztringérték" |
| isRooted | igaz hamis | device.isRooted -eq true |
| menedzsmenttípus | MDM (mobileszközökhöz) | device.managementType -eq "MDM" |
| tagja | Bármilyen sztringérték (érvényes csoportobjektum-azonosító) | device.memberOf -any (group.objectId -in [érték]) |
| objectId | érvényes Microsoft Entra-objektumazonosító | device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
| profiltípus | érvényes profiltípus a Microsoft Entra-azonosítóban | device.profileType -eq "RegisztráltEszköz" |
| rendszercímkék | egy az Intune eszköztulajdonságának megfelelő írásvédett karakterlánc a modern munkahelyi eszközök címkézéséhez | device.systemLabels -startsWith "M365Managed" Rendszercímkék |
Feljegyzés
A systemLabels használata során a különböző környezetekben, például az eszközkezelésben és az érzékenységi címkézésben használt írásvédett attribútum nem szerkeszthető az Intune használatával.
Ha a deviceOwnership használatával dinamikus tagsági csoportokat hoz létre az eszközökhöz, az értéket egyenlővé kell tenni a Company-el. Az Intune-ban az eszköz tulajdonjoga vállalatiként jelenik meg. További információkért lásd a OwnerTypes webhelyet.
Ha a deviceTrustType segítségével dinamikus tagsági csoportokat hoz létre eszközökhöz, be kell állítania az értéket AzureAD-re a Microsoft Entra-hoz csatlakozott eszközök jelölésére, ServerAD-re a Microsoft Entra hibrid csatlakozott eszközök jelölésére, vagy Workplace-ra a Microsoft Entra által regisztrált eszközök jelölésére.
Ha dinamikus tagsági csoportokat hoz extensionAttribute1-15 létre az eszközökhöz, be kell állítania az eszközön az extensionAttribute1-15 értéket. További információ arról, hogyan lehet írni egy Microsoft Entra-eszközobjektumraextensionAttributes
Következő lépések
Ezek a cikkek további információkat tartalmaznak a Microsoft Entra ID-ban található csoportokról.