Mengelola aturan untuk grup keanggotaan dinamis di ID Microsoft Entra
Anda dapat membuat aturan berbasis atribut pengguna atau perangkat untuk mengaktifkan keanggotaan untuk grup keanggotaan dinamis di ID Microsoft Entra, bagian dari Microsoft Entra. Anda dapat menambahkan dan menghapus grup keanggotaan dinamis secara otomatis menggunakan aturan keanggotaan berdasarkan atribut anggota. Di Microsoft Entra, satu penyewa dapat memiliki maksimum 15.000 grup keanggotaan dinamis.
Artikel ini merinci properti dan sintaksis untuk membuat aturan untuk grup keanggotaan dinamis berdasarkan pengguna atau perangkat.
Catatan
Grup keamanan dapat digunakan untuk perangkat atau pengguna, tetapi grup Microsoft 365 hanya dapat menyertakan pengguna.
Saat atribut pengguna atau perangkat berubah, sistem mengevaluasi semua aturan untuk grup keanggotaan dinamis dalam direktori untuk melihat apakah perubahan akan memicu penambahan atau penghapusan grup apa pun. Jika pengguna atau perangkat memenuhi aturan di grup, mereka akan ditambahkan sebagai anggota grup tersebut. Jika mereka tidak lagi memenuhi aturan, mereka akan dihapus. Anda tidak dapat menambahkan atau menghapus anggota grup keanggotaan dinamis secara manual.
- Anda dapat membuat grup keanggotaan dinamis untuk pengguna atau perangkat, tetapi Anda tidak dapat membuat aturan yang berisi pengguna dan perangkat.
- Anda tidak dapat membuat grup keanggotaan perangkat berdasarkan atribut pengguna pemilik perangkat. Aturan keanggotaan perangkat hanya dapat mereferensikan atribut perangkat.
Catatan
Fitur ini memerlukan lisensi Microsoft Entra ID P1 atau Intune for Education untuk setiap pengguna unik yang merupakan anggota dari satu atau beberapa grup keanggotaan dinamis. Anda tidak perlu menetapkan lisensi kepada pengguna agar mereka menjadi anggota grup keanggotaan dinamis, tetapi Anda harus memiliki jumlah lisensi minimum di organisasi Microsoft Entra untuk mencakup semua pengguna tersebut. Misalnya, jika Anda memiliki total 1.000 pengguna unik di semua grup keanggotaan dinamis di organisasi Anda, Anda akan memerlukan setidaknya 1.000 lisensi untuk Microsoft Entra ID P1 untuk memenuhi persyaratan lisensi. Tidak diperlukan lisensi untuk perangkat yang merupakan anggota grup keanggotaan dinamis berdasarkan perangkat.
Pembuat aturan di portal Microsoft Azure
MICROSOFT Entra ID menyediakan penyusun aturan untuk membuat dan memperbarui aturan penting Anda dengan lebih cepat. Alat pembuat aturan mendukung konstruksi hingga lima pernyataan. Pembuat aturan mempermudah pembuatan aturan dengan beberapa ekspresi sederhana, namun tidak dapat digunakan untuk mereproduksi setiap aturan. Jika pembuat aturan tidak mendukung aturan yang ingin Anda buat, Anda bisa menggunakan kotak teks.
Penting
Pembangun aturan hanya tersedia untuk grup keanggotaan dinamis berbasis pengguna. Grup keanggotaan dinamis berbasis perangkat hanya dapat dibuat menggunakan kotak teks.
Berikut adalah beberapa contoh aturan atau sintaks tingkat lanjut yang memerlukan penggunaan kotak teks:
- Aturan dengan lebih dari lima ekspresi
- Aturan Laporan langsung
- Aturan dengan operator "-contains" atau "-notContains"
- Mengatur prioritas operator
-
Aturan dengan ekspresi kompleks; misalnya,
(user.proxyAddresses -any (_ -startsWith "contoso"))
Catatan
Pembuat aturan mungkin tidak dapat menampilkan beberapa aturan yang dibuat dalam kotak teks. Anda mungkin melihat pesan saat pembuat aturan tidak dapat menampilkan aturan. Penyusun aturan tidak mengubah sintaks, validasi, atau pemrosesan aturan yang didukung untuk grup keanggotaan dinamis dengan cara apa pun.
Untuk petunjuk langkah demi langkah lainnya, lihat Membuat atau memperbarui grup keanggotaan dinamis.
Sintaks aturan untuk satu ekspresi
Ekspresi tunggal adalah bentuk paling sederhana dari aturan keanggotaan dan hanya memiliki tiga bagian yang disebutkan di atas. Aturan dengan ekspresi tunggal terlihat mirip dengan contoh ini: Property Operator Value, yang mana sintaksis untuk properti adalah nama object.property.
Contoh berikut mengilustrasikan aturan keanggotaan yang dibangun dengan benar dengan ekspresi tunggal:
user.department -eq "Sales"
Tanda kurung bersifat opsional untuk satu ekspresi. Panjang total isi aturan keanggotaan Anda tidak boleh melebihi 3.072 karakter.
Membangun struktur aturan keanggotaan
Aturan keanggotaan yang secara otomatis mengisi grup dengan pengguna atau perangkat adalah ekspresi biner yang menghasilkan hasil yang benar atau salah. Tiga bagian dari aturan sederhana adalah:
- Properti
- Operator
- Nilai
Urutan bagian dalam ekspresi penting untuk menghindari kesalahan sintaksis.
Properti yang didukung
Ada tiga jenis properti yang dapat digunakan untuk membuat aturan keanggotaan.
- Boolean
- TanggalWaktu
- String
- Koleksi string
Berikut ini adalah properti pengguna yang bisa Anda gunakan untuk membuat ekspresi tunggal.
Sifat tipe boolean
| Properti | Nilai yang diizinkan | Penggunaan |
|---|---|---|
| akunDiaktifkan | benar salah | user.accountEnabled -eq true |
| SinkronisasiDirDiaktifkan | benar salah | user.dirSyncEnabled -eq true |
Properti jenis dateTime
| Properti | Nilai yang diizinkan | Penggunaan |
|---|---|---|
| tanggalPerekrutanKaryawan (Pratinjau) | Nilai DateTimeOffset atau sistem kata kunci apa pun.now | user.employeeHireDate -eq "value" |
Properti dengan tipe string
| Properti | Nilai yang diizinkan | Penggunaan |
|---|---|---|
| kota | Nilai string apa pun atau null | user.city -eq "value" |
| negara | Nilai string apa pun atau null | user.country -eq "value" |
| namaPerusahaan | Sembarang nilai string atau null | user.companyName -eq "value" |
| departemen | Nilai string apa pun atau null | user.department -eq "value" |
| nama tampilan | Nilai string apa pun | user.displayName -eq "value" |
| ID Karyawan | Nilai string apa pun | user.employeeId -eq "value"<br>user.employeeId -ne *null* |
| nomor telepon faksimili | Apa pun nilai string atau null | user.facsimileTelephoneNumber -eq "value" |
| givenName | Nilai string apa pun atau null | user.givenName -eq "value" |
| judul pekerjaan | Nilai string apa pun atau null | user.jobTitle -eq "value" |
| Nilai string atau null apa pun (alamat SMTP pengguna) |
user.mail -eq "value" atau user.mail -notEndsWith "@Contoso.com" |
|
| namaJulukanEmail | Nilai string apa pun (alias email pengguna) |
user.mailNickName -eq "value" atau user.mailNickname -endsWith "-vendor" |
| anggota dari | Nilai string apa pun (ID objek grup yang valid) | user.memberOf -any (group.objectId -in ['value']) |
| mobile | Nilai string apa pun atau null | user.mobile -eq "value" |
| objectId | GUID dari objek pengguna | user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
| onPremisesDistinguishedName | Nilai teks apa pun atau null | user.onPremisesDistinguishedName -eq "value" |
| onPremisesSecurityIdentifier | Pengidentifikasi keamanan lokal (SID) untuk pengguna yang disinkronkan dari lokal ke cloud. | user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111" |
| Kebijakan Kata Sandi | Tidak DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
| namaKantorPengirimanFisik | Nilai string apa pun atau null | user.physicalDeliveryOfficeName -eq "value" |
| Kode Pos | Nilai string apa pun atau null | user.postalCode -eq "value" |
| bahasaPilihan | Kode ISO 639-1 | user.preferredLanguage -eq "en-US" |
| sipProxyAddress | Nilai string atau null apa pun | user.sipProxyAddress -eq "value" |
| state | Nilai string apa pun atau null | user.state -eq "value" |
| alamat jalan | Setiap nilai string atau null | user.streetAddress -eq "value" |
| surname | Nilai apa pun dari string atau null | user.surname -eq "value" |
| nomor telepon | Nilai string apa pun atau null | user.telephoneNumber -eq "value" |
| lokasi penggunaan | Dua huruf kode negara atau wilayah | user.usageLocation -eq "US" |
| Nama Utama Pengguna | Nilai string apa pun | user.userPrincipalName -eq "alias@domain" |
| jenisPengguna | tamu anggota null | user.userType -eq "Member" |
Properti dari koleksi tipe string
| Properti | Nilai yang diizinkan | Contoh |
|---|---|---|
| suratLainnya | Nilai string apa pun |
user.otherMails -startsWith "alias@domain", user.otherMails -endsWith"@contoso.com" |
| alamat proksi | SMTP: alias@domain smtp: alias@domain | alamatProxy.pengguna -dimulaiDengan "SMTP: alias@domain", user.proxyAddresses -notEndsWith "@outlook.com" |
Untuk properti yang digunakan untuk aturan perangkat, lihat Aturan untuk perangkat.
Operator ekspresi yang didukung
Tabel berikut mencantumkan semua operator yang didukung dan sintaksnya untuk satu ekspresi. Operator dapat digunakan dengan atau tanpa awalan tanda hubung (-). Operator Contains melakukan pencocokan string parsial, tetapi tidak cocok untuk mencocokkan item dalam koleksi.
Perhatian
Untuk hasil terbaik, minimalkan penggunaan MATCH atau CONTAINS sebanyak mungkin. Membuat aturan yang lebih sederhana dan lebih efisien untuk grup keanggotaan dinamis memberikan panduan tentang cara membuat aturan yang menghasilkan waktu pemrosesan grup yang lebih dinamis. Operator ''memberOf'' sedang dalam tahap pratinjau dan harus digunakan dengan hati-hati, karena memiliki beberapa batasan.
| Operator | Sintaks |
|---|---|
| Diakhir Dengan | -endsWith |
| Tidak Berakhir Dengan | -tidakBerakhirDengan |
| Tidak Sama | -ne |
| Sama dengan | -eq |
| Tidak Diawali Dengan | -notStartsWith |
| Dimulai dengan | -startsWith |
| Tidak Mengandung | -notContains |
| Berisi | -berisi |
| Tidak Cocok | -notMatch |
| Cocokkan | -match |
| Dalam | -in |
| Tidak Di | -tidakDiDalam |
Menggunakan operator -in dan -notIn
Jika Anda ingin membandingkan nilai atribut pengguna dengan beberapa nilai, Anda dapat menggunakan operator -in atau -notIn. Gunakan simbol tanda kurung "[" dan "]" untuk memulai dan mengakhiri daftar nilai.
Dalam contoh berikut, ekspresi mengevaluasi ke true jika nilai user.department sama dengan salah satu nilai dalam daftar:
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
Menggunakan operator -le dan -ge
Anda dapat menggunakan operator kurang dari (-le) atau lebih besar dari (-ge) saat menggunakan atribut employeeHireDate dalam aturan untuk grup keanggotaan dinamis.
Contoh:
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
Penggunaan operator -match
Operator -match digunakan untuk mencocokkan ekspresi reguler apa pun. Contoh:
user.displayName -match "^Da.*"
Da, Dav, David mengevaluasi ke true, aDa mengevaluasi ke false.
user.displayName -match ".*vid"
David mengevaluasi ke true, Da mengevaluasi ke false.
Nilai yang Didukung
Nilai yang digunakan dalam ekspresi bisa terdiri dari beberapa tipe, termasuk:
- String
- Boolean - benar, salah
- Angka
- Arrays – jumlah array, string array
Saat menentukan nilai dalam ekspresi, penting untuk menggunakan sintaksis yang benar untuk menghindari kesalahan. Beberapa tips sintaks adalah:
- Tanda kutip ganda bersifat opsional kecuali nilainya adalah string.
- Operasi regex dan string tidak sensitif terhadap huruf besar/kecil.
- Pastikan bahwa nama properti diformat dengan benar seperti yang ditunjukkan, karena peka terhadap huruf besar/kecil.
- Ketika nilai string berisi tanda kutip ganda, kedua tanda kutip harus diloloskan menggunakan karakter `, misalnya, user.department -eq `"Penjualan`" adalah sintaks yang tepat ketika "Penjualan" adalah nilainya. Kuotasi tunggal harus di-escape dengan menggunakan dua kuotasi tunggal, bukan hanya satu saja.
- Anda juga dapat melakukan pemeriksaan Null, menggunakan null sebagai nilai, misalnya,
user.department -eq null.
Penggunaan Nilai Null
Untuk menentukan nilai kosong dalam aturan, Anda bisa menggunakan nilai null.
- Gunakan -eq atau -ne ketika membandingkan nilai null dalam sebuah ekspresi.
- Gunakan tanda kutip di sekitar kata null hanya jika Anda ingin diinterpretasikan sebagai nilai string literal.
- Operator -not tidak dapat digunakan sebagai operator komparatif untuk null. Jika Anda menggunakannya, Anda mendapatkan kesalahan apakah Anda menggunakan null atau $null.
Cara yang benar untuk mereferensikan nilai null adalah sebagai berikut:
user.mail –ne null
Aturan dengan beberapa ekspresi
Mengelola aturan untuk grup keanggotaan dinamis dapat terdiri dari lebih dari satu ekspresi tunggal yang terhubung oleh operator logis -and, -or, dan -not. Operator logika juga dapat digunakan dalam kombinasi.
Berikut ini adalah contoh aturan keanggotaan yang dibuat dengan benar dengan beberapa ekspresi:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
Prioritas operator
Semua operator tercantum di bawah ini dalam urutan prioritas dari tertinggi ke terendah. Operator pada baris yang sama mendapatkan prioritas yang sama:
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
Contoh berikut mengilustrasikan prioritas operator saat dua ekspresi sedang dievaluasi untuk pengguna:
user.department –eq "Marketing" –and user.country –eq "US"
Tanda kurung hanya diperlukan ketika prioritas tidak memenuhi persyaratan Anda. Misalnya, jika Anda ingin departemen dievaluasi terlebih dahulu, berikut ini memperlihatkan bagaimana tanda kurung dapat digunakan untuk menentukan urutan:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Aturan dengan ekspresi kompleks
Aturan keanggotaan dapat terdiri dari ekspresi kompleks di mana properti, operator, dan nilai memiliki bentuk yang lebih kompleks. Ekspresi dianggap kompleks bila salah satu hal berikut ini benar:
- Properti terdiri dari kumpulan nilai; secara khusus, properti multinilai
- Ekspresi menggunakan operator -any dan -all
- Nilai ekspresi itu sendiri bisa menjadi satu atau beberapa ekspresi
Properti multinilai
Properti multinilai adalah kumpulan objek dengan tipe yang sama. Mereka dapat digunakan untuk membuat aturan keanggotaan menggunakan operator logis -any dan -all.
| Properti | Nilai | Penggunaan |
|---|---|---|
| rencana yang ditugaskan | Setiap objek dalam koleksi mengekspos properti string berikut: capabilityStatus, service, servicePlanId | user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled") |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | (user.proxyAddresses -any (\_ -startsWith "contoso")) |
Menggunakan operator -any dan -all
Anda dapat menggunakan operator -any dan -all untuk menerapkan kondisi ke satu atau semua item dalam koleksi tersebut.
- -any (terpenuhi ketika setidaknya satu item dalam koleksi cocok dengan kondisi)
- -all (puas ketika semua item dalam koleksi cocok dengan kondisi)
Contoh 1
assignedPlans adalah properti multinilai yang mencantumkan semua paket layanan yang ditetapkan untuk pengguna. Ekspresi berikut ini memilih pengguna yang memiliki paket layanan Exchange Online (Paket 2) (sebagai nilai GUID) yang juga dalam status Diaktifkan:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
Aturan seperti ini dapat digunakan untuk mengelompokkan semua pengguna dengan kemampuan Microsoft 365 atau Layanan Online Microsoft lainnya yang diaktifkan. Anda kemudian dapat mengajukan serangkaian kebijakan ke grup.
Contoh 2
Ekspresi berikut memilih semua pengguna yang memiliki paket layanan apa pun yang terkait dengan layanan Intune (diidentifikasi dengan nama layanan "SCO"):
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Contoh 3
Ekspresi berikut ini memilih semua pengguna yang tidak memiliki paket layanan yang ditetapkan:
user.assignedPlans -all (assignedPlan.servicePlanId -eq null)
Menggunakan sintaks garis bawah (_)
Sintaks garis bawah (_) cocok dengan kemunculan nilai tertentu di salah satu properti kumpulan string multinilai untuk menambahkan pengguna atau perangkat ke grup keanggotaan dinamis. Ini digunakan dengan operator -any atau -all.
Berikut adalah contoh penggunaan garis bawah (_) dalam aturan untuk menambahkan anggota berdasarkan user.proxyAddress (berfungsi sama untuk user.otherMails). Aturan ini menambahkan pengguna apa pun dengan alamat proksi yang dimulai dengan "contoso" ke grup.
(user.proxyAddresses -any (_ -startsWith "contoso"))
Properti lain dan aturan umum
Membuat aturan "Laporan langsung"
Anda dapat membuat grup yang berisi semua laporan langsung manajer. Ketika laporan langsung manajer berubah di masa mendatang, keanggotaan grup disesuaikan secara otomatis.
Aturan laporan langsung dibuat menggunakan sintaks berikut:
Direct Reports for "{objectID_of_manager}"
Berikut adalah contoh aturan yang valid, di mana "aaaaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" adalah objectID manajer:
Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
Tips berikut ini dapat membantu Anda menggunakan aturan dengan benar.
- ID Manajer adalah ID objek manajer. Dapat ditemukan di Profil manajer.
- Agar aturan berfungsi, pastikan properti Manajer diatur dengan benar untuk pengguna dalam organisasi Anda. Anda dapat memeriksa nilai saat ini di Profil pengguna.
- Aturan ini hanya mendukung laporan langsung manajer. Dengan kata lain, Anda tidak dapat membuat grup dengan laporan langsung manajer dan laporannya.
- Aturan ini tidak dapat digabungkan dengan aturan keanggotaan lainnya.
Membuat aturan "Semua pengguna"
Anda bisa membuat grup yang berisi semua pengguna dalam organisasi menggunakan aturan keanggotaan. Saat pengguna ditambahkan atau dihapus dari organisasi di masa mendatang, keanggotaan grup disesuaikan secara otomatis.
Aturan "Semua pengguna" dibuat menggunakan ekspresi tunggal menggunakan operator -ne dan nilai null. Aturan ini menambahkan pengguna tamu B2B dan pengguna anggota ke grup.
user.objectId -ne null
Jika Anda ingin grup Mengecualikan pengguna tamu dan hanya menyertakan anggota organisasi, Anda bisa menggunakan sintaks berikut:
(user.objectId -ne null) -and (user.userType -eq "Member")
Buat aturan "Semua perangkat"
Anda dapat membuat grup yang berisi semua perangkat dalam organisasi menggunakan aturan keanggotaan. Saat perangkat ditambahkan atau dihapus dari organisasi di masa mendatang, keanggotaan grup disesuaikan secara otomatis.
Aturan "Semua Perangkat" dibuat menggunakan ekspresi tunggal menggunakan operator -ne dan nilai kosong:
device.objectId -ne null
Properti ekstensi dan properti ekstensi kustom
Atribut ekstensi dan properti ekstensi kustom didukung sebagai properti string dalam aturan untuk grup keanggotaan dinamis. Atribut Ekstensi dapat disinkronkan dari Windows Server Active Directory lokal atau diperbarui menggunakan Microsoft Graph dan mengambil format "ExtensionAttributeX," di mana X sama dengan 1-15. Properti ekstensi multinilai tidak didukung dalam aturan untuk grup keanggotaan dinamis.
Berikut ini contoh aturan yang menggunakan atribut ekstensi sebagai properti:
(user.extensionAttribute15 -eq "Marketing")
Properti ekstensi kustom dapat disinkronkan dari Windows Server Active Directory lokal, dari aplikasi SaaS yang terhubung, atau dibuat menggunakan Microsoft Graph, serta merupakan salah satu format user.extension_[GUID]_[Attribute], di mana:
- [GUID] adalah versi ringkas dari pengidentifikasi unik dalam Microsoft Entra ID untuk aplikasi yang membuat properti tersebut. Ini hanya berisi karakter 0-9 dan A-Z
- [Atribut] adalah nama properti seperti yang dibuat
Contoh aturan yang menggunakan properti ekstensi kustom adalah:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Properti ekstensi kustom juga disebut properti ekstensi direktori atau Microsoft Entra.
Nama properti kustom dapat ditemukan di dalam direktori dengan menanyakan properti pengguna melalui Graph Explorer dan mencari nama properti. Selain itu, Anda sekarang dapat memilih tautan Dapatkan properti ekstensi kustom di penyusun aturan grup keanggotaan dinamis untuk memasukkan ID aplikasi unik dan menerima daftar lengkap properti ekstensi kustom yang akan digunakan saat membuat aturan untuk grup keanggotaan dinamis. Daftar ini juga dapat disegarkan untuk mendapatkan properti ekstensi kustom baru untuk aplikasi tersebut. Atribut ekstensi dan properti ekstensi kustom harus berasal dari aplikasi di penyewa Anda.
Untuk informasi selengkapnya, lihat Gunakan atribut dalam grup keanggotaan dinamis dalam artikel Sinkronisasi Microsoft Entra Connect: Ekstensi Direktori.
Aturan untuk perangkat
Anda juga dapat membuat aturan yang memilih objek perangkat untuk keanggotaan dalam grup. Anda tidak dapat memiliki pengguna dan perangkat sebagai anggota grup.
Catatan
Atribut organizationalUnit tidak lagi terdaftar dan tidak boleh digunakan. String ini diatur oleh Intune dalam kasus tertentu tetapi tidak dikenali oleh ID Microsoft Entra, sehingga tidak ada perangkat yang ditambahkan ke grup berdasarkan atribut ini.
Atribut systemlabels bersifat baca-saja dan tidak dapat diatur dengan Intune.
Untuk Windows 10, format atribut deviceOSVersion yang benar adalah sebagai berikut: (device.deviceOSVersion -mulaiDengan "10.0.1"). Pemformatan dapat divalidasi dengan cmdlet PowerShell Get-MgDevice:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
Atribut perangkat berikut ini bisa digunakan.
| Atribut perangkat | Nilai | Contoh |
|---|---|---|
| akunDiaktifkan | benar salah | device.accountEnabled -eq true |
| Kategori Perangkat | nama kategori perangkat yang valid | device.deviceCategory -eq "BYOD" |
| ID perangkat | ID perangkat Microsoft Entra yang valid | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
| deviceManagementAppId | ID aplikasi MDM yang valid di Microsoft Entra ID | device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" untuk perangkat yang dikelola oleh Microsoft Intune atau "54b943f8-d761-4f8d-951e-9cea1846db5a" untuk perangkat yang dikelola bersama oleh System Center Configuration Manager |
| pabrikan perangkat | nilai string apa saja | device.deviceManufacturer -eq "Samsung" |
| modelPerangkat | nilai string apa pun | device.deviceModel -eq "iPad Air" |
| nama tampilan | nilai string apa pun | device.displayName -eq "Rob iPhone" |
| TipeOSPerangkat | nilai string sembarang | (device.deviceOSType -eq "iPad") -atau (device.deviceOSType -eq "iOS") device.deviceOSType -startsWith "AndroidEnterprise" device.deviceOSType -eq "AndroidForWork" device.deviceOSType -eq "Windows" |
| deviceOSVersion | nilai string apa pun | device.deviceOSVersion -eq "9.1" device.deviceOSVersion -startsWith "10.0.1" |
| Kepemilikan perangkat | Pribadi, Perusahaan, Tidak Diketahui | perangkat.kepemilikanPerangkat -eq "Perusahaan" |
| IDFisikPerangkat | nilai string apa pun yang digunakan oleh Autopilot, seperti semua perangkat Autopilot, OrderID, atau PurchaseOrderID | device.devicePhysicalIDs -any _ -startsWith "[ZTDId]" (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881" (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
| tipeKepercayaanPerangkat | AzureAD, ServerAD, Workplace | device.deviceTrustType -eq "AzureAD" |
| namaProfilPendaftaran | Nama Profil Pendaftaran Perangkat Apple, nama Profil Pendaftaran perangkat khusus milik Perusahaan Android Enterprise, atau nama profil Windows Autopilot | device.enrollmentProfileName -eq "DEP iPhones" |
| extensionAttribute1 | nilai string apa pun | device.extensionAttribute1 -eq "beberapa nilai string" |
| extensionAttribute2 | nilai string mana pun | device.extensionAttribute2 -eq "nilai string tertentu" |
| extensionAttribute3 | nilai string sembarang | device.extensionAttribute3 -eq "some string value" |
| extensionAttribute4 | nilai string apa pun | device.extensionAttribute4 -eq "some string value" |
| extensionAttribute5 | nilai string apa pun | device.extensionAttribute5 -eq "some string value" |
| extensionAttribute6 | nilai string apa pun | device.extensionAttribute6 -eq "nilai string tertentu" |
| extensionAttribute7 | nilai string apa pun | device.extensionAttribute7 -eq "nilai string tertentu" |
| extensionAttribute8 | nilai string apa pun | device.extensionAttribute8 -eq "nilai string tertentu" |
| extensionAttribute9 | nilai string apa pun | device.extensionAttribute9 -eq "some string value" |
| extensionAttribute10 | nilai string apa pun | device.extensionAttribute10 -eq "nilai string tertentu" |
| extensionAttribute11 | nilai string apa pun | device.extensionAttribute11 -eq "nilai string tertentu" |
| extensionAttribute12 | nilai string apa pun | device.extensionAttribute12 -eq "nilai string tertentu" |
| extensionAttribute13 | nilai string apa pun | device.extensionAttribute13 -eq "beberapa nilai string" |
| extensionAttribute14 | nilai string sembarang | device.extensionAttribute14 -eq "some string value" |
| extensionAttribute15 | nilai apa pun dari string | device.extensionAttribute15 -eq "beberapa nilai string" |
| isRooted | benar salah | device.isRooted -eq true |
| jenis manajemen | MDM (untuk perangkat seluler) | device.managementType -eq "MDM" |
| anggotaDari | Nilai string apa pun (ID objek grup yang valid) | device.memberOf -any (group.objectId -in ['value']) |
| objectId | ID objek Microsoft Entra yang valid | device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
| tipeProfil | jenis profil yang valid dalam Microsoft Entra ID | device.profileType -eq "RegisteredDevice" |
| systemLabels | string berstatus baca-saja yang cocok dengan properti perangkat Intune untuk menandai perangkat Modern Workplace | device.systemLabels -startsWith "M365Managed" SystemLabels |
Catatan
Saat menggunakan systemLabels, atribut baca-saja yang digunakan dalam berbagai konteks, seperti manajemen perangkat dan pelabelan sensitivitas, tidak dapat diedit melalui Intune.
Saat menggunakan deviceOwnership untuk membuat grup keanggotaan dinamis untuk perangkat, Anda perlu mengatur nilai yang sama dengan Company. Dalam Intune, kepemilikan perangkat ditandai sebagai milik perusahaan. Untuk mengetahui informasi selengkapnya, lihat OwnerTypes untuk detail selengkapnya.
Saat menggunakan deviceTrustType untuk membuat grup keanggotaan dinamis untuk perangkat, Anda perlu mengatur nilai yang sama dengan AzureAD untuk mewakili perangkat yang bergabung dengan Microsoft Entra, ServerAD untuk mewakili perangkat gabungan hibrid Microsoft Entra atau Workplace untuk mewakili perangkat terdaftar Microsoft Entra.
Saat menggunakan extensionAttribute1-15 untuk membuat grup keanggotaan dinamis untuk perangkat, Anda perlu mengatur nilai pada extensionAttribute1-15 perangkat. Pelajari selengkapnya tentang cara menulis extensionAttributes pada objek perangkat Microsoft Entra
Langkah berikutnya
Artikel ini menyediakan informasi tambahan tentang grup di MICROSOFT Entra ID.