Zarządzanie regułami dla dynamicznych grup członkostwa w usłudze Microsoft Entra ID
Możesz utworzyć reguły oparte na atrybutach użytkowników lub urządzeń, aby umożliwić członkostwo w dynamicznych grupach członkostwa w usłudze Microsoft Entra ID, część firmy Microsoft Entra. Dynamiczne grupy członkostwa można dodawać i usuwać automatycznie przy użyciu reguł członkostwa na podstawie atrybutów składowych. W usłudze Microsoft Entra jedna dzierżawa może mieć maksymalnie 15 000 dynamicznych grup członkostwa.
W tym artykule szczegółowo przedstawiono właściwości i składnię tworzenia reguł dla dynamicznych grup członkostwa na podstawie użytkowników lub urządzeń.
Uwaga
Grupy zabezpieczeń mogą być używane dla urządzeń lub użytkowników, ale grupy platformy Microsoft 365 mogą zawierać tylko użytkowników.
Gdy atrybuty użytkownika lub urządzenia zmienią się, system ocenia wszystkie reguły dla dynamicznych grup członkostwa w katalogu, aby sprawdzić, czy zmiana spowoduje dodanie lub usunięcie dowolnej grupy. Jeśli użytkownik lub urządzenie spełnia regułę grupy, są one dodawane jako członek tej grupy. Jeśli przestaną spełniać regułę, zostaną usunięte. Nie można ręcznie dodać ani usunąć członka grupy członkostwa dynamicznego.
- Możesz utworzyć dynamiczne grupy członkostwa dla użytkowników lub urządzeń, ale nie można utworzyć reguły zawierającej zarówno użytkowników, jak i urządzeń.
- Nie można utworzyć grupy członkostwa urządzeń na podstawie atrybutów użytkownika właściciela urządzenia. Reguły członkostwa urządzeń mogą odwoływać się tylko do atrybutów urządzeń.
Uwaga
Ta funkcja wymaga licencji microsoft Entra ID P1 lub usługi Intune for Education dla każdego unikatowego użytkownika, który jest członkiem co najmniej jednej dynamicznej grupy członkostwa. Nie musisz przypisywać licencji do użytkowników, aby należeli do dynamicznych grup członkostwa, ale musisz mieć minimalną liczbę licencji w organizacji Microsoft Entra, aby objąć wszystkich takich użytkowników. Jeśli na przykład masz łącznie 1000 unikatowych użytkowników we wszystkich dynamicznych grupach członkostwa w organizacji, potrzebujesz co najmniej 1000 licencji dla firmy Microsoft Entra ID P1, aby spełnić wymagania licencyjne. Nie jest wymagana licencja dla urządzeń, które są członkami dynamicznej grupy opartej na urządzeniu.
Konstruktor reguł w witrynie Azure Portal
Identyfikator Entra firmy Microsoft udostępnia konstruktor reguł do szybszego tworzenia i aktualizowania ważnych reguł. Konstruktor reguł obsługuje konstrukcję maksymalnie pięciu wyrażeń. Konstruktor reguł ułatwia tworzenie reguły za pomocą kilku prostych wyrażeń, jednak nie można jej używać do odtworzenia każdej reguły. Jeśli konstruktor reguł nie obsługuje reguły, którą chcesz utworzyć, możesz użyć pola tekstowego.
Ważny
Konstruktor reguł jest dostępny tylko dla grup członkostwa dynamicznego opartego na użytkownikach. Dynamiczne grupy członkostwa oparte na urządzeniach można tworzyć tylko przy użyciu pola tekstowego.
Oto kilka przykładów zaawansowanych reguł lub składni, które wymagają użycia pola tekstowego:
- Reguła z więcej niż pięcioma wyrażeniami
- Reguła raportów bezpośrednich
- Reguły z operatorami -contains lub -notContains
- Ustawianie pierwszeństwa operatora
-
Reguły z wyrażeniami złożonymi, na przykład
(user.proxyAddresses -any (_ -startsWith "contoso"))
Uwaga
Konstruktor reguł może nie być w stanie wyświetlić niektórych reguł skonstruowanych w polu tekstowym. Może zostać wyświetlony komunikat, gdy konstruktor reguł nie może wyświetlić reguły. Konstruktor reguł nie zmienia obsługiwanej składni, walidacji ani przetwarzania reguł dla dynamicznych grup członkostwa w żaden sposób.
Aby uzyskać więcej instrukcji krok po kroku, zobacz Tworzenie lub aktualizowanie dynamicznej grupy członkostwa.
Składnia reguły dla pojedynczego wyrażenia
Pojedyncze wyrażenie jest najprostszą formą reguły członkostwa i ma tylko trzy części wymienione powyżej. Reguła z pojedynczym wyrażeniem wygląda podobnie do tego przykładu: Property Operator Value, gdzie składnia właściwości to nazwa object.property.
Poniższy przykład ilustruje prawidłowo skonstruowaną regułę członkostwa z pojedynczym wyrażeniem:
user.department -eq "Sales"
Nawiasy są opcjonalne dla pojedynczego wyrażenia. Całkowita długość treści reguły członkostwa nie może przekraczać 3072 znaków.
Konstruowanie treści reguły członkostwa
Reguła członkostwa, która automatycznie wypełnia grupę użytkownikami lub urządzeniami, jest wyrażeniem binarnym, które powoduje wynik true lub false. Trzy części prostej reguły to:
- Nieruchomość
- Operator
- Wartość
Kolejność części w wyrażeniu jest ważna, aby uniknąć błędów składniowych.
Obsługiwane właściwości
Istnieją trzy typy właściwości, których można użyć do konstruowania reguły członkostwa.
- Typ logiczny
- Data i Czas
- String
- Kolekcja ciągów znaków
Poniżej przedstawiono właściwości użytkownika, których można użyć do utworzenia pojedynczego wyrażenia.
Właściwości typu logicznego
| Właściwości | Dozwolone wartości | Użycie |
|---|---|---|
| kontoAktywne | prawda fałsz | user.accountEnabled -eq true |
| dirSyncEnabled | prawda fałsz | user.dirSyncEnabled -eq true |
Właściwości typu dateTime
| Właściwości | Dozwolone wartości | Użycie |
|---|---|---|
| employeeHireDate (wersja zapoznawcza) | Dowolna wartość DateTimeOffset lub słowo kluczowe system.now | user.employeeHireDate -eq "value" |
Właściwości ciągu typu
| Właściwości | Dozwolone wartości | Użycie |
|---|---|---|
| miejscowość | Dowolna wartość ciągu lub null | user.city -eq "value" |
| kraj | Dowolna wartość ciągu lub null | user.country -eq "value" |
| nazwa_firmy | Dowolny ciąg znaków lub null | user.companyName -eq "value" |
| wydział | Dowolna wartość ciągu lub null | user.department -eq "value" |
| nazwa wyświetlana | Dowolna wartość ciągu | user.displayName -eq "value" |
| identyfikatorPracownika | Dowolna wartość ciągu | user.employeeId -eq "value"<br>user.employeeId -ne *null* |
| numerFaksuTelefonicznego | Dowolna wartość ciągu znaków lub null | user.facsimileTelephoneNumber -eq "value" |
| givenName | Dowolna wartość ciągu lub null | user.givenName -eq "value" |
| stanowisko pracy | Dowolna wartość ciągu lub null | user.jobTitle -eq "value" |
| poczta | Dowolny ciąg znaków lub null (adres SMTP użytkownika) |
user.mail -eq "value" lub user.mail -notEndsWith "@Contoso.com" |
| mailNickName | Dowolna wartość ciągu (alias poczty użytkownika) |
user.mailNickName -eq "value" lub user.mailNickname -endsWith "-vendor" |
| członek | Dowolna wartość ciągu (prawidłowy identyfikator obiektu grupy) | user.memberOf -any (group.objectId -in ['value']) |
| mobilny | Dowolna wartość ciągu lub null | user.mobile -eq "value" |
| objectId | Identyfikator GUID obiektu użytkownika | user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
| onPremisesDistinguishedName | Dowolna wartość tekstowa lub null | user.onPremisesDistinguishedName -eq "value" |
| Identyfikator bezpieczeństwa na miejscu | Lokalny identyfikator zabezpieczeń (SID) dla użytkowników, którzy zostali zsynchronizowani ze środowiska lokalnego do chmury. | user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111" |
| polityki haseł | Brak WyłączSilneHasło WyłączWygasanieHasła DisablePasswordExpiration, DisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
| NazwaBiuraDostawyFizycznej | Dowolna wartość ciągu lub null | user.physicalDeliveryOfficeName -eq "value" |
| kod pocztowy | Dowolna wartość tekstowa lub null | user.postalCode -eq "value" |
| preferowanyJęzyk | Kod ISO 639-1 | user.preferredLanguage -eq "en-US" |
| sipProxyAddress | Dowolna wartość ciągu lub null | user.sipProxyAddress -eq "value" |
| stan | Dowolna wartość ciągu lub null | user.state -eq "value" |
| adres ulicy | Dowolna wartość ciągu lub null | user.streetAddress -eq "value" |
| surname | Dowolna wartość ciągu lub null | user.surname -eq "value" |
| numerTelefonu | Dowolna wartość tekstowa lub null | user.telephoneNumber -eq "value" |
| lokalizacja użytkowania | Dwuliterowy kod kraju lub regionu | user.usageLocation -eq "US" |
| nazwa główna użytkownika | Dowolna wartość ciągu | user.userPrincipalName -eq "alias@domain" |
| typ użytkownika | gość członka null | user.userType -eq "Member" |
Właściwości kolekcji ciągów typów
| Właściwości | Dozwolone wartości | Przykład |
|---|---|---|
| otherMails | Dowolna wartość ciągu |
user.otherMails -startsWith "alias@domain", user.otherMails -endsWith"@contoso.com" |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | user.proxyAddresses -startsWith "SMTP: alias@domain", user.proxyAddresses -notEndsWith "@outlook.com" |
Aby uzyskać właściwości używane dla reguł urządzeń, zobacz Reguły dla urządzeń.
Obsługiwane operatory wyrażeń
W poniższej tabeli wymieniono wszystkie obsługiwane operatory i ich składnię dla pojedynczego wyrażenia. Operatory mogą być używane z prefiksem łącznika (-) lub bez niego. Operator Contains wykonuje częściowe dopasowania ciągów, ale nie dopasowuje elementów w kolekcji.
Ostrożność
Aby uzyskać najlepsze wyniki, zminimalizuj użycie funkcji MATCH lub CONTAINS jak najwięcej. Tworzenie prostszych, bardziej wydajnych reguł dla dynamicznych grup członkostwa zawiera wskazówki dotyczące tworzenia reguł, które powodują lepsze dynamiczne czasy przetwarzania grup. Operator "memberOf" jest w wersji zapoznawczej i powinien być używany z ostrożnością, ponieważ ma pewne ograniczenia.
| Operator | Składnia |
|---|---|
| Kończy się na | -kończy się na |
| Nie kończy się na | -nieKończySięNa |
| Nie równa się | -Ne |
| Równa się | -Eq |
| Nie zaczyna się od | -notStartsWith |
| Rozpoczyna się od | -zaczynaSięOd |
| Nie zawiera | -notContains |
| Zawiera | -zawiera |
| Brak zgodności | -notMatch |
| Mecz | -mecz |
| W | -w |
| Nie w | -notIn |
Używanie operatorów -in i -notIn
Jeśli chcesz porównać wartość atrybutu użytkownika z wieloma wartościami, możesz użyć operatorów -in lub -notIn. Użyj symboli nawiasów "[" i "]", aby rozpocząć i zakończyć listę wartości.
W poniższym przykładzie wyrażenie daje wartość true, jeśli wartość user.department jest równa dowolnej wartości na liście:
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
Używanie operatorów -le i -ge
W przypadku używania atrybutu employeeHireDate w regułach dla grup członkostwa dynamicznego można użyć operatora mniejszego niż (-le) lub większego niż (-ge).
Przykłady:
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
Korzystanie z operatora -match
Operator -match służy do dopasowywania dowolnego wyrażenia regularnego. Przykłady:
user.displayName -match "^Da.*"
Da, Dav, David daje wartość true, aDa daje wartość false.
user.displayName -match ".*vid"
David oblicza wartość true, Da oblicza wartość false.
Obsługiwane wartości
Wartości używane w wyrażeniu mogą składać się z kilku typów, w tym:
- Ciągi
- Boolean — prawda, fałsz
- Liczby
- Tablice — tablica liczbowa, tablica ciągów
Podczas określania wartości w wyrażeniu należy użyć poprawnej składni, aby uniknąć błędów. Oto kilka wskazówek dotyczących składni:
- Cudzysłowy podwójne są opcjonalne, chyba że wartość jest ciągiem.
- Operacje wyrażeń regularnych i ciągów są niewrażliwe na wielkość liter.
- Upewnij się, że nazwy właściwości są poprawnie sformatowane, jak pokazano, ponieważ rozróżniają wielkość liter.
- Jeśli wartość ciągu zawiera cudzysłowy podwójne, oba cudzysłowy powinny zostać uniknięte przy użyciu znaku ", na przykład user.department -eq "Sales" jest właściwą składnią, gdy wartość to "Sales". Pojedyncze apostrofy powinny być zastępowane dwoma pojedynczymi apostrofami zamiast jednego za każdym razem.
- Możesz również przeprowadzać sprawdzanie wartości null, używając null jako wartości, na przykład
user.department -eq null.
Używanie wartości null
Aby określić wartość null w regule, możesz użyć wartości null .
- Użyj -eq lub -ne podczas porównywania wartości null w wyrażeniu.
- Użyj cudzysłowów wokół słowa null tylko wtedy, gdy chcesz, aby był interpretowany jako literalna wartość ciągu.
- Operator -not nie może być używany jako operator porównawczy dla wartości null. Jeśli go używasz, wystąpi błąd niezależnie od tego, czy używasz wartości null, czy $null.
Prawidłowy sposób odwołowania się do wartości null jest następujący:
user.mail –ne null
Reguły z wieloma wyrażeniami
Zarządzanie regułami dla dynamicznych grup członkostwa może składać się z więcej niż jednego wyrażenia połączonego za pomocą operatorów logicznych -i, -lub i -nie. Operatory logiczne mogą być również używane w połączeniu.
Poniżej przedstawiono przykłady prawidłowo skonstruowanych reguł członkostwa z wieloma wyrażeniami:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
Kolejność wykonywania działań
Wszystkie operatory są wymienione poniżej w kolejności od najwyższego do najniższego. Operatory w tym samym wierszu mają równe pierwszeństwo:
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
W poniższym przykładzie pokazano pierwszeństwo operatora, w którym są oceniane dwa wyrażenia dla użytkownika:
user.department –eq "Marketing" –and user.country –eq "US"
Nawiasy są potrzebne tylko wtedy, gdy pierwszeństwo nie spełnia wymagań. Jeśli na przykład chcesz, aby dział był oceniany jako pierwszy, poniżej pokazano, jak można użyć nawiasów do określenia kolejności:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Reguły z wyrażeniami złożonymi
Reguła członkostwa może składać się z złożonych wyrażeń, w których właściwości, operatory i wartości przyjmują bardziej złożone formy. Wyrażenia są uznawane za złożone, gdy którekolwiek z następujących warunków są prawdziwe:
- Właściwość składa się ze zbioru wartości: w szczególności z właściwości wielowartościowych
- Wyrażenia używają operatorów -any i -all
- Wartość wyrażenia może być jednym lub kilkoma wyrażeniami
Właściwości wielowartościowe
Właściwości wielowartościowe to kolekcje obiektów tego samego typu. Mogą służyć do tworzenia reguł członkostwa przy użyciu operatorów logicznych -any i -all.
| Właściwości | Wartości | Użycie |
|---|---|---|
| przypisane plany | Każdy obiekt w kolekcji uwidacznia następujące właściwości ciągu: capabilityStatus, service, servicePlanId | user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled") |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | (user.proxyAddresses -any (\_ -startsWith "contoso")) |
Używanie operatorów -any i -all
Można użyć operatorów -any i -all, aby zastosować warunek odpowiednio do jednego lub wszystkich elementów w kolekcji.
- -any (spełnia się, gdy co najmniej jeden element w kolekcji jest zgodny z warunkiem)
- -all (spełnione, gdy wszystkie elementy w kolekcji są zgodne z warunkiem)
Przykład 1
assignedPlans to właściwość wielowartościowa zawierająca listę wszystkich planów usług przypisanych do użytkownika. Następujące wyrażenie wybiera użytkowników, którzy mają plan usługi Exchange Online (plan 2) (jako wartość identyfikatora GUID), który jest również w stanie Włączone:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
Reguła taka jak ta może służyć do grupowania wszystkich użytkowników, dla których włączono usługę Microsoft 365 lub inną funkcję usługi online firmy Microsoft. Następnie można zastosować zestaw zasad do grupy.
Przykład 2
Następujące wyrażenie wybiera wszystkich użytkowników, którzy mają dowolny plan usługi skojarzony z usługą Intune (identyfikowany przez nazwę usługi "SCO"):
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Przykład 3
Następujące wyrażenie wybiera wszystkich użytkowników, którzy nie mają przypisanego planu usługi:
user.assignedPlans -all (assignedPlan.servicePlanId -eq null)
Używanie składni podkreślenia (_)
Składnia podkreślenia (_) pasuje do wystąpień określonej wartości w jednej z wielowartościowych właściwości ciągów znaków, aby dodać użytkowników lub urządzenia do dynamicznej grupy członkowskiej. Używa się go z operatorami -any lub -all.
Oto przykład użycia podkreślenia (_) w regule w celu dodania członków na podstawie user.proxyAddress (działa to tak samo w przypadku user.otherMails). Ta reguła dodaje dowolnego użytkownika z adresem proxy rozpoczynającym się od "contoso" do grupy.
(user.proxyAddresses -any (_ -startsWith "contoso"))
Inne właściwości i typowe reguły
Tworzenie reguły "Raporty bezpośrednie"
Możesz utworzyć grupę zawierającą wszystkie bezpośrednie raporty menedżera. Gdy bezpośrednie raporty menedżera zmienią się w przyszłości, członkostwo grupy zostanie automatycznie dostosowane.
Reguła raportów bezpośrednich jest tworzona przy użyciu następującej składni:
Direct Reports for "{objectID_of_manager}"
Oto przykład prawidłowej reguły, gdzie "aaaa-0000-1111-2222-bbbbbbbbbb" jest objectID menedżera:
Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
Poniższe porady mogą pomóc w prawidłowym użyciu reguły.
- Identyfikator menedżera to identyfikator obiektu menedżera. Można go znaleźć w profilu menedżera.
- Aby reguła działała, upewnij się, że właściwość Manager jest poprawnie ustawiona dla użytkowników w organizacji. Bieżącą wartość można sprawdzić w profilu użytkownika.
- Ta reguła obsługuje tylko bezpośrednie raporty menedżera. Innymi słowy, nie można utworzyć grupy z bezpośrednimi raportami menedżera i ich raportami.
- Tej reguły nie można połączyć z żadnymi innymi regułami członkostwa.
Tworzenie reguły "Wszyscy użytkownicy"
Grupę zawierającą wszystkich użytkowników w organizacji można utworzyć przy użyciu reguły członkostwa. Po dodaniu lub usunięciu użytkowników z organizacji w przyszłości członkostwo w grupie zostanie automatycznie dostosowane.
Reguła "Wszyscy użytkownicy" jest tworzona przy użyciu pojedynczego wyrażenia przy użyciu operatora -ne i wartości null. Ta reguła dodaje użytkowników-gości B2B i użytkowników będących członkami do grupy.
user.objectId -ne null
Jeśli chcesz, aby grupa wykluczała użytkowników-gości i uwzględniała tylko członków organizacji, możesz użyć następującej składni:
(user.objectId -ne null) -and (user.userType -eq "Member")
Tworzenie reguły "Wszystkie urządzenia"
Grupę zawierającą wszystkie urządzenia w organizacji można utworzyć przy użyciu reguły członkostwa. Po dodaniu lub usunięciu urządzeń z organizacji w przyszłości członkostwo w grupie zostanie automatycznie dostosowane.
Reguła "Wszystkie urządzenia" jest konstruowana przy użyciu pojedynczego wyrażenia przy użyciu operatora -ne i wartości null:
device.objectId -ne null
Właściwości rozszerzenia i niestandardowe właściwości rozszerzenia
Atrybuty rozszerzenia i niestandardowe właściwości rozszerzenia są obsługiwane jako właściwości ciągu w regułach dla dynamicznych grup członkostwa. atrybuty rozszerzenia można synchronizować z lokalnego Windows Server Active Directory lub aktualizować za pomocą Microsoft Graph i przyjmują format "ExtensionAttributeX", gdzie X jest liczbą od 1 do 15. W regułach dla dynamicznych grup członkostwa nie są obsługiwane właściwości rozszerzenia wielowartościowego.
Oto przykład reguły, która używa atrybutu rozszerzenia jako właściwości:
(user.extensionAttribute15 -eq "Marketing")
Niestandardowe właściwości rozszerzeń można synchronizować z lokalnego Active Directory systemu Windows Server, z połączonej aplikacji SaaS lub tworzyć przy użyciu interfejsu Microsoft Graph i mają format user.extension_[GUID]_[Attribute], gdzie:
- [GUID] to zredukowana wersja unikatowego identyfikatora w usłudze Microsoft Entra ID dla aplikacji, która stworzyła tę właściwość. Zawiera tylko znaki 0-9 i A-Z
- [Attribute] to nazwa właściwości, jaka została utworzona
Przykładem reguły używającej niestandardowej właściwości rozszerzenia jest:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Właściwości rozszerzenia niestandardowego są również nazywane właściwościami katalogu lub rozszerzeniami Microsoft Entra.
Nazwę niestandardowej właściwości można znaleźć w katalogu, wysyłając zapytanie do właściwości użytkownika przy użyciu Eksploratora Graph i wyszukując nazwę właściwości. Ponadto, możesz teraz wybrać link Uzyskaj właściwości rozszerzenia niestandardowego w konstruktorze reguł dla dynamicznych grup członkostwa, aby wprowadzić unikatowy identyfikator aplikacji i uzyskać pełną listę właściwości rozszerzenia niestandardowego, którą można użyć przy tworzeniu reguły dla dynamicznych grup członkostwa. Tę listę można również odświeżyć, aby uzyskać wszelkie nowe niestandardowe właściwości rozszerzeń dla tej aplikacji. Atrybuty rozszerzenia i niestandardowe właściwości rozszerzenia muszą pochodzić z aplikacji w Twojej dzierżawie.
Aby uzyskać więcej informacji, zobacz Użyj atrybutów w dynamicznych grupach członkostwa w artykule Rozszerzenia katalogu Microsoft Entra Connect Sync.
Reguły dla urządzeń
Możesz również utworzyć regułę, która wybiera obiekty urządzeń dla członkostwa w grupie. Nie można mieć użytkowników i urządzeń jako członków grupy.
Uwaga
Atrybut organizationalUnit nie jest już wymieniony i nie powinien być używany. Ten ciąg jest ustawiany przez usługę Intune w określonych przypadkach, ale nie jest rozpoznawany przez identyfikator Entra firmy Microsoft, więc żadne urządzenia nie są dodawane do grup na podstawie tego atrybutu.
Atrybut systemlabels jest tylko do odczytu i nie można go ustawić w usłudze Intune.
W przypadku systemu Windows 10 prawidłowy format atrybutu deviceOSVersion jest następujący: (device.deviceOSVersion -startsWith "10.0.1"). Formatowanie można zweryfikować za pomocą polecenia cmdlet Get-MgDevice programu PowerShell:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
Można użyć następujących atrybutów urządzenia.
| Atrybut urządzenia | Wartości | Przykład |
|---|---|---|
| kontoAktywne | prawda fałsz | device.accountEnabled jest równy prawda |
| kategoria urządzenia | prawidłowa nazwa kategorii urządzeń | device.deviceCategory -eq "BYOD" |
| identyfikator urządzenia | prawidłowy identyfikator urządzenia Microsoft Entra | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
| Identyfikator aplikacji do zarządzania urządzeniem | prawidłowy identyfikator aplikacji MDM w Microsoft Entra ID | device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" dla urządzeń zarządzanych przez Microsoft Intune lub "54b943f8-d761-4f8d-951e-9cea1846db5a" dla urządzeń współzarządzanych przez System Center Configuration Manager |
| producent urządzenia | dowolna wartość ciągu | device.deviceManufacturer -eq "Samsung" |
| model urządzenia | dowolna wartość ciągu | device.deviceModel -eq "iPad Air" |
| nazwa wyświetlana | dowolna wartość ciągu | device.displayName -eq "Rob iPhone" |
| typSystemuOperacyjnegoUrządzenia | dowolna wartość ciągu | (device.deviceOSType -eq "iPad") lub (device.deviceOSType -eq "iOS") device.deviceOSType -startsWith "AndroidEnterprise" device.deviceOSType -eq "AndroidForWork" device.deviceOSType -eq "Windows" |
| wersja systemu operacyjnego urządzenia | dowolna wartość ciągu | device.deviceOSVersion -eq "9.1" device.deviceOSVersion -startsWith "10.0.1" |
| własność urządzenia | Osobiste, Firmowe, Nieznane | device.deviceOwnership -eq "Firma" |
| identyfikatory fizyczne urządzenia | dowolna wartość ciągu używana przez Autopilot, taka jak wszystkie urządzenia Autopilot, OrderID lub PurchaseOrderID | device.devicePhysicalIDs -any _ -startsWith "[ZTDId]" (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881" (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
| typZaufaniaUrządzenia | AzureAD, ServerAD, Workplace | device.deviceTrustType -eq "AzureAD" |
| nazwaProfiluRejestracyjnego | Nazwa profilu rejestracji urządzeń Apple, nazwa profilu rejestracji urządzeń Android Enterprise będących własnością firmy lub nazwa profilu Windows Autopilot. | device.enrollmentProfileName -eq "DEP iPhones" |
| extensionAttribute1 | dowolna wartość ciągu | device.extensionAttribute1 -eq "some string value" |
| extensionAttribute2 | dowolna wartość ciągu | device.extensionAttribute2 -eq "jakaś wartość tekstowa" |
| extensionAttribute3 | dowolna wartość ciągu | device.extensionAttribute3 -eq "jakaś wartość tekstowa" |
| extensionAttribute4 | dowolna wartość ciągu | device.extensionAttribute4 -eq "some string value" |
| extensionAttribute5 | dowolna wartość ciągu | device.extensionAttribute5 -eq "jakaś wartość tekstowa" |
| extensionAttribute6 | dowolna wartość ciągu | device.extensionAttribute6 -eq "jakaś wartość tekstowa" |
| extensionAttribute7 | dowolna wartość ciągu | device.extensionAttribute7 -eq "jakaś wartość tekstowa" |
| extensionAttribute8 | dowolna wartość ciągu | device.extensionAttribute8 -eq "some string value" |
| extensionAttribute9 | dowolna wartość ciągu | device.extensionAttribute9 -eq "jakaś wartość tekstowa" |
| extensionAttribute10 | dowolna wartość ciągu | device.extensionAttribute10 -eq "jakaś wartość ciągu" |
| extensionAttribute11 | dowolna wartość ciągu | device.extensionAttribute11 -eq "some string value" |
| extensionAttribute12 | dowolna wartość ciągu | device.extensionAttribute12 -eq "jakaś wartość ciągu" |
| extensionAttribute13 | dowolna wartość ciągu | device.extensionAttribute13 -eq "some string value" |
| extensionAttribute14 | dowolna wartość ciągu | device.extensionAttribute14 -eq "jakaś wartość tekstowa" |
| extensionAttribute15 | dowolna wartość ciągu | device.extensionAttribute15 -eq "jakaś wartość tekstowa" |
| isRooted | prawda fałsz | device.isRooted -eq true |
| typ zarządzania | MdM (dla urządzeń przenośnych) | device.managementType -eq "MDM" |
| memberOf | Dowolna wartość ciągu (prawidłowy identyfikator obiektu grupy) | device.memberOf -any (group.objectId -in ['value']) |
| objectId | prawidłowy identyfikator obiektu Microsoft Entra | device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
| typ profilu | prawidłowy typ profilu w identyfikatorze Entra firmy Microsoft | device.profileType -eq "RegisteredDevice" |
| systemLabels | ciąg tylko do odczytu pasujący do właściwości urządzenia usługi Intune do oznaczania urządzeń nowoczesnego środowiska pracy | device.systemLabels -startsWith "M365Managed" EtykietySystemowe |
Uwaga
W przypadku używania atrybutu systemLabels tylko do odczytu, który jest używany w różnych kontekstach, takich jak zarządzanie urządzeniami i etykietowanie poufności, nie można go edytować w Intune.
Podczas używania deviceOwnership do tworzenia dynamicznych grup członkostwa dla urządzeń należy ustawić wartość równą Company. W usłudze Intune własność urządzenia jest oznaczana jako firmowa. Aby uzyskać więcej informacji, zobacz OwnerTypes.
Podczas korzystania z deviceTrustType do tworzenia dynamicznych grup członkostwa dla urządzeń należy ustawić wartość równą AzureAD, aby reprezentować urządzenia dołączone do Microsoft Entra, ServerAD dla urządzeń dołączonych hybrydowo do Microsoft Entra lub Workplace dla urządzeń zarejestrowanych w Microsoft Entra.
Podczas korzystania z extensionAttribute1-15 do tworzenia dynamicznych grup członkostwa dla urządzeń, należy ustawić wartość dla extensionAttribute1-15 na urządzeniu. Dowiedz się więcej na temat jak pisać extensionAttributes na obiekcie urządzenia Entra firmy Microsoft
Następne kroki
Te artykuły zawierają dodatkowe informacje o grupach w usłudze Microsoft Entra ID.