Hantera regler för dynamiska medlemskapsgrupper i Microsoft Entra-ID
Du kan skapa attributbaserade regler för användare eller enheter för att aktivera medlemskap för dynamiska medlemskapsgrupper i Microsoft Entra-ID, en del av Microsoft Entra. Du kan lägga till och ta bort dynamiska medlemskapsgrupper automatiskt med hjälp av medlemskapsregler baserat på medlemsattribut. I Microsoft Entra kan en enda klientorganisation ha högst 15 000 dynamiska medlemskapsgrupper.
Den här artikeln beskriver egenskaperna och syntaxen för att skapa regler för dynamiska medlemskapsgrupper baserat på användare eller enheter.
Not
Säkerhetsgrupper kan användas för enheter eller användare, men Microsoft 365-grupper kan endast innehålla användare.
När attributen för en användare eller en enhet ändras utvärderar systemet alla regler för dynamiska medlemskapsgrupper i en katalog för att se om ändringen utlöser någon grupp som lägger till eller tar bort. Om en användare eller enhet uppfyller en regel för en grupp läggs de till som medlem i den gruppen. Om de inte längre uppfyller regeln tas de bort. Du kan inte lägga till eller ta bort en medlem i en dynamisk medlemskapsgrupp manuellt.
- Du kan skapa dynamiska medlemskapsgrupper för användare eller enheter, men du kan inte skapa en regel som innehåller både användare och enheter.
- Du kan inte skapa en grupp för enhetsmedlemskap baserat på enhetsägarens användarattribut. Regler för enhetsmedlemskap kan endast referera till enhetsattribut.
Not
Den här funktionen kräver en Microsoft Entra ID P1-licens eller Intune for Education för varje unik användare som är medlem i en eller flera dynamiska medlemskapsgrupper. Du behöver inte tilldela licenser till användare för att de ska vara medlemmar i dynamiska medlemskapsgrupper, men du måste ha det minsta antalet licenser i Microsoft Entra-organisationen för att täcka alla sådana användare. Om du till exempel hade totalt 1 000 unika användare i alla dynamiska medlemskapsgrupper i din organisation skulle du behöva minst 1 000 licenser för Microsoft Entra ID P1 för att uppfylla licenskravet. Ingen licens krävs för enheter som är medlemmar i en dynamisk medlemskapsgrupp baserat på en enhet.
Regelbyggare i Azure Portal
Microsoft Entra ID tillhandahåller en regelbyggare för att skapa och uppdatera dina viktiga regler snabbare. Regelverktyget stöder konstruktion av upp till fem uttryck. Regelverktyget gör det enklare att skapa en regel med några enkla uttryck, men det kan inte användas för att återskapa varje regel. Om regelverktyget inte stöder den regel som du vill skapa kan du använda textrutan.
Här är några exempel på avancerade regler eller syntax som kräver användning av textrutan:
- Regel med fler än fem uttryck
- Regeln För direktrapporter
- Regler med operatorn -contains eller -notContains
- Ange operatorpriorence
- Regler med komplexa uttryck, till exempel
(user.proxyAddresses -any (_ -startsWith "contoso"))
Not
Regelverktyget kanske inte kan visa vissa regler som skapats i textrutan. Du kan se ett meddelande när regelverktyget inte kan visa regeln. Regelverktyget ändrar inte den syntax, validering eller bearbetning av regler som stöds för dynamiska medlemskapsgrupper på något sätt.
Mer stegvisa instruktioner finns i Skapa eller uppdatera en dynamisk medlemskapsgrupp.
Regelsyntax för ett enda uttryck
Ett enda uttryck är den enklaste formen av en medlemskapsregel och har bara de tre delarna som nämns ovan. En regel med ett enda uttryck liknar det här exemplet: Property Operator Value, där syntaxen för egenskapen är namnet på object.property.
I följande exempel visas en korrekt konstruerad medlemskapsregel med ett enda uttryck:
user.department -eq "Sales"
Parenteser är valfria för ett enda uttryck. Den totala längden på brödtexten i medlemskapsregeln får inte överstiga 3 072 tecken.
Konstruera brödtexten för en medlemskapsregel
En medlemskapsregel som automatiskt fyller i en grupp med användare eller enheter är ett binärt uttryck som resulterar i ett sant eller falskt resultat. De tre delarna i en enkel regel är:
- Egenskap
- Operatör
- Värde
Ordningen på delarna i ett uttryck är viktig för att undvika syntaxfel.
Egenskaper som stöds
Det finns tre typer av egenskaper som kan användas för att skapa en medlemskapsregel.
- Boolesk
- DateTime
- Sträng
- Strängsamling
Följande är de användaregenskaper som du kan använda för att skapa ett enda uttryck.
Egenskaper av typen booleskt värde
| Egenskaper | Tillåtna värden | Användning |
|---|---|---|
| accountEnabled | sant falskt | user.accountEnabled -eq true |
| dirSyncEnabled | sant falskt | user.dirSyncEnabled -eq true |
Egenskaper av typen dateTime
| Egenskaper | Tillåtna värden | Användning |
|---|---|---|
| employeeHireDate (förhandsversion) | DateTimeOffset-värde eller nyckelordssystem.nu | user.employeeHireDate -eq "value" |
Egenskaper för typsträng
| Egenskaper | Tillåtna värden | Användning |
|---|---|---|
| stad | Valfritt strängvärde eller null | user.city -eq "value" |
| land | Valfritt strängvärde eller null | user.country -eq "value" |
| companyName | Valfritt strängvärde eller null | user.companyName -eq "value" |
| avdelning | Valfritt strängvärde eller null | user.department -eq "value" |
| displayName | Valfritt strängvärde | user.displayName -eq "value" |
| employeeId | Valfritt strängvärde | user.employeeId -eq "value" user.employeeId -ne null |
| facsimileTelephoneNumber | Valfritt strängvärde eller null | user.facsimileTelephoneNumber -eq "value" |
| givenName | Valfritt strängvärde eller null | user.givenName -eq "value" |
| jobTitle | Valfritt strängvärde eller null | user.jobTitle -eq "value" |
| post | Valfritt strängvärde eller null (SMTP-adress för användaren) | user.mail -eq "value" |
| mailNickName | Valfritt strängvärde (användarens e-postalias) | user.mailNickName -eq "value" |
| memberOf | Valfritt strängvärde (giltigt gruppobjekt-ID) | user.memberOf -any (group.objectId -in ['value']) |
| mobil | Valfritt strängvärde eller null | user.mobile -eq "value" |
| objectId | GUID för användarobjektet | user.objectId -eq "aaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
| onPremisesDistinguishedName | Valfritt strängvärde eller null | user.onPremisesDistinguishedName -eq "value" |
| onPremisesSecurityIdentifier | Lokal säkerhetsidentifierare (SID) för användare som synkroniserades från en lokal plats till molnet. | user.onPremisesSecurityIdentifier -eq "S-1-1-11-111111111-11111111111-111111111-1111111" |
| passwordPolicies | Ingen DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
| physicalDeliveryOfficeName | Valfritt strängvärde eller null | user.physicalDeliveryOfficeName -eq "värde" |
| postalCode | Valfritt strängvärde eller null | user.postalCode -eq "value" |
| preferredLanguage | ISO 639-1-kod | user.preferredLanguage -eq "en-US" |
| sipProxyAddress | Valfritt strängvärde eller null | user.sipProxyAddress -eq "värde" |
| stat | Valfritt strängvärde eller null | user.state -eq "value" |
| streetAddress | Valfritt strängvärde eller null | user.streetAddress -eq "value" |
| efternamn | Valfritt strängvärde eller null | user.surname -eq "value" |
| telephoneNumber | Valfritt strängvärde eller null | user.telephoneNumber -eq "value" |
| usageLocation | Lands- eller regionkod med två bokstäver | user.usageLocation -eq "US" |
| userPrincipalName | Valfritt strängvärde | user.userPrincipalName -eq "alias@domain" |
| userType | medlemsgäst null | user.userType -eq "Member" |
Egenskaper för typsträngssamling
| Egenskaper | Tillåtna värden | Exempel |
|---|---|---|
| otherMails | Valfritt strängvärde | user.otherMails -startsWith "alias@domain" |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | user.proxyAddresses -startsWith "SMTP: alias@domain" |
De egenskaper som används för enhetsregler finns i Regler för enheter.
Uttrycksoperatorer som stöds
I följande tabell visas alla operatorer som stöds och deras syntax för ett enda uttryck. Operatorer kan användas med eller utan bindestrecksprefixet (-). Operatorn Contains utför partiella strängmatchningar men inte objekt i en samling matchar.
| Operatör | Syntax |
|---|---|
| Inte lika med | -Ne |
| Motsvarar | -Eq |
| Börjar inte med | -notStartsWith |
| Börjar med | -startsWith |
| Innehåller inte | -notContains |
| Innehåller | -Innehåller |
| Matchar inte | -notMatch |
| Tändsticka | -tändsticka |
| I | -i |
| Inte i | -notIn |
Använda operatorerna -in och -notIn
Om du vill jämföra värdet för ett användarattribut med flera värden kan du använda operatorerna -in eller -notIn. Använd hakparentessymbolerna "[" och "]" för att börja och avsluta listan med värden.
I följande exempel utvärderas uttrycket till sant om värdet för user.department är lika med något av värdena i listan:
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
Använda operatorerna -le och -ge
Du kan använda operatorerna mindre än (-le) eller större än (-ge) när du använder attributet employeeHireDate i regler för dynamiska medlemskapsgrupper.
Exempel:
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
Använda operatorn -match
Operatorn -match används för att matcha alla reguljära uttryck. Exempel:
user.displayName -match "^Da.*"
Da, Dav, David utvärderas till true, aDa utvärderas till false.
user.displayName -match ".*vid"
David utvärderas till sant, Da utvärderas till false.
Värden som stöds
Värdena som används i ett uttryck kan bestå av flera typer, inklusive:
- Strängar
- Booleskt – sant, falskt
- Tal
- Matriser – talmatris, strängmatris
När du anger ett värde i ett uttryck är det viktigt att använda rätt syntax för att undvika fel. Några syntaxtips är:
- Dubbla citattecken är valfria om inte värdet är en sträng.
- Regex- och strängåtgärder är inte skiftlägeskänsliga.
- Se till att egenskapsnamnen är korrekt formaterade som de visas, eftersom de är skiftlägeskänsliga.
- När ett strängvärde innehåller dubbla citattecken bör båda citattecknas med hjälp av tecknet , till exempel user.department -eq '"Sales'" är rätt syntax när "Sales" är värdet. Enkla citattecken bör kringgås med hjälp av två enkla citattecken i stället för ett varje gång.
- Du kan också utföra Null-kontroller med null som ett värde,
user.department -eq nulltill exempel .
Användning av Null-värden
Om du vill ange ett null-värde i en regel kan du använda null-värdet .
- Använd -eq eller -ne när du jämför null-värdet i ett uttryck.
- Använd bara citattecken runt ordet null om du vill att det ska tolkas som ett strängvärde med literaltecken.
- Operatorn -not kan inte användas som en jämförande operator för null. Om du använder det får du ett felmeddelande om du använder null eller $null.
Det rätta sättet att referera till null-värdet är följande:
user.mail –ne null
Regler med flera uttryck
Hantera regler för dynamiska medlemskapsgrupper kan bestå av mer än ett enda uttryck som är anslutet av operatorerna - och - eller - eller - inte logiska operatorer. Logiska operatorer kan också användas i kombination.
Följande är exempel på korrekt konstruerade medlemskapsregler med flera uttryck:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
Operatorpriorence
Alla operatorer visas nedan i prioritetsordning från högsta till lägsta. Operatorer på samma rad har samma prioritet:
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
I följande exempel visas operatorprioret där två uttryck utvärderas för användaren:
user.department –eq "Marketing" –and user.country –eq "US"
Parenteser behövs bara när prioriteten inte uppfyller dina krav. Om du till exempel vill att avdelningen ska utvärderas först visar följande hur parenteser kan användas för att fastställa ordning:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Regler med komplexa uttryck
En medlemskapsregel kan bestå av komplexa uttryck där egenskaper, operatorer och värden får mer komplexa former. Uttryck anses vara komplexa när något av följande är sant:
- Egenskapen består av en samling värden; mer specifikt flervärdesegenskaper
- Uttrycken använder operatorerna -any och -all
- Värdet för uttrycket kan vara ett eller flera uttryck
Egenskaper för flera värden
Egenskaper för flera värden är samlingar av objekt av samma typ. De kan användas för att skapa medlemskapsregler med hjälp av de logiska operatorerna -any och -all.
| Egenskaper | Värden | Användning |
|---|---|---|
| assignedPlans | Varje objekt i samlingen visar följande strängegenskaper: capabilityStatus, service, servicePlanId | user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled") |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | (user.proxyAddresses -any (_ -startsWith "contoso")) |
Använda operatorerna -any och -all
Du kan använda alla operatorer för att tillämpa ett villkor på ett eller alla objekt i samlingen.
- -alla (uppfyllda när minst ett objekt i samlingen matchar villkoret)
- -alla (uppfyllda när alla objekt i samlingen matchar villkoret)
Exempel 1
assignedPlans är en egenskap med flera värden som visar alla tjänstplaner som tilldelats användaren. Följande uttryck väljer användare som har Exchange Online (alternativ 2) tjänstplan (som ett GUID-värde) som också är i aktiverat tillstånd:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
En regel som den här kan användas för att gruppera alla användare för vilka en Microsoft 365- eller annan Microsoft Online Service-funktion är aktiverad. Du kan sedan tillämpa med en uppsättning principer för gruppen.
Exempel 2
Följande uttryck väljer alla användare som har en tjänstplan som är associerad med Intune-tjänsten (identifieras med tjänstnamnet "SCO"):
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Exempel 3
Följande uttryck väljer alla användare som inte har någon tilldelad tjänstplan:
user.assignedPlans -all (assignedPlan.servicePlanId -eq null)
Använda understreckssyntaxen (_)
Understreckssyntaxen (_) matchar förekomster av ett visst värde i en av egenskaperna för flervärdessträngssamling för att lägga till användare eller enheter i en dynamisk medlemskapsgrupp. Den används med operatorerna -any eller -all.
Här är ett exempel på hur du använder understrecket (_) i en regel för att lägga till medlemmar baserat på user.proxyAddress (det fungerar på samma sätt för user.otherMails). Den här regeln lägger till alla användare med proxyadress som börjar med "contoso" i gruppen.
(user.proxyAddresses -any (_ -startsWith "contoso"))
Andra egenskaper och vanliga regler
Skapa en regel för direktrapporter
Du kan skapa en grupp som innehåller alla direktrapporter från en chef. När chefens direktrapporter ändras i framtiden justeras gruppens medlemskap automatiskt.
Regeln för direktrapporter konstrueras med hjälp av följande syntax:
Direct Reports for "{objectID_of_manager}"
Här är ett exempel på en giltig regel, där "aaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" är chefens objectID:
Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
Följande tips kan hjälpa dig att använda regeln korrekt.
- Manager-ID:t är objekt-ID:t för chefen. Den finns i chefens profil.
- Kontrollera att egenskapen Manager är korrekt inställd för användare i din organisation för att regeln ska fungera. Du kan kontrollera det aktuella värdet i användarens profil.
- Den här regeln stöder endast chefens direktrapporter. Med andra ord kan du inte skapa en grupp med chefens direkta rapporter och deras rapporter.
- Den här regeln kan inte kombineras med andra medlemskapsregler.
Skapa en regel för alla användare
Du kan skapa en grupp som innehåller alla användare i en organisation med hjälp av en medlemskapsregel. När användare läggs till eller tas bort från organisationen i framtiden justeras gruppens medlemskap automatiskt.
Regeln "Alla användare" konstrueras med ett enda uttryck med operatorn -ne och null-värdet. Den här regeln lägger till B2B-gästanvändare och medlemsanvändare i gruppen.
user.objectId -ne null
Om du vill att din grupp ska undanta gästanvändare och endast inkludera medlemmar i organisationen kan du använda följande syntax:
(user.objectId -ne null) -and (user.userType -eq "Member")
Skapa en regel för alla enheter
Du kan skapa en grupp som innehåller alla enheter i en organisation med hjälp av en medlemskapsregel. När enheter läggs till eller tas bort från organisationen i framtiden justeras gruppens medlemskap automatiskt.
Regeln "Alla enheter" konstrueras med ett enda uttryck med operatorn -ne och null-värdet:
device.objectId -ne null
Tilläggsegenskaper och anpassade tilläggsegenskaper
Tilläggsattribut och anpassade tilläggsegenskaper stöds som strängegenskaper i regler för dynamiska medlemskapsgrupper. Tilläggsattribut kan synkroniseras från den lokala Windows Server Active Directory eller uppdateras med Microsoft Graph och har formatet "ExtensionAttributeX", där X är lika med 1–15. Egenskaper för flervärdestillägg stöds inte i regler för dynamiska medlemskapsgrupper.
Här är ett exempel på en regel som använder ett tilläggsattribut som en egenskap:
(user.extensionAttribute15 -eq "Marketing")
Anpassade tilläggsegenskaper kan synkroniseras från lokala Windows Server Active Directory, från ett anslutet SaaS-program eller skapas med Microsoft Graph och är av user.extension_[GUID]_[Attribute]formatet , där:
- [GUID] är den avskalade versionen av den unika identifieraren i Microsoft Entra-ID:t för programmet som skapade egenskapen. Den innehåller endast tecken 0-9 och A-Z
- [Attribut] är namnet på egenskapen när den skapades
Ett exempel på en regel som använder en anpassad tilläggsegenskap är:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Egenskaper för anpassade tillägg kallas även för katalog- eller Microsoft Entra-tilläggsegenskaper.
Det anpassade egenskapsnamnet finns i katalogen genom att fråga efter en användares egenskap med hjälp av Graph Explorer och söka efter egenskapsnamnet. Nu kan du också välja Länken Hämta anpassade tilläggsegenskaper i regelverktyget för dynamiska medlemskapsgrupper för att ange ett unikt app-ID och ta emot den fullständiga listan över anpassade tilläggsegenskaper som ska användas när du skapar en regel för dynamiska medlemskapsgrupper. Den här listan kan också uppdateras för att hämta nya anpassade tilläggsegenskaper för appen. Tilläggsattribut och anpassade tilläggsegenskaper måste komma från program i klientorganisationen.
Mer information finns i Använda attributen i dynamiska medlemskapsgrupper i artikeln Microsoft Entra Connect Sync: Directory-tillägg.
Regler för enheter
Du kan också skapa en regel som väljer enhetsobjekt för medlemskap i en grupp. Du kan inte ha både användare och enheter som gruppmedlemmar.
Not
Attributet organizationalUnit visas inte längre och bör inte användas. Den här strängen anges av Intune i specifika fall men känns inte igen av Microsoft Entra-ID, så inga enheter läggs till i grupper baserat på det här attributet.
Attributet systemlabels är skrivskyddat och kan inte anges med Intune.
För Windows 10 är rätt format deviceOSVersion för attributet följande: (device.deviceOSVersion -startsWith "10.0.1"). Formateringen kan verifieras med PowerShell-cmdleten Get-MgDevice:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
Följande enhetsattribut kan användas.
| Enhetsattribut | Värden | Exempel |
|---|---|---|
| accountEnabled | sant falskt | device.accountEnabled -eq true |
| deviceCategory | ett giltigt enhetskategorinamn | device.deviceCategory -eq "BYOD" |
| deviceId | ett giltigt Microsoft Entra-enhets-ID | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
| deviceManagementAppId | ett giltigt MDM-program-ID i Microsoft Entra-ID | device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" för Microsoft In hanterad eller "54b943f8-d761-4f8d-951e-9cea1846db5a" för Samhanterade System Center Configuration Manager-enheter |
| deviceManufacturer | valfritt strängvärde | device.deviceManufacturer -eq "Samsung" |
| deviceModel | valfritt strängvärde | device.deviceModel -eq "iPad Air" |
| displayName | valfritt strängvärde | device.displayName -eq "Rob iPhone" |
| deviceOSType | valfritt strängvärde | (device.deviceOSType -eq "iPad") - eller (device.deviceOSType -eq "iOS") device.deviceOSType -startsWith "AndroidEnterprise" device.deviceOSType -eq "AndroidForWork" device.deviceOSType -eq "Windows" |
| deviceOSVersion | valfritt strängvärde | device.deviceOSVersion -eq "9.1" device.deviceOSVersion -startsWith "10.0.1" |
| deviceOwnership | Personligt, Företag, Okänt | device.deviceOwnership –eq "Företag" |
| devicePhysicalIds | alla strängvärden som används av Autopilot, till exempel alla Autopilot-enheter, OrderID eller PurchaseOrderID | device.devicePhysicalIDs -any _ -startsWith "[ZTDId]" (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881" (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
| deviceTrustType | AzureAD, ServerAD, Workplace | device.deviceTrustType –eq "AzureAD" |
| enrollmentProfileName | Namn på Apple-enhetsregistreringsprofil, Android Enterprise Företagsägd dedikerad enhetsregistreringsprofil eller Windows Autopilot-profilnamn | device.enrollmentProfileName -eq "DEP iPhones" |
| extensionAttribute1 | valfritt strängvärde | device.extensionAttribute1 –eq "något strängvärde" |
| extensionAttribute2 | valfritt strängvärde | device.extensionAttribute2 -eq "vissa strängvärden" |
| extensionAttribute3 | valfritt strängvärde | device.extensionAttribute3 –eq "något strängvärde" |
| extensionAttribute4 | valfritt strängvärde | device.extensionAttribute4 –eq "något strängvärde" |
| extensionAttribute5 | valfritt strängvärde | device.extensionAttribute5 –eq "något strängvärde" |
| extensionAttribute6 | valfritt strängvärde | device.extensionAttribute6 -eq "något strängvärde" |
| extensionAttribute7 | valfritt strängvärde | device.extensionAttribute7 -eq "något strängvärde" |
| extensionAttribute8 | valfritt strängvärde | device.extensionAttribute8 -eq "något strängvärde" |
| extensionAttribute9 | valfritt strängvärde | device.extensionAttribute9 -eq "något strängvärde" |
| extensionAttribute10 | valfritt strängvärde | device.extensionAttribute10 -eq "visst strängvärde" |
| extensionAttribute11 | valfritt strängvärde | device.extensionAttribute11 -eq "något strängvärde" |
| extensionAttribute12 | valfritt strängvärde | device.extensionAttribute12 -eq "något strängvärde" |
| extensionAttribute13 | valfritt strängvärde | device.extensionAttribute13 -eq "något strängvärde" |
| extensionAttribute14 | valfritt strängvärde | device.extensionAttribute14 –eq "något strängvärde" |
| extensionAttribute15 | valfritt strängvärde | device.extensionAttribute15 -eq "något strängvärde" |
| isRooted | sant falskt | device.isRooted -eq true |
| managementType | MDM (för mobila enheter) | device.managementType -eq "MDM" |
| memberOf | Valfritt strängvärde (giltigt gruppobjekt-ID) | device.memberOf -any (group.objectId -in ['value']) |
| objectId | ett giltigt Microsoft Entra-objekt-ID | device.objectId -eq "aaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
| profileType | en giltig profiltyp i Microsoft Entra-ID | device.profileType -eq "RegisteredDevice" |
| systemLabels | en skrivskyddad sträng som matchar Intune-enhetsegenskapen för taggning av Moderna arbetsplatsenheter | device.systemLabels -startsWith "M365Managed" SystemLabels |
Not
När du använder systemLabelskan inte ett skrivskyddat attribut som används i olika kontexter, till exempel enhetshantering och känslighetsetiketter, redigeras via Intune.
När du använder deviceOwnership för att skapa dynamiska medlemskapsgrupper för enheter måste du ange värdet lika Companymed . I Intune representeras enhetsägarskapet i stället som Företag. Mer information finns i OwnerTypes för mer information.
När du använder deviceTrustType för att skapa dynamiska medlemskapsgrupper för enheter måste du ange värdet lika AzureAD med för att representera Microsoft Entra-anslutna enheter, ServerAD för att representera Microsoft Entra-hybridanslutningsenheter eller Workplace för att representera Microsoft Entra-registrerade enheter.
När du använder extensionAttribute1-15 för att skapa dynamiska medlemskapsgrupper för enheter måste du ange värdet för extensionAttribute1-15 på enheten. Läs mer om hur du skriver extensionAttributes på ett Microsoft Entra-enhetsobjekt
Nästa steg
De här artiklarna innehåller ytterligare information om grupper i Microsoft Entra-ID.