Sdílet prostřednictvím


Správa pravidel pro dynamické skupiny členství v Microsoft Entra ID

Můžete vytvořit pravidla založená na atributech uživatele nebo zařízení, která umožní členství pro dynamické skupiny členství v Microsoft Entra ID, součást Microsoft Entra. Dynamické skupiny členství můžete přidávat a odebírat automaticky pomocí pravidel členství na základě atributů členů. V Microsoft Entra může mít jeden tenant maximálně 15 000 dynamických skupin členství.

Tento článek podrobně popisuje vlastnosti a syntaxi pro vytváření pravidel pro dynamické skupiny členství na základě uživatelů nebo zařízení.

Poznámka:

Skupiny zabezpečení se dají používat pro zařízení nebo uživatele, ale skupiny Microsoftu 365 můžou zahrnovat jenom uživatele.

Když se atributy uživatele nebo zařízení změní, systém vyhodnotí všechna pravidla pro dynamické skupiny členství v adresáři a zjistí, jestli by změna aktivovala přidání nebo odebrání jakékoli skupiny. Pokud uživatel nebo zařízení splňuje pravidlo pro skupinu, přidá se jako člen této skupiny. Pokud už pravidlo nevyhovuje, odeberou se. Člena dynamické skupiny členství nemůžete přidat ani odebrat ručně.

  • Můžete vytvořit dynamické skupiny členství pro uživatele nebo zařízení, ale nemůžete vytvořit pravidlo, které obsahuje uživatele i zařízení.
  • Nemůžete vytvořit skupinu členství zařízení na základě atributů uživatele vlastníka zařízení. Pravidla členství zařízení můžou odkazovat pouze na atributy zařízení.

Poznámka:

Tato funkce vyžaduje licenci Microsoft Entra ID P1 nebo Intune for Education pro každého jedinečného uživatele, který je členem jedné nebo více dynamických skupin členství. Licence uživatelům nemusíte přiřazovat, aby mohli být členy dynamických skupin členství, ale musíte mít minimální počet licencí v organizaci Microsoft Entra, abyste mohli pokrýt všechny tyto uživatele. Pokud byste například měli celkem 1 000 jedinečných uživatelů ve všech dynamických skupinách členství ve vaší organizaci, potřebujete alespoň 1 000 licencí pro Microsoft Entra ID P1, abyste splnili licenční požadavek. Pro zařízení, která jsou členy dynamické skupiny členství na základě zařízení, se nevyžaduje žádná licence.

Tvůrce pravidel na webu Azure Portal

Microsoft Entra ID poskytuje tvůrci pravidel pro vytváření a aktualizaci důležitých pravidel rychleji. Tvůrce pravidel podporuje vytváření až pěti výrazů. Tvůrce pravidel usnadňuje vytvoření pravidla s několika jednoduchými výrazy, ale nedá se použít k reprodukci každého pravidla. Pokud tvůrce pravidel nepodporuje pravidlo, které chcete vytvořit, můžete použít textové pole.

Důležitý

Tvůrce pravidel je k dispozici pouze pro skupiny dynamického členství na základě uživatelů. Dynamické skupiny členství založené na zařízení je možné vytvářet pouze pomocí textového pole.

Tady je několik příkladů pokročilých pravidel nebo syntaxe, které vyžadují použití textového pole:

  • Pravidlo s více než pěti výrazy
  • Pravidlo přímých sestav
  • Pravidla s operátorem -contains nebo -notContains
  • Priorita operátoru nastavení
  • Pravidla se složitými výrazy, například (user.proxyAddresses -any (_ -startsWith "contoso"))

Poznámka:

Tvůrce pravidel nemusí být schopen zobrazit některá pravidla konstruovaná v textovém poli. Pokud tvůrce pravidel nemůže pravidlo zobrazit, může se zobrazit zpráva. Tvůrce pravidel nijak nemění podporovanou syntaxi, ověřování ani zpracování pravidel pro dynamické skupiny členství.

Další podrobné pokyny najdete v tématu Vytvoření nebo aktualizace dynamické skupiny členství.

Snímek obrazovky s pravidlem přidání členství pro dynamickou skupinu členství

Syntaxe pravidla pro jeden výraz

Jediný výraz je nejjednodušší formou pravidla členství a má pouze tři části uvedené výše. Pravidlo s jedním výrazem vypadá podobně jako v tomto příkladu: Property Operator Value, kde syntaxe vlastnosti je název object.property.

Následující příklad znázorňuje správně vytvořené pravidlo členství s jedním výrazem:

user.department -eq "Sales"

Závorky jsou volitelné pro jeden výraz. Celková délka textu pravidla členství nesmí překročit 3072 znaků.

Vytvoření těla pravidla členství

Pravidlo členství, které automaticky naplní skupinu uživateli nebo zařízeními, je binární výraz, který má za následek pravdivý nebo nepravdivý výsledek. Tři části jednoduchého pravidla jsou:

  • Vlastnost
  • Operátor
  • Hodnota

Pořadí částí ve výrazu je důležité, aby nedocházelo k chybám syntaxe.

Podporované vlastnosti

Existují tři typy vlastností, které lze použít k vytvoření pravidla členství.

  • Logická hodnota
  • DateTime
  • String
  • Kolekce řetězců

Následují vlastnosti uživatele, které můžete použít k vytvoření jednoho výrazu.

Vlastnosti typu boolean

Vlastnosti Povolené hodnoty Využití
accountEnabled true false user.accountEnabled -eq true
dirSyncEnabled true false user.dirSyncEnabled -eq true

Vlastnosti typu dateTime

Vlastnosti Povolené hodnoty Využití
employeeHireDate (Preview) Jakákoli hodnota DateTimeOffset nebo systém klíčových slov user.employeeHireDate -eq "value"

Vlastnosti řetězce typu

Vlastnosti Povolené hodnoty Využití
city Libovolná řetězcová hodnota nebo hodnota null user.city -eq "value"
country Libovolná řetězcová hodnota nebo hodnota null user.country -eq "value"
companyName Libovolná řetězcová hodnota nebo hodnota null user.companyName -eq "value"
department Libovolná řetězcová hodnota nebo hodnota null user.department -eq "value"
displayName Libovolná řetězcová hodnota user.displayName -eq "value"
employeeId Libovolná řetězcová hodnota user.employeeId -eq "value"
user.employeeId -ne null
facsimileTelephoneNumber Libovolná řetězcová hodnota nebo hodnota null user.facsimileTelephoneNumber -eq "value"
givenName Libovolná řetězcová hodnota nebo hodnota null user.givenName -eq "value"
jobTitle Libovolná řetězcová hodnota nebo hodnota null user.jobTitle -eq "value"
pošta Libovolná řetězcová hodnota nebo hodnota null (adresa SMTP uživatele) user.mail -eq "value"
mailNickName Libovolná řetězcová hodnota (alias e-mailu uživatele) user.mailNickName -eq "value"
členOf Jakákoli hodnota řetězce (platné ID objektu skupiny) user.memberOf -any (group.objectId -in ['value'])
mobilní Libovolná řetězcová hodnota nebo hodnota null user.mobile -eq "value"
objectId IDENTIFIKÁTOR GUID objektu uživatele user.objectId -eq "aaaaaaa-0000-1111-2222-bbbbbbbb"
onPremisesDistinguishedName Libovolná řetězcová hodnota nebo hodnota null user.onPremisesDistinguishedName -eq "value"
onPremisesSecurityIdentifier Identifikátor zabezpečení (SID) místního prostředí (SID) pro uživatele, kteří byli synchronizovaní z místního prostředí do cloudu. user.onPremisesSecurityIdentifier -eq "S-1-1-11-11111111-111111111111-11111111111-1111111"
passwordPolicies Nic
DisableStrongPassword
DisablePasswordExpiration
DisablePasswordExpiration, DisableStrongPassword
user.passwordPolicies -eq "DisableStrongPassword"
physicalDeliveryOfficeName Libovolná řetězcová hodnota nebo hodnota null user.physicalDeliveryOfficeName -eq "value"
postalCode Libovolná řetězcová hodnota nebo hodnota null user.postalCode -eq "value"
preferredLanguage Kód ISO 639-1 user.preferredLanguage -eq "en-US"
sipProxyAddress Libovolná řetězcová hodnota nebo hodnota null user.sipProxyAddress -eq "value"
state Libovolná řetězcová hodnota nebo hodnota null user.state -eq "value"
streetAddress Libovolná řetězcová hodnota nebo hodnota null user.streetAddress -eq "value"
surname Libovolná řetězcová hodnota nebo hodnota null user.last -eq "value"
telephoneNumber Libovolná řetězcová hodnota nebo hodnota null user.telephoneNumber -eq "value"
usageLocation Dvoumísmenný kód země nebo oblasti user.usageLocation -eq "US"
userPrincipalName (Hlavní název uživatele) Libovolná řetězcová hodnota user.userPrincipalName -eq "alias@domain"
userType Hodnota null hosta člena user.userType -eq "Member"

Vlastnosti kolekce řetězců typu

Vlastnosti Povolené hodnoty Příklad
ostatní e-maily Libovolná řetězcová hodnota user.otherMails -startsWith "alias@domain"
proxyAddresses SMTP: alias@domain smtp: alias@domain user.proxyAddresses -startsWith "SMTP: alias@domain"

Vlastnosti používané pro pravidla zařízení najdete v tématu Pravidla pro zařízení.

Podporované operátory výrazů

Následující tabulka uvádí všechny podporované operátory a jejich syntaxi pro jeden výraz. Operátory lze použít s předponou spojovníku (-). Operátor Contains odpovídá částečnému řetězci, ale ne k položce v kolekci.

Opatrnost

Nejlepších výsledků dosáhnete, když minimalizujete použití funkce POZVYHLEDAT nebo CONTAINS co nejvíce. Vytvoření jednodušších, efektivnějších pravidel pro skupiny dynamického členství poskytuje pokyny k vytváření pravidel, která vedou k lepší době zpracování dynamických skupin. Operátor memberOf je ve verzi Preview a měl by se používat s opatrností, protože má určitá omezení.

Operátor Syntaxe
Není rovno -severovýchod
Je rovno -Eq
Nezačíná na -notStartsWith
Začíná na -startsWith
Neobsahuje -notContains
Contains -obsahuje
Neodpovídá -notMatch
Párování -utkání
V -v
Není v -notIn

Použití operátorů -in a -notIn

Pokud chcete porovnat hodnotu atributu uživatele s více hodnotami, můžete použít operátory -in nebo -notIn. K zahájení a ukončení seznamu hodnot použijte symboly závorek "[" a "]".

V následujícím příkladu se výraz vyhodnotí jako true, pokud se hodnota user.department rovná některé z hodnot v seznamu:

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

Použití operátorů -le a -ge

Při použití atributu employeeHireDate v pravidlech pro dynamické skupiny členství můžete použít operátory menší než (-le) nebo větší než (-ge).
Příklady:

user.employeehiredate -ge system.now -plus p1d 

user.employeehiredate -le 2020-06-10T18:13:20Z 

Použití operátoru -match

Operátor -match se používá pro porovnávání libovolného regulárního výrazu. Příklady:

user.displayName -match "^Da.*"   

Da, Dav, David vyhodnotit na true, aDa vyhodnotí na false.

user.displayName -match ".*vid"

David vyhodnotí hodnotu true, Da vyhodnotí se jako nepravda.

Podporované hodnoty

Hodnoty použité ve výrazu se můžou skládat z několika typů, mezi které patří:

  • Řetězce
  • Logická hodnota – true, false
  • Čísla
  • Matice – číselná matice, pole řetězců

Při zadávání hodnoty ve výrazu je důležité použít správnou syntaxi, abyste se vyhnuli chybám. Tady je několik tipů pro syntaxi:

  • Dvojité uvozovky jsou volitelné, pokud se nejedná o řetězec.
  • Operace regulárních výrazů a řetězců nerozlišují velká a malá písmena.
  • Ujistěte se, že jsou názvy vlastností správně formátované, jak je znázorněno, protože rozlišují malá a velká písmena.
  • Pokud řetězcová hodnota obsahuje dvojité uvozovky, obě uvozovky by měly být uvozovány pomocí znaku ', například user.department -eq '"Sales", je správná syntaxe, pokud je hodnota "Sales". Jednoduché uvozovky by měly být uvozené pomocí dvou jednoduchých uvozovek, nikoli jednou.
  • Můžete také provést kontroly null pomocí null jako hodnoty, user.department -eq nullnapříklad .

Použití hodnot Null

Chcete-li zadat hodnotu null v pravidle, můžete použít hodnotu null .

  • Při porovnávání hodnoty null ve výrazu použijte parametr -eq nebo -ne.
  • Uvozovky kolem slova null použijte pouze v případě, že chcete, aby byla interpretována jako hodnota literálového řetězce.
  • Operátor -not nelze použít jako srovnávací operátor s hodnotou null. Pokud ji použijete, zobrazí se chyba, jestli používáte hodnotu null nebo $null.

Správný způsob, jak odkazovat na hodnotu null, je následující:

   user.mail –ne null

Pravidla s více výrazy

Správa pravidel pro dynamické skupiny členství se může skládat z více než jednoho výrazu propojeného logickými operátory -, -nebo a -ne logickými operátory. Logické operátory lze použít také v kombinaci.

Tady jsou příklady správně vytvořených pravidel členství s více výrazy:

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")

Priorita operátorů

Všechny operátory jsou uvedené níže v pořadí podle priority od nejvyššího po nejnižší. Operátory na stejném řádku mají stejnou prioritu:

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all

Následující příklad znázorňuje prioritu operátoru, kde se pro uživatele vyhodnocují dva výrazy:

   user.department –eq "Marketing" –and user.country –eq "US"

Závorky jsou potřeba jenom v případě, že priorita nesplňuje vaše požadavky. Pokud například chcete, aby bylo oddělení vyhodnoceno jako první, ukazuje následující příklad, jak lze použít závorky k určení pořadí:

   user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

Pravidla s komplexními výrazy

Pravidlo členství se může skládat ze složitých výrazů, ve kterých vlastnosti, operátory a hodnoty přebírají složitější formuláře. Výrazy se považují za složité, pokud platí některá z následujících možností:

  • Vlastnost se skládá z kolekce hodnot; konkrétně vlastnosti s více hodnotami
  • Výrazy používají operátory -any a -all.
  • Hodnota výrazu může být jeden nebo více výrazů.

Vlastnosti s více hodnotami

Vlastnosti s více hodnotami jsou kolekce objektů stejného typu. Dají se použít k vytvoření pravidel členství pomocí logických operátorů -any a -all.

Vlastnosti Hodnoty Využití
assignedPlans Každý objekt v kolekci zveřejňuje následující vlastnosti řetězce: capabilityStatus, service, servicePlanId user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled")
proxyAddresses SMTP: alias@domain smtp: alias@domain (user.proxyAddresses -any (_ -startsWith "contoso"))

Použití operátorů -any a -all

Pomocí operátoru -any a -all můžete použít podmínku pro jednu nebo všechny položky v kolekci.

  • -any (splněno, když alespoň jedna položka v kolekci odpovídá podmínce)
  • -all (splněno, když všechny položky v kolekci odpovídají podmínce)

Příklad 1

assignedPlans je vlastnost s více hodnotami, která obsahuje seznam všech plánů služeb přiřazených uživateli. Následující výraz vybere uživatele, kteří mají plán služby Exchange Online (Plán 2) (jako hodnotu GUID), který je také ve stavu Povoleno:

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

Pravidlo, jako je tento, se dá použít k seskupení všech uživatelů, pro které je povolená služba Microsoft 365 nebo jiná funkce online služby Microsoftu. Pak můžete použít sadu zásad pro skupinu.

Příklad 2

Následující výraz vybere všechny uživatele, kteří mají jakýkoli plán služby přidružený ke službě Intune (identifikovaný názvem služby SCO):

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")

Příklad 3

Následující výraz vybere všechny uživatele, kteří nemají přiřazený plán služby:

user.assignedPlans -all (assignedPlan.servicePlanId -eq null)

Použití syntaxe podtržítka (_)

Syntaxe podtržítka (_) odpovídá výskytům určité hodnoty v jedné z vlastností kolekce vícehodnotových řetězců pro přidání uživatelů nebo zařízení do dynamické skupiny členství. Používá se s operátory -any nebo -all.

Tady je příklad použití podtržítka (_) v pravidle k přidání členů na základě user.proxyAddress (funguje to stejně pro user.otherMails). Toto pravidlo přidá do skupiny všechny uživatele s adresou proxy, která začíná na "contoso".

(user.proxyAddresses -any (_ -startsWith "contoso"))

Další vlastnosti a běžná pravidla

Vytvoření pravidla "Přímé sestavy"

Můžete vytvořit skupinu obsahující všechny přímé sestavy vedoucího. Když se přímé sestavy vedoucího v budoucnu změní, členství ve skupině se upraví automaticky.

Pravidlo přímých sestav se konstruuje pomocí následující syntaxe:

Direct Reports for "{objectID_of_manager}"

Tady je příklad platného pravidla, kde "aaaaaaaaaa-1111-2222-bbbbbbbb" je ID objektu správce:

Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"

Následující tipy vám můžou pomoct správně použít pravidlo.

  • ID správce je ID objektu správce. Najdete ho v profilu manažera.
  • Aby pravidlo fungovalo, ujistěte se, že je vlastnost Správce správně nastavená pro uživatele ve vaší organizaci. Aktuální hodnotu můžete zkontrolovat v profilu uživatele.
  • Toto pravidlo podporuje pouze přímé sestavy vedoucího. Jinými slovy, nemůžete vytvořit skupinu s přímými sestavami vedoucího a jejich sestavami.
  • Toto pravidlo nelze kombinovat s žádnými dalšími pravidly členství.

Vytvoření pravidla Všichni uživatelé

Pomocí pravidla členství můžete vytvořit skupinu obsahující všechny uživatele v organizaci. Když se uživatelé v budoucnu přidají nebo odeberou z organizace, členství ve skupině se upraví automaticky.

Pravidlo "Všichni uživatelé" je vytvořené pomocí jednoho výrazu pomocí operátoru -ne a hodnoty null. Toto pravidlo přidá uživatele typu host B2B a členské uživatele do skupiny.

user.objectId -ne null

Pokud chcete, aby vaše skupina vyloučila uživatele typu host a zahrnovala pouze členy vaší organizace, můžete použít následující syntaxi:

(user.objectId -ne null) -and (user.userType -eq "Member")

Vytvoření pravidla Všechna zařízení

Pomocí pravidla členství můžete vytvořit skupinu obsahující všechna zařízení v organizaci. Když se zařízení v budoucnu přidají nebo odeberou z organizace, členství ve skupině se automaticky upraví.

Pravidlo Všechna zařízení se konstruuje pomocí jednoho výrazu pomocí operátoru -ne a hodnoty null:

device.objectId -ne null

Vlastnosti rozšíření a vlastní vlastnosti rozšíření

Atributy rozšíření a vlastní vlastnosti rozšíření jsou podporovány jako vlastnosti řetězce v pravidlech pro dynamické skupiny členství. Atributy rozšíření je možné synchronizovat z místní služby Windows Server Active Directory nebo aktualizovat pomocí Microsoft Graphu a použít formát ExtensionAttributeX, kde X se rovná 1 až 15. Vlastnosti rozšíření s více hodnotami nejsou podporovány v pravidlech pro dynamické skupiny členství.

Tady je příklad pravidla, které jako vlastnost používá atribut rozšíření:

(user.extensionAttribute15 -eq "Marketing")

Vlastní vlastnosti rozšíření je možné synchronizovat z místní služby Windows Server Active Directory, z připojené aplikace SaaS nebo vytvořit pomocí Microsoft Graphu a jsou ve formátu user.extension_[GUID]_[Attribute], kde:

  • [GUID] je stripped verze jedinečného identifikátoru v Microsoft Entra ID pro aplikaci, která vytvořila vlastnost. Obsahuje pouze znaky 0–9 a A-Z.
  • [Attribute] je název vlastnosti při jejím vytvoření.

Příkladem pravidla, které používá vlastní vlastnost rozšíření, je:

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

Vlastní vlastnosti rozšíření se také nazývají vlastnosti rozšíření adresáře nebo rozšíření Microsoft Entra.

Název vlastní vlastnosti najdete v adresáři dotazováním vlastnosti uživatele pomocí Graph Exploreru a vyhledáním názvu vlastnosti. V tvůrci pravidel dynamických skupin členství teď můžete také vybrat odkaz Získat vlastní vlastnosti rozšíření, abyste zadali jedinečné ID aplikace a získali úplný seznam vlastností vlastních rozšíření, které se mají použít při vytváření pravidla pro dynamické skupiny členství. Tento seznam můžete také aktualizovat, abyste získali všechny nové vlastnosti vlastního rozšíření pro danou aplikaci. Atributy rozšíření a vlastní vlastnosti rozšíření musí být z aplikací ve vašem tenantovi.

Další informace naleznete v tématu Použití atributů v dynamických skupinách členství v článku Microsoft Entra Connect Sync: Rozšíření adresáře.

Pravidla pro zařízení

Můžete také vytvořit pravidlo, které vybere objekty zařízení pro členství ve skupině. Uživatele i zařízení nemůžete mít jako členy skupiny.

Poznámka:

Atribut organizationalUnit již není uvedený a neměl by být použit. Tento řetězec nastavuje Intune v konkrétních případech, ale microsoft Entra ID nerozpozná, takže do skupin založených na tomto atributu se nepřidávají žádná zařízení.

Atribut systemlabels je jen pro čtení a nejde ho nastavit v Intune.

Pro Windows 10 je správný formát atributu deviceOSVersion následující: (device.deviceOSVersion -startsWith "10.0.1"). Formátování je možné ověřit pomocí rutiny PowerShellu Get-MgDevice:

Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'

Můžete použít následující atributy zařízení.

Atribut zařízení Hodnoty Příklad
accountEnabled true false device.accountEnabled -eq true
deviceCategory platný název kategorie zařízení device.deviceCategory -eq "BYOD"
deviceId platné ID zařízení Microsoft Entra device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d"
deviceManagementAppId platné ID aplikace MDM v Microsoft Entra ID device.deviceManagementAppId -eq "0000000a-0000-0000-c000-00000000000000" pro zařízení spravovaná nástrojem System Center Configuration Manager nebo "54b943f8-d761-4f8d-951e-9cea1846db5a" pro zařízení spravovaná nástrojem System Center Configuration Manager
deviceManufacturer libovolná řetězcová hodnota device.deviceManufacturer -eq "Samsung"
deviceModel libovolná řetězcová hodnota deviceModel -eq "iPad Air"
displayName libovolná řetězcová hodnota device.displayName -eq "Rob iPhone"
deviceOSType libovolná řetězcová hodnota (device.deviceOSType -eq "iPad") -nebo (device.deviceOSType -eq "iOS")
device.deviceOSType -startsWith "AndroidEnterprise"
device.deviceOSType -eq "AndroidForWork"
device.deviceOSType -eq "Windows"
deviceOSVersion libovolná řetězcová hodnota device.deviceOSVersion -eq "9.1"
device.deviceOSVersion -startsWith "10.0.1"
DeviceOwnership Osobní, Společnost, Neznámé device.deviceOwnership -eq "Company"
devicePhysicalIds libovolná řetězcová hodnota používaná autopilotem, například všechna zařízení Autopilot, IDobjednávky nebo PurchaseOrderID device.devicePhysicalIDs -any _ -startsWith "[ZTDId]"
(device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881"
(device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342"
deviceTrustType AzureAD, ServerAD, Pracoviště device.deviceTrustType -eq "AzureAD"
enrollmentProfileName Název profilu registrace zařízení Apple, název vyhrazeného profilu registrace zařízení s Androidem Enterprise nebo název profilu Windows Autopilot device.enrollmentProfileName -eq "DEP iPhones"
extensionAttribute1 libovolná řetězcová hodnota device.extensionAttribute1 -eq "some string value"
extensionAttribute2 libovolná řetězcová hodnota device.extensionAttribute2 -eq "some string value"
extensionAttribute3 libovolná řetězcová hodnota device.extensionAttribute3 -eq "some string value"
extensionAttribute4 libovolná řetězcová hodnota device.extensionAttribute4 -eq "some string value"
extensionAttribute5 libovolná řetězcová hodnota device.extensionAttribute5 -eq "some string value"
extensionAttribute6 libovolná řetězcová hodnota device.extensionAttribute6 -eq "some string value"
extensionAttribute7 libovolná řetězcová hodnota device.extensionAttribute7 -eq "some string value"
extensionAttribute8 libovolná řetězcová hodnota device.extensionAttribute8 -eq "some string value"
extensionAttribute9 libovolná řetězcová hodnota device.extensionAttribute9 -eq "some string value"
extensionAttribute10 libovolná řetězcová hodnota device.extensionAttribute10 -eq "some string value"
extensionAttribute11 libovolná řetězcová hodnota device.extensionAttribute11 -eq "some string value"
extensionAttribute12 libovolná řetězcová hodnota device.extensionAttribute12 -eq "some string value"
extensionAttribute13 libovolná řetězcová hodnota device.extensionAttribute13 -eq "some string value"
extensionAttribute14 libovolná řetězcová hodnota device.extensionAttribute14 -eq "some string value"
extensionAttribute15 libovolná řetězcová hodnota device.extensionAttribute15 -eq "some string value"
isRooted true false device.isRooted -eq true
managementType MDM (pro mobilní zařízení) device.managementType -eq "MDM"
členOf Jakákoli hodnota řetězce (platné ID objektu skupiny) device.memberOf -any (group.objectId -in ['value'])
objectId platné ID objektu Microsoft Entra device.objectId -eq "aaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
profileType platný typ profilu v Microsoft Entra ID device.profileType -eq "RegisteredDevice"
systemLabels Řetězec jen pro čtení odpovídající vlastnosti zařízení Intune pro označování zařízení Moderní pracoviště device.systemLabels -startsWith "M365Managed" SystemLabels

Poznámka:

Při použití systemLabelsatributu jen pro čtení, který se používá v různých kontextech, jako je správa zařízení a popisování citlivosti, není možné upravovat prostřednictvím Intune.
Při vytváření deviceOwnership dynamických skupin členství pro zařízení musíte nastavit hodnotu rovnající se Company. V Intune je vlastnictví zařízení reprezentováno jako podnikové. Další informace naleznete v tématu OwnerTypes další podrobnosti.
Pokud používáte deviceTrustType k vytváření dynamických skupin členství pro zařízení, musíte nastavit hodnotu, která AzureAD se rovná reprezentaci zařízení připojených k Microsoftu Entra, ServerAD aby představovala zařízení připojená k Microsoftu Entra nebo Workplace aby představovala registrovaná zařízení Microsoft Entra.
Při vytváření extensionAttribute1-15 dynamických skupin členství pro zařízení musíte nastavit hodnotu pro extensionAttribute1-15 zařízení. Další informace o tom, jak psát extensionAttributes na objektu zařízení Microsoft Entra

Další kroky

Tyto články obsahují další informace o skupinách v Microsoft Entra ID.