Správa pravidel pro dynamické skupiny členství v Microsoft Entra ID
Můžete vytvořit pravidla založená na atributech uživatele nebo zařízení, která umožní členství pro dynamické skupiny členství v Microsoft Entra ID, součást Microsoft Entra. Dynamické skupiny členství můžete přidávat a odebírat automaticky pomocí pravidel členství na základě atributů členů. V Microsoft Entra může mít jeden tenant maximálně 15 000 dynamických skupin členství.
Tento článek podrobně popisuje vlastnosti a syntaxi pro vytváření pravidel pro dynamické skupiny členství na základě uživatelů nebo zařízení.
Poznámka:
Skupiny zabezpečení se dají používat pro zařízení nebo uživatele, ale skupiny Microsoftu 365 můžou zahrnovat jenom uživatele.
Když se atributy uživatele nebo zařízení změní, systém vyhodnotí všechna pravidla pro dynamické skupiny členství v adresáři a zjistí, jestli by změna aktivovala přidání nebo odebrání jakékoli skupiny. Pokud uživatel nebo zařízení splňuje pravidlo pro skupinu, přidá se jako člen této skupiny. Pokud už pravidlo nevyhovuje, odeberou se. Člena dynamické skupiny členství nemůžete přidat ani odebrat ručně.
- Můžete vytvořit dynamické skupiny členství pro uživatele nebo zařízení, ale nemůžete vytvořit pravidlo, které obsahuje uživatele i zařízení.
- Nemůžete vytvořit skupinu členství zařízení na základě atributů uživatele vlastníka zařízení. Pravidla členství zařízení můžou odkazovat pouze na atributy zařízení.
Poznámka:
Tato funkce vyžaduje licenci Microsoft Entra ID P1 nebo Intune for Education pro každého jedinečného uživatele, který je členem jedné nebo více dynamických skupin členství. Licence uživatelům nemusíte přiřazovat, aby mohli být členy dynamických skupin členství, ale musíte mít minimální počet licencí v organizaci Microsoft Entra, abyste mohli pokrýt všechny tyto uživatele. Pokud byste například měli celkem 1 000 jedinečných uživatelů ve všech dynamických skupinách členství ve vaší organizaci, potřebujete alespoň 1 000 licencí pro Microsoft Entra ID P1, abyste splnili licenční požadavek. Pro zařízení, která jsou členy dynamické skupiny členství na základě zařízení, se nevyžaduje žádná licence.
Tvůrce pravidel na webu Azure Portal
Microsoft Entra ID poskytuje tvůrci pravidel pro vytváření a aktualizaci důležitých pravidel rychleji. Tvůrce pravidel podporuje vytváření až pěti výrazů. Tvůrce pravidel usnadňuje vytvoření pravidla s několika jednoduchými výrazy, ale nedá se použít k reprodukci každého pravidla. Pokud tvůrce pravidel nepodporuje pravidlo, které chcete vytvořit, můžete použít textové pole.
Důležitý
Tvůrce pravidel je k dispozici pouze pro skupiny dynamického členství na základě uživatelů. Dynamické skupiny členství založené na zařízení je možné vytvářet pouze pomocí textového pole.
Tady je několik příkladů pokročilých pravidel nebo syntaxe, které vyžadují použití textového pole:
- Pravidlo s více než pěti výrazy
- Pravidlo přímých sestav
- Pravidla s operátorem -contains nebo -notContains
- Priorita operátoru nastavení
-
Pravidla se složitými výrazy, například
(user.proxyAddresses -any (_ -startsWith "contoso"))
Poznámka:
Tvůrce pravidel nemusí být schopen zobrazit některá pravidla konstruovaná v textovém poli. Pokud tvůrce pravidel nemůže pravidlo zobrazit, může se zobrazit zpráva. Tvůrce pravidel nijak nemění podporovanou syntaxi, ověřování ani zpracování pravidel pro dynamické skupiny členství.
Další podrobné pokyny najdete v tématu Vytvoření nebo aktualizace dynamické skupiny členství.
Syntaxe pravidla pro jeden výraz
Jediný výraz je nejjednodušší formou pravidla členství a má pouze tři části uvedené výše. Pravidlo s jedním výrazem vypadá podobně jako v tomto příkladu: Property Operator Value
, kde syntaxe vlastnosti je název object.property.
Následující příklad znázorňuje správně vytvořené pravidlo členství s jedním výrazem:
user.department -eq "Sales"
Závorky jsou volitelné pro jeden výraz. Celková délka textu pravidla členství nesmí překročit 3072 znaků.
Vytvoření těla pravidla členství
Pravidlo členství, které automaticky naplní skupinu uživateli nebo zařízeními, je binární výraz, který má za následek pravdivý nebo nepravdivý výsledek. Tři části jednoduchého pravidla jsou:
- Vlastnost
- Operátor
- Hodnota
Pořadí částí ve výrazu je důležité, aby nedocházelo k chybám syntaxe.
Podporované vlastnosti
Existují tři typy vlastností, které lze použít k vytvoření pravidla členství.
- Logická hodnota
- DateTime
- String
- Kolekce řetězců
Následují vlastnosti uživatele, které můžete použít k vytvoření jednoho výrazu.
Vlastnosti typu boolean
Vlastnosti | Povolené hodnoty | Využití |
---|---|---|
accountEnabled | true false | user.accountEnabled -eq true |
dirSyncEnabled | true false | user.dirSyncEnabled -eq true |
Vlastnosti typu dateTime
Vlastnosti | Povolené hodnoty | Využití |
---|---|---|
employeeHireDate (Preview) | Jakákoli hodnota DateTimeOffset nebo systém klíčových slov | user.employeeHireDate -eq "value" |
Vlastnosti řetězce typu
Vlastnosti | Povolené hodnoty | Využití |
---|---|---|
city | Libovolná řetězcová hodnota nebo hodnota null | user.city -eq "value" |
country | Libovolná řetězcová hodnota nebo hodnota null | user.country -eq "value" |
companyName | Libovolná řetězcová hodnota nebo hodnota null | user.companyName -eq "value" |
department | Libovolná řetězcová hodnota nebo hodnota null | user.department -eq "value" |
displayName | Libovolná řetězcová hodnota | user.displayName -eq "value" |
employeeId | Libovolná řetězcová hodnota | user.employeeId -eq "value" user.employeeId -ne null |
facsimileTelephoneNumber | Libovolná řetězcová hodnota nebo hodnota null | user.facsimileTelephoneNumber -eq "value" |
givenName | Libovolná řetězcová hodnota nebo hodnota null | user.givenName -eq "value" |
jobTitle | Libovolná řetězcová hodnota nebo hodnota null | user.jobTitle -eq "value" |
pošta | Libovolná řetězcová hodnota nebo hodnota null (adresa SMTP uživatele) | user.mail -eq "value" |
mailNickName | Libovolná řetězcová hodnota (alias e-mailu uživatele) | user.mailNickName -eq "value" |
členOf | Jakákoli hodnota řetězce (platné ID objektu skupiny) | user.memberOf -any (group.objectId -in ['value']) |
mobilní | Libovolná řetězcová hodnota nebo hodnota null | user.mobile -eq "value" |
objectId | IDENTIFIKÁTOR GUID objektu uživatele | user.objectId -eq "aaaaaaa-0000-1111-2222-bbbbbbbb" |
onPremisesDistinguishedName | Libovolná řetězcová hodnota nebo hodnota null | user.onPremisesDistinguishedName -eq "value" |
onPremisesSecurityIdentifier | Identifikátor zabezpečení (SID) místního prostředí (SID) pro uživatele, kteří byli synchronizovaní z místního prostředí do cloudu. | user.onPremisesSecurityIdentifier -eq "S-1-1-11-11111111-111111111111-11111111111-1111111" |
passwordPolicies | Nic DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
physicalDeliveryOfficeName | Libovolná řetězcová hodnota nebo hodnota null | user.physicalDeliveryOfficeName -eq "value" |
postalCode | Libovolná řetězcová hodnota nebo hodnota null | user.postalCode -eq "value" |
preferredLanguage | Kód ISO 639-1 | user.preferredLanguage -eq "en-US" |
sipProxyAddress | Libovolná řetězcová hodnota nebo hodnota null | user.sipProxyAddress -eq "value" |
state | Libovolná řetězcová hodnota nebo hodnota null | user.state -eq "value" |
streetAddress | Libovolná řetězcová hodnota nebo hodnota null | user.streetAddress -eq "value" |
surname | Libovolná řetězcová hodnota nebo hodnota null | user.last -eq "value" |
telephoneNumber | Libovolná řetězcová hodnota nebo hodnota null | user.telephoneNumber -eq "value" |
usageLocation | Dvoumísmenný kód země nebo oblasti | user.usageLocation -eq "US" |
userPrincipalName (Hlavní název uživatele) | Libovolná řetězcová hodnota | user.userPrincipalName -eq "alias@domain" |
userType | Hodnota null hosta člena | user.userType -eq "Member" |
Vlastnosti kolekce řetězců typu
Vlastnosti | Povolené hodnoty | Příklad |
---|---|---|
ostatní e-maily | Libovolná řetězcová hodnota | user.otherMails -startsWith "alias@domain" |
proxyAddresses | SMTP: alias@domain smtp: alias@domain | user.proxyAddresses -startsWith "SMTP: alias@domain" |
Vlastnosti používané pro pravidla zařízení najdete v tématu Pravidla pro zařízení.
Podporované operátory výrazů
Následující tabulka uvádí všechny podporované operátory a jejich syntaxi pro jeden výraz. Operátory lze použít s předponou spojovníku (-). Operátor Contains odpovídá částečnému řetězci, ale ne k položce v kolekci.
Opatrnost
Nejlepších výsledků dosáhnete, když minimalizujete použití funkce POZVYHLEDAT nebo CONTAINS co nejvíce.
Vytvoření jednodušších, efektivnějších pravidel pro skupiny dynamického členství poskytuje pokyny k vytváření pravidel, která vedou k lepší době zpracování dynamických skupin. Operátor
Operátor | Syntaxe |
---|---|
Není rovno | -severovýchod |
Je rovno | -Eq |
Nezačíná na | -notStartsWith |
Začíná na | -startsWith |
Neobsahuje | -notContains |
Contains | -obsahuje |
Neodpovídá | -notMatch |
Párování | -utkání |
V | -v |
Není v | -notIn |
Použití operátorů -in a -notIn
Pokud chcete porovnat hodnotu atributu uživatele s více hodnotami, můžete použít operátory -in nebo -notIn. K zahájení a ukončení seznamu hodnot použijte symboly závorek "[" a "]".
V následujícím příkladu se výraz vyhodnotí jako true, pokud se hodnota user.department rovná některé z hodnot v seznamu:
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
Použití operátorů -le a -ge
Při použití atributu employeeHireDate v pravidlech pro dynamické skupiny členství můžete použít operátory menší než (-le) nebo větší než (-ge).
Příklady:
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
Použití operátoru -match
Operátor -match se používá pro porovnávání libovolného regulárního výrazu. Příklady:
user.displayName -match "^Da.*"
Da
, Dav
, David
vyhodnotit na true, aDa vyhodnotí na false.
user.displayName -match ".*vid"
David
vyhodnotí hodnotu true, Da
vyhodnotí se jako nepravda.
Podporované hodnoty
Hodnoty použité ve výrazu se můžou skládat z několika typů, mezi které patří:
- Řetězce
- Logická hodnota – true, false
- Čísla
- Matice – číselná matice, pole řetězců
Při zadávání hodnoty ve výrazu je důležité použít správnou syntaxi, abyste se vyhnuli chybám. Tady je několik tipů pro syntaxi:
- Dvojité uvozovky jsou volitelné, pokud se nejedná o řetězec.
- Operace regulárních výrazů a řetězců nerozlišují velká a malá písmena.
- Ujistěte se, že jsou názvy vlastností správně formátované, jak je znázorněno, protože rozlišují malá a velká písmena.
- Pokud řetězcová hodnota obsahuje dvojité uvozovky, obě uvozovky by měly být uvozovány pomocí znaku ', například user.department -eq '"Sales", je správná syntaxe, pokud je hodnota "Sales". Jednoduché uvozovky by měly být uvozené pomocí dvou jednoduchých uvozovek, nikoli jednou.
- Můžete také provést kontroly null pomocí null jako hodnoty,
user.department -eq null
například .
Použití hodnot Null
Chcete-li zadat hodnotu null v pravidle, můžete použít hodnotu null .
- Při porovnávání hodnoty null ve výrazu použijte parametr -eq nebo -ne.
- Uvozovky kolem slova null použijte pouze v případě, že chcete, aby byla interpretována jako hodnota literálového řetězce.
- Operátor -not nelze použít jako srovnávací operátor s hodnotou null. Pokud ji použijete, zobrazí se chyba, jestli používáte hodnotu null nebo $null.
Správný způsob, jak odkazovat na hodnotu null, je následující:
user.mail –ne null
Pravidla s více výrazy
Správa pravidel pro dynamické skupiny členství se může skládat z více než jednoho výrazu propojeného logickými operátory -, -nebo a -ne logickými operátory. Logické operátory lze použít také v kombinaci.
Tady jsou příklady správně vytvořených pravidel členství s více výrazy:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
Priorita operátorů
Všechny operátory jsou uvedené níže v pořadí podle priority od nejvyššího po nejnižší. Operátory na stejném řádku mají stejnou prioritu:
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
Následující příklad znázorňuje prioritu operátoru, kde se pro uživatele vyhodnocují dva výrazy:
user.department –eq "Marketing" –and user.country –eq "US"
Závorky jsou potřeba jenom v případě, že priorita nesplňuje vaše požadavky. Pokud například chcete, aby bylo oddělení vyhodnoceno jako první, ukazuje následující příklad, jak lze použít závorky k určení pořadí:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Pravidla s komplexními výrazy
Pravidlo členství se může skládat ze složitých výrazů, ve kterých vlastnosti, operátory a hodnoty přebírají složitější formuláře. Výrazy se považují za složité, pokud platí některá z následujících možností:
- Vlastnost se skládá z kolekce hodnot; konkrétně vlastnosti s více hodnotami
- Výrazy používají operátory -any a -all.
- Hodnota výrazu může být jeden nebo více výrazů.
Vlastnosti s více hodnotami
Vlastnosti s více hodnotami jsou kolekce objektů stejného typu. Dají se použít k vytvoření pravidel členství pomocí logických operátorů -any a -all.
Vlastnosti | Hodnoty | Využití |
---|---|---|
assignedPlans | Každý objekt v kolekci zveřejňuje následující vlastnosti řetězce: capabilityStatus, service, servicePlanId | user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled") |
proxyAddresses | SMTP: alias@domain smtp: alias@domain | (user.proxyAddresses -any (_ -startsWith "contoso")) |
Použití operátorů -any a -all
Pomocí operátoru -any a -all můžete použít podmínku pro jednu nebo všechny položky v kolekci.
- -any (splněno, když alespoň jedna položka v kolekci odpovídá podmínce)
- -all (splněno, když všechny položky v kolekci odpovídají podmínce)
Příklad 1
assignedPlans je vlastnost s více hodnotami, která obsahuje seznam všech plánů služeb přiřazených uživateli. Následující výraz vybere uživatele, kteří mají plán služby Exchange Online (Plán 2) (jako hodnotu GUID), který je také ve stavu Povoleno:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
Pravidlo, jako je tento, se dá použít k seskupení všech uživatelů, pro které je povolená služba Microsoft 365 nebo jiná funkce online služby Microsoftu. Pak můžete použít sadu zásad pro skupinu.
Příklad 2
Následující výraz vybere všechny uživatele, kteří mají jakýkoli plán služby přidružený ke službě Intune (identifikovaný názvem služby SCO):
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Příklad 3
Následující výraz vybere všechny uživatele, kteří nemají přiřazený plán služby:
user.assignedPlans -all (assignedPlan.servicePlanId -eq null)
Použití syntaxe podtržítka (_)
Syntaxe podtržítka (_) odpovídá výskytům určité hodnoty v jedné z vlastností kolekce vícehodnotových řetězců pro přidání uživatelů nebo zařízení do dynamické skupiny členství. Používá se s operátory -any nebo -all.
Tady je příklad použití podtržítka (_) v pravidle k přidání členů na základě user.proxyAddress (funguje to stejně pro user.otherMails). Toto pravidlo přidá do skupiny všechny uživatele s adresou proxy, která začíná na "contoso".
(user.proxyAddresses -any (_ -startsWith "contoso"))
Další vlastnosti a běžná pravidla
Vytvoření pravidla "Přímé sestavy"
Můžete vytvořit skupinu obsahující všechny přímé sestavy vedoucího. Když se přímé sestavy vedoucího v budoucnu změní, členství ve skupině se upraví automaticky.
Pravidlo přímých sestav se konstruuje pomocí následující syntaxe:
Direct Reports for "{objectID_of_manager}"
Tady je příklad platného pravidla, kde "aaaaaaaaaa-1111-2222-bbbbbbbb" je ID objektu správce:
Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
Následující tipy vám můžou pomoct správně použít pravidlo.
- ID správce je ID objektu správce. Najdete ho v profilu manažera.
- Aby pravidlo fungovalo, ujistěte se, že je vlastnost Správce správně nastavená pro uživatele ve vaší organizaci. Aktuální hodnotu můžete zkontrolovat v profilu uživatele.
- Toto pravidlo podporuje pouze přímé sestavy vedoucího. Jinými slovy, nemůžete vytvořit skupinu s přímými sestavami vedoucího a jejich sestavami.
- Toto pravidlo nelze kombinovat s žádnými dalšími pravidly členství.
Vytvoření pravidla Všichni uživatelé
Pomocí pravidla členství můžete vytvořit skupinu obsahující všechny uživatele v organizaci. Když se uživatelé v budoucnu přidají nebo odeberou z organizace, členství ve skupině se upraví automaticky.
Pravidlo "Všichni uživatelé" je vytvořené pomocí jednoho výrazu pomocí operátoru -ne a hodnoty null. Toto pravidlo přidá uživatele typu host B2B a členské uživatele do skupiny.
user.objectId -ne null
Pokud chcete, aby vaše skupina vyloučila uživatele typu host a zahrnovala pouze členy vaší organizace, můžete použít následující syntaxi:
(user.objectId -ne null) -and (user.userType -eq "Member")
Vytvoření pravidla Všechna zařízení
Pomocí pravidla členství můžete vytvořit skupinu obsahující všechna zařízení v organizaci. Když se zařízení v budoucnu přidají nebo odeberou z organizace, členství ve skupině se automaticky upraví.
Pravidlo Všechna zařízení se konstruuje pomocí jednoho výrazu pomocí operátoru -ne a hodnoty null:
device.objectId -ne null
Vlastnosti rozšíření a vlastní vlastnosti rozšíření
Atributy rozšíření a vlastní vlastnosti rozšíření jsou podporovány jako vlastnosti řetězce v pravidlech pro dynamické skupiny členství. Atributy rozšíření je možné synchronizovat z místní služby Windows Server Active Directory nebo aktualizovat pomocí Microsoft Graphu a použít formát ExtensionAttributeX, kde X se rovná 1 až 15. Vlastnosti rozšíření s více hodnotami nejsou podporovány v pravidlech pro dynamické skupiny členství.
Tady je příklad pravidla, které jako vlastnost používá atribut rozšíření:
(user.extensionAttribute15 -eq "Marketing")
Vlastní vlastnosti rozšíření je možné synchronizovat z místní služby Windows Server Active Directory, z připojené aplikace SaaS nebo vytvořit pomocí Microsoft Graphu a jsou ve formátu user.extension_[GUID]_[Attribute]
, kde:
- [GUID] je stripped verze jedinečného identifikátoru v Microsoft Entra ID pro aplikaci, která vytvořila vlastnost. Obsahuje pouze znaky 0–9 a A-Z.
- [Attribute] je název vlastnosti při jejím vytvoření.
Příkladem pravidla, které používá vlastní vlastnost rozšíření, je:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Vlastní vlastnosti rozšíření se také nazývají vlastnosti rozšíření adresáře nebo rozšíření Microsoft Entra.
Název vlastní vlastnosti najdete v adresáři dotazováním vlastnosti uživatele pomocí Graph Exploreru a vyhledáním názvu vlastnosti. V tvůrci pravidel dynamických skupin členství teď můžete také vybrat odkaz Získat vlastní vlastnosti rozšíření, abyste zadali jedinečné ID aplikace a získali úplný seznam vlastností vlastních rozšíření, které se mají použít při vytváření pravidla pro dynamické skupiny členství. Tento seznam můžete také aktualizovat, abyste získali všechny nové vlastnosti vlastního rozšíření pro danou aplikaci. Atributy rozšíření a vlastní vlastnosti rozšíření musí být z aplikací ve vašem tenantovi.
Další informace naleznete v tématu Použití atributů v dynamických skupinách členství v článku Microsoft Entra Connect Sync: Rozšíření adresáře.
Pravidla pro zařízení
Můžete také vytvořit pravidlo, které vybere objekty zařízení pro členství ve skupině. Uživatele i zařízení nemůžete mít jako členy skupiny.
Poznámka:
Atribut organizationalUnit
již není uvedený a neměl by být použit. Tento řetězec nastavuje Intune v konkrétních případech, ale microsoft Entra ID nerozpozná, takže do skupin založených na tomto atributu se nepřidávají žádná zařízení.
Atribut systemlabels
je jen pro čtení a nejde ho nastavit v Intune.
Pro Windows 10 je správný formát atributu deviceOSVersion
následující: (device.deviceOSVersion -startsWith "10.0.1"). Formátování je možné ověřit pomocí rutiny PowerShellu Get-MgDevice:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
Můžete použít následující atributy zařízení.
Atribut zařízení | Hodnoty | Příklad |
---|---|---|
accountEnabled | true false | device.accountEnabled -eq true |
deviceCategory | platný název kategorie zařízení | device.deviceCategory -eq "BYOD" |
deviceId | platné ID zařízení Microsoft Entra | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
deviceManagementAppId | platné ID aplikace MDM v Microsoft Entra ID | device.deviceManagementAppId -eq "0000000a-0000-0000-c000-00000000000000" pro zařízení spravovaná nástrojem System Center Configuration Manager nebo "54b943f8-d761-4f8d-951e-9cea1846db5a" pro zařízení spravovaná nástrojem System Center Configuration Manager |
deviceManufacturer | libovolná řetězcová hodnota | device.deviceManufacturer -eq "Samsung" |
deviceModel | libovolná řetězcová hodnota | deviceModel -eq "iPad Air" |
displayName | libovolná řetězcová hodnota | device.displayName -eq "Rob iPhone" |
deviceOSType | libovolná řetězcová hodnota | (device.deviceOSType -eq "iPad") -nebo (device.deviceOSType -eq "iOS") device.deviceOSType -startsWith "AndroidEnterprise" device.deviceOSType -eq "AndroidForWork" device.deviceOSType -eq "Windows" |
deviceOSVersion | libovolná řetězcová hodnota | device.deviceOSVersion -eq "9.1" device.deviceOSVersion -startsWith "10.0.1" |
DeviceOwnership | Osobní, Společnost, Neznámé | device.deviceOwnership -eq "Company" |
devicePhysicalIds | libovolná řetězcová hodnota používaná autopilotem, například všechna zařízení Autopilot, IDobjednávky nebo PurchaseOrderID | device.devicePhysicalIDs -any _ -startsWith "[ZTDId]" (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881" (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
deviceTrustType | AzureAD, ServerAD, Pracoviště | device.deviceTrustType -eq "AzureAD" |
enrollmentProfileName | Název profilu registrace zařízení Apple, název vyhrazeného profilu registrace zařízení s Androidem Enterprise nebo název profilu Windows Autopilot | device.enrollmentProfileName -eq "DEP iPhones" |
extensionAttribute1 | libovolná řetězcová hodnota | device.extensionAttribute1 -eq "some string value" |
extensionAttribute2 | libovolná řetězcová hodnota | device.extensionAttribute2 -eq "some string value" |
extensionAttribute3 | libovolná řetězcová hodnota | device.extensionAttribute3 -eq "some string value" |
extensionAttribute4 | libovolná řetězcová hodnota | device.extensionAttribute4 -eq "some string value" |
extensionAttribute5 | libovolná řetězcová hodnota | device.extensionAttribute5 -eq "some string value" |
extensionAttribute6 | libovolná řetězcová hodnota | device.extensionAttribute6 -eq "some string value" |
extensionAttribute7 | libovolná řetězcová hodnota | device.extensionAttribute7 -eq "some string value" |
extensionAttribute8 | libovolná řetězcová hodnota | device.extensionAttribute8 -eq "some string value" |
extensionAttribute9 | libovolná řetězcová hodnota | device.extensionAttribute9 -eq "some string value" |
extensionAttribute10 | libovolná řetězcová hodnota | device.extensionAttribute10 -eq "some string value" |
extensionAttribute11 | libovolná řetězcová hodnota | device.extensionAttribute11 -eq "some string value" |
extensionAttribute12 | libovolná řetězcová hodnota | device.extensionAttribute12 -eq "some string value" |
extensionAttribute13 | libovolná řetězcová hodnota | device.extensionAttribute13 -eq "some string value" |
extensionAttribute14 | libovolná řetězcová hodnota | device.extensionAttribute14 -eq "some string value" |
extensionAttribute15 | libovolná řetězcová hodnota | device.extensionAttribute15 -eq "some string value" |
isRooted | true false | device.isRooted -eq true |
managementType | MDM (pro mobilní zařízení) | device.managementType -eq "MDM" |
členOf | Jakákoli hodnota řetězce (platné ID objektu skupiny) | device.memberOf -any (group.objectId -in ['value']) |
objectId | platné ID objektu Microsoft Entra | device.objectId -eq "aaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
profileType | platný typ profilu v Microsoft Entra ID | device.profileType -eq "RegisteredDevice" |
systemLabels | Řetězec jen pro čtení odpovídající vlastnosti zařízení Intune pro označování zařízení Moderní pracoviště | device.systemLabels -startsWith "M365Managed" SystemLabels |
Poznámka:
Při použití systemLabels
atributu jen pro čtení, který se používá v různých kontextech, jako je správa zařízení a popisování citlivosti, není možné upravovat prostřednictvím Intune.
Při vytváření deviceOwnership
dynamických skupin členství pro zařízení musíte nastavit hodnotu rovnající se Company
. V Intune je vlastnictví zařízení reprezentováno jako podnikové. Další informace naleznete v tématu OwnerTypes další podrobnosti.
Pokud používáte deviceTrustType
k vytváření dynamických skupin členství pro zařízení, musíte nastavit hodnotu, která AzureAD
se rovná reprezentaci zařízení připojených k Microsoftu Entra, ServerAD
aby představovala zařízení připojená k Microsoftu Entra nebo Workplace
aby představovala registrovaná zařízení Microsoft Entra.
Při vytváření extensionAttribute1-15
dynamických skupin členství pro zařízení musíte nastavit hodnotu pro extensionAttribute1-15
zařízení. Další informace o tom, jak psát extensionAttributes
na objektu zařízení Microsoft Entra
Další kroky
Tyto články obsahují další informace o skupinách v Microsoft Entra ID.