Gestire le regole per i gruppi di appartenenza dinamica in Microsoft Entra ID
È possibile creare regole basate su attributi utente o dispositivo per abilitare l'appartenenza ai gruppi di appartenenza dinamica in Microsoft Entra ID, parte di Microsoft Entra. È possibile aggiungere e rimuovere automaticamente gruppi di appartenenza dinamici usando regole di appartenenza basate sugli attributi dei membri. In Microsoft Entra un singolo tenant può avere un massimo di 15.000 gruppi di appartenenza dinamica.
Questo articolo descrive in dettaglio le proprietà e la sintassi per creare regole per gruppi di appartenenza dinamica basate su utenti o dispositivi.
Nota
I gruppi di sicurezza possono essere usati per dispositivi o utenti, ma i gruppi di Microsoft 365 possono essere usati solo per i gruppi di utenti.
Quando gli attributi di un utente o un dispositivo cambiano, il sistema valuta tutte le regole per i gruppi di appartenenza dinamica in una directory per verificare se la modifica attiverà aggiunte o rimozioni nel gruppo. Se un utente o un dispositivo soddisfa una regola per un gruppo, viene aggiunto come membro di tale gruppo. Se non soddisfa più la regola, viene rimosso. Non è possibile aggiungere o rimuovere un membro di un gruppo di appartenenza dinamica manualmente.
- Sebbene sia possibile creare un gruppo di appartenenza dinamica per i dispositivi o gli utenti, non è possibile creare una regola che contenga sia utenti che dispositivi.
- Non è possibile creare un gruppo di appartenenza a un dispositivo in base agli attributi dei proprietari del dispositivo. Le regole di appartenenza ai dispositivi possono fare riferimento solo agli attributi dei dispositivi.
Nota
Questa funzionalità richiede una licenza Microsoft Entra ID P1 o Intune per Education per ogni utente univoco membro di uno o più gruppi di appartenenza dinamica. Perché gli utenti siano membri dei gruppi di appartenenza dinamica, non è obbligatorio che vengano effettivamente assegnate loro le licenze, ma è necessario avere il numero necessario di licenze nell'organizzazione Microsoft Entra per coprire tutti gli utenti. Se ad esempio si ha un totale di 1.000 utenti univoci in tutti i gruppi di appartenenza dinamica dell'organizzazione, è necessario avere almeno 1.000 licenze di Microsoft Entra ID P1 per soddisfare il requisito delle licenze. Per i dispositivi che sono membri di un gruppo di appartenenza dinamica basato su un dispositivo non è necessaria alcuna licenza.
Generatore di regole nel portale di Azure
Microsoft Entra ID fornisce un generatore di regole per creare e aggiornare le regole importanti più rapidamente. Il generatore di regole supporta la costruzione di un massimo di cinque espressioni. Il generatore di regole rende più semplice formare una regola con alcune espressioni semplici, ma non può essere usato per riprodurre ogni regola. Se il generatore regole non supporta la regola che si desidera creare, è possibile utilizzare la casella di testo.
Importante
Il generatore di regole è disponibile solo per i gruppi di appartenenze dinamiche basati sull'utente. I gruppi di appartenenze dinamici basati su dispositivo possono essere creati solo usando la casella di testo.
Ecco alcuni esempi di regole avanzate o sintassi che richiedono l'uso della casella di testo:
- Regola con più di cinque espressioni
- La regola per i subordinati diretti
- Regole con l'operatore -contains o -notContains
- Impostazione della precedenza degli operatore
-
Regole con espressioni complesse; ad esempio,
(user.proxyAddresses -any (_ -startsWith "contoso"))
Nota
Il generatore di regole potrebbe non essere in grado di visualizzare alcune regole costruite nella casella di testo. Potrebbe venire visualizzato un messaggio quando il generatore di regole non è in grado di visualizzare la regola. Il generatore di regole non modifica in alcun modo la sintassi, la convalida o l'elaborazione delle regole per i gruppi di appartenenza dinamica.
Per altre istruzioni dettagliate, vedere Creare o aggiornare un gruppo di appartenenza dinamica.
Sintassi della regola per una singola espressione
Una singola espressione è la forma più semplice per una regola di appartenenza e include solo le tre parti indicate in precedenza. Una regola con una singola espressione è simile a quanto segue: Property Operator Value, dove la sintassi per la proprietà è il nome di oggetto.proprietà.
Di seguito è riportato un esempio di regola di appartenenza strutturata correttamente con una singola espressione:
user.department -eq "Sales"
Per una singola espressione le parentesi sono facoltative. La lunghezza totale del corpo della regola di appartenenza non può superare 3.072 caratteri.
Creazione del corpo di una regola di appartenenza
Una regola di appartenenza che popola automaticamente un gruppo con utenti o dispositivi è un'espressione binaria che restituisce un risultato true o false. Le tre parti di una regola semplice sono:
- Proprietà
- Operatore
- Valore
L'ordine delle parti in un'espressione è importante per evitare gli errori di sintassi.
Proprietà supportate
Ci sono tre tipi di proprietà che è possibile usare per costruire una regola di appartenenza.
- Booleano
- Data/Ora
- Stringa
- Raccolta di stringhe
Di seguito sono elencate le proprietà utente che è possibile usare per creare una singola espressione.
Proprietà di tipo boolean
| Proprietà | Valori consentiti | Utilizzo |
|---|---|---|
| accountAbilitato | vero falso | user.accountEnabled -eq true |
| dirSyncEnabled | vero falso | user.dirSyncEnabled -eq true |
Proprietà di tipo "data e ora" (dateTime)
| Proprietà | Valori consentiti | Utilizzo |
|---|---|---|
| employeeHireDate (Anteprima) | Qualsiasi valore DateTimeOffset o parola chiave System.now | user.employeeHireDate -eq "value" |
Proprietà di tipo stringa
| Proprietà | Valori consentiti | Utilizzo |
|---|---|---|
| città | Qualsiasi valore di stringa o null | user.city -eq "value" |
| paese | Qualsiasi valore di stringa o null | user.country -eq "value" |
| companyName | Qualsiasi valore di stringa o null | user.companyName -eq "value" |
| dipartimento | Qualsiasi valore di stringa o null | user.department -eq "value" |
| nome visualizzato | Qualsiasi valore di stringa | user.displayName -eq "value" |
| ID dipendente | Qualsiasi valore di stringa | user.employeeId -eq "value"<br>user.employeeId -ne *null* |
| numeroTelefonoFax | Qualsiasi valore di stringa o null | user.facsimileTelephoneNumber -eq "value" |
| givenName | Qualsiasi valore di stringa o null | user.givenName -eq "value" |
| titolo di lavoro | Qualsiasi valore di stringa o null | user.jobTitle -eq "value" |
| posta elettronica | Qualsiasi valore di stringa o null (indirizzo SMTP dell'utente) |
user.mail -eq "value" o user.mail -notEndsWith "@Contoso.com" |
| mailNickname | Qualsiasi valore stringa (alias di posta dell'utente) |
user.mailNickName -eq "value" o user.mailNickname -endsWith "-vendor" |
| membro di | Qualsiasi valore stringa (ID oggetto gruppo valido) | user.memberOf -any (group.objectId -in ['value']) |
| per dispositivi mobili | Qualsiasi valore di stringa o null | user.mobile -eq "value" |
| objectId | GUID dell'oggetto utente | user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
| onPremisesDistinguishedName | Qualsiasi valore di stringa o null | user.onPremisesDistinguishedName -eq "value" |
| onPremisesSecurityIdentifier (identificatore di sicurezza locale) | Identificatore di sicurezza (SID) locale per gli utenti sincronizzati da un ambiente locale al cloud. | user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111" |
| politiche delle password | None DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
| physicalDeliveryOfficeName | Qualsiasi valore di stringa o null | user.physicalDeliveryOfficeName -eq "value" |
| codice postale | Qualsiasi valore di stringa o null | user.postalCode -eq "value" |
| linguaPreferita | Codice ISO 639-1 | user.preferredLanguage -eq "en-US" |
| sipProxyAddress | Qualsiasi valore di stringa o null | user.sipProxyAddress -eq "value" |
| stato | Qualsiasi valore di stringa o null | user.state -eq "value" |
| indirizzo stradale | Qualsiasi valore di stringa o null | user.streetAddress -eq "value" |
| cognome | Qualsiasi valore di stringa o null | user.surname -eq "value" |
| numero di telefono | Qualsiasi valore di stringa o null | user.telephoneNumber -eq "value" |
| luogo di utilizzo | Codice di paese/area geografica di due lettere | user.usageLocation -eq "US" |
| nomePrincipaleUtente | Qualsiasi valore di stringa | user.userPrincipalName -eq "alias@domain" |
| tipoUtente | membro guest null | user.userType -eq "Member" |
Proprietà del tipo collezione di stringhe
| Proprietà | Valori consentiti | Esempio |
|---|---|---|
| otherMails | Qualsiasi valore di stringa |
user.otherMails -startsWith "alias@domain", user.otherMails -endsWith"@contoso.com" |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | user.proxyAddresses -startsWith "SMTP: alias@domain", user.proxyAddresses -notEndsWith "@outlook.com" |
Per le proprietà usate per le regole dei dispositivi, vedere Regole per i dispositivi.
Operatori di espressione supportati
Nella tabella seguente sono elencati tutti gli operatori supportati e la relativa sintassi per un'espressione singola. Gli operatori possono essere usati con o senza trattino (-) come prefisso. L'operatore Contains effettua corrispondenze parziali di stringhe, ma non corrispondenze di elementi in una raccolta.
Attenzione
Per ottenere risultati ottimali, ridurre al minimo l'uso di MATCH o CONTAINS il più possibile. Creare regole più semplici ed efficienti per i gruppi di appartenenze dinamiche fornisce indicazioni su come creare regole che comportano tempi di elaborazione dei gruppi dinamici migliori. L'operatore ''memberOf'' è in anteprima e deve essere usato con cautela, in quanto presenta alcune limitazioni.
| Operatore | Sintassi |
|---|---|
| Termina con | -endsWith |
| Non termina con | -nonTerminaCon |
| Diverso da | -ne |
| Uguale | -eq |
| Non inizia con | -non inizia con |
| Inizia Con | -startsWith |
| Non contiene | -nonContiene |
| Contiene | -contiene |
| Non corrisponde | -notMatch |
| Partita | -match |
| In | -in |
| Non Incluso | -notIn |
Uso degli operatori -in e -notIn
Se si desidera confrontare il valore di un attributo utente con una serie di valori diversi, è possibile usare operatori -in o -notIn. Usare i simboli di parentesi quadre "[" e "]" per iniziare e terminare l'elenco di valori.
Nell'esempio seguente l'espressione restituisce true se il valore di user.department è uguale a uno dei valori nell'elenco:
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
Uso degli operatori -le e -ge
È possibile utilizzare gli operatori "minore di" (-le) o "maggiore di" (-ge) quando si utilizza l'attributo employeeHireDate nelle regole dei gruppi di appartenenza dinamica.
Esempi:
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
Uso dell'operatore -match
L'operatore -match viene usato per la corrispondenza di qualsiasi espressione regolare. Esempi:
user.displayName -match "^Da.*"
Da, Dav, David restituiscono true, aDa restituisce false.
user.displayName -match ".*vid"
David restituisce true, mentre Da restituisce false.
Valori supportati
I valori usati in un'espressione possono essere costituiti da tipi diversi, tra cui:
- Stringhe
- Valori booleani: vero, falso
- Numeri
- Matrici: matrice di numeri, matrice di stringhe
Quando si specifica un valore in un'espressione, è importante usare la sintassi corretta per evitare errori. Ecco alcuni suggerimenti per la sintassi:
- Le virgolette doppie sono facoltative, a meno che il valore non sia una stringa.
- Le operazioni regex e stringhe non fanno distinzione tra maiuscole e minuscole.
- Assicurarsi che i nomi delle proprietà siano formattati correttamente come mostrato, poiché sono sensibili alle maiuscole.
- Quando un valore stringa contiene virgolette doppie, per entrambe le virgolette deve venire usato il carattere di escape , ad esempio user.department -eq "Sales" è la sintassi corretta quando "Sales" è il valore. Per le virgolette singole, usatene due anziché una per volta per effettuare l'escape.
- È anche possibile eseguire controlli Null usando null come valore, ad esempio
user.department -eq null.
Uso dei valori Null
Per specificare un valore Null in una regola, è possibile usare il valore null.
- Usare -eq o -ne quando si confronta il valore null in un'espressione.
- Racchiudere la parola null tra virgolette solo se si vuole che venga interpretata come valore di stringa letterale.
- L'operatore -not non può essere usato come operatore di confronto per null. Se lo usi, ricevi un errore sia che si usi null sia che si usi $null.
Il modo corretto per fare riferimento al valore Null è il seguente:
user.mail –ne null
Regole con più espressioni
La gestione delle regole per i gruppi di appartenenza dinamica può essere costituita da più espressioni connesse dagli operatori logici -and, -or e -not. Gli operatori logici possono anche essere usati in combinazione.
Di seguito sono riportati esempi di regole di appartenenza strutturate correttamente con più espressioni:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
Precedenza tra gli operatori
Tutti gli operatori sono elencati di seguito in ordine decrescente di precedenza. Gli operatori sulla stessa riga hanno uguale precedenza:
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
Di seguito è riportato un esempio di precedenza degli operatori in cui due espressioni vengono valutate per l'utente:
user.department –eq "Marketing" –and user.country –eq "US"
Le parentesi sono necessarie solo quando la priorità non soddisfa i requisiti. Ad esempio, se si vuole che venga valutato prima il reparto, usare le parentesi come illustrato di seguito per determinare l'ordine:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Regole con espressioni complesse
Una regola di appartenenza può essere costituita da espressioni complesse in cui proprietà, operatori e valori acquisiscono forme più complesse. Le espressioni sono considerate complesse in presenza di una delle condizioni seguenti:
- La proprietà è costituita da una raccolta di valori, nello specifico si parla di proprietà multivalore
- Le espressioni usano gli operatori -any e -all
- Il valore dell'espressione può essere costituito da una o più espressioni
Proprietà multivalore
Le proprietà multivalore sono raccolte di oggetti dello stesso tipo. Possono essere usate per creare regole di appartenenza tramite gli operatori logici -any e -all.
| Proprietà | Valori | Utilizzo |
|---|---|---|
| piani assegnati | Ogni oggetto della raccolta espone le proprietà di stringa seguenti: capabilityStatus, service, servicePlanId | user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled") |
| proxyAddresses | SMTP: alias@domain smtp: alias@domain | (user.proxyAddresses -any (\_ -startsWith "contoso")) |
Uso degli operatori -any e -all
È possibile usare gli operatori -any e -all per applicare una condizione rispettivamente a uno o a tutti gli elementi della raccolta.
- -any (soddisfatto quando almeno un elemento della raccolta corrisponde alla condizione)
- -all (soddisfatto quando tutti gli elementi della raccolta corrispondono alla condizione)
Esempio 1
assignedPlans è una proprietà multivalore che elenca tutti i piani di servizio assegnati all'utente. L'espressione seguente seleziona gli utenti che hanno il piano di servizio Exchange Online (Piano 2) (come valore GUID) che è anche nello stato Abilitato:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
Una regola di questo tipo può essere usata per raggruppare tutti gli utenti per cui è abilitata una funzionalità di Microsoft 365 o di un altro servizio Microsoft online. È possibile quindi applicare un set di criteri al gruppo.
Esempio 2
L'espressione seguente seleziona tutti gli utenti che hanno un piano di servizio qualsiasi associato al servizio Intune (identificato dal nome di servizio "SCO"):
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Esempio 3
L'espressione seguente seleziona tutti gli utenti che non dispongono di un piano di servizio assegnato:
user.assignedPlans -all (assignedPlan.servicePlanId -eq null)
Usando la sintassi del carattere di sottolineatura (_)
La sintassi del carattere di sottolineatura (_) abbina le occorrenze di un valore specifico in una delle proprietà delle raccolte di stringhe multivalore per aggiungere utenti o dispositivi a un gruppo dinamico. Viene utilizzato con gli operatori -any o -all.
Ecco un esempio dell'uso del carattere di sottolineatura (_) in una regola per aggiungere membri in base a user.proxyAddress (funziona allo stesso modo per user.otherMails). Questa regola aggiunge qualunque utente con l'indirizzo del proxy che inizia con "contoso" al gruppo.
(user.proxyAddresses -any (_ -startsWith "contoso"))
Altre proprietà e regole comuni
Creare una regola "Collaboratori diretti"
È possibile creare un gruppo contenente tutti i dipendenti diretti di un manager. Quando in futuro i dipendenti diretti del manager cambiano, l'appartenenza al gruppo viene modificata automaticamente.
La regola per i dipendenti diretti viene costruita usando la sintassi seguente:
Direct Reports for "{objectID_of_manager}"
Di seguito è riportato un esempio di regola valida, dove "aaaaaa-0000-1111-2222-bbbbbbbbbb" è l'objectID del manager:
Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
I suggerimenti seguenti sono utili per usare la regola in modo appropriato.
- L'ID del manager è l'ID oggetto del manager. È indicato nella sezione Profilo del manager.
- Per il corretto funzionamento della regola, verificare che la proprietà Manager sia impostata correttamente per gli utenti inclusi nell'organizzazione. Puoi controllare il valore corrente nel Profilo dell'utente.
- Questa regola supporta solo i dipendenti diretti del manager. In altre parole, non è possibile creare un gruppo con i dipendenti diretti del manager e i loro dipendenti diretti.
- Questa regola non può essere combinata con altre regole di appartenenza.
Creare una regola "Tutti gli utenti"
È possibile creare un gruppo contenente tutti gli utenti di un'organizzazione usando una regola di appartenenza. Quando in futuro gli utenti vengono aggiunti o rimossi dall'organizzazione, l'appartenenza al gruppo viene modificata automaticamente.
La regola "Tutti gli utenti" viene costruita usando una singola espressione con l'operatore -ne e il valore null. Questa regola consente di aggiungere al gruppo sia gli utenti guest B2B che gli utenti membri.
user.objectId -ne null
Se si desidera che il gruppo escluda gli utenti guest e includa solo i membri dell'organizzazione, è possibile utilizzare la sintassi seguente:
(user.objectId -ne null) -and (user.userType -eq "Member")
Creare una regola "Tutti i dispositivi"
È possibile creare un gruppo contenente tutti i dispositivi di un'organizzazione usando una regola di appartenenza. Quando in futuro i dispositivi vengono aggiunti o rimossi dall'organizzazione, l'appartenenza al gruppo viene modificata automaticamente.
La regola "Tutti i dispositivi" viene costruita usando una singola espressione con l'operatore -ne e il valore null:
device.objectId -ne null
Proprietà di estensione e proprietà di estensione personalizzate
Gli attributi di estensione e le proprietà di estensione personalizzate sono supportati come proprietà delle stringhe nelle regole per i gruppi di appartenenza dinamica. gli attributi dell'estensione possono essere sincronizzati da Windows Server Active Directory locale o aggiornati usando Microsoft Graph e accettano il formato "ExtensionAttributeX", dove X è uguale a 1 - 15. Le proprietà dell'estensione multivalore non sono supportate nelle regole per i gruppi di appartenenza dinamica.
Ecco un esempio di regola che usa un attributo di estensione come proprietà:
(user.extensionAttribute15 -eq "Marketing")
Le proprietà di estensione personalizzate possono essere sincronizzate dall'istanza locale di Windows Server Active Directory, da un'applicazione SaaS connessa o create tramite Microsoft Graph e hanno il formato user.extension_[GUID]_[Attribute], dove:
- [GUID] è la versione rimossa dell'identificatore univoco in Microsoft Entra ID per l'applicazione che ha creato la proprietà. Contiene solo caratteri compresi tra 0-9 e A-Z
- [Attribute] è il nome della proprietà quando è stata creata
Ecco un esempio di regola che usa una proprietà di estensione personalizzata:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Le proprietà dell’estensione personalizzata sono note anche come directory o proprietà dell'estensione Microsoft Entra.
È possibile trovare il nome della proprietà personalizzata nella directory eseguendo una query sulla proprietà dell'utente con Graph explorer e cercando il nome della proprietà. È inoltre ora possibile selezionare il collegamento Ottieni proprietà di estensione personalizzate nel generatore di regole dei gruppi di assegnazione dinamica per immettere un ID app univoco e ricevere l'elenco completo di proprietà di estensione personalizzate da usare quando si crea una regola per i gruppi di appartenenza dinamica. È anche possibile aggiornare questo elenco per ottenere tutte le nuove proprietà di estensione personalizzate per l'app. Gli attributi di estensione e le proprietà di estensione personalizzate devono provenire dalle applicazioni nel tenant.
Per altre informazioni, vedere Usare gli attributi nei gruppi di appartenenza dinamica nell'articolo Microsoft Entra Connect Sync: estensioni della directory.
Regole per i dispositivi
È anche possibile creare una regola che consenta di selezionare gli oggetti dispositivo per l'appartenenza a un gruppo. Un gruppo non può avere come membri sia utenti che dispositivi.
Nota
L'attributo organizationalUnit non viene più elencato e non deve essere usato. Questa stringa viene impostata da Intune in casi specifici ma non viene riconosciuta da Microsoft Entra ID, quindi nessun dispositivo viene aggiunto ai gruppi in base a questo attributo.
L'attributo systemlabels è di sola lettura e non può essere impostato con Intune.
Per Windows 10, il formato corretto dell'attributo deviceOSVersion è il seguente: (device.deviceOSVersion -inizia con "10.0.1"). La formattazione può essere convalidata con il cmdlet Get-MgDevice PowerShell.
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
È possibile usare gli attributi del dispositivo seguenti.
| Attributo del dispositivo | Valori | Esempio |
|---|---|---|
| account abilitato | vero falso | device.accountEnabled -eq true |
| categoria del dispositivo | nome di una categoria di dispositivo valido | device.deviceCategory -eq "BYOD" |
| deviceId | ID dispositivo di Microsoft Entra valido | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
| deviceManagementAppId | ID applicazione MDM valido in Microsoft Entra ID | device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" per i dispositivi gestiti da Microsoft Intune o "54b943f8-d761-4f8d-951e-9cea1846db5a" per i dispositivi con co-gestione di System Center Configuration Manager |
| produttoreDispositivo | qualsiasi valore di stringa | device.deviceManufacturer -eq "Samsung" |
| modelloDispositivo | qualsiasi valore di stringa | device.deviceModel -eq "iPad Air" |
| nome visualizzato | qualsiasi valore di stringa | device.displayName -eq "Rob iPhone" |
| Tipo di OS del dispositivo | qualsiasi valore di stringa | (device.deviceOSType -eq "iPad") o (device.deviceOSType -eq "iOS") device.deviceOSType -startsWith "AndroidEnterprise" device.deviceOSType -eq "AndroidForWork" device.deviceOSType -eq "Windows" |
| deviceOSVersion | qualsiasi valore di stringa | device.deviceOSVersion -eq "9.1" device.deviceOSVersion -startsWith "10.0.1" |
| proprietà del dispositivo | Personale, Azienda, Sconosciuto | device.deviceOwnership -eq "Azienda" |
| devicePhysicalIds | qualsiasi valore di stringa utilizzato da Autopilot, ad esempio tutti i dispositivi Autopilot, OrderID o PurchaseOrderID | device.devicePhysicalIDs -any _ -startsWith "[ZTDId]" (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881" (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
| tipoDiFiduciaDelDispositivo | AzureAD, ServerAD, Workplace | device.deviceTrustType -eq "AzureAD" |
| nomeProfiloDiRegistrazione | Nome del profilo di registrazione dei dispositivi Apple, nome del profilo di registrazione dei dispositivi Android Enterprise utilizzati esclusivamente dall'azienda, o nome del profilo di Windows Autopilot. | device.enrollmentProfileName -eq "DEP iPhones" |
| extensionAttribute1 | qualsiasi valore di stringa | device.extensionAttribute1 -eq "un certo valore di stringa" |
| extensionAttribute2 | qualsiasi valore di stringa | device.extensionAttribute2 -eq "valore di qualche stringa" |
| extensionAttribute3 | qualsiasi valore di stringa | device.extensionAttribute3 -eq "un valore di stringa" |
| extensionAttribute4 | qualsiasi valore di stringa | device.extensionAttribute4 -eq "some string value" |
| extensionAttribute5 | qualsiasi valore di stringa | device.extensionAttribute5 -eq "some string value" |
| extensionAttribute6 | qualsiasi valore di stringa | device.extensionAttribute6 -eq "un qualche valore di stringa" |
| extensionAttribute7 | qualsiasi valore di stringa | device.extensionAttribute7 -eq "valore di stringa casuale" |
| extensionAttribute8 | qualsiasi valore di stringa | device.extensionAttribute8 -eq "some string value" |
| extensionAttribute9 | qualsiasi valore di stringa | device.extensionAttribute9 -eq "some string value" |
| extensionAttribute10 | qualsiasi valore di stringa | device.extensionAttribute10 -eq "some string value" |
| extensionAttribute11 | qualsiasi valore di stringa | device.extensionAttribute11 -eq "some string value" |
| extensionAttribute12 | qualsiasi valore di stringa | device.extensionAttribute12 -eq "some string value" |
| extensionAttribute13 | qualsiasi valore di stringa | device.extensionAttribute13 -eq "some string value" |
| extensionAttribute14 | qualsiasi valore di stringa | device.extensionAttribute14 -eq "alcun valore di stringa" |
| extensionAttribute15 | qualsiasi valore di stringa | device.extensionAttribute15 -eq "some string value" |
| isRooted | vero falso | device.isRooted -eq vero |
| tipo di gestione | MDM (per i dispositivi mobili) | device.managementType -eq "MDM" |
| membroDi | Qualsiasi valore stringa (ID oggetto gruppo valido) | device.memberOf -any (group.objectId -in ['value']) |
| objectId | un ID oggetto Microsoft Entra valido | device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
| tipoProfilo | un tipo di profilo valido in Microsoft Entra ID | device.profileType -eq "RegisteredDevice" |
| systemLabels | una stringa di sola lettura corrispondente alla proprietà del dispositivo Intune per etichettare i dispositivi della Modern Workplace | device.systemLabels -iniziaCon "M365Managed" SystemLabels |
Nota
Quando si usa systemLabels, un attributo di sola lettura usato in vari contesti, ad esempio la gestione dei dispositivi e l'etichettatura di riservatezza, non è modificabile tramite Intune.
Quando si usa deviceOwnership per creare gruppi di appartenenza dinamica per i dispositivi, è necessario impostare il valore uguale a Company. In Intune la proprietà del dispositivo viene invece rappresentata come aziendale. Per altre informazioni, vedere OwnerTypes per altri dettagli.
Quando si usa deviceTrustType per creare gruppi di appartenenza dinamica per i dispositivi, è necessario impostare il valore uguale a AzureAD per rappresentare i dispositivi aggiunti a Microsoft Entra, ServerAD per rappresentare i dispositivi aggiunti a Microsoft Entra ibridi o Workplace per rappresentare i dispositivi registrati da Microsoft Entra.
Quando si usa extensionAttribute1-15 per creare gruppi di appartenenza dinamica per i dispositivi, è necessario impostare il valore per extensionAttribute1-15 nel dispositivo. Altre informazioni su come scrivere extensionAttributes in un oggetto dispositivo Microsoft Entra
Passaggi successivi
Questi articoli forniscono informazioni aggiuntive sui gruppi di Microsoft Entra ID.