Condividi tramite


Gestire le regole per i gruppi di appartenenza dinamica in Microsoft Entra ID

È possibile creare regole basate su attributi utente o dispositivo per abilitare l'appartenenza ai gruppi di appartenenza dinamica in Microsoft Entra ID, parte di Microsoft Entra. È possibile aggiungere e rimuovere automaticamente gruppi di appartenenza dinamici usando regole di appartenenza basate sugli attributi dei membri. In Microsoft Entra un singolo tenant può avere un massimo di 15.000 gruppi di appartenenza dinamica.

Questo articolo descrive in dettaglio le proprietà e la sintassi per creare regole per gruppi di appartenenza dinamica basate su utenti o dispositivi.

Nota

I gruppi di sicurezza possono essere usati per dispositivi o utenti, ma i gruppi di Microsoft 365 possono essere usati solo per i gruppi di utenti.

Quando gli attributi di un utente o un dispositivo cambiano, il sistema valuta tutte le regole per i gruppi di appartenenza dinamica in una directory per verificare se la modifica attiverà aggiunte o rimozioni nel gruppo. Se un utente o un dispositivo soddisfa una regola per un gruppo, viene aggiunto come membro di tale gruppo. Se non soddisfa più la regola, viene rimosso. Non è possibile aggiungere o rimuovere un membro di un gruppo di appartenenza dinamica manualmente.

  • Sebbene sia possibile creare un gruppo di appartenenza dinamica per i dispositivi o gli utenti, non è possibile creare una regola che contenga sia utenti che dispositivi.
  • Non è possibile creare un gruppo di appartenenza a un dispositivo in base agli attributi dei proprietari del dispositivo. Le regole di appartenenza ai dispositivi possono fare riferimento solo agli attributi dei dispositivi.

Nota

Questa funzionalità richiede una licenza Microsoft Entra ID P1 o Intune per Education per ogni utente univoco membro di uno o più gruppi di appartenenza dinamica. Perché gli utenti siano membri dei gruppi di appartenenza dinamica, non è obbligatorio che vengano effettivamente assegnate loro le licenze, ma è necessario avere il numero necessario di licenze nell'organizzazione Microsoft Entra per coprire tutti gli utenti. Se ad esempio si ha un totale di 1.000 utenti univoci in tutti i gruppi di appartenenza dinamica dell'organizzazione, è necessario avere almeno 1.000 licenze di Microsoft Entra ID P1 per soddisfare il requisito delle licenze. Per i dispositivi che sono membri di un gruppo di appartenenza dinamica basato su un dispositivo non è necessaria alcuna licenza.

Generatore di regole nel portale di Azure

Microsoft Entra ID fornisce un generatore di regole per creare e aggiornare le regole importanti più rapidamente. Il generatore di regole supporta la costruzione di un massimo di cinque espressioni. Il generatore di regole rende più semplice formare una regola con alcune espressioni semplici, ma non può essere usato per riprodurre ogni regola. Se il generatore regole non supporta la regola che si desidera creare, è possibile utilizzare la casella di testo.

Importante

Il generatore di regole è disponibile solo per i gruppi di appartenenze dinamiche basati sull'utente. I gruppi di appartenenze dinamici basati su dispositivo possono essere creati solo usando la casella di testo.

Ecco alcuni esempi di regole avanzate o sintassi che richiedono l'uso della casella di testo:

Nota

Il generatore di regole potrebbe non essere in grado di visualizzare alcune regole costruite nella casella di testo. Potrebbe venire visualizzato un messaggio quando il generatore di regole non è in grado di visualizzare la regola. Il generatore di regole non modifica in alcun modo la sintassi, la convalida o l'elaborazione delle regole per i gruppi di appartenenza dinamica.

Per altre istruzioni dettagliate, vedere Creare o aggiornare un gruppo di appartenenza dinamica.

Screenshot della regola di aggiunta dell'appartenenza per un gruppo di appartenenza dinamica.

Sintassi della regola per una singola espressione

Una singola espressione è la forma più semplice per una regola di appartenenza e include solo le tre parti indicate in precedenza. Una regola con una singola espressione è simile a quanto segue: Property Operator Value, dove la sintassi per la proprietà è il nome di oggetto.proprietà.

Di seguito è riportato un esempio di regola di appartenenza strutturata correttamente con una singola espressione:

user.department -eq "Sales"

Per una singola espressione le parentesi sono facoltative. La lunghezza totale del corpo della regola di appartenenza non può superare 3.072 caratteri.

Creazione del corpo di una regola di appartenenza

Una regola di appartenenza che popola automaticamente un gruppo con utenti o dispositivi è un'espressione binaria che restituisce un risultato true o false. Le tre parti di una regola semplice sono:

  • Proprietà
  • Operatore
  • Valore

L'ordine delle parti in un'espressione è importante per evitare gli errori di sintassi.

Proprietà supportate

Ci sono tre tipi di proprietà che è possibile usare per costruire una regola di appartenenza.

  • Booleano
  • Data/Ora
  • Stringa
  • Raccolta di stringhe

Di seguito sono elencate le proprietà utente che è possibile usare per creare una singola espressione.

Proprietà di tipo boolean

Proprietà Valori consentiti Utilizzo
accountAbilitato vero falso user.accountEnabled -eq true
dirSyncEnabled vero falso user.dirSyncEnabled -eq true

Proprietà di tipo "data e ora" (dateTime)

Proprietà Valori consentiti Utilizzo
employeeHireDate (Anteprima) Qualsiasi valore DateTimeOffset o parola chiave System.now user.employeeHireDate -eq "value"

Proprietà di tipo stringa

Proprietà Valori consentiti Utilizzo
città Qualsiasi valore di stringa o null user.city -eq "value"
paese Qualsiasi valore di stringa o null user.country -eq "value"
companyName Qualsiasi valore di stringa o null user.companyName -eq "value"
dipartimento Qualsiasi valore di stringa o null user.department -eq "value"
nome visualizzato Qualsiasi valore di stringa user.displayName -eq "value"
ID dipendente Qualsiasi valore di stringa user.employeeId -eq "value"<br>user.employeeId -ne *null*
numeroTelefonoFax Qualsiasi valore di stringa o null user.facsimileTelephoneNumber -eq "value"
givenName Qualsiasi valore di stringa o null user.givenName -eq "value"
titolo di lavoro Qualsiasi valore di stringa o null user.jobTitle -eq "value"
posta elettronica Qualsiasi valore di stringa o null (indirizzo SMTP dell'utente) user.mail -eq "value" o user.mail -notEndsWith "@Contoso.com"
mailNickname Qualsiasi valore stringa (alias di posta dell'utente) user.mailNickName -eq "value" o user.mailNickname -endsWith "-vendor"
membro di Qualsiasi valore stringa (ID oggetto gruppo valido) user.memberOf -any (group.objectId -in ['value'])
per dispositivi mobili Qualsiasi valore di stringa o null user.mobile -eq "value"
objectId GUID dell'oggetto utente user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
onPremisesDistinguishedName Qualsiasi valore di stringa o null user.onPremisesDistinguishedName -eq "value"
onPremisesSecurityIdentifier (identificatore di sicurezza locale) Identificatore di sicurezza (SID) locale per gli utenti sincronizzati da un ambiente locale al cloud. user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111"
politiche delle password None
DisableStrongPassword
DisablePasswordExpiration
DisablePasswordExpiration, DisableStrongPassword
user.passwordPolicies -eq "DisableStrongPassword"
physicalDeliveryOfficeName Qualsiasi valore di stringa o null user.physicalDeliveryOfficeName -eq "value"
codice postale Qualsiasi valore di stringa o null user.postalCode -eq "value"
linguaPreferita Codice ISO 639-1 user.preferredLanguage -eq "en-US"
sipProxyAddress Qualsiasi valore di stringa o null user.sipProxyAddress -eq "value"
stato Qualsiasi valore di stringa o null user.state -eq "value"
indirizzo stradale Qualsiasi valore di stringa o null user.streetAddress -eq "value"
cognome Qualsiasi valore di stringa o null user.surname -eq "value"
numero di telefono Qualsiasi valore di stringa o null user.telephoneNumber -eq "value"
luogo di utilizzo Codice di paese/area geografica di due lettere user.usageLocation -eq "US"
nomePrincipaleUtente Qualsiasi valore di stringa user.userPrincipalName -eq "alias@domain"
tipoUtente membro guest null user.userType -eq "Member"

Proprietà del tipo collezione di stringhe

Proprietà Valori consentiti Esempio
otherMails Qualsiasi valore di stringa user.otherMails -startsWith "alias@domain", user.otherMails -endsWith"@contoso.com"
proxyAddresses SMTP: alias@domain smtp: alias@domain user.proxyAddresses -startsWith "SMTP: alias@domain", user.proxyAddresses -notEndsWith "@outlook.com"

Per le proprietà usate per le regole dei dispositivi, vedere Regole per i dispositivi.

Operatori di espressione supportati

Nella tabella seguente sono elencati tutti gli operatori supportati e la relativa sintassi per un'espressione singola. Gli operatori possono essere usati con o senza trattino (-) come prefisso. L'operatore Contains effettua corrispondenze parziali di stringhe, ma non corrispondenze di elementi in una raccolta.

Attenzione

Per ottenere risultati ottimali, ridurre al minimo l'uso di MATCH o CONTAINS il più possibile. Creare regole più semplici ed efficienti per i gruppi di appartenenze dinamiche fornisce indicazioni su come creare regole che comportano tempi di elaborazione dei gruppi dinamici migliori. L'operatore ''memberOf'' è in anteprima e deve essere usato con cautela, in quanto presenta alcune limitazioni.

Operatore Sintassi
Termina con -endsWith
Non termina con -nonTerminaCon
Diverso da -ne
Uguale -eq
Non inizia con -non inizia con
Inizia Con -startsWith
Non contiene -nonContiene
Contiene -contiene
Non corrisponde -notMatch
Partita -match
In -in
Non Incluso -notIn

Uso degli operatori -in e -notIn

Se si desidera confrontare il valore di un attributo utente con una serie di valori diversi, è possibile usare operatori -in o -notIn. Usare i simboli di parentesi quadre "[" e "]" per iniziare e terminare l'elenco di valori.

Nell'esempio seguente l'espressione restituisce true se il valore di user.department è uguale a uno dei valori nell'elenco:

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

Uso degli operatori -le e -ge

È possibile utilizzare gli operatori "minore di" (-le) o "maggiore di" (-ge) quando si utilizza l'attributo employeeHireDate nelle regole dei gruppi di appartenenza dinamica.
Esempi:

user.employeehiredate -ge system.now -plus p1d 

user.employeehiredate -le 2020-06-10T18:13:20Z 

Uso dell'operatore -match

L'operatore -match viene usato per la corrispondenza di qualsiasi espressione regolare. Esempi:

user.displayName -match "^Da.*"   

Da, Dav, David restituiscono true, aDa restituisce false.

user.displayName -match ".*vid"

David restituisce true, mentre Da restituisce false.

Valori supportati

I valori usati in un'espressione possono essere costituiti da tipi diversi, tra cui:

  • Stringhe
  • Valori booleani: vero, falso
  • Numeri
  • Matrici: matrice di numeri, matrice di stringhe

Quando si specifica un valore in un'espressione, è importante usare la sintassi corretta per evitare errori. Ecco alcuni suggerimenti per la sintassi:

  • Le virgolette doppie sono facoltative, a meno che il valore non sia una stringa.
  • Le operazioni regex e stringhe non fanno distinzione tra maiuscole e minuscole.
  • Assicurarsi che i nomi delle proprietà siano formattati correttamente come mostrato, poiché sono sensibili alle maiuscole.
  • Quando un valore stringa contiene virgolette doppie, per entrambe le virgolette deve venire usato il carattere di escape , ad esempio user.department -eq "Sales" è la sintassi corretta quando "Sales" è il valore. Per le virgolette singole, usatene due anziché una per volta per effettuare l'escape.
  • È anche possibile eseguire controlli Null usando null come valore, ad esempio user.department -eq null.

Uso dei valori Null

Per specificare un valore Null in una regola, è possibile usare il valore null.

  • Usare -eq o -ne quando si confronta il valore null in un'espressione.
  • Racchiudere la parola null tra virgolette solo se si vuole che venga interpretata come valore di stringa letterale.
  • L'operatore -not non può essere usato come operatore di confronto per null. Se lo usi, ricevi un errore sia che si usi null sia che si usi $null.

Il modo corretto per fare riferimento al valore Null è il seguente:

   user.mail –ne null

Regole con più espressioni

La gestione delle regole per i gruppi di appartenenza dinamica può essere costituita da più espressioni connesse dagli operatori logici -and, -or e -not. Gli operatori logici possono anche essere usati in combinazione.

Di seguito sono riportati esempi di regole di appartenenza strutturate correttamente con più espressioni:

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")

Precedenza tra gli operatori

Tutti gli operatori sono elencati di seguito in ordine decrescente di precedenza. Gli operatori sulla stessa riga hanno uguale precedenza:

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all

Di seguito è riportato un esempio di precedenza degli operatori in cui due espressioni vengono valutate per l'utente:

   user.department –eq "Marketing" –and user.country –eq "US"

Le parentesi sono necessarie solo quando la priorità non soddisfa i requisiti. Ad esempio, se si vuole che venga valutato prima il reparto, usare le parentesi come illustrato di seguito per determinare l'ordine:

   user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

Regole con espressioni complesse

Una regola di appartenenza può essere costituita da espressioni complesse in cui proprietà, operatori e valori acquisiscono forme più complesse. Le espressioni sono considerate complesse in presenza di una delle condizioni seguenti:

  • La proprietà è costituita da una raccolta di valori, nello specifico si parla di proprietà multivalore
  • Le espressioni usano gli operatori -any e -all
  • Il valore dell'espressione può essere costituito da una o più espressioni

Proprietà multivalore

Le proprietà multivalore sono raccolte di oggetti dello stesso tipo. Possono essere usate per creare regole di appartenenza tramite gli operatori logici -any e -all.

Proprietà Valori Utilizzo
piani assegnati Ogni oggetto della raccolta espone le proprietà di stringa seguenti: capabilityStatus, service, servicePlanId user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled")
proxyAddresses SMTP: alias@domain smtp: alias@domain (user.proxyAddresses -any (\_ -startsWith "contoso"))

Uso degli operatori -any e -all

È possibile usare gli operatori -any e -all per applicare una condizione rispettivamente a uno o a tutti gli elementi della raccolta.

  • -any (soddisfatto quando almeno un elemento della raccolta corrisponde alla condizione)
  • -all (soddisfatto quando tutti gli elementi della raccolta corrispondono alla condizione)

Esempio 1

assignedPlans è una proprietà multivalore che elenca tutti i piani di servizio assegnati all'utente. L'espressione seguente seleziona gli utenti che hanno il piano di servizio Exchange Online (Piano 2) (come valore GUID) che è anche nello stato Abilitato:

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

Una regola di questo tipo può essere usata per raggruppare tutti gli utenti per cui è abilitata una funzionalità di Microsoft 365 o di un altro servizio Microsoft online. È possibile quindi applicare un set di criteri al gruppo.

Esempio 2

L'espressione seguente seleziona tutti gli utenti che hanno un piano di servizio qualsiasi associato al servizio Intune (identificato dal nome di servizio "SCO"):

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")

Esempio 3

L'espressione seguente seleziona tutti gli utenti che non dispongono di un piano di servizio assegnato:

user.assignedPlans -all (assignedPlan.servicePlanId -eq null)

Usando la sintassi del carattere di sottolineatura (_)

La sintassi del carattere di sottolineatura (_) abbina le occorrenze di un valore specifico in una delle proprietà delle raccolte di stringhe multivalore per aggiungere utenti o dispositivi a un gruppo dinamico. Viene utilizzato con gli operatori -any o -all.

Ecco un esempio dell'uso del carattere di sottolineatura (_) in una regola per aggiungere membri in base a user.proxyAddress (funziona allo stesso modo per user.otherMails). Questa regola aggiunge qualunque utente con l'indirizzo del proxy che inizia con "contoso" al gruppo.

(user.proxyAddresses -any (_ -startsWith "contoso"))

Altre proprietà e regole comuni

Creare una regola "Collaboratori diretti"

È possibile creare un gruppo contenente tutti i dipendenti diretti di un manager. Quando in futuro i dipendenti diretti del manager cambiano, l'appartenenza al gruppo viene modificata automaticamente.

La regola per i dipendenti diretti viene costruita usando la sintassi seguente:

Direct Reports for "{objectID_of_manager}"

Di seguito è riportato un esempio di regola valida, dove "aaaaaa-0000-1111-2222-bbbbbbbbbb" è l'objectID del manager:

Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"

I suggerimenti seguenti sono utili per usare la regola in modo appropriato.

  • L'ID del manager è l'ID oggetto del manager. È indicato nella sezione Profilo del manager.
  • Per il corretto funzionamento della regola, verificare che la proprietà Manager sia impostata correttamente per gli utenti inclusi nell'organizzazione. Puoi controllare il valore corrente nel Profilo dell'utente.
  • Questa regola supporta solo i dipendenti diretti del manager. In altre parole, non è possibile creare un gruppo con i dipendenti diretti del manager e i loro dipendenti diretti.
  • Questa regola non può essere combinata con altre regole di appartenenza.

Creare una regola "Tutti gli utenti"

È possibile creare un gruppo contenente tutti gli utenti di un'organizzazione usando una regola di appartenenza. Quando in futuro gli utenti vengono aggiunti o rimossi dall'organizzazione, l'appartenenza al gruppo viene modificata automaticamente.

La regola "Tutti gli utenti" viene costruita usando una singola espressione con l'operatore -ne e il valore null. Questa regola consente di aggiungere al gruppo sia gli utenti guest B2B che gli utenti membri.

user.objectId -ne null

Se si desidera che il gruppo escluda gli utenti guest e includa solo i membri dell'organizzazione, è possibile utilizzare la sintassi seguente:

(user.objectId -ne null) -and (user.userType -eq "Member")

Creare una regola "Tutti i dispositivi"

È possibile creare un gruppo contenente tutti i dispositivi di un'organizzazione usando una regola di appartenenza. Quando in futuro i dispositivi vengono aggiunti o rimossi dall'organizzazione, l'appartenenza al gruppo viene modificata automaticamente.

La regola "Tutti i dispositivi" viene costruita usando una singola espressione con l'operatore -ne e il valore null:

device.objectId -ne null

Proprietà di estensione e proprietà di estensione personalizzate

Gli attributi di estensione e le proprietà di estensione personalizzate sono supportati come proprietà delle stringhe nelle regole per i gruppi di appartenenza dinamica. gli attributi dell'estensione possono essere sincronizzati da Windows Server Active Directory locale o aggiornati usando Microsoft Graph e accettano il formato "ExtensionAttributeX", dove X è uguale a 1 - 15. Le proprietà dell'estensione multivalore non sono supportate nelle regole per i gruppi di appartenenza dinamica.

Ecco un esempio di regola che usa un attributo di estensione come proprietà:

(user.extensionAttribute15 -eq "Marketing")

Le proprietà di estensione personalizzate possono essere sincronizzate dall'istanza locale di Windows Server Active Directory, da un'applicazione SaaS connessa o create tramite Microsoft Graph e hanno il formato user.extension_[GUID]_[Attribute], dove:

  • [GUID] è la versione rimossa dell'identificatore univoco in Microsoft Entra ID per l'applicazione che ha creato la proprietà. Contiene solo caratteri compresi tra 0-9 e A-Z
  • [Attribute] è il nome della proprietà quando è stata creata

Ecco un esempio di regola che usa una proprietà di estensione personalizzata:

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

Le proprietà dell’estensione personalizzata sono note anche come directory o proprietà dell'estensione Microsoft Entra.

È possibile trovare il nome della proprietà personalizzata nella directory eseguendo una query sulla proprietà dell'utente con Graph explorer e cercando il nome della proprietà. È inoltre ora possibile selezionare il collegamento Ottieni proprietà di estensione personalizzate nel generatore di regole dei gruppi di assegnazione dinamica per immettere un ID app univoco e ricevere l'elenco completo di proprietà di estensione personalizzate da usare quando si crea una regola per i gruppi di appartenenza dinamica. È anche possibile aggiornare questo elenco per ottenere tutte le nuove proprietà di estensione personalizzate per l'app. Gli attributi di estensione e le proprietà di estensione personalizzate devono provenire dalle applicazioni nel tenant.

Per altre informazioni, vedere Usare gli attributi nei gruppi di appartenenza dinamica nell'articolo Microsoft Entra Connect Sync: estensioni della directory.

Regole per i dispositivi

È anche possibile creare una regola che consenta di selezionare gli oggetti dispositivo per l'appartenenza a un gruppo. Un gruppo non può avere come membri sia utenti che dispositivi.

Nota

L'attributo organizationalUnit non viene più elencato e non deve essere usato. Questa stringa viene impostata da Intune in casi specifici ma non viene riconosciuta da Microsoft Entra ID, quindi nessun dispositivo viene aggiunto ai gruppi in base a questo attributo.

L'attributo systemlabels è di sola lettura e non può essere impostato con Intune.

Per Windows 10, il formato corretto dell'attributo deviceOSVersion è il seguente: (device.deviceOSVersion -inizia con "10.0.1"). La formattazione può essere convalidata con il cmdlet Get-MgDevice PowerShell.

Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'

È possibile usare gli attributi del dispositivo seguenti.

Attributo del dispositivo Valori Esempio
account abilitato vero falso device.accountEnabled -eq true
categoria del dispositivo nome di una categoria di dispositivo valido device.deviceCategory -eq "BYOD"
deviceId ID dispositivo di Microsoft Entra valido device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d"
deviceManagementAppId ID applicazione MDM valido in Microsoft Entra ID device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" per i dispositivi gestiti da Microsoft Intune o "54b943f8-d761-4f8d-951e-9cea1846db5a" per i dispositivi con co-gestione di System Center Configuration Manager
produttoreDispositivo qualsiasi valore di stringa device.deviceManufacturer -eq "Samsung"
modelloDispositivo qualsiasi valore di stringa device.deviceModel -eq "iPad Air"
nome visualizzato qualsiasi valore di stringa device.displayName -eq "Rob iPhone"
Tipo di OS del dispositivo qualsiasi valore di stringa (device.deviceOSType -eq "iPad") o (device.deviceOSType -eq "iOS")
device.deviceOSType -startsWith "AndroidEnterprise"
device.deviceOSType -eq "AndroidForWork"
device.deviceOSType -eq "Windows"
deviceOSVersion qualsiasi valore di stringa device.deviceOSVersion -eq "9.1"
device.deviceOSVersion -startsWith "10.0.1"
proprietà del dispositivo Personale, Azienda, Sconosciuto device.deviceOwnership -eq "Azienda"
devicePhysicalIds qualsiasi valore di stringa utilizzato da Autopilot, ad esempio tutti i dispositivi Autopilot, OrderID o PurchaseOrderID device.devicePhysicalIDs -any _ -startsWith "[ZTDId]"
(device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881"
(device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342"
tipoDiFiduciaDelDispositivo AzureAD, ServerAD, Workplace device.deviceTrustType -eq "AzureAD"
nomeProfiloDiRegistrazione Nome del profilo di registrazione dei dispositivi Apple, nome del profilo di registrazione dei dispositivi Android Enterprise utilizzati esclusivamente dall'azienda, o nome del profilo di Windows Autopilot. device.enrollmentProfileName -eq "DEP iPhones"
extensionAttribute1 qualsiasi valore di stringa device.extensionAttribute1 -eq "un certo valore di stringa"
extensionAttribute2 qualsiasi valore di stringa device.extensionAttribute2 -eq "valore di qualche stringa"
extensionAttribute3 qualsiasi valore di stringa device.extensionAttribute3 -eq "un valore di stringa"
extensionAttribute4 qualsiasi valore di stringa device.extensionAttribute4 -eq "some string value"
extensionAttribute5 qualsiasi valore di stringa device.extensionAttribute5 -eq "some string value"
extensionAttribute6 qualsiasi valore di stringa device.extensionAttribute6 -eq "un qualche valore di stringa"
extensionAttribute7 qualsiasi valore di stringa device.extensionAttribute7 -eq "valore di stringa casuale"
extensionAttribute8 qualsiasi valore di stringa device.extensionAttribute8 -eq "some string value"
extensionAttribute9 qualsiasi valore di stringa device.extensionAttribute9 -eq "some string value"
extensionAttribute10 qualsiasi valore di stringa device.extensionAttribute10 -eq "some string value"
extensionAttribute11 qualsiasi valore di stringa device.extensionAttribute11 -eq "some string value"
extensionAttribute12 qualsiasi valore di stringa device.extensionAttribute12 -eq "some string value"
extensionAttribute13 qualsiasi valore di stringa device.extensionAttribute13 -eq "some string value"
extensionAttribute14 qualsiasi valore di stringa device.extensionAttribute14 -eq "alcun valore di stringa"
extensionAttribute15 qualsiasi valore di stringa device.extensionAttribute15 -eq "some string value"
isRooted vero falso device.isRooted -eq vero
tipo di gestione MDM (per i dispositivi mobili) device.managementType -eq "MDM"
membroDi Qualsiasi valore stringa (ID oggetto gruppo valido) device.memberOf -any (group.objectId -in ['value'])
objectId un ID oggetto Microsoft Entra valido device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
tipoProfilo un tipo di profilo valido in Microsoft Entra ID device.profileType -eq "RegisteredDevice"
systemLabels una stringa di sola lettura corrispondente alla proprietà del dispositivo Intune per etichettare i dispositivi della Modern Workplace device.systemLabels -iniziaCon "M365Managed" SystemLabels

Nota

Quando si usa systemLabels, un attributo di sola lettura usato in vari contesti, ad esempio la gestione dei dispositivi e l'etichettatura di riservatezza, non è modificabile tramite Intune.
Quando si usa deviceOwnership per creare gruppi di appartenenza dinamica per i dispositivi, è necessario impostare il valore uguale a Company. In Intune la proprietà del dispositivo viene invece rappresentata come aziendale. Per altre informazioni, vedere OwnerTypes per altri dettagli.
Quando si usa deviceTrustType per creare gruppi di appartenenza dinamica per i dispositivi, è necessario impostare il valore uguale a AzureAD per rappresentare i dispositivi aggiunti a Microsoft Entra, ServerAD per rappresentare i dispositivi aggiunti a Microsoft Entra ibridi o Workplace per rappresentare i dispositivi registrati da Microsoft Entra.
Quando si usa extensionAttribute1-15 per creare gruppi di appartenenza dinamica per i dispositivi, è necessario impostare il valore per extensionAttribute1-15 nel dispositivo. Altre informazioni su come scrivere extensionAttributes in un oggetto dispositivo Microsoft Entra

Passaggi successivi

Questi articoli forniscono informazioni aggiuntive sui gruppi di Microsoft Entra ID.