Microsoft Entra ID에서 동적 멤버 자격 그룹에 대한 규칙 관리
사용자 또는 디바이스 성 기반 규칙을 만들어 Microsoft Entra의 일부인 Microsoft Entra ID에서 동적 멤버 자격 그룹에 대한 멤버 자격을 사용하도록 설정할 수 있습니다. 멤버 특성을 기반으로 멤버 자격 규칙을 사용하여 동적 멤버 자격 그룹을 자동으로 추가 및 제거할 수 있습니다. Microsoft Entra에서는 단일 테넌트가 최대 15,000개의 동적 멤버 자격 그룹을 보유할 수 있습니다.
이 문서에서는 사용자 또는 디바이스를 기반으로 동적 멤버 자격 그룹에 대한 규칙을 만들기 위한 속성 및 구문에 대해 자세히 설명합니다.
참고 항목
보안 그룹은 디바이스 또는 사용자 모두에 사용할 수 있지만 Microsoft 365 그룹에는 사용자만 포함할 수 있습니다.
사용자 또는 디바이스의 특성이 변경되면 시스템은 디렉터리의 동적 멤버 자격 그룹에 대한 모든 규칙을 평가하여 변경으로 인해 그룹이 추가 또는 제거되는지 확인합니다. 사용자 또는 디바이스가 그룹에 대한 규칙을 만족하면 해당 그룹의 멤버로 추가됩니다. 규칙을 더 이상 충족하지 않으면 제거됩니다. 동적 멤버 자격 그룹의 멤버를 수동으로 추가하거나 제거할 수 없습니다.
- 사용자 또는 디바이스에 대한 동적 멤버 자격 그룹을 만들 수는 있지만 사용자와 디바이스를 모두 포함하는 규칙은 만들 수 없습니다.
- 디바이스 소유자의 사용자 성을 기반으로 디바이스 멤버 자격 그룹을 만들 수 없습니다. 디바이스 멤버 자격 규칙은 디바이스 특성만 참조할 수 있습니다.
참고 항목
이 기능을 사용하려면 하나 이상의 동적 멤버 자격 그룹의 멤버인 각 고유 사용자에 대해 Microsoft Entra ID P1 라이선스 또는 Intune for Education이 필요합니다. 동적 멤버 자격 그룹의 멤버가 되기 위해 사용자에게 라이선스를 할당할 필요는 없지만, 이러한 모든 사용자를 포함하려면 Microsoft Entra 조직에 최소 라이선스 수가 있어야 합니다. 예를 들어 조직의 모든 동적 멤버 자격 그룹에 총 1,000명의 고유 사용자가 있는 경우 라이선스 요구 사항을 충족하려면 Microsoft Entra ID P1에 대해 최소 1,000개의 라이선스가 필요합니다. 디바이스를 기반으로 동적 멤버 자격 그룹의 멤버인 디바이스에는 라이선스가 필요하지 않습니다.
Azure Portal의 규칙 작성기
Microsoft Entra ID는 중요한 규칙을 더 신속하게 만들고 업데이트하는 규칙 작성기를 제공합니다. 규칙 작성기는 최대 5개의 식을 생성하는 작업을 지원합니다. 규칙 작성기를 사용하면 몇 가지 간단한 식으로 하나의 규칙을 보다 쉽게 만들 수 있으며, 다만 모든 규칙을 재현하는 데 규칙 작성기를 사용할 수는 없습니다. 사용자가 만들려는 규칙을 규칙 작성기에서 지원하지 않는 경우, 텍스트 상자를 사용할 수 있습니다.
다음은 텍스트 상자를 사용해야 하는 고급 규칙 또는 구문의 몇 가지 예입니다.
- 6개 이상의 식이 있는 규칙
- 직접 보고 규칙
- -contains 또는 -notContains 연산자가 있는 규칙
- 연산자 선행 규칙 설정
- 복잡한 식이 있는 규칙(예:
(user.proxyAddresses -any (_ -startsWith "contoso"))
)
참고 항목
규칙 작성기가 텍스트 상자에 생성된 일부 규칙을 표시하지 못할 수도 있습니다. 규칙 작성기에서 규칙을 표시할 수 없을 때 메시지가 표시될 수 있습니다. 규칙 는 동적 멤버 자격 그룹에 대해 지원되는 구문, 유효성 검사 또는 규칙 처리를 어떤 방식으로도 변경하지 않습니다.
자세한 단계별 지침은 동적 멤버 자격 그룹 만들기 또는 업데이트를 참조하세요.
단일 식에 대한 규칙 구문
단일 식은 가장 간단한 형태의 멤버 자격 규칙이며 위에서 언급한 세 부분만 있습니다. 단일 식이 있는 규칙은 이 예 Property Operator Value
와 비슷합니다. 여기서 속성에 대한 구문은 object.property의 이름입니다.
다음 예는 단일 식을 사용하여 올바르게 구성된 멤버 관리 규칙을 보여 줍니다.
user.department -eq "Sales"
단일 식에서 괄호는 선택 사항입니다. 멤버 관리 규칙 본문의 전체 길이는 3072자를 초과할 수 없습니다.
멤버 자격 규칙 본문 구성
사용자 또는 디바이스를 그룹에 자동으로 채우는 멤버 자격 규칙은 참 또는 거짓 결과를 가져오는 이진 식입니다. 간단한 규칙의 세 부분은 다음과 같습니다.
- 속성
- 연산자
- 값
식 내의 부분 순서는 구문 오류를 방지하는 데 중요합니다.
지원되는 속성
멤버 자격 규칙을 구성하는 데 사용할 수 있는 세 가지 유형의 속성이 있습니다.
- Boolean
- DateTime
- 문자열
- 문자열 컬렉션
단일 식을 만드는 데 사용할 수 있는 사용자 속성은 다음과 같습니다.
부울 형식의 속성
속성 | 허용된 값 | 사용 |
---|---|---|
accountEnabled | true false | user.accountEnabled -eq true |
dirSyncEnabled | true false | user.dirSyncEnabled -eq true |
dateTime 형식의 속성
속성 | 허용된 값 | 사용 |
---|---|---|
employeeHireDate(미리 보기) | 모든 DateTimeOffset 값 또는 키워드 system.now | user.employeeHireDate -eq "value" |
문자열 형식의 속성
속성 | 허용된 값 | 사용 |
---|---|---|
city | 임의의 문자열 값 또는 null입니다. | user.city -eq "value" |
country | 임의의 문자열 값 또는 null입니다. | user.country -eq "value" |
companyName | 임의의 문자열 값 또는 null입니다. | user.companyName -eq "value" |
department | 임의의 문자열 값 또는 null입니다. | user.department -eq "value" |
displayName | 임의의 문자열 값 | user.displayName -eq "value" |
employeeId | 임의의 문자열 값 | user.employeeId -eq "value" user.employeeId -ne null |
facsimileTelephoneNumber | 임의의 문자열 값 또는 null입니다. | user.facsimileTelephoneNumber -eq "value" |
givenName | 임의의 문자열 값 또는 null입니다. | user.givenName -eq "value" |
jobTitle | 임의의 문자열 값 또는 null입니다. | user.jobTitle -eq "value" |
임의의 문자열 값 또는 null(사용자의 SMTP 주소)입니다. | user.mail -eq "value" | |
mailNickName | 임의의 문자열 값(사용자의 메일 별칭) | user.mailNickName -eq "value" |
memberOf | 모든 문자열 값(유효한 그룹 개체 ID) | user.memberOf -any (group.objectId -in ['value']) |
mobile | 임의의 문자열 값 또는 null입니다. | user.mobile -eq "value" |
objectId | 사용자 개체의 GUID입니다. | user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
onPremisesDistinguishedName | 임의의 문자열 값 또는 null입니다. | user.onPremisesDistinguishedName -eq "value" |
onPremisesSecurityIdentifier | 온-프레미스에서 클라우드로 동기화된 사용자의 온-프레미스 SID(보안 식별자)입니다. | user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111" |
passwordPolicies | 없음 DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
physicalDeliveryOfficeName | 임의의 문자열 값 또는 null입니다. | user.physicalDeliveryOfficeName -eq "value" |
postalCode | 임의의 문자열 값 또는 null입니다. | user.postalCode -eq "value" |
preferredLanguage | ISO 639-1 코드 | user.preferredLanguage -eq "en-US" |
sipProxyAddress | 임의의 문자열 값 또는 null입니다. | user.sipProxyAddress -eq "value" |
상태 | 임의의 문자열 값 또는 null입니다. | user.state -eq "value" |
streetAddress | 임의의 문자열 값 또는 null입니다. | user.streetAddress -eq "value" |
surname | 임의의 문자열 값 또는 null입니다. | user.surname -eq "value" |
telephoneNumber | 임의의 문자열 값 또는 null입니다. | user.telephoneNumber -eq "value" |
usageLocation | 두 문자로 된 국가 또는 지역 코드 | user.usageLocation -eq "US" |
userPrincipalName | 임의의 문자열 값 | user.userPrincipalName -eq "alias@domain" |
userType | member guest null | user.userType -eq "Member" |
문자열 컬렉션 형식의 속성
속성 | 허용된 값 | 예시 |
---|---|---|
otherMails | 임의의 문자열 값 | user.otherMails -startsWith "alias@domain" |
proxyAddresses | SMTP: alias@domain smtp: alias@domain | user.proxyAddresses -startsWith "SMTP: alias@domain" |
디바이스 규칙에 사용되는 속성은 디바이스에 대한 규칙을 참조하세요.
지원되는 식 연산자
다음 표에는 단일 식에 지원되는 모든 연산자와 해당 구문이 나와 있습니다. 연산자는 하이픈(-) 접두사를 사용하거나 사용하지 않을 수 있습니다. Contains 연산자는 부분 문자열 일치를 수행하지만 컬렉션의 일치 항목은 수행하지 않습니다.
작업 | 구문 |
---|---|
같지 않음 | -ne |
같음 | -eq |
다음으로 시작 안 함 | -notStartsWith |
시작 단어 | -startsWith |
포함하지 않음 | -notContains |
포함 | 포함- |
일치하지 않음 | -notMatch |
Match | -match |
In | -in |
속하지 않음 | -notIn |
-in 및 -notIn 연산자 사용
사용자 특성의 값을 여러 값과 비교하려는 경우 -in 또는 -notIn 연산자를 사용할 수 있습니다. "[" 및 "]" 괄호 기호를 사용하여 값 목록을 시작하고 끝냅니다.
다음 예제에서는 user.department의 값이 목록의 값과 같으면 식은 true로 평가됩니다.
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
-le 및 -ge 연산자 사용
동적 멤버 자격 그룹에 대한 규칙에서 employeeHireDate 특성을 사용할 때 보다 작음(-le) 또는 보다 큼(-ge) 연산자를 사용할 수 있습니다.
예:
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
-match 연산자 사용
-match 연산자는 정규식 일치에 사용됩니다. 예:
user.displayName -match "^Da.*"
Da
, Dav
, David
는 true로 평가되고, aDa는 false로 평가됩니다.
user.displayName -match ".*vid"
David
는 true로 평가되고, Da
는 false로 평가됩니다.
지원되는 값
식에 사용된 값은 다음을 포함하여 여러 형식으로 구성할 수 있습니다.
- 문자열
- 부울 – true, false
- 숫자
- 배열 - 숫자 배열, 문자열 배열
식 내에서 값을 지정하는 경우 올바른 구문을 사용하여 오류를 방지해야 합니다. 구문 팁 일부는 다음과 같습니다.
- 값이 문자열이 아니면 큰따옴표는 선택 사항입니다.
- 정규식과 문자열 연산은 대/소문자를 구분하지 않습니다.
- 대/소문자를 구분하므로 속성 이름이 표시된 대로 올바른 형식으로 지정되었는지 확인합니다.
- 문자열 값에 큰따옴표가 포함되면 두 큰따옴표에서 모두 ` 문자를 사용하여 이스케이프해야 합니다. 예를 들어 "Sales"가 값인 경우 user.department -eq `"Sales`"가 올바른 구문입니다. 작은따옴표는 매번 한 개가 아닌 두 개의 작은따옴표를 사용하여 이스케이프해야 합니다.
- null을 값으로 사용하여 Null 검사를 수행할 수도 있습니다(예:
user.department -eq null
).
Null 값 사용
규칙에 null 값을 지정하려면 null 값을 사용할 수 있습니다.
- 식에서 null 값을 비교하는 경우 -eq 또는 -ne를 사용합니다.
- 리터럴 문자열 값으로 해석되도록 하려면 null 단어 주위에 따옴표를 사용합니다.
- -not 연산자는 null에 대한 비교 연산자로 사용할 수 없습니다. 이 연산자를 사용할 경우 null을 사용하든 아니면 $null을 사용하든 오류가 발생합니다.
null 값을 참조하는 올바른 방법은 다음과 같습니다.
user.mail –ne null
여러 식이 있는 규칙
동적 멤버 자격 그룹에 대한 관리 규칙은 -and, -or 및 -not 논리 연산자로 연결된 둘 이상의 단일 식으로 구성될 수 있습니다. 논리 연산자는 조합하여 사용할 수도 있습니다.
여러 식을 사용하여 올바르게 구성된 멤버 자격 규칙의 예제는 다음과 같습니다.
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
연산자 우선 순위
모든 연산자는 우선 순위가 높은 순서에서 낮은 순서로 나열됩니다. 같은 줄에 있는 연산자는 우선 순위가 같습니다.
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
다음 예는 사용자에 대한 두 식이 평가되는 연산자 우선 순위를 보여 줍니다.
user.department –eq "Marketing" –and user.country –eq "US"
괄호는 우선 순위가 요구 사항을 충족하지 않는 경우에만 필요합니다. 예를 들어 부서가 먼저 평가되도록 하려면 다음 예제에서 괄호를 사용하여 순서를 결정하는 방법을 보여 줍니다.
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
복잡한 식이 있는 규칙
멤버 자격 규칙은 속성, 연산자 및 값에서 더 복잡한 형식을 사용하는 복잡한 식으로 구성할 수 있습니다. 다음 중 하나가 충족되면 해당 식이 복잡한 식으로 간주됩니다.
- 속성이 값의 컬렉션, 특히 다중 값이 있는 속성으로 구성됩니다.
- 식에서 -any 및 -all 연산자를 사용합니다.
- 식의 값 자체가 하나 이상의 식일 수 있습니다.
다중 값 속성
다중 값 속성은 동일한 유형인 개체의 컬렉션입니다. 이 속성은 -any 및 -all 논리 연산자를 사용하여 멤버 자격 규칙을 만드는 데 사용할 수 있습니다.
속성 | 값 | 사용 |
---|---|---|
assignedPlans | 컬렉션에 있는 각 개체는 다음 문자열 속성을 표시합니다. capabilityStatus, service, servicePlanId | user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled") |
proxyAddresses | SMTP: alias@domain smtp: alias@domain | (user.proxyAddresses -any (_ -startsWith "contoso")) |
-any 및 -all 연산자 사용
-any 및 -all 연산자를 사용하여 각각 컬렉션의 항목 중 하나 또는 모두에 조건을 적용할 수 있습니다.
- -any(컬렉션에서 적어도 하나의 항목이 조건과 일치하는 경우 충족)
- -all(컬렉션에서 모든 항목이 조건과 일치하는 경우 충족)
예 1
assignedPlans는 사용자에게 할당된 모든 서비스 계획을 나열하는 다중 값 속성입니다. 다음 식은 사용 상태인 Exchange Online(계획 2) 서비스 계획을 GUID 값으로 사용하는 사용자를 선택합니다.
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
이와 같은 규칙은 Microsoft 365 또는 다른 Microsoft Online Service 기능을 사용하도록 설정된 모든 사용자를 그룹화하는 데 사용할 수 있습니다. 그러면 일단의 정책을 그룹에 적용할 수 있습니다.
예제 2
다음 식은 Intune 서비스("SCO" 서비스 이름으로 식별)와 연결된 서비스 계획이 있는 모든 사용자를 선택합니다.
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
예 3
다음 식은 할당된 서비스 계획이 없는 모든 사용자를 선택합니다.
user.assignedPlans -all (assignedPlan.servicePlanId -eq null)
밑줄(_) 구문 사용
밑줄(_) 구문은 동적 멤버 자격 그룹에 사용자나 디바이스를 추가하기 위한 다중값 문자열 컬렉션 속성 중 하나에서 특정 값의 발생과 일치합니다. -any 또는 -all 연산자와 함께 사용됩니다.
규칙에서 밑줄(_)을 사용하여 user.proxyAddress(user.otherMails와 같은 작동)를 기준으로 멤버를 추가하는 예입니다. 이 규칙은 "contoso"로 시작하는 프록시 주소를 가진 사용자를 그룹에 추가합니다.
(user.proxyAddresses -any (_ -startsWith "contoso"))
다른 속성 및 일반 규칙
"직접 보고서" 규칙 만들기
관리자의 직접 보고서를 모두 포함하는 그룹을 만들 수 있습니다. 나중에 관리자의 직접 보고서가 변경되면 그룹의 멤버 자격이 자동으로 조정됩니다.
직접 보고서 규칙은 다음 구문을 사용하여 구성됩니다.
Direct Reports for "{objectID_of_manager}"
다음은 "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"가 관리자의 objectID인 유효한 규칙의 예입니다.
Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
규칙을 올바르게 사용하는 데 도움이 될 수 있는 팁은 다음과 같습니다.
- 관리자 ID는 관리자의 개체 ID입니다. 관리자의 프로필에서 찾을 수 있습니다.
- 규칙이 작동하려면 관리자 속성이 조직의 사용자에 대해 올바르게 설정되어 있는지 확인합니다. 사용자의 프로필에서 현재 값을 확인할 수 있습니다.
- 이 규칙은 관리자의 직접 보고서만 지원합니다. 다시 말해 그룹은 관리자의 직접 보고서 및 해당 보고서를 사용하여 만들 수는 없습니다.
- 이 규칙은 다른 멤버 자격 규칙과 결합할 수 없습니다.
"모든 사용자" 규칙 만들기
멤버 자격 규칙을 사용하여 조직 내의 모든 사용자가 포함된 그룹을 만들 수 있습니다. 나중에 조직에서 사용자를 추가하거나 제거하면 그룹의 멤버 자격이 자동으로 조정됩니다.
"모든 사용자" 규칙은 -ne 연산자와 null 값을 사용하는 단일 식을 사용하여 구성됩니다. 이 규칙은 B2B 게스트 사용자와 멤버 사용자를 그룹에 추가합니다.
user.objectId -ne null
그룹에서 게스트 사용자를 제외하고 조직의 멤버만 포함하려는 경우, 다음 구문을 사용할 수 있습니다.
(user.objectId -ne null) -and (user.userType -eq "Member")
"모든 디바이스" 규칙 만들기
멤버 자격 규칙을 사용하여 조직 내의 모든 디바이스가 포함된 그룹을 만들 수 있습니다. 나중에 조직에서 디바이스를 추가하거나 제거하면 그룹의 멤버 자격이 자동으로 조정됩니다.
"모든 디바이스" 규칙은 -ne 연산자와 null 값을 사용하는 단일 식을 사용하여 구성됩니다.
device.objectId -ne null
확장 속성 및 사용자 지정 확장 속성
확장 특성 및 사용자 지정 확장 속성은 동적 멤버 자격 그룹의 규칙에서 문자열 속성으로 지원됩니다. 확장 특성은 온-프레미스 Windows Server Active Directory에서 동기화되거나 Microsoft Graph를 사용하여 업데이트될 수 있으며 "ExtensionAttributeX" 형식을 사용합니다. 여기서 X는 1 - 15입니다. 다중값 확장 속성은 동적 멤버 자격 관리 규칙에서 지원되지 않습니다.
확장 특성을 속성으로 사용하는 규칙의 예제는 다음과 같습니다.
(user.extensionAttribute15 -eq "Marketing")
사용자 지정 확장 속성은 온-프레미스 Windows Server Active Directory, 연결된 SaaS 애플리케이션에서 동기화되거나 Microsoft Graph를 사용하여 생성될 수 있으며, user.extension_[GUID]_[Attribute]
형식입니다. 여기서:
- [GUID]는 Microsoft Entra ID에서 속성을 만든 애플리케이션에 대한 고유 식별자의 삭제된 버전입니다. 0-9 및 A-Z 문자만 포함됩니다.
- [Attribute]는 Azure AD에서 만든 속성의 이름입니다.
사용자 지정 확장 속성을 사용하는 규칙의 예제는 다음과 같습니다.
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
사용자 지정 확장 속성을 디렉터리 또는 Microsoft Entra 확장 속성이라고도 합니다.
사용자 지정 속성 이름은 [Graph 탐색기]를 사용하여 사용자 속성을 쿼리하고 속성 이름을 검색하여 디렉터리에서 찾을 수 있습니다. 또한 이제 동적 멤버 자격 그룹 규칙 작성기에서 사용자 지정 확장 속성 가져오기 링크를 선택하여 고유 앱 ID를 입력하고 동적 멤버 자격 그룹에 대한 규칙을 만들 때 사용할 사용자 지정 확장 속성의 전체 목록을 받을 수 있습니다. 이 목록을 새로 고침하여 해당 앱에 대한 새로운 사용자 지정 확장 속성을 가져올 수도 있습니다. 확장 특성 및 사용자 지정 확장 속성은 테넌트의 애플리케이션에서 가져온 것이어야 합니다.
자세한 내용은 Microsoft Entra Connect 동기화: 디렉터리 확장 문서의 동적 멤버 자격 그룹에서 특성 사용을 참조하세요.
디바이스에 대한 규칙
또한 그룹의 멤버 자격에 대한 디바이스 개체를 선택하는 규칙을 만들 수 있습니다. 사용자와 디바이스는 모두 그룹 멤버로 사용할 수 없습니다.
참고 항목
organizationalUnit
특성은 더 이상 나열되지 않으며 사용해서는 안 됩니다. 이 문자열은 특정 사례에서 Intune에 의해 설정되지만 Microsoft Entra ID에서 인식되지 않습니다. 따라서 디바이스는 이 특성을 기반으로 하는 그룹에 추가됩니다.
systemlabels
특성은 읽기 전용이며 Intune으로 설정할 수 없습니다.
Windows 10의 경우 deviceOSVersion
특성의 올바른 형식은 다음과 같습니다(device.deviceOSVersion -startsWith "10.0.1"). Get-MgDevice PowerShell cmdlet을 사용하여 형식의 유효성을 검사할 수 있습니다.
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
다음과 같은 디바이스 특성을 사용할 수 있습니다.
디바이스 특성 | 값 | 예시 |
---|---|---|
accountEnabled | true false | device.accountEnabled -eq true |
deviceCategory | 유효한 디바이스 범주 이름 | device.deviceCategory -eq "BYOD" |
deviceId | 유효한 Microsoft Entra 디바이스 ID | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
deviceManagementAppId | Microsoft Entra ID의 유효한 MDM 애플리케이션 ID | 관리되는 Microsoft Intune의 경우 device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" 또는 System Center Configuration Manager 공동 관리 디바이스의 경우 "54b943f8-d761-4f8d-951e-9cea1846db5a" |
deviceManufacturer | 임의의 문자열 값입니다. | device.deviceManufacturer -eq "Samsung" |
deviceModel | 임의의 문자열 값입니다. | device.deviceModel -eq "iPad Air" |
displayName | 임의의 문자열 값입니다. | device.displayName -eq "Rob iPhone" |
deviceOSType | 임의의 문자열 값입니다. | (device.deviceOSType -eq "iPad") -또는 (device.deviceOSType -eq "iOS") device.deviceOSType -startsWith "AndroidEnterprise" device.deviceOSType -eq "AndroidForWork" device.deviceOSType -eq "Windows" |
deviceOSVersion | 임의의 문자열 값입니다. | device.deviceOSVersion -eq "9.1" device.deviceOSVersion -startsWith "10.0.1" |
deviceOwnership | 개인, 회사, 알 수 없음 | device.deviceOwnership -eq "Company" |
devicePhysicalIds | Autopilot에서 사용하는 모든 문자열 값(예: 모든 Autopilot 디바이스, OrderID 또는 PurchaseOrderID) | device.devicePhysicalIDs -any _ -startsWith "[ZTDId]" (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881" (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
deviceTrustType | AzureAD, ServerAD, Workplace | device.deviceTrustType -eq "AzureAD" |
enrollmentProfileName | Apple 디바이스 등록 프로필 이름, Android Enterprise 기업 소유의 전용 디바이스 등록 프로필 이름 또는 Windows Autopilot 프로필 이름 | device.enrollmentProfileName -eq "DEP iPhones" |
extensionAttribute1 | 임의의 문자열 값입니다. | device.extensionAttribute1 -eq "some string value" |
extensionAttribute2 | 임의의 문자열 값입니다. | device.extensionAttribute2 -eq "some string value" |
extensionAttribute3 | 임의의 문자열 값입니다. | device.extensionAttribute3 -eq "some string value" |
extensionAttribute4 | 임의의 문자열 값입니다. | device.extensionAttribute4 -eq "some string value" |
extensionAttribute5 | 임의의 문자열 값입니다. | device.extensionAttribute5 -eq "some string value" |
extensionAttribute6 | 임의의 문자열 값입니다. | device.extensionAttribute6 -eq "some string value" |
extensionAttribute7 | 임의의 문자열 값입니다. | device.extensionAttribute7 -eq "some string value" |
extensionAttribute8 | 임의의 문자열 값입니다. | device.extensionAttribute8 -eq "some string value" |
extensionAttribute9 | 임의의 문자열 값입니다. | device.extensionAttribute9 -eq "some string value" |
extensionAttribute10 | 임의의 문자열 값입니다. | device.extensionAttribute10 -eq "some string value" |
extensionAttribute11 | 임의의 문자열 값입니다. | device.extensionAttribute11 -eq "some string value" |
extensionAttribute12 | 임의의 문자열 값입니다. | device.extensionAttribute12 -eq "some string value" |
extensionAttribute13 | 임의의 문자열 값입니다. | device.extensionAttribute13 -eq "some string value" |
extensionAttribute14 | 임의의 문자열 값입니다. | device.extensionAttribute14 -eq "some string value" |
extensionAttribute15 | 임의의 문자열 값입니다. | device.extensionAttribute15 -eq "some string value" |
isRooted | true false | device.isRooted -eq true |
managementType | MDM(모바일 디바이스) | device.managementType -eq "MDM" |
memberOf | 모든 문자열 값(유효한 그룹 개체 ID) | device.memberOf -any (group.objectId -in ['value']) |
objectId | 유효한 Microsoft Entra 개체 ID | device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
profileType | Microsoft Entra ID의 유효한 프로필 형식 | device.profileType -eq "RegisteredDevice" |
systemLabels | Modern Workplace 디바이스에 태그를 지정하기 위한 Intune 디바이스 속성과 일치하는 읽기 전용 문자열 | device.systemLabels -startsWith "M365Managed" SystemLabels |
참고 항목
systemLabels
를 사용하는 경우 디바이스 관리 및 민감도 레이블 지정과 같은 다양한 컨텍스트에서 사용되는 읽기 전용 특성은 Intune을 통해 편집할 수 없습니다.
deviceOwnership
을 사용하여 디바이스에 대한 동적 멤버 자격 그룹을 만들 때 값을 Company
와 동일하게 설정해야 합니다. Intune에서 디바이스 소유권이 Corporate로 대신 표시됩니다. 자세한 내용은 OwnerTypes를 참조하세요.
deviceTrustType
을 사용하여 디바이스에 대한 동적 멤버 자격 그룹을 만드는 경우 Microsoft Entra 조인 디바이스를 나타내려면 AzureAD
, Microsoft Entra 하이브리드 조인 디바이스를 나타내려면 ServerAD
, Microsoft Entra 등록 디바이스를 나타내려면 Workplace
와 동일한 값을 설정해야 합니다.
extensionAttribute1-15
를 사용하여 디바이스에 대한 동적 멤버 자격 그룹을 만드는 경우 디바이스에서 extensionAttribute1-15
에 대한 값을 설정해야 합니다. Microsoft Entra 디바이스 개체에 extensionAttributes
를 작성하는 방법에 대해 자세히 알아보기
다음 단계
이러한 문서는 Microsoft Entra ID의 그룹에 대한 추가 정보를 제공합니다.