Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile creare regole basate su attributi utente o dispositivo per abilitare l'appartenenza ai gruppi di appartenenza dinamica in Microsoft Entra ID. È possibile aggiungere e rimuovere automaticamente gruppi di appartenenza dinamici usando regole di appartenenza basate sugli attributi dei membri. In Microsoft Entra un singolo tenant può avere un massimo di 15.000 gruppi di appartenenza dinamica.
Questo articolo descrive in dettaglio le proprietà e la sintassi per creare regole per gruppi di appartenenza dinamica basate su utenti o dispositivi.
Nota
I gruppi di sicurezza possono includere dispositivi o utenti, ma i gruppi di Microsoft 365 possono includere solo gli utenti.
Considerazioni sui gruppi di appartenenza dinamici
Quando gli attributi di un utente o di un dispositivo cambiano, il sistema valuta tutte le regole per i gruppi di appartenenza dinamica in una directory per verificare se la modifica attiverebbe eventuali aggiunte o rimozioni di gruppo. Se gli utenti o i dispositivi soddisfano una regola in un gruppo, vengono aggiunti come membri di tale gruppo. Se non soddisfa più la regola, viene rimosso. Non è possibile aggiungere o rimuovere un membro di un gruppo di appartenenza dinamica manualmente.
Tenere presenti anche queste limitazioni:
- Sebbene sia possibile creare un gruppo di appartenenza dinamica per i dispositivi o gli utenti, non è possibile creare una regola che contenga sia utenti che dispositivi.
- Non è possibile creare un gruppo di appartenenza a un dispositivo in base agli attributi dei proprietari del dispositivo. Le regole di appartenenza ai dispositivi possono fare riferimento solo agli attributi dei dispositivi.
Requisiti di licenza
La funzionalità dei gruppi di appartenenza dinamica richiede una licenza Microsoft Entra ID P1 o una licenza di Intune per Education per ogni utente univoco membro di uno o più gruppi di appartenenze dinamiche. Non è necessario assegnare licenze agli utenti affinché siano membri di gruppi di appartenenza dinamici. Tuttavia, è necessario disporre del numero minimo di licenze nell'organizzazione Microsoft Entra per coprire tutti questi utenti.
Ad esempio, se si dispone di un totale di 1.000 utenti univoci in tutti i gruppi di appartenenza dinamici dell'organizzazione, sono necessarie almeno 1.000 licenze per Microsoft Entra ID P1 per soddisfare il requisito di licenza.
Per i dispositivi che sono membri di un gruppo di appartenenza dinamica basato su un dispositivo non è necessaria alcuna licenza.
Generatore di regole nel portale di Azure
Microsoft Entra ID fornisce un generatore di regole per creare e aggiornare le regole importanti più rapidamente. Il generatore di regole supporta la costruzione di un massimo di cinque espressioni. È possibile usare il generatore di regole per formare una regola con poche espressioni semplici, ma non è possibile usarla per riprodurre ogni regola. Se il generatore di regole non supporta la regola che si vuole creare, è possibile usare la casella di testo.
Per istruzioni dettagliate, vedere Creare o aggiornare un gruppo di appartenenze dinamiche.
Importante
Il generatore di regole è disponibile solo per i gruppi di appartenenze dinamiche basati sull'utente. È possibile creare gruppi di appartenenze dinamici basati su dispositivo solo usando la casella di testo.
Ecco alcuni esempi di regole avanzate o sintassi che richiedono l'uso della casella di testo:
- Regola con più di cinque espressioni
- Regola per i report diretti
- Regola con
-containso-notContainsoperatore - Impostazione della precedenza degli operatore
-
Regola con espressioni complesse; Per esempio
(user.proxyAddresses -any (_ -startsWith "contoso"))
Nota
Il generatore di regole potrebbe non essere in grado di visualizzare alcune regole costruite nella casella di testo. Potrebbe essere visualizzato un messaggio quando il generatore di regole non può visualizzare la regola. Il generatore di regole non modifica in alcun modo la sintassi, la convalida o l'elaborazione delle regole per i gruppi di appartenenza dinamica.
Sintassi della regola per una singola espressione
Una singola espressione è la forma più semplice di una regola di appartenenza. Una regola con una singola espressione assume la forma di <Property> <Operator> <Value>, dove la sintassi per la proprietà è il nome di <object>.<property>.
Di seguito è riportato un esempio di regola di appartenenza strutturata correttamente con una singola espressione:
user.department -eq "Sales"
Per una singola espressione le parentesi sono facoltative. La lunghezza totale del corpo della regola di appartenenza non può superare 3.072 caratteri.
Creazione del corpo di una regola di appartenenza
Una regola di appartenenza che popola automaticamente un gruppo con utenti o dispositivi è un'espressione binaria che restituisce un risultato true o false. Le tre parti di una regola semplice sono:
- Proprietà
- Operatore
- Valore
L'ordine delle parti in un'espressione è importante per evitare gli errori di sintassi.
Proprietà supportate
È possibile usare tre tipi di proprietà per costruire una regola di appartenenza:
- Booleano
- Data/ora
- Stringa
- Raccolta di stringhe
È possibile usare le proprietà utente seguenti per creare una singola espressione.
Proprietà di tipo Boolean
| Proprietà | Valori consentiti | Utilizzo |
|---|---|---|
accountEnabled |
true, false |
user.accountEnabled -eq true |
dirSyncEnabled |
true, false |
user.dirSyncEnabled -eq true |
Proprietà di tipo data/ora
| Proprietà | Valori consentiti | Utilizzo |
|---|---|---|
employeeHireDate (anteprima) |
Qualsiasi DateTimeOffset valore o parola chiave system.now |
user.employeeHireDate -eq "value" |
Proprietà di tipo stringa
| Proprietà | Valori consentiti | Utilizzo |
|---|---|---|
city |
Qualsiasi valore stringa o null |
user.city -eq "value" |
country |
Qualsiasi valore stringa o null |
user.country -eq "value" |
companyName |
Qualsiasi valore stringa o null |
user.companyName -eq "value" |
department |
Qualsiasi valore stringa o null |
user.department -eq "value" |
displayName |
Qualsiasi valore di stringa | user.displayName -eq "value" |
employeeId |
Qualsiasi valore di stringa | user.employeeId -eq "value"user.employeeId -ne "null" |
facsimileTelephoneNumber |
Qualsiasi valore stringa o null |
user.facsimileTelephoneNumber -eq "value" |
givenName |
Qualsiasi valore stringa o null |
user.givenName -eq "value" |
jobTitle |
Qualsiasi valore stringa o null |
user.jobTitle -eq "value" |
mail |
Qualsiasi valore stringa o null (indirizzo SMTP dell'utente) |
user.mail -eq "value"user.mail -notEndsWith "@Contoso.com" |
mailNickName |
Qualsiasi valore stringa (alias di posta dell'utente) | user.mailNickName -eq "value"user.mailNickname -endsWith "-vendor" |
memberOf |
Qualsiasi valore stringa (ID oggetto gruppo valido) | user.memberOf -any (group.objectId -in ['value']) |
mobile |
Qualsiasi valore stringa o null |
user.mobile -eq "value" |
objectId |
GUID dell'oggetto utente | user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
onPremisesDistinguishedName |
Qualsiasi valore stringa o null |
user.onPremisesDistinguishedName -eq "value" |
onPremisesSecurityIdentifier |
SID (On-Premises Security Identifier) per gli utenti sincronizzati dall'ambiente locale al cloud | user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111" |
passwordPolicies |
None, DisableStrongPassword, DisablePasswordExpiration, DisablePasswordExpirationDisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
physicalDeliveryOfficeName |
Qualsiasi valore stringa o null |
user.physicalDeliveryOfficeName -eq "value" |
postalCode |
Qualsiasi valore stringa o null |
user.postalCode -eq "value" |
preferredLanguage |
Codice ISO 639-1 | user.preferredLanguage -eq "en-US" |
sipProxyAddress |
Qualsiasi valore stringa o null |
user.sipProxyAddress -eq "value" |
state |
Qualsiasi valore stringa o null |
user.state -eq "value" |
streetAddress |
Qualsiasi valore stringa o null |
user.streetAddress -eq "value" |
surname |
Qualsiasi valore stringa o null |
user.surname -eq "value" |
telephoneNumber |
Qualsiasi valore stringa o null |
user.telephoneNumber -eq "value" |
usageLocation |
Codice paese o area geografica a due lettere | user.usageLocation -eq "US" |
userPrincipalName |
Qualsiasi valore di stringa | user.userPrincipalName -eq "alias@domain" |
userType |
member, guest, null |
user.userType -eq "Member" |
Proprietà del tipo collezione di stringhe
| Proprietà | Valori consentiti | Esempi |
|---|---|---|
otherMails |
Qualsiasi valore di stringa | user.otherMails -startsWith "alias@domain"user.otherMails -endsWith"@contoso.com" |
proxyAddresses |
SMTP: alias@domain, smtp: alias@domain |
user.proxyAddresses -startsWith "SMTP: alias@domain"user.proxyAddresses -notEndsWith "@outlook.com" |
Per le proprietà usate per le regole dei dispositivi, vedere Regole per i dispositivi.
Operatori di espressione supportati
Nella tabella seguente sono elencati tutti gli operatori supportati e la relativa sintassi per un'espressione singola. È possibile usare gli operatori con o senza il prefisso trattino (-). L'operatore Contains esegue corrispondenze parziali di stringhe, ma non corrisponde a elementi all'interno di una raccolta.
Attenzione
Per ottenere risultati ottimali, ridurre al minimo l'uso di Match o Contains il più possibile. L'articolo Creare regole più semplici ed efficienti per i gruppi di appartenenze dinamiche fornisce indicazioni su come creare regole che comportano tempi di elaborazione dei gruppi dinamici migliori. L'operatore memberOf è in anteprima e presenta alcune limitazioni, quindi usarlo con cautela.
| Operatore | Sintassi |
|---|---|
Ends With |
-endsWith |
Not Ends With |
-notEndsWith |
Not Equals |
-ne |
Equals |
-eq |
Not Starts With |
-notStartsWith |
Starts With |
-startsWith |
Not Contains |
-notContains |
Contains |
-contains |
Not Match |
-notMatch |
Match |
-match |
In |
-in |
Not In |
-notIn |
Uso degli operatori -in e -notIn
Se si vuole confrontare il valore di un attributo utente con più valori, è possibile usare l'operatore -in o -notIn . Usare i simboli tra parentesi quadre ([ e ]) per iniziare e terminare l'elenco di valori.
Nell'esempio seguente, l'espressione valuta a true se il valore di user.department corrisponde a uno dei valori nell'elenco.
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
Uso degli operatori -le e -ge
È possibile usare l'operatore minore di (-le) o maggiore di (-ge) quando si usa l'attributo employeeHireDate nelle regole per i gruppi di appartenenza dinamici.
Ecco alcuni esempi:
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
Uso dell'operatore -match
È possibile usare l'operatore -match per la corrispondenza di qualsiasi espressione regolare.
Per l'esempio seguente, Da, Dave David restituiscono true.
aDa valuta a false.
user.displayName -match "^Da.*"
Per l'esempio seguente, David restituisce true.
Da valuta a false.
user.displayName -match ".*vid"
Valori supportati
I valori usati in un'espressione possono essere costituiti da diversi tipi:
- Stringhe
- Booleano (
true,false) - Numeri
- Matrici (matrice numerica, matrice di stringhe)
Quando si specifica un valore all'interno di un'espressione, è importante usare la sintassi corretta per evitare errori. Ecco alcuni suggerimenti sulla sintassi:
- Le virgolette doppie sono facoltative, a meno che il valore non sia una stringa.
- Le operazioni regex e stringhe non fanno distinzione tra maiuscole e minuscole.
- Assicurarsi che i nomi delle proprietà siano formattati correttamente come illustrato, perché sono sensibili alla distinzione tra maiuscole e minuscole.
- Quando un valore stringa contiene virgolette doppie, dovresti eseguire l'escape di entrambe le virgolette usando il carattere barra rovesciata (
\). Ad esempio, user.department -eq '"Sales' è la sintassi corretta quandoSalesè il valore . Escapa le virgolette singole usando due virgolette singole anziché una ogni volta. - È anche possibile eseguire controlli Null usando
nullcome valore,user.department -eq nullad esempio .
Uso di valori Null
Per specificare un null valore in una regola:
- Usare
-eqo-nequando si confronta ilnullvalore in un'espressione. - Usare le virgolette intorno alla parola
nullsolo se si vuole che venga interpretato come valore stringa letterale. - Non usare l'operatore
-notcome operatore comparativo per il valore Null. Se viene usato, viene visualizzato un errore che indica se si usanullo$null.
Il modo corretto per fare riferimento al null valore è il seguente:
user.mail –ne null
Regole con più espressioni
Le regole per i gruppi di appartenenze dinamiche possono essere costituite da più di una singola espressione connessa dagli -andoperatori logici , -ore -not . È anche possibile usare gli operatori logici in combinazione.
Di seguito sono riportati esempi di regole di appartenenza strutturate correttamente con più espressioni:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
Precedenza tra gli operatori
L'elenco seguente mostra tutti gli operatori in ordine di precedenza dal più alto al più basso. Gli operatori sulla stessa riga hanno la stessa precedenza.
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
Di seguito è riportato un esempio di precedenza degli operatori in cui due espressioni vengono valutate per l'utente:
user.department –eq "Marketing" –and user.country –eq "US"
Sono necessarie parentesi solo quando la precedenza non soddisfa i requisiti. Ad esempio, se si vuole che il reparto venga valutato per primo, il codice seguente mostra come usare le parentesi per determinare l'ordine:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Regole con espressioni complesse
Una regola di appartenenza può essere costituita da espressioni complesse in cui proprietà, operatori e valori acquisiscono forme più complesse. Le espressioni vengono considerate complesse quando uno dei punti seguenti è true:
- La proprietà è costituita da una raccolta di valori; in particolare, proprietà multivalore.
- Le espressioni usano gli operatori
-anye-all. - Il valore dell'espressione può essere una o più espressioni.
Proprietà multivalore
Le proprietà multivalore sono raccolte di oggetti dello stesso tipo. È possibile usarle per creare regole di appartenenza usando gli -any operatori logici e -all .
| Proprietà | Valori | Utilizzo |
|---|---|---|
assignedPlans |
Ogni oggetto dell'insieme espone le proprietà stringa seguenti: capabilityStatus, service, servicePlanId |
user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled") |
proxyAddresses |
SMTP: alias@domain, smtp: alias@domain |
(user.proxyAddresses -any (\_ -startsWith "contoso")) |
Uso degli operatori -any e -all
È possibile utilizzare gli operatori seguenti per applicare una condizione a uno o a tutti gli elementi della raccolta:
-
-any: soddisfatta quando almeno un elemento della raccolta corrisponde alla condizione. -
-all: soddisfatto quando tutti gli elementi della raccolta corrispondono alla condizione.
Esempio 1
assignedPlans è una proprietà multivalore che elenca tutti i piani di servizio assegnati all'utente. L'espressione seguente seleziona gli utenti che dispongono del piano di servizio Exchange Online (piano 2) (come valore GUID) anch'esso in Enabled uno stato:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
È possibile usare una regola come questa per raggruppare tutti gli utenti per i quali è abilitata una funzionalità di Microsoft 365 o di altri Microsoft Online Services. È quindi possibile applicare la regola con un set di criteri al gruppo.
Esempio 2
L'espressione seguente seleziona tutti gli utenti che dispongono di un piano di servizio associato al servizio Intune (identificato dal nome SCOdel servizio ):
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Esempio 3
L'espressione seguente seleziona tutti gli utenti che non dispongono di un piano di servizio assegnato:
user.assignedPlans -all (assignedPlan.servicePlanId -eq null)
Usando la sintassi del carattere di sottolineatura (_)
La sintassi di sottolineatura (_) corrisponde alle occorrenze di un valore specifico in una delle proprietà della raccolta di stringhe multivalore per aggiungere utenti o dispositivi a un gruppo di appartenenze dinamiche. Lo si usa con l'operatore -any o -all .
Di seguito è riportato un esempio di uso del carattere di sottolineatura in una regola per aggiungere membri in user.proxyAddressbase a . (Funziona allo stesso modo per user.otherMails.) Questa regola aggiunge qualsiasi utente con un indirizzo proxy che inizia con contoso al gruppo.
(user.proxyAddresses -any (_ -startsWith "contoso"))
Altre proprietà e regole comuni
Creare una regola per i report diretti
È possibile creare un gruppo contenente tutti i report diretti di un manager. Quando in futuro i dipendenti diretti del manager cambiano, l'appartenenza al gruppo viene modificata automaticamente.
Per costruire la regola dei report diretti, usare la sintassi seguente:
Direct Reports for "{objectID_of_manager}"
Ecco un esempio di regola valida, dove aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb è l'ID oggetto del manager:
Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
I suggerimenti seguenti consentono di usare correttamente la regola:
- L'ID manager è l'ID oggetto del manager. È possibile trovarlo nel profilo del manager.
- Per il corretto funzionamento della regola, assicurarsi che la
Managerproprietà sia impostata correttamente per gli utenti dell'organizzazione. È possibile controllare il valore corrente nel profilo dell'utente. - Questa regola supporta solo i dipendenti diretti del manager. Non è possibile creare un gruppo con i report diretti del manager e i relativi report.
- Non è possibile combinare questa regola con altre regole di appartenenza.
Creare una regola per tutti gli utenti
È possibile creare un gruppo contenente tutti gli utenti all'interno di un'organizzazione usando una regola di appartenenza. Quando in futuro gli utenti vengono aggiunti o rimossi dall'organizzazione, l'appartenenza al gruppo viene modificata automaticamente.
Si costruisce la regola per tutti gli utenti usando una singola espressione che include l'operatore -ne e il null valore. Questa regola aggiunge utenti guest aziendali e utenti membri al gruppo.
user.objectId -ne null
Se si desidera che il gruppo escluda gli utenti guest e includa solo i membri dell'organizzazione, è possibile utilizzare la sintassi seguente:
(user.objectId -ne null) -and (user.userType -eq "Member")
Creare una regola per tutti i dispositivi
È possibile creare un gruppo che contiene tutti i dispositivi all'interno di un'organizzazione usando una regola di appartenenza. Quando in futuro i dispositivi vengono aggiunti o rimossi dall'organizzazione, l'appartenenza al gruppo viene modificata automaticamente.
Si costruisce la regola per tutti i dispositivi usando un'unica espressione che include l'operatore -ne e il null valore:
device.objectId -ne null
Attributi di estensione e proprietà di estensione personalizzate
Gli attributi di estensione e le proprietà di estensione personalizzate sono supportati come proprietà delle stringhe nelle regole per i gruppi di appartenenza dinamica.
È possibile sincronizzare gli attributi dell'estensione da Windows Server Active Directory locale. In alternativa, è possibile aggiornare gli attributi dell'estensione usando Microsoft Graph.
Gli attributi di estensione accettano il formato di , dove è uguale a ExtensionAttribute<X><X>1.-15 Le proprietà dell'estensione multivalore non sono supportate nelle regole per i gruppi di appartenenza dinamica.
Ecco un esempio di regola che usa un attributo di estensione come proprietà:
(user.extensionAttribute15 -eq "Marketing")
È possibile sincronizzare le proprietà dell'estensione personalizzate da Windows Server Active Directory locale o da un'applicazione SaaS (Software as a Service) connessa. È possibile creare proprietà di estensione personalizzate usando Microsoft Graph.
Le proprietà dell'estensione personalizzate accettano il formato , user.extension_[GUID]_[Attribute]dove:
-
[GUID]è la versione rimossa dell'identificatore univoco in Microsoft Entra ID per l'applicazione che ha creato la proprietà. Contiene solo caratteri 0-9 e A-Z. -
[Attribute]è il nome della proprietà durante la creazione.
Ecco un esempio di regola che usa una proprietà di estensione personalizzata:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Le proprietà dell’estensione personalizzata sono note anche come directory o proprietà dell'estensione Microsoft Entra.
È possibile trovare il nome della proprietà personalizzata nella directory eseguendo una query sulla proprietà di un utente in Graph Explorer e cercando il nome della proprietà. È anche possibile selezionare il collegamento Ottieni proprietà di estensione personalizzate nel generatore di regole dinamiche per immettere un ID app univoco e ricevere l'elenco completo delle proprietà di estensione personalizzate da usare quando si crea una regola per i gruppi di appartenenze dinamici. È possibile aggiornare questo elenco per ottenere le nuove proprietà di estensione personalizzate per l'app. Gli attributi di estensione e le proprietà di estensione personalizzate devono provenire dalle applicazioni nel tenant.
Per altre informazioni, vedere Usare gli attributi nei gruppi di appartenenza dinamica.
Regole per i dispositivi
È possibile creare una regola che seleziona gli oggetti dispositivo per l'appartenenza a un gruppo. Un gruppo non può avere come membri sia utenti che dispositivi.
Nota
L'attributo organizationalUnit non è più elencato e non è consigliabile usarlo. Intune imposta questa stringa in casi specifici, ma Microsoft Entra ID non lo riconosce. Nessun dispositivo viene aggiunto ai gruppi in base a questo attributo.
L'attributo systemlabels è di sola lettura. Non è possibile impostarlo con Intune.
Per Windows 10, il formato corretto dell'attributo deviceOSVersion è device.deviceOSVersion -startsWith "10.0.1". È possibile convalidare la formattazione usando il Get-MgDevice cmdlet di PowerShell:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
È possibile usare gli attributi del dispositivo seguenti.
| Attributo del dispositivo | Valori | Esempi |
|---|---|---|
accountEnabled |
true, false |
device.accountEnabled -eq true |
deviceCategory |
Nome di categoria del dispositivo valido | device.deviceCategory -eq "BYOD" |
deviceId |
ID dispositivo Microsoft Entra valido | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
deviceManagementAppId |
ID applicazione valido per la gestione dei dispositivi mobili in Microsoft Entra ID |
device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" per i dispositivi gestiti da Microsoft Intune"54b943f8-d761-4f8d-951e-9cea1846db5a" per i dispositivi con co-gestione di System Center Configuration Manager |
deviceManufacturer |
Qualsiasi valore di stringa | device.deviceManufacturer -eq "Samsung" |
deviceModel |
Qualsiasi valore di stringa | device.deviceModel -eq "iPad Air" |
displayName |
Qualsiasi valore di stringa | device.displayName -eq "Rob iPhone" |
deviceOSType |
Qualsiasi valore di stringa | (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iOS")device.deviceOSType -startsWith "AndroidEnterprise"device.deviceOSType -eq "AndroidForWork"device.deviceOSType -eq "Windows" |
deviceOSVersion |
Qualsiasi valore di stringa | device.deviceOSVersion -eq "9.1"device.deviceOSVersion -startsWith "10.0.1" |
deviceOwnership
1 |
Personal, Company, Unknown |
device.deviceOwnership -eq "Company" |
devicePhysicalIds |
Qualsiasi valore stringa usato da Windows Autopilot, ad esempio tutti i dispositivi Windows Autopilot, OrderIDo PurchaseOrderID |
device.devicePhysicalIDs -any _ -startsWith "[ZTDId]"device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881"device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
deviceTrustType
2 |
AzureAD, ServerAD, Workplace |
device.deviceTrustType -eq "AzureAD" |
enrollmentProfileName |
Nome del profilo per La registrazione automatica dei dispositivi Apple, la registrazione di dispositivi dedicati di proprietà dell'azienda Android Enterprise o Windows Autopilot | device.enrollmentProfileName -eq "DEP iPhones" |
extensionAttribute1
3 |
Qualsiasi valore di stringa | device.extensionAttribute1 -eq "some string value" |
extensionAttribute2 |
Qualsiasi valore di stringa | device.extensionAttribute2 -eq "some string value" |
extensionAttribute3 |
Qualsiasi valore di stringa | device.extensionAttribute3 -eq "some string value" |
extensionAttribute4 |
Qualsiasi valore di stringa | device.extensionAttribute4 -eq "some string value" |
extensionAttribute5 |
Qualsiasi valore di stringa | device.extensionAttribute5 -eq "some string value" |
extensionAttribute6 |
Qualsiasi valore di stringa | device.extensionAttribute6 -eq "some string value" |
extensionAttribute7 |
Qualsiasi valore di stringa | device.extensionAttribute7 -eq "some string value" |
extensionAttribute8 |
Qualsiasi valore di stringa | device.extensionAttribute8 -eq "some string value" |
extensionAttribute9 |
Qualsiasi valore di stringa | device.extensionAttribute9 -eq "some string value" |
extensionAttribute10 |
Qualsiasi valore di stringa | device.extensionAttribute10 -eq "some string value" |
extensionAttribute11 |
Qualsiasi valore di stringa | device.extensionAttribute11 -eq "some string value" |
extensionAttribute12 |
Qualsiasi valore di stringa | device.extensionAttribute12 -eq "some string value" |
extensionAttribute13 |
Qualsiasi valore di stringa | device.extensionAttribute13 -eq "some string value" |
extensionAttribute14 |
Qualsiasi valore di stringa | device.extensionAttribute14 -eq "some string value" |
extensionAttribute15 |
Qualsiasi valore di stringa | device.extensionAttribute15 -eq "some string value" |
isRooted |
true, false |
device.isRooted -eq true |
managementType |
Gestione dei dispositivi mobili (per dispositivi mobili) | device.managementType -eq "MDM" |
memberOf |
Qualsiasi valore stringa (ID oggetto gruppo valido) | device.memberOf -any (group.objectId -in ['value']) |
objectId |
ID oggetto Microsoft Entra valido | device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
profileType |
Tipo di profilo valido in Microsoft Entra ID | device.profileType -eq "RegisteredDevice" |
systemLabels
4 |
Stringa di sola lettura che corrisponde alla proprietà del dispositivo di Intune per l'assegnazione di tag ai dispositivi Modern Workplace | device.systemLabels -startsWith "M365Managed" SystemLabels |
1 Quando si usa deviceOwnership per creare gruppi di appartenenze dinamici per i dispositivi, è necessario impostare il valore uguale a Company. In Intune la proprietà del dispositivo viene rappresentata invece come Corporate. Per altre informazioni, vedere ownerTypes.
2 Quando si usano deviceTrustType per creare gruppi di appartenenza dinamici per i dispositivi, è necessario impostare il valore uguale a AzureAD per rappresentare i dispositivi aggiunti a Microsoft Entra, ServerAD per rappresentare i dispositivi aggiunti a Microsoft Entra ibrido o Workplace per rappresentare i dispositivi registrati da Microsoft Entra.
3 Quando si usano extensionAttribute1-15 per creare gruppi di appartenenze dinamici per i dispositivi, è necessario impostare il valore per extensionAttribute1-15 nel dispositivo.
Altre informazioni su come scrivere extensionAttributes in un oggetto dispositivo Microsoft Entra.
4 Quando si usa systemLabels, un attributo di sola lettura usato in vari contesti (ad esempio la gestione dei dispositivi e l'etichettatura di riservatezza) non è modificabile tramite Intune.