Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вы можете создать правила на основе атрибутов пользователей или устройств, чтобы включить членство в динамических группах в Microsoft Entra ID. Вы можете автоматически добавлять и удалять динамические группы членства с помощью правил членства на основе атрибутов участников. В Microsoft Entra один клиент может иметь не более 15 000 динамических групп членства.
В этой статье описаны свойства и синтаксис для создания правил для динамических групп членства на основе пользователей или устройств.
Примечание.
Группы безопасности могут включать устройства или пользователей, но группы Microsoft 365 могут включать только пользователей.
Рекомендации по динамическим группам членства
При изменении атрибутов пользователя или устройства система оценивает все правила динамических групп членства в каталоге, чтобы узнать, активирует ли изменение любые добавления или удаления групп. Если пользователи или устройства удовлетворяют правилу в группе, они добавляются в качестве членов этой группы. Если они больше не соответствуют правилу, они удаляются. Невозможно вручную добавить или удалить члена динамической группы членства.
Кроме того, следует учитывать следующие ограничения:
- Вы можете создать динамические группы членства для пользователей или устройств, но нельзя создать правило, содержащее как пользователей, так и устройства.
- Невозможно создать группу членства устройств на основе атрибутов пользователя владельца устройства. Правила членства для устройств могут ссылаться только на атрибуты этих устройств.
Требования к лицензии
Для функции динамических групп членства требуется лицензия Microsoft Entra ID P1 или лицензия Intune для образовательных учреждений для каждого уникального пользователя, являющегося членом одной или нескольких динамических групп членства. Вам не нужно назначать лицензии пользователям, чтобы они были членами динамических групп членства. Но у вас должно быть минимальное количество лицензий в организации Microsoft Entra, чтобы охватывать всех таких пользователей.
Например, если у вас есть 1000 уникальных пользователей во всех динамических группах членства в вашей организации, вам потребуется по крайней мере 1000 лицензий для Microsoft Entra ID P1 для удовлетворения требования лицензии.
Лицензия не требуется для устройств, являющихся участниками динамической группы, основанной на устройствах.
Построитель правил на портале Azure
Идентификатор Microsoft Entra предоставляет построитель правил для быстрого создания и обновления важных правил. Построитель правил позволяет создавать до пяти выражений. Построитель правил можно использовать для формирования правила с несколькими простыми выражениями, но его нельзя использовать для воспроизведения каждого правила. Если построитель правил не поддерживает создаваемое правило, можно использовать текстовое поле.
Пошаговые инструкции см. в статье "Создание или обновление динамической группы членства".
Важный
Построитель правил доступен только для динамических групп пользователей, основанных на членстве. Динамические группы членства на основе устройств можно создавать только с помощью текстового поля.
Ниже приведены некоторые примеры расширенных правил или синтаксиса, требующих использования текстового поля:
- Правило, которое содержит более пяти выражений
- Правило для непосредственных подчинённых
- Правило с оператором
-containsили-notContains - Настройка приоритета операторов
-
Правило со сложными выражениями; Например
(user.proxyAddresses -any (_ -startsWith "contoso"))
Примечание.
Построитель правил, возможно, не сможет отобразить некоторые правила, составленные с помощью текстового поля. Вы можете увидеть сообщение, если построителю правил не удается отобразить правило. Построитель правил не изменяет поддерживаемый синтаксис, проверку или обработку правил для динамических групп членства каким-либо образом.
Синтаксис правила для одного выражения
Одно выражение является самой простой формой правила членства. Правило с одним выражением имеет форму <Property> <Operator> <Value>, в которой синтаксис свойства — это имя <object>.<property>.
Ниже приведен пример надлежащим образом составленного правила членства с одним выражением:
user.department -eq "Sales"
Круглые скобки для одного выражения не обязательны. Общая длина текста правила членства не может превышать 3072 символов.
Формирование структуры правила членства
Правило членства, которое автоматически добавляет в группу пользователей или устройства, представляет собой выражение с двоичным результатом, то есть оно возвращает значение true или false. Простейшее правило состоит из трех частей:
- Свойство
- Оператор
- Значение
Чтобы избежать синтаксических ошибок, важно соблюдать определенный порядок частей в этом выражении.
Поддерживаемые свойства
Для создания правила членства можно использовать три типа свойств:
- Логический
- Дата/время
- Строка
- Коллекция строк
Для создания одного выражения можно использовать следующие свойства пользователя.
Свойства типа Boolean
| Свойство | Допустимые значения | Использование |
|---|---|---|
accountEnabled |
true, false |
user.accountEnabled -eq true |
dirSyncEnabled |
true, false |
user.dirSyncEnabled -eq true |
Свойства типа date/time
| Свойство | Допустимые значения | Использование |
|---|---|---|
employeeHireDate (предварительная версия) |
Любое значение или ключевое DateTimeOffset слово system.now |
user.employeeHireDate -eq "value" |
Свойства строкового типа
| Свойство | Допустимые значения | Использование |
|---|---|---|
city |
Любое строковое значение или null |
user.city -eq "value" |
country |
Любое строковое значение или null |
user.country -eq "value" |
companyName |
Любое строковое значение или null |
user.companyName -eq "value" |
department |
Любое строковое значение или null |
user.department -eq "value" |
displayName |
Любое строковое значение | user.displayName -eq "value" |
employeeId |
Любое строковое значение | user.employeeId -eq "value"user.employeeId -ne "null" |
facsimileTelephoneNumber |
Любое строковое значение или null |
user.facsimileTelephoneNumber -eq "value" |
givenName |
Любое строковое значение или null |
user.givenName -eq "value" |
jobTitle |
Любое строковое значение или null |
user.jobTitle -eq "value" |
mail |
Любое строковое значение или null (SMTP-адрес пользователя) |
user.mail -eq "value"user.mail -notEndsWith "@Contoso.com" |
mailNickName |
Любое строковое значение (псевдоним электронной почты пользователя) | user.mailNickName -eq "value"user.mailNickname -endsWith "-vendor" |
memberOf |
Любое строковое значение (допустимый идентификатор объекта группы) | user.memberOf -any (group.objectId -in ['value']) |
mobile |
Любое строковое значение или null |
user.mobile -eq "value" |
objectId |
GUID объекта пользователя. | user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
onPremisesDistinguishedName |
Любое строковое значение или null |
user.onPremisesDistinguishedName -eq "value" |
onPremisesSecurityIdentifier |
Локальный идентификатор безопасности (SID) для пользователей, которые были синхронизированы из локальной среды в облако | user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111" |
passwordPolicies |
None, , DisableStrongPasswordDisablePasswordExpiration, DisablePasswordExpirationDisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
physicalDeliveryOfficeName |
Любое строковое значение или null |
user.physicalDeliveryOfficeName -eq "value" |
postalCode |
Любое строковое значение или null |
user.postalCode -eq "value" |
preferredLanguage |
Код ISO 639-1. | user.preferredLanguage -eq "en-US" |
sipProxyAddress |
Любое строковое значение или null |
user.sipProxyAddress -eq "value" |
state |
Любое строковое значение или null |
user.state -eq "value" |
streetAddress |
Любое строковое значение или null |
user.streetAddress -eq "value" |
surname |
Любое строковое значение или null |
user.surname -eq "value" |
telephoneNumber |
Любое строковое значение или null |
user.telephoneNumber -eq "value" |
usageLocation |
Двухбуквенный код страны или региона | user.usageLocation -eq "US" |
userPrincipalName |
Любое строковое значение | user.userPrincipalName -eq "alias@domain" |
userType |
member, guest, null |
user.userType -eq "Member" |
Свойства типа коллекции строк
| Свойство | Допустимые значения | Примеры |
|---|---|---|
otherMails |
Любое строковое значение | user.otherMails -startsWith "alias@domain"user.otherMails -endsWith"@contoso.com" |
proxyAddresses |
SMTP: alias@domain, smtp: alias@domain |
user.proxyAddresses -startsWith "SMTP: alias@domain"user.proxyAddresses -notEndsWith "@outlook.com" |
Свойства, используемые для правил устройств, описаны в разделе Правила для устройств.
Поддерживаемые операторы выражений
В следующей таблице перечислены все поддерживаемые операторы и их синтаксис для одного выражения. Операторы можно использовать с префиксом дефиса (-) или без нее. Оператор Contains выполняет частичные совпадения строк, но не выполняет совпадения для элементов в коллекции.
Осторожность
Для достижения наилучших результатов старайтесь минимально использовать Match и Contains. В статье "Создание более простых, более эффективных правил для динамических групп членства " содержится руководство по созданию правил, которые приводят к повышению времени обработки динамических групп. Оператор memberOf находится в предварительной версии и имеет некоторые ограничения, поэтому используйте его с осторожностью.
| Оператор | Синтаксис |
|---|---|
Ends With |
-endsWith |
Not Ends With |
-notEndsWith |
Not Equals |
-ne |
Equals |
-eq |
Not Starts With |
-notStartsWith |
Starts With |
-startsWith |
Not Contains |
-notContains |
Contains |
-contains |
Not Match |
-notMatch |
Match |
-match |
In |
-in |
Not In |
-notIn |
Использование операторов -in и -notIn
Если вы хотите сравнить значение атрибута пользователя с несколькими значениями, можно использовать -in оператор или -notIn оператор. Используйте символы скобки ([ и ]) для начала и окончания списка значений.
В следующем примере выражение вычисляется, true если значение user.department равно любому из значений в списке:
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
Использование операторов -le и -ge
Вы можете использовать оператор меньше (-le) или больше (-ge) при использовании атрибута employeeHireDate в правилах для динамических групп членства.
Ниже приведены примеры.
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
Используйте оператор -match
Вы можете использовать оператор -match для сопоставления любой регулярной строки.
В следующем примере Da, Dav, и David принимают значение true.
aDa равен false.
user.displayName -match "^Da.*"
В следующем примере David вычисляется в true.
Da равен false.
user.displayName -match ".*vid"
Поддерживаемые значения
Значения, используемые в выражении, могут состоять из нескольких типов:
- Строки
- Boolean (
true,false) - Числа
- Массивы (числовой массив, строковый массив)
При указании значения в выражении важно использовать правильный синтаксис, чтобы избежать ошибок. Ниже приведены некоторые советы по синтаксису:
- Двойные кавычки являются необязательными, если значение не является строкой.
- Регулярные и строковые операции не регистрозависимы.
- Убедитесь, что наименования свойств корректно отформатированы, так как они чувствительны к регистру.
- Если строковое значение содержит двойные кавычки, следует экранировать обе кавычки символом \ обратной косой черты (
\). Например, user.department -eq "Sales" является правильным синтаксисом приSalesзначении. Экранируйте одинарные кавычки, используя две одинарные кавычки вместо одной каждый раз. - Можно также выполнять проверки null, используя
nullв качестве значения,user.department -eq nullнапример.
Использование значений NULL
Чтобы указать null значение в правиле, выполните указанные действия.
- Используйте
-eqили-ne, когда сравниваете значениеnullв выражении. - Используйте кавычки вокруг слова
null, только если требуется, чтобы оно было интерпретировано как литеральное строковое значение. - Не используйте
-notоператор в качестве сравнительного оператора для значения NULL. Если вы его используете, вы получите сообщение об ошибке, независимо от того, используете ли выnullили$null.
Правильный способ ссылки на null значение выглядит следующим образом:
user.mail –ne null
Правила с несколькими выражениями
Правила для динамических групп членства могут состоять из нескольких отдельных выражений, соединенных логическими операторами -and, -or и -not. Логические операторы также можно использовать в сочетании.
Ниже приведены примеры правильно составленных правил членства с несколькими условиями.
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
Приоритет операторов
В следующем списке показаны все операторы в порядке приоритета от самого высокого до самого низкого. Операторы в одной строке имеют равный приоритет.
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
В качестве иллюстрации приоритетности операторов приведен следующий пример, в котором для пользователя вычисляются два выражения:
user.department –eq "Marketing" –and user.country –eq "US"
Необходимо круглые скобки только в том случае, если приоритет не соответствует вашим требованиям. Например, если вы хотите сначала оценить отдел, в следующем коде показано, как можно использовать скобки для определения порядка:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Правила со сложными выражениями
Правило членства может состоять из более сложных выражений, содержащих свойства, операторы и значения. Выражения считаются сложными, если любой из следующих пунктов верен:
- Свойство состоит из коллекции значений; в частности, свойства с несколькими значениями.
- Выражения используют операторы
-anyи-all. - Значение выражения может быть одним или несколькими выражениями.
Многозначные свойства
Многозначные свойства являются коллекциями объектов того же типа. Их можно использовать для создания правил членства с помощью логических операторов -any и -all.
| Свойство | Значения | Использование |
|---|---|---|
assignedPlans |
Каждый объект в коллекции предоставляет следующие строковые свойства: capabilityStatus, , serviceservicePlanId |
user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled") |
proxyAddresses |
SMTP: alias@domain, smtp: alias@domain |
(user.proxyAddresses -any (\_ -startsWith "contoso")) |
Использование операторов -any и -all
Для применения условия к одному или всем элементам в коллекции можно использовать следующие операторы:
-
-any: Удовлетворение достигается, когда хотя бы один элемент в коллекции соответствует условию. -
-all: Условие выполнено, если все элементы в коллекции соответствуют условию.
Пример 1
assignedPlans — это свойство с несколькими значениями, которое перечисляет все планы обслуживания, назначенные пользователю. Следующее выражение выбирает пользователей, у которых есть план обслуживания Exchange Online (план 2) (в качестве значения GUID), который также находится в Enabled состоянии:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
Это правило можно использовать для группировки всех пользователей, для которых включена возможность Microsoft 365 или другой службы Microsoft Online Services. Затем можно применить правило с набором политик к группе.
Пример 2
Следующее выражение выбирает всех пользователей, у которых есть любой план обслуживания, связанный со службой Intune (идентифицируется именем SCOслужбы):
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Пример 3
Следующее выражение позволяет выбрать всех пользователей, которым не назначен план обслуживания:
user.assignedPlans -all (assignedPlan.servicePlanId -eq null)
Использование синтаксической конструкции с символом подчеркивания (_)
Синтаксис подчеркивания (_) используется для поиска вхождений определенного значения в одном из свойств многострочной коллекции, чтобы добавить пользователей или устройства в динамическую группу членства. Вы используете его с оператором -any или -all.
Вот пример использования подчеркивания в правиле для добавления участников на основе user.proxyAddress. (Это работает так же для user.otherMails.) Это правило добавляет любого пользователя, имеющего прокси-адрес, который начинается с contoso группы.
(user.proxyAddresses -any (_ -startsWith "contoso"))
Другие свойства и типичные примеры правил
Создать правило для прямых отчетов
Вы можете создать группу, содержащую все прямые отчеты руководителя. Если в будущем состав подчиненных этого руководителя изменится, членство в группе скорректируется автоматически.
Вы создаете правило прямых отчетов с помощью следующего синтаксиса:
Direct Reports for "{objectID_of_manager}"
Вот пример допустимого правила, где aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb — это идентификатор объекта менеджера.
Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
Следующие советы помогут вам правильно использовать правило.
- Идентификатор диспетчера — это идентификатор объекта диспетчера. Его можно найти в профиле руководителя.
- Чтобы правило работало, убедитесь, что
Managerсвойство задано правильно для пользователей в организации. Текущее значение можно проверить в профиле пользователя. - Это правило поддерживает только непосредственных подчиненных руководителя. Вы не можете создать группу с прямыми отчетами руководителя и их отчетами.
- Это правило нельзя объединить с другими правилами членства.
Создание правила для всех пользователей
Вы можете создать группу, содержащую всех пользователей в организации, с помощью правила членства. В будущем при добавлении пользователей в организацию или удалении их из нее членство в группе будет корректироваться автоматически.
Правило для всех пользователей создается с помощью одного выражения, включающего -ne оператор и null значение. Это правило добавляет гостевых пользователей бизнеса и пользователей-участников в группу.
user.objectId -ne null
Если вы хотите, чтобы группа включала только сотрудников организации и не включала гостевых пользователей, можно использовать следующий синтаксис:
(user.objectId -ne null) -and (user.userType -eq "Member")
Создание правила для всех устройств
Вы можете создать группу, содержащую все устройства в организации, с помощью правила членства. В будущем при добавлении устройств в организацию или удалении их из нее членство в группе будет корректироваться автоматически.
Правило для всех устройств создается с помощью одного выражения, включающего -ne оператор и null значение:
device.objectId -ne null
Атрибуты расширения и настраиваемые свойства расширения
Атрибуты расширения и настраиваемые свойства расширения поддерживаются как строковые свойства в правилах для динамических групп членства.
Атрибуты расширения можно синхронизировать из локальной среды Windows Server Active Directory. Или можно обновить атрибуты расширения с помощью Microsoft Graph.
Атрибуты расширения принимают формат ExtensionAttribute<X>, где <X> равно-115. Свойства расширения с несколькими значениями не поддерживаются в правилах для динамических групп членства.
Вот пример правила, которое использует в качестве свойства атрибут расширения:
(user.extensionAttribute15 -eq "Marketing")
Вы можете синхронизировать настраиваемые свойства расширения из локального приложения Windows Server Active Directory или из подключенного программного обеспечения как службы (SaaS). Настраиваемые свойства расширения можно создать с помощью Microsoft Graph.
Настраиваемые свойства расширения принимают формат user.extension_[GUID]_[Attribute], где:
-
[GUID]— это сокращенная версия уникального идентификатора в Microsoft Entra ID для приложения, создавшего свойство. Он содержит только символы 0-9 и A-Z. -
[Attribute]— имя свойства в его изначальном виде.
Примером правила, использующего настраиваемое свойство расширения, является:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Настраиваемые свойства расширения также называются свойствами расширения Microsoft Entra или каталогом.
Имя настраиваемого свойства можно найти в каталоге, запросив свойство пользователя в обозревателе Graph и выполнив поиск имени свойства. Кроме того, теперь можно выбрать ссылку "Получить настраиваемые свойства расширения " в построителе динамических правил, чтобы ввести уникальный идентификатор приложения и получить полный список свойств настраиваемых расширений, используемых при создании правила для динамических групп членства. Вы можете обновить этот список, чтобы получить новые свойства пользовательского расширения для этого приложения. Атрибуты расширения и пользовательские свойства расширения должны быть из приложений в вашем клиенте.
Дополнительные сведения см. в разделе "Использование атрибутов в динамических группах членства".
Правила для устройств
Вы можете создать правило, которое выбирает объекты устройств для членства в группе. Членами одной группы не могут являться одновременно пользователи и устройства.
Примечание.
Атрибут organizationalUnit больше не указан, и его не следует использовать. Intune задает эту строку в определенных случаях, но идентификатор Microsoft Entra не распознает его. Устройства не добавляются в группы на основе этого атрибута.
Атрибут systemlabels доступен только для чтения. Невозможно задать этот параметр в Intune.
Для Windows 10 правильный формат атрибута deviceOSVersion — это device.deviceOSVersion -startsWith "10.0.1". Форматирование можно проверить с помощью командлета Get-MgDevice PowerShell:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
Вы можете использовать следующие атрибуты устройства.
| Атрибут устройства | Значения | Примеры |
|---|---|---|
accountEnabled |
true, false |
device.accountEnabled -eq true |
deviceCategory |
Допустимое имя категории устройства | device.deviceCategory -eq "BYOD" |
deviceId |
Допустимый идентификатор устройства Microsoft Entra | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
deviceManagementAppId |
Действительный идентификатор приложения для управления мобильными устройствами в Microsoft Entra ID. |
device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" для управляемых устройств Microsoft Intune"54b943f8-d761-4f8d-951e-9cea1846db5a" для совместно управляемых устройств System Center Configuration Manager |
deviceManufacturer |
Любое строковое значение | device.deviceManufacturer -eq "Samsung" |
deviceModel |
Любое строковое значение | device.deviceModel -eq "iPad Air" |
displayName |
Любое строковое значение | device.displayName -eq "Rob iPhone" |
deviceOSType |
Любое строковое значение | (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iOS")device.deviceOSType -startsWith "AndroidEnterprise"device.deviceOSType -eq "AndroidForWork"device.deviceOSType -eq "Windows" |
deviceOSVersion |
Любое строковое значение | device.deviceOSVersion -eq "9.1"device.deviceOSVersion -startsWith "10.0.1" |
deviceOwnership
1 |
Personal, Company, Unknown |
device.deviceOwnership -eq "Company" |
devicePhysicalIds |
Любое строковое значение, которое использует Windows Autopilot, например все устройства Windows Autopilot, OrderIDили PurchaseOrderID |
device.devicePhysicalIDs -any _ -startsWith "[ZTDId]"device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881"device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
deviceTrustType
2 |
AzureAD, ServerAD, Workplace |
device.deviceTrustType -eq "AzureAD" |
enrollmentProfileName |
Имя профиля для автоматической регистрации устройств Apple, корпоративной регистрации выделенных устройств Android Enterprise или устройства Windows Autopilot | device.enrollmentProfileName -eq "DEP iPhones" |
extensionAttribute1
3 |
Любое строковое значение | device.extensionAttribute1 -eq "some string value" |
extensionAttribute2 |
Любое строковое значение | device.extensionAttribute2 -eq "some string value" |
extensionAttribute3 |
Любое строковое значение | device.extensionAttribute3 -eq "some string value" |
extensionAttribute4 |
Любое строковое значение | device.extensionAttribute4 -eq "some string value" |
extensionAttribute5 |
Любое строковое значение | device.extensionAttribute5 -eq "some string value" |
extensionAttribute6 |
Любое строковое значение | device.extensionAttribute6 -eq "some string value" |
extensionAttribute7 |
Любое строковое значение | device.extensionAttribute7 -eq "some string value" |
extensionAttribute8 |
Любое строковое значение | device.extensionAttribute8 -eq "some string value" |
extensionAttribute9 |
Любое строковое значение | device.extensionAttribute9 -eq "some string value" |
extensionAttribute10 |
Любое строковое значение | device.extensionAttribute10 -eq "some string value" |
extensionAttribute11 |
Любое строковое значение | device.extensionAttribute11 -eq "some string value" |
extensionAttribute12 |
Любое строковое значение | device.extensionAttribute12 -eq "some string value" |
extensionAttribute13 |
Любое строковое значение | device.extensionAttribute13 -eq "some string value" |
extensionAttribute14 |
Любое строковое значение | device.extensionAttribute14 -eq "some string value" |
extensionAttribute15 |
Любое строковое значение | device.extensionAttribute15 -eq "some string value" |
isRooted |
true, false |
device.isRooted -eq true |
managementType |
Управление мобильными устройствами (для мобильных устройств) | device.managementType -eq "MDM" |
memberOf |
Любое строковое значение (допустимый идентификатор объекта группы) | device.memberOf -any (group.objectId -in ['value']) |
objectId |
Действительный идентификатор объекта Microsoft Entra | device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
profileType |
Допустимый тип профиля в идентификаторе Microsoft Entra | device.profileType -eq "RegisteredDevice" |
systemLabels
4 |
Строка только для чтения, которая соответствует свойству устройства Intune для тегов современных рабочих мест. | device.systemLabels -startsWith "M365Managed" SystemLabels |
1 При создании deviceOwnership динамических групп членства для устройств необходимо задать значение, равное Companyзначению. В Intune владение устройством вместо этого представляется как Corporate. Дополнительные сведения см. в разделе ownerTypes.
2 При использовании deviceTrustType для создания динамических групп членства для устройств необходимо задать значение равным AzureAD для представления устройств, присоединенных к Microsoft Entra, ServerAD для представления гибридных устройств, присоединенных к Microsoft Entra, или Workplace для представления зарегистрированных устройств Microsoft Entra.
3 При создании extensionAttribute1-15 динамических групп членства для устройств необходимо задать значение extensionAttribute1-15 на устройстве.
Узнайте больше о том, как работать с extensionAttributes объектом Microsoft Entra на устройстве.
4 При использовании systemLabels, атрибут, только для чтения, используемый в различных контекстах (например, управление устройствами и маркировка конфиденциальности), не редактируется с помощью Intune.