Regeln für eine dynamische Mitgliedschaft für Gruppen in Azure Active Directory

In Azure Active Directory (Azure AD) können Sie komplexe, attributbasierte Regeln für die Aktivierung von dynamischen Mitgliedschaften für Gruppen erstellen. Mit einer dynamischen Gruppenmitgliedschaft wird der Verwaltungsaufwand für das Hinzufügen und Entfernen von Benutzern reduziert. In diesem Artikel werden die Eigenschaften und die Syntax zum Erstellen der Regeln für eine dynamische Mitgliedschaft für Benutzer oder Geräte erläutert. Sie können eine Regel für die dynamische Mitgliedschaft für Sicherheits- oder Microsoft 365-Gruppen einrichten.

Wenn sich Attribute eines Benutzers oder Geräts ändern, bewertet das System alle dynamischen Gruppenregel in einem Verzeichnis, um zu ermitteln, ob die Änderung irgendwelche Vorgänge zum Hinzufügen oder Löschen von Gruppen auslöst. Falls ein Benutzer oder Gerät wird als Mitglied zu einer Gruppe hinzugefügt, wenn eine Regel dieser Gruppe erfüllt wird. Wenn sie diese Regel nicht mehr erfüllen, werden sie entfernt. Sie können ein Mitglied einer dynamischen Gruppe nicht manuell hinzufügen oder entfernen.

  • Sie können zwar eine dynamische Gruppe für Geräte oder Benutzer erstellen, jedoch keine Regel festlegen, die sowohl Benutzer als auch Geräte enthält.
  • Sie können keine Gerätegruppe basierend auf den Attributen der Gerätebesitzer erstellen. Regeln für die Gerätemitgliedschaft können nur Geräteattribute referenzieren.

Hinweis

Dieses Feature erfordert für jeden eindeutigen Benutzer, der Mitglied mindestens einer dynamischen Gruppe ist, eine Azure AD Premium P1-Lizenz oder Intune for Education. Sie müssen den Benutzern keine Lizenzen zuweisen, damit sie Mitglieder dynamischer Gruppen werden können, aber Sie müssen die Mindestanzahl von Lizenzen in der Azure AD-Organisation haben, um alle diese Benutzer abzudecken. Beispiel: Wenn Sie über insgesamt 1.000 eindeutige Benutzer in allen dynamischen Gruppen Ihrer Organisation verfügen, benötigen Sie mindestens 1.000 Lizenzen für Azure AD Premium P1 oder höher, um die Lizenzanforderung zu erfüllen. Für Geräte, die Mitglied einer dynamischen Gerätegruppe sind, ist keine Lizenz erforderlich.

Regel-Generator im Azure-Portal

Azure AD stellt einen Regel-Generator bereit, mit dem Sie wichtige Regeln schneller erstellen und aktualisieren können. Der Regel-Generator unterstützt die Erstellung von bis zu fünf Ausdrücken. Die Erstellung einer Regel mit einigen einfachen Ausdrücken wird durch den Regel-Generator vereinfacht, aber er kann nicht verwendet werden, um jede Regel zu reproduzieren. Falls der Regel-Generator die zu erstellende Regel nicht unterstützt, können Sie das Textfeld verwenden.

Im Anschluss folgen einige Beispiele für erweiterte Regeln oder für Syntax, für die die Erstellung über das Textfeld empfohlen wird:

Hinweis

Der Regel-Generator kann ggf. einige Regeln, die über das Textfeld erstellt wurden, nicht anzeigen. Unter Umständen wird eine Meldung angezeigt, falls die Regel vom Regel-Generator nicht angezeigt werden kann. Der Regel-Generator nimmt keinerlei Änderungen an der unterstützten Syntax, Überprüfung oder Verarbeitung von Regeln für dynamische Gruppen vor.

Schrittweise Anweisungen dazu finden Sie unter Erstellen oder Aktualisieren einer dynamischen Gruppe.

Add membership rule for a dynamic group

Regelsyntax für einen einzelnen Ausdruck

Ein einzelner Ausdruck ist die einfachste Form einer Mitgliedschaftsregel, und sie besteht nur aus den drei oben genannten Teilen. Eine Regel mit einem einzelnen Ausdruck sieht wie folgt aus: Property Operator Value, wobei die Syntax für die Eigenschaft der Name von „object.property“ ist.

Im Folgenden finden ein Beispiel für eine richtig aufgebaute Mitgliedschaftsregel mit einem einzelnen Ausdruck:

user.department -eq "Sales"

Bei einem einzelnen Ausdruck sind Klammern optional. Die Gesamtlänge des Texts der Mitgliedschaftsregel darf 3.072 Zeichen nicht überschreiten.

Erstellen des Texts einer Mitgliedschaftsregel

Eine Mitgliedschaftsregel, die eine Gruppe automatisch mit Benutzern oder Geräten auffüllt, ist ein binärer Ausdruck, der als Ergebnis „true“ oder „false“ ergibt. Die drei Teile einer einfachen Regel sind:

  • Eigenschaft
  • Operator
  • Wert

Die Reihenfolge der Teile in einem Ausdruck ist wichtig, um Syntaxfehler zu vermeiden.

Unterstützte Eigenschaften

Es gibt drei Arten von Eigenschaften, die verwendet werden können, um eine Mitgliedschaftsregel zu erstellen.

  • Boolean
  • String
  • Zeichenfolgensammlung

Im Folgenden sind die Benutzereigenschaften aufgelistet, die Sie verwenden können, um einen einzelnen Ausdruck zu erstellen.

Eigenschaften vom Typ "boolesch"

Eigenschaften Zulässige Werte Verwendung
accountEnabled true false user.accountEnabled -eq true
dirSyncEnabled true false user.dirSyncEnabled -eq true

Eigenschaften vom Typ "string"

Eigenschaften Zulässige Werte Verwendung
city Jeder string-Wert oder null (user.city -eq "value")
country Jeder string-Wert oder null (user.country -eq "value")
companyName Jeder string-Wert oder null (user.companyName -eq "value")
department Jeder string-Wert oder null (user.department -eq "value")
displayName Ein beliebiger Zeichenfolgenwert (user.displayName -eq "value")
employeeId Ein beliebiger Zeichenfolgenwert (user.employeeId -eq "value")
(user.employeeId -ne null)
facsimileTelephoneNumber Jeder string-Wert oder null (user.facsimileTelephoneNumber -eq "value")
givenName Jeder string-Wert oder null (user.givenName -eq "value")
jobTitle Jeder string-Wert oder null (user.jobTitle -eq "value")
mail Jeder string-Wert oder null (SMTP-Adresse des Benutzers) (user.mail -eq "value")
mailNickName Jeder string-Wert (E-Mail-Alias des Benutzers) (user.mailNickName -eq "value")
mobile Jeder string-Wert oder null (user.mobile -eq "value")
objectId GUID des Benutzerobjekts. (user.objectId -eq "11111111-1111-1111-1111-111111111111")
onPremisesDistinguishedName (Vorschau) Jeder string-Wert oder null (user.onPremisesDistinguishedName -eq "value")
onPremisesSecurityIdentifier Lokale Sicherheits-ID (SID) für Benutzer, deren Daten von einem lokalen Standort in die Cloud synchronisiert wurden. (user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111")
passwordPolicies None DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword (user.passwordPolicies -eq "DisableStrongPassword")
physicalDeliveryOfficeName Jeder string-Wert oder null (user.physicalDeliveryOfficeName -eq "value")
postalCode Jeder string-Wert oder null (user.postalCode -eq "value")
preferredLanguage ISO 639-1 code (user.preferredLanguage -eq "en-US")
sipProxyAddress Jeder string-Wert oder null (user.sipProxyAddress -eq "value")
state Jeder string-Wert oder null (user.state -eq "value")
streetAddress Jeder string-Wert oder null (user.streetAddress -eq "value")
surname Jeder string-Wert oder null (user.surname -eq "value")
telephoneNumber Jeder string-Wert oder null (user.telephoneNumber -eq "value")
usageLocation Aus zwei Buchstaben bestehender Länder-/Regionscode (user.usageLocation -eq "US")
userPrincipalName Ein beliebiger Zeichenfolgenwert (user.userPrincipalName -eq "alias@domain")
userType member-Gast null (user.userType -eq "Member")

Eigenschaften vom Typ "string collection"

Eigenschaften Zulässige Werte Verwendung
otherMails Ein beliebiger Zeichenfolgenwert (user.otherMails -contains "alias@domain")
proxyAddresses SMTP: alias@domain smtp: alias@domain (user.proxyAddresses -contains "SMTP: alias@domain")

Die für Geräteregeln verwendeten Eigenschaften finden Sie unter Regeln für Geräte.

Unterstützte Ausdrucksoperatoren

Die folgende Tabelle enthält alle unterstützten Operatoren und deren Syntax für einen einzelnen Ausdruck. Alle Operatoren können mit oder ohne vorangestellten Bindestrich (-) verwendet werden. Der Operator Contains führt Teilübereinstimmungen von Zeichenfolgen durch, aber keine Übereinstimmungen von Elementen in einer Sammlung.

Operator Syntax
Not Equals -ne
Equals -eq
Not Starts With -notStartsWith
Starts With -startsWith
Not Contains -notContains
Enthält -contains
Not Match -notMatch
Match -match
Geben Sie in -in
Not In -notIn

Mithilfe der Operatoren „-in“ und „-notIn“

Wenn Sie den Wert eines Benutzerattributs mit einer Reihe unterschiedlicher Werte vergleichen möchten, können Sie die Operatoren „-in“ oder „-notIn“ verwenden. Verwenden Sie die Klammersymbole „[“ und „]“ für den Anfang und das Ende der Liste von Werten.

Im folgenden Beispiel wird der Ausdruck als „true“ ausgewertet, wenn der Wert von „user.department“ einem der Werte in der Liste entspricht:

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

Mithilfe des Operators „-match“

Der Operator -match wird für Übereinstimmungen mit beliebigen regulären Ausdrücken verwendet. Beispiele:

user.displayName -match "Da.*"   

„Da“, „Dav“ und „David“ werden mit TRUE ausgewertet, „aDa“ hingegen mit FALSE.

user.displayName -match ".*vid"

„David“ wird mit TRUE ausgewertet, „Da“ hingegen mit FALSE.

Unterstützte Werte

Die in einem Ausdruck verwendeten Werte können aus mehreren Typen bestehen, Beispiele:

  • Zeichenfolgen
  • Boolesch: true, false
  • Zahlen
  • Arrays: Zahlenarray, Zeichenfolgenarray

Wenn Sie einen Wert in einem Ausdruck angeben, ist es wichtig, die richtige Syntax zu verwenden, um Fehler zu vermeiden. Einige Tipps für die Syntax:

  • Doppelte Anführungszeichen sind optional, es sei denn, der Wert ist eine Zeichenfolge.
  • Bei Vorgängen mit Zeichenfolgen und regulären Ausdrücken wird die Groß- und Kleinschreibung nicht beachtet.
  • Wenn ein Zeichenfolgenwert doppelte Anführungszeichen enthält, müssen beide Anführungszeichen mit dem Escapezeichen (`) versehen werden. Beispiel: user.department -eq `"Sales`" ist die richtige Syntax, wenn der Wert „Sales“ lautet. Einfache Anführungszeichen sollten jeweils mit zwei einfachen Anführungszeichen statt mit nur einem als Escapezeichen versehen werden.
  • Sie können auch NULL-Überprüfungen durchführen, indem Sie „null“ als Wert verwenden, Beispiel: user.department -eq null.

Verwenden von NULL-Werten

Zum Angeben eines NULL-Werts in einer Regel können Sie den Wert null verwenden.

  • Verwenden Sie „-eq“ oder „-ne“ zum Vergleichen des null-Werts in einem Ausdruck.
  • Verwenden Sie nur Anführungszeichen um das Wort null, wenn es als literaler Zeichenfolgenwert interpretiert werden soll.
  • Der -not-Operator kann nicht als Vergleichsoperator für NULL verwendet werden. Wenn Sie ihn verwenden, erhalten Sie eine Fehlermeldung, egal ob Sie „null“ oder „$null“ verwenden.

Die richtige Referenzierung des NULL-Werts erfolgt auf diese Weise:

   user.mail –ne null

Regeln mit mehreren Ausdrücken

Eine Gruppenmitgliedschaftsregel kann aus mehreren Ausdrücken bestehen, die durch die logischen Operatoren „-and“, „-or“ und „-not“ verbunden sind. Logische Operatoren können auch in Kombination verwendet werden.

Im Folgenden sehen Sie Beispiele für ordnungsgemäß konstruierte Mitgliedschaftsregeln mit mehreren Ausdrücken:

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -contains "SDE")

Rangfolge der Operatoren

Alle Operatoren sind unten in der Rangfolge von oben nach unten aufgeführt. Operatoren in der gleichen Zeile haben den gleichen Rang:

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all

Im Folgenden finden Sie ein Beispiel für die Rangfolge der Operatoren, bei dem zwei Ausdrücke für den Benutzer ausgewertet werden:

   user.department –eq "Marketing" –and user.country –eq "US"

Klammern sind nur erforderlich, wenn die Rangfolge nicht Ihren Anforderungen entspricht. Wenn die Abteilung zuerst ausgewertet werden soll, zeigt folgendes Beispiel, wie Klammern verwendet werden können, um die Reihenfolge zu bestimmen:

   user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

Regeln mit komplexen Ausdrücken

Eine Mitgliedschaftsregel kann aus komplexen Ausdrücken bestehen, in denen die Eigenschaften, Operatoren und Werte komplexere Formen annehmen. Ausdrücke werden als komplex angesehen, wenn eine der folgenden Bedingungen zutrifft:

  • Die Eigenschaft besteht aus einer Sammlung von Werten, insbesondere mehrwertigen Eigenschaften.
  • In den Ausdrücken werden die Operatoren „-any“ und „-all“ verwendet.
  • Der Wert des Ausdrucks kann selbst ein Ausdruck oder mehrere Ausdrücke sein.

Mehrwertige Eigenschaften

Mehrwertige Eigenschaften sind Sammlungen von Objekten desselben Typs. Sie können verwendet werden, um mithilfe der logischen Operatoren „-any“ und „-all“ Mitgliedschaftsregel zu erstellen.

Eigenschaften Werte Verwendung
assignedPlans Jedes Objekt in der Sammlung macht folgende Zeichenfolgeneigenschaften verfügbar: capabilityStatus, service, servicePlanId user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
proxyAddresses SMTP: alias@domain smtp: alias@domain (user.proxyAddresses -any (_ -contains "contoso"))

Verwenden der Operatoren „-any“ und „-all“

Sie können die Operatoren „-any“ und „-all“ verwenden, um eine Bedingung auf ein Element oder alle Elemente in der Sammlung anzuwenden.

  • „-any“ (erfüllt, wenn mindestens ein Element in der Auflistung der Bedingung entspricht)
  • „-all“ (erfüllt, wenn alle Elemente in der Auflistung der Bedingung entsprechen)

Beispiel 1

assignedPlans ist eine mehrwertige-Eigenschaft, die alle Service-Pläne auflistet, die dem Benutzer zugewiesen sind. Der folgende Ausdruck wählt Benutzer aus, die über einen Serviceplan von Exchange Online verfügen (Plan 2, als GUID-Wert), der sich im Status „Enabled“ befindet:

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

Mit einer Regel wie dieser können alle Benutzer gruppiert werden, für die eine Microsoft 365-Funktion (oder ein anderer Microsoft-Onlinedienst) aktiviert ist. Sie könnten dann einen Satz von Richtlinien auf die Gruppe anwenden.

Beispiel 2

Der folgende Ausdruck wählt alle Benutzer aus, die über einen Serviceplan verfügen, der mit dem Intune-Dienst (identifizierbar anhand des Dienstnamens „SCO“) verknüpft ist:

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")

Beispiel 3

Mit dem folgenden Ausdruck werden alle Benutzer ausgewählt, die über keinen zugewiesenen Dienstplan verfügen:

user.assignedPlans -all (assignedPlan.servicePlanId -eq "")

Verwenden der Syntax mit Unterstrich (_)

Die Syntax mit Unterstrich (_) entspricht dem Vorkommen eines bestimmten Werts in einer mehrwertigen Eigenschaft der Zeichenfolgensammlung, um Benutzer oder Geräte einer dynamischen Gruppe hinzuzufügen. Die Syntax wird mit den Operatoren „-any“ oder „-all“ verwendet.

Im Folgenden sehen Sie ein Beispiel für die Verwendung des Unterstrichs (_) in einer Regel zum Hinzufügen von Mitgliedern basierend auf „user.proxyAddress“ (identische Funktionsweise wie „user.otherMails“). Diese Regel fügt der Gruppe jeden Benutzer mit einer Proxyadresse hinzu, die „contoso“ enthält.

(user.proxyAddresses -any (_ -contains "contoso"))

Andere Eigenschaften und allgemeine Regeln

Erstellen einer Mitarbeiterregel

Sie können eine Gruppe erstellen, die alle einem Manager direkt unterstellten Mitarbeiter enthält. Wenn sich die direkt unterstellten Mitarbeiter eines Managers in der Zukunft ändern, wird die Mitgliedschaft in der Gruppe automatisch angepasst.

Die Mitarbeiterregel wird mithilfe der folgenden Syntax erstellt:

Direct Reports for "{objectID_of_manager}"

Dies ist ein Beispiel einer gültigen Regel, bei der „62e19b97-8b3d-4d4a-a106-4ce66896a863“ die Objekt-ID des Managers ist:

Direct Reports for "62e19b97-8b3d-4d4a-a106-4ce66896a863"

Die folgenden Tipps können helfen, die Regel ordnungsgemäß zu verwenden.

  • Die Manager-ID ist die Objekt-ID des Managers. Sie finden sie im Profil des Managers.
  • Damit diese Regel funktioniert, stellen Sie sicher, dass die Eigenschaft Manager für die Benutzer in Ihrer Organisation korrekt festgelegt ist. Sie können den aktuellen Wert im Profil des Benutzers überprüfen.
  • Diese Regel unterstützt nur die dem Manager direkt unterstellten Mitarbeiter. Sie können also keine Gruppe mit dem Manager direkt unterstellten Mitarbeitern und den ihnen unterstellten Mitarbeitern erstellen.
  • Diese Regel kann nicht mit anderen Mitgliedschaftsregeln kombiniert werden.

Erstellen einer Regel für alle Benutzer

Sie können mithilfe einer Mitgliedschaftsregel eine Gruppe mit allen Benutzern innerhalb einer Organisation erstellen. Wenn Benutzer in Zukunft zur Organisation hinzugefügt oder daraus entfernt werden, wird die Mitgliedschaft in der Gruppe automatisch angepasst.

Die Regel für alle Benutzer wird mit einem einzelnen Ausdruck mit dem -ne-Operator und dem null-Wert erstellt. Mit dieser Regel werden B2B-Gastbenutzer und Mitgliedsbenutzer der Gruppe hinzugefügt.

user.objectId -ne null

Wenn Ihre Gruppe Gastbenutzer ausschließen und nur Mitglieder Ihrer Organisation enthalten soll, können Sie die folgende Syntax verwenden:

(user.objectId -ne null) -and (user.userType -eq "Member")

Erstellen einer Regel für alle Geräte

Sie können mithilfe einer Mitgliedschaftsregel eine Gruppe mit allen Geräten innerhalb einer Organisation erstellen. Wenn Geräte in Zukunft zur Organisation hinzugefügt oder daraus entfernt werden, wird die Mitgliedschaft in der Gruppe automatisch angepasst.

Die Regel für alle Geräte wird mit einem einzelnen Ausdruck mit dem -ne-Operator und dem null-Wert erstellt:

device.objectId -ne null

Erweiterungseigenschaften und benutzerdefinierte Erweiterungseigenschaften

Erweiterungsattribute und benutzerdefinierte Erweiterungsattribute werden als Zeichenfolgeneigenschaften in den Regeln für eine dynamische Mitgliedschaft unterstützt. Erweiterungsattribute werden von einer lokalen Windows Server AD-Instanz synchronisiert und erhalten das Format „ExtensionAttributeX“, wobei X den Zahlen 1 bis 15 entspricht. Dies ist ein Beispiel für eine Regel, die ein Erweiterungsattribut als Eigenschaft verwendet:

(user.extensionAttribute15 -eq "Marketing")

Benutzerdefinierte Erweiterungseigenschaften werden von einer lokalen Windows Server AD-Instanz oder einer verbundenen SaaS-Anwendung synchronisiert und weisen das Format user.extension_[GUID]_[Attribute] auf. Dabei gilt Folgendes:

  • [GUID] ist der eindeutige Bezeichner in Azure AD für die Anwendung, die die Eigenschaft in Azure AD erstellt hat.
  • [Attribute] ist der Name der Eigenschaft bei ihrer Erstellung.

Beispiel für eine Regel, die eine benutzerdefinierte Erweiterungseigenschaft verwendet:

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

Den Namen der benutzerdefinierten Eigenschaft finden Sie im Verzeichnis. Fragen Sie dazu die Eigenschaft eines Benutzers mithilfe des Graph-Explorers ab, und suchen Sie nach dem Eigenschaftennamen. Sie können jetzt im Regel-Generator für dynamische Benutzergruppen auf den Link Get custom extension properties (Benutzerdefinierte Erweiterungseigenschaften abrufen) klicken, um Ihre eindeutige App-ID einzugeben und die vollständige Liste mit benutzerdefinierten Erweiterungseigenschaften abzurufen, die Sie beim Erstellen einer dynamischen Mitgliedschaftsregel verwenden. Diese Liste kann auch aktualisiert werden, um neue benutzerdefinierte Erweiterungseigenschaften für diese App zu erhalten. Erweiterungsattribute und benutzerdefinierte Erweiterungseigenschaften müssen aus Anwendungen in Ihrem Mandanten stammen.

Weitere Informationen finden Sie unter Verwenden der Attribute in dynamischen Gruppen im Artikel Azure AD Connect-Synchronisierung: Verzeichniserweiterungen.

Regeln für Geräte

Sie können auch eine Regel erstellen, die Geräteobjekte für die Mitgliedschaft in einer Gruppe auswählt. Benutzer und Geräte können nicht gleichzeitig Gruppenmitglieder sein.

Hinweis

Das Attribut organizationalUnit wird nicht mehr aufgelistet und sollte nicht verwendet werden. Diese Zeichenfolge wird von Intune in bestimmten Fällen festgelegt, aber nicht durch Azure AD erkannt, sodass Gruppen keine Geräte basierend auf diesem Attribut hinzugefügt werden.

Hinweis

„systemlabels“ ist ein schreibgeschütztes Attribut, das mit Intune nicht festgelegt werden kann.

Bei Windows 10 lautet das richtige Format des deviceOSVersion-Attributs wie folgt: (device.deviceOSVersion -startsWith "10.0.1"). Die Formatierung kann mit dem PowerShell-Cmdlet „Get-MsolDevice“ überprüft werden.

Die folgenden Geräteattribute können verwendet werden.

Geräteattribut Werte Beispiel
accountEnabled true false (device.accountEnabled -eq true)
displayName Jeder string-Wert. (device.displayName -eq "Rob iPhone")
deviceOSType Jeder string-Wert. (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iPhone")
(device.deviceOSType -contains "AndroidEnterprise")
(device.deviceOSType -eq "AndroidForWork")
(device.deviceOSType -eq "Windows")
deviceOSVersion Jeder string-Wert. (device.deviceOSVersion -eq "9.1")
(device.deviceOSVersion -startsWith "10.0.1")
deviceCategory ein gültiger Gerätekategoriename (device.deviceCategory -eq "BYOD")
deviceManufacturer Jeder string-Wert. (device.deviceManufacturer -eq "Samsung")
deviceModel Jeder string-Wert. (device.deviceModel -eq "iPad Air")
deviceOwnership Personal, Unternehmen, Unbekannt (device.deviceOwnership -eq "Company")
enrollmentProfileName Profilname für Apple-Geräteregistrierung, Android Enterprise-Profilname für die Registrierung firmeneigener dedizierter Geräte oder Name des Windows Autopilot-Profils (device.enrollmentProfileName -eq "DEP iPhones")
isRooted true false (device.isRooted -eq true)
managementType MDM (bei mobilen Geräten) (device.managementType -eq "MDM")
deviceId eine gültige Azure AD-Geräte-ID (device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d")
objectId eine gültige Azure AD-Objekt-ID (device.objectId -eq "76ad43c9-32c5-45e8-a272-7b58b58f596d")
devicePhysicalIds Jeder von Autopilot verwendete Zeichenfolgenwert, z. B. alle Autopilotgeräte, OrderID oder PurchaseOrderID (device.devicePhysicalIDs -any _ -contains "[ZTDId]") (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881") (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
systemLabels Eine beliebige Zeichenfolge, die mit der Intune-Geräteeigenschaft zum Kennzeichnen von Geräten der modernen Arbeitswelt übereinstimmt (device.systemLabels -contains "M365Managed")

Hinweis

Für das Geräteattribut „deviceOwnership“ müssen Sie beim Erstellen dynamischer Gruppen für Geräte den Wert auf „Company“ festlegen. In Intune wird der Gerätebesitz dagegen mit „Corporate“ angegeben. Weitere Informationen finden Sie unter OwnerTypes.

Nächste Schritte

Diese Artikel enthalten zusätzliche Informationen zu Gruppen in Azure Active Directory.