Regeln für eine dynamische Mitgliedschaft für Gruppen in Azure Active DirectoryDynamic membership rules for groups in Azure Active Directory

In Azure Active Directory (Azure AD) können Sie komplexe, attributbasierte Regeln für die Aktivierung von dynamischen Mitgliedschaften für Gruppen erstellen.In Azure Active Directory (Azure AD), you can create complex attribute-based rules to enable dynamic memberships for groups. Mit einer dynamischen Gruppenmitgliedschaft wird der Verwaltungsaufwand für das Hinzufügen und Entfernen von Benutzern reduziert.Dynamic group membership reduces the administrative overhead of adding and removing users. In diesem Artikel werden die Eigenschaften und die Syntax zum Erstellen der Regeln für eine dynamische Mitgliedschaft für Benutzer oder Geräte erläutert.This article details the properties and syntax to create dynamic membership rules for users or devices. Sie können eine Regel für die dynamische Mitgliedschaft für Sicherheits- oder Office 365-Gruppen einrichten.You can set up a rule for dynamic membership on security groups or Office 365 groups.

Wenn sich Attribute eines Benutzers oder Geräts ändern, bewertet das System alle dynamischen Gruppenregel in einem Verzeichnis, um zu ermitteln, ob die Änderung irgendwelche Vorgänge zum Hinzufügen oder Löschen von Gruppen auslöst.When any attributes of a user or device change, the system evaluates all dynamic group rules in a directory to see if the change would trigger any group adds or removes. Falls ein Benutzer oder Gerät wird als Mitglied zu einer Gruppe hinzugefügt, wenn eine Regel dieser Gruppe erfüllt wird.If a user or device satisfies a rule on a group, they are added as a member of that group. Wenn sie diese Regel nicht mehr erfüllen, werden sie entfernt.If they no longer satisfy the rule, they are removed. Sie können ein Mitglied einer dynamischen Gruppe nicht manuell hinzufügen oder entfernen.You can't manually add or remove a member of a dynamic group.

  • Sie können zwar eine dynamische Gruppe für Geräte oder Benutzer erstellen, jedoch keine Regel festlegen, die sowohl Benutzer als auch Geräte enthält.You can create a dynamic group for devices or for users, but you can't create a rule that contains both users and devices.
  • Sie können keine Gerätegruppe basierend auf den Attributen der Gerätebesitzer erstellen.You can't create a device group based on the device owners' attributes. Regeln für die Gerätemitgliedschaft können nur Geräteattribute referenzieren.Device membership rules can only reference device attributes.

Hinweis

Dieses Feature erfordert für jeden eindeutigen Benutzer, der Mitglied mindestens einer dynamischen Gruppe ist, eine Azure AD Premium P1-Lizenz.This feature requires an Azure AD Premium P1 license for each unique user that is a member of one or more dynamic groups. Sie müssen den Benutzern keine Lizenzen zuweisen, damit sie Mitglieder dynamischer Gruppen werden können, aber Sie müssen die Mindestanzahl von Lizenzen im Mandanten haben, um alle diese Benutzer abzudecken.You don't have to assign licenses to users for them to be members of dynamic groups, but you must have the minimum number of licenses in the tenant to cover all such users. Beispiel: Wenn Sie über insgesamt 1.000 eindeutige Benutzer in allen dynamischen Gruppen Ihres Mandanten verfügen, benötigen Sie mindestens 1.000 Lizenzen für Azure AD Premium P1 oder höher, um die Lizenzanforderung zu erfüllen.For example, if you had a total of 1,000 unique users in all dynamic groups in your tenant, you would need at least 1,000 licenses for Azure AD Premium P1 to meet the license requirement. Für Geräte, die Mitglied einer dynamischen Gerätegruppe sind, ist keine Lizenz erforderlich.No license is required for devices that are members of a dynamic device group.

Regel-Generator im Azure-PortalRule builder in the Azure portal

Azure AD stellt einen Regel-Generator bereit, mit dem Sie wichtige Regeln schneller erstellen und aktualisieren können.Azure AD provides a rule builder to create and update your important rules more quickly. Der Regel-Generator unterstützt die Erstellung von bis zu fünf Ausdrücken.The rule builder supports the construction up to five expressions. Die Erstellung einer Regel mit einigen einfachen Ausdrücken wird durch den Regel-Generator vereinfacht, aber er kann nicht verwendet werden, um jede Regel zu reproduzieren.The rule builder makes it easier to form a rule with a few simple expressions, however, it can't be used to reproduce every rule. Falls der Regel-Generator die zu erstellende Regel nicht unterstützt, können Sie das Textfeld verwenden.If the rule builder doesn't support the rule you want to create, you can use the text box.

Im Anschluss folgen einige Beispiele für erweiterte Regeln oder für Syntax, für die die Erstellung über das Textfeld empfohlen wird:Here are some examples of advanced rules or syntax for which we recommend that you construct using the text box:

Hinweis

Der Regel-Generator kann ggf. einige Regeln, die über das Textfeld erstellt wurden, nicht anzeigen.The rule builder might not be able to display some rules constructed in the text box. Unter Umständen wird eine Meldung angezeigt, falls die Regel vom Regel-Generator nicht angezeigt werden kann.You might see a message when the rule builder is not able to display the rule. Der Regel-Generator nimmt keinerlei Änderungen an der unterstützten Syntax, Überprüfung oder Verarbeitung von Regeln für dynamische Gruppen vor.The rule builder doesn't change the supported syntax, validation, or processing of dynamic group rules in any way.

Detaillierte Anweisungen dazu finden Sie unter Aktualisieren einer dynamischen Gruppe.For more step-by-step instructions, see Update a dynamic group.

Hinzufügen einer Mitgliedschaftsregel für eine dynamische Gruppe

Regelsyntax für einen einzelnen AusdruckRule syntax for a single expression

Ein einzelner Ausdruck ist die einfachste Form einer Mitgliedschaftsregel, und sie besteht nur aus den drei oben genannten Teilen.A single expression is the simplest form of a membership rule and only has the three parts mentioned above. Eine Regel mit einem einzelnen Ausdruck sieht wie folgt aus: Property Operator Value, wobei die Syntax für die Eigenschaft der Name von „object.property“ ist.A rule with a single expression looks similar to this: Property Operator Value, where the syntax for the property is the name of object.property.

Im Folgenden finden ein Beispiel für eine richtig aufgebaute Mitgliedschaftsregel mit einem einzelnen Ausdruck:The following is an example of a properly constructed membership rule with a single expression:

user.department -eq "Sales"

Bei einem einzelnen Ausdruck sind Klammern optional.Parentheses are optional for a single expression. Die Gesamtlänge des Texts der Mitgliedschaftsregel darf 2048 Zeichen nicht überschreiten.The total length of the body of your membership rule cannot exceed 2048 characters.

Erstellen des Texts einer MitgliedschaftsregelConstructing the body of a membership rule

Eine Mitgliedschaftsregel, die eine Gruppe automatisch mit Benutzern oder Geräten auffüllt, ist ein binärer Ausdruck, der als Ergebnis „true“ oder „false“ ergibt.A membership rule that automatically populates a group with users or devices is a binary expression that results in a true or false outcome. Die drei Teile einer einfachen Regel sind:The three parts of a simple rule are:

  • EigenschaftProperty
  • OperatorOperator
  • WertValue

Die Reihenfolge der Teile in einem Ausdruck ist wichtig, um Syntaxfehler zu vermeiden.The order of the parts within an expression are important to avoid syntax errors.

Unterstützte EigenschaftenSupported properties

Es gibt drei Arten von Eigenschaften, die verwendet werden können, um eine Mitgliedschaftsregel zu erstellen.There are three types of properties that can be used to construct a membership rule.

  • BooleanBoolean
  • ZeichenfolgeString
  • ZeichenfolgensammlungString collection

Im Folgenden sind die Benutzereigenschaften aufgelistet, die Sie verwenden können, um einen einzelnen Ausdruck zu erstellen.The following are the user properties that you can use to create a single expression.

Eigenschaften vom Typ "boolesch"Properties of type boolean

PropertiesProperties Zulässige WerteAllowed values VerwendungUsage
accountEnabledaccountEnabled true falsetrue false user.accountEnabled -eq trueuser.accountEnabled -eq true
dirSyncEnableddirSyncEnabled true falsetrue false user.dirSyncEnabled -eq trueuser.dirSyncEnabled -eq true

Eigenschaften vom Typ "string"Properties of type string

PropertiesProperties Zulässige WerteAllowed values VerwendungUsage
citycity Jeder string-Wert oder nullAny string value or null (user.city -eq "value")(user.city -eq "value")
countrycountry Jeder string-Wert oder nullAny string value or null (user.country -eq "value")(user.country -eq "value")
companyNamecompanyName Jeder string-Wert oder nullAny string value or null (user.companyName -eq "value")(user.companyName -eq "value")
departmentdepartment Jeder string-Wert oder nullAny string value or null (user.department -eq "value")(user.department -eq "value")
displayNamedisplayName Jeder string-Wert.Any string value (user.displayName -eq "value")(user.displayName -eq "value")
employeeIdemployeeId Jeder string-Wert.Any string value (user.employeeId -eq "value")(user.employeeId -eq "value")
(user.employeeId -ne null)(user.employeeId -ne null)
facsimileTelephoneNumberfacsimileTelephoneNumber Jeder string-Wert oder nullAny string value or null (user.facsimileTelephoneNumber -eq "value")(user.facsimileTelephoneNumber -eq "value")
givenNamegivenName Jeder string-Wert oder nullAny string value or null (user.givenName -eq "value")(user.givenName -eq "value")
jobTitlejobTitle Jeder string-Wert oder nullAny string value or null (user.jobTitle -eq "value")(user.jobTitle -eq "value")
mailmail Jeder string-Wert oder null (SMTP-Adresse des Benutzers)Any string value or null (SMTP address of the user) (user.mail -eq "value")(user.mail -eq "value")
mailNickNamemailNickName Jeder string-Wert (E-Mail-Alias des Benutzers)Any string value (mail alias of the user) (user.mailNickName -eq "value")(user.mailNickName -eq "value")
mobilemobile Jeder string-Wert oder nullAny string value or null (user.mobile -eq "value")(user.mobile -eq "value")
objectIdobjectId GUID des Benutzerobjekts.GUID of the user object (user.objectId -eq "11111111-1111-1111-1111-111111111111")(user.objectId -eq "11111111-1111-1111-1111-111111111111")
onPremisesSecurityIdentifieronPremisesSecurityIdentifier Lokale Sicherheits-ID (SID) für Benutzer, deren Daten von einem lokalen Standort in die Cloud synchronisiert wurden.On-premises security identifier (SID) for users who were synchronized from on-premises to the cloud. (user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111")(user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111")
passwordPoliciespasswordPolicies None DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPasswordNone DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword (user.passwordPolicies -eq "DisableStrongPassword")(user.passwordPolicies -eq "DisableStrongPassword")
physicalDeliveryOfficeNamephysicalDeliveryOfficeName Jeder string-Wert oder nullAny string value or null (user.physicalDeliveryOfficeName -eq "value")(user.physicalDeliveryOfficeName -eq "value")
postalCodepostalCode Jeder string-Wert oder nullAny string value or null (user.postalCode -eq "value")(user.postalCode -eq "value")
preferredLanguagepreferredLanguage ISO 639-1 codeISO 639-1 code (user.preferredLanguage -eq "en-US")(user.preferredLanguage -eq "en-US")
sipProxyAddresssipProxyAddress Jeder string-Wert oder nullAny string value or null (user.sipProxyAddress -eq "value")(user.sipProxyAddress -eq "value")
statestate Jeder string-Wert oder nullAny string value or null (user.state -eq "value")(user.state -eq "value")
streetAddressstreetAddress Jeder string-Wert oder nullAny string value or null (user.streetAddress -eq "value")(user.streetAddress -eq "value")
surnamesurname Jeder string-Wert oder nullAny string value or null (user.surname -eq "value")(user.surname -eq "value")
telephoneNumbertelephoneNumber Jeder string-Wert oder nullAny string value or null (user.telephoneNumber -eq "value")(user.telephoneNumber -eq "value")
usageLocationusageLocation Aus zwei Buchstaben bestehender Ländercode.Two lettered country code (user.usageLocation -eq "US")(user.usageLocation -eq "US")
userPrincipalNameuserPrincipalName Jeder string-Wert.Any string value (user.userPrincipalName -eq "alias@domain")(user.userPrincipalName -eq "alias@domain")
userTypeuserType member-Gast nullmember guest null (user.userType -eq "Member")(user.userType -eq "Member")

Eigenschaften vom Typ "string collection"Properties of type string collection

PropertiesProperties Zulässige WerteAllowed values VerwendungUsage
otherMailsotherMails Jeder string-Wert.Any string value (user.otherMails -contains "alias@domain")(user.otherMails -contains "alias@domain")
proxyAddressesproxyAddresses SMTP: alias@domain smtp: alias@domainSMTP: alias@domain smtp: alias@domain (user.proxyAddresses -contains "SMTP: alias@domain")(user.proxyAddresses -contains "SMTP: alias@domain")

Die für Geräteregeln verwendeten Eigenschaften finden Sie unter Regeln für Geräte.For the properties used for device rules, see Rules for devices.

Unterstützte AusdrucksoperatorenSupported expression operators

Die folgende Tabelle enthält alle unterstützten Operatoren und deren Syntax für einen einzelnen Ausdruck.The following table lists all the supported operators and their syntax for a single expression. Alle Operatoren können mit oder ohne vorangestellten Bindestrich (-) verwendet werden.Operators can be used with or without the hyphen (-) prefix.

OperatorOperator SyntaxSyntax
Not EqualsNot Equals -ne-ne
EqualsEquals -eq-eq
Not Starts WithNot Starts With -notStartsWith-notStartsWith
Starts WithStarts With -startsWith-startsWith
Not ContainsNot Contains -notContains-notContains
ContainsContains -contains-contains
Not MatchNot Match -notMatch-notMatch
MatchMatch -match-match
Geben Sie inIn -in-in
Not InNot In -notIn-notIn

Mithilfe der Operatoren „-in“ und „-notIn“Using the -in and -notIn operators

Wenn Sie den Wert eines Benutzerattributs mit einer Reihe unterschiedlicher Werte vergleichen möchten, können Sie die Operatoren „-in“ oder „-notIn“ verwenden.If you want to compare the value of a user attribute against a number of different values you can use the -in or -notIn operators. Verwenden Sie die Klammersymbole „[“ und „]“ für den Anfang und das Ende der Liste von Werten.Use the bracket symbols "[" and "]" to begin and end the list of values.

Im folgenden Beispiel wird der Ausdruck als „true“ ausgewertet, wenn der Wert von „user.department“ einem der Werte in der Liste entspricht:In the following example, the expression evaluates to true if the value of user.department equals any of the values in the list:

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

Mithilfe des Operators „-match“Using the -match operator

Der Operator -match wird für Übereinstimmungen mit beliebigen regulären Ausdrücken verwendet.The -match operator is used for matching any regular expression. Beispiele:Examples:

user.displayName -match "Da.*"   

„Da“, „Dav“ und „David“ werden mit TRUE ausgewertet, „aDa“ hingegen mit FALSE.Da, Dav, David evaluate to true, aDa evaluates to false.

user.displayName -match ".*vid"

„David“ wird mit TRUE ausgewertet, „Da“ hingegen mit FALSE.David evaluates to true, Da evaluates to false.

Unterstützte WerteSupported values

Die in einem Ausdruck verwendeten Werte können aus mehreren Typen bestehen, Beispiele:The values used in an expression can consist of several types, including:

  • ZeichenfolgenStrings
  • Boolesch: true, falseBoolean – true, false
  • ZahlenNumbers
  • Arrays: Zahlenarray, ZeichenfolgenarrayArrays – number array, string array

Wenn Sie einen Wert in einem Ausdruck angeben, ist es wichtig, die richtige Syntax zu verwenden, um Fehler zu vermeiden.When specifying a value within an expression it is important to use the correct syntax to avoid errors. Einige Tipps für die Syntax:Some syntax tips are:

  • Doppelte Anführungszeichen sind optional, es sei denn, der Wert ist eine Zeichenfolge.Double quotes are optional unless the value is a string.
  • Bei Vorgängen mit Zeichenfolgen und regulären Ausdrücken wird die Groß- und Kleinschreibung nicht beachtet.String and regex operations are not case sensitive.
  • Wenn ein Zeichenfolgenwert doppelte Anführungszeichen enthält, müssen beide Anführungszeichen mit dem Escapezeichen ` versehen werden, Beispiel: user.department -eq `"Sales`" ist die richtige Syntax, wenn der Wert "Sales" ist.When a string value contains double quotes, both quotes should be escaped using the ` character, for example, user.department -eq `"Sales`" is the proper syntax when "Sales" is the value.
  • Sie können auch NULL-Überprüfungen durchführen, indem Sie „null“ als Wert verwenden, Beispiel: user.department -eq null.You can also perform Null checks, using null as a value, for example, user.department -eq null.

Verwenden von NULL-WertenUse of Null values

Zum Angeben eines NULL-Werts in einer Regel können Sie den Wert null verwenden.To specify a null value in a rule, you can use the null value.

  • Verwenden Sie „-eq“ oder „-ne“ zum Vergleichen des null-Werts in einem Ausdruck.Use -eq or -ne when comparing the null value in an expression.
  • Verwenden Sie nur Anführungszeichen um das Wort null, wenn es als literaler Zeichenfolgenwert interpretiert werden soll.Use quotes around the word null only if you want it to be interpreted as a literal string value.
  • Der -not-Operator kann nicht als Vergleichsoperator für NULL verwendet werden.The -not operator can't be used as a comparative operator for null. Wenn Sie ihn verwenden, erhalten Sie eine Fehlermeldung, egal ob Sie „null“ oder „$null“ verwenden.If you use it, you get an error whether you use null or $null.

Die richtige Referenzierung des NULL-Werts erfolgt auf diese Weise:The correct way to reference the null value is as follows:

   user.mail –ne null

Regeln mit mehreren AusdrückenRules with multiple expressions

Eine Gruppenmitgliedschaftsregel kann aus mehreren Ausdrücken bestehen, die durch die logischen Operatoren „-and“, „-or“ und „-not“ verbunden sind.A group membership rule can consist of more than one single expression connected by the -and, -or, and -not logical operators. Logische Operatoren können auch in Kombination verwendet werden.Logical operators can also be used in combination.

Im Folgenden sehen Sie Beispiele für ordnungsgemäß konstruierte Mitgliedschaftsregeln mit mehreren Ausdrücken:The following are examples of properly constructed membership rules with multiple expressions:

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -contains "SDE")

Rangfolge der OperatorenOperator precedence

Alle Operatoren sind unten in der Rangfolge von oben nach unten aufgeführt.All operators are listed below in order of precedence from highest to lowest. Operatoren in der gleichen Zeile haben den gleichen Rang:Operators on same line are of equal precedence:

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all

Im Folgenden finden Sie ein Beispiel für die Rangfolge der Operatoren, bei dem zwei Ausdrücke für den Benutzer ausgewertet werden:The following is an example of operator precedence where two expressions are being evaluated for the user:

   user.department –eq "Marketing" –and user.country –eq "US"

Klammern sind nur erforderlich, wenn die Rangfolge nicht Ihren Anforderungen entspricht.Parentheses are needed only when precedence does not meet your requirements. Wenn die Abteilung zuerst ausgewertet werden soll, zeigt folgendes Beispiel, wie Klammern verwendet werden können, um die Reihenfolge zu bestimmen:For example, if you want department to be evaluated first, the following shows how parentheses can be used to determine order:

   user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

Regeln mit komplexen AusdrückenRules with complex expressions

Eine Mitgliedschaftsregel kann aus komplexen Ausdrücken bestehen, in denen die Eigenschaften, Operatoren und Werte komplexere Formen annehmen.A membership rule can consist of complex expressions where the properties, operators, and values take on more complex forms. Ausdrücke werden als komplex angesehen, wenn eine der folgenden Bedingungen zutrifft:Expressions are considered complex when any of the following are true:

  • Die Eigenschaft besteht aus einer Sammlung von Werten, insbesondere mehrwertigen Eigenschaften.The property consists of a collection of values; specifically, multi-valued properties
  • In den Ausdrücken werden die Operatoren „-any“ und „-all“ verwendet.The expressions use the -any and -all operators
  • Der Wert des Ausdrucks kann selbst ein Ausdruck oder mehrere Ausdrücke sein.The value of the expression can itself be one or more expressions

Mehrwertige EigenschaftenMulti-value properties

Mehrwertige Eigenschaften sind Sammlungen von Objekten desselben Typs.Multi-value properties are collections of objects of the same type. Sie können verwendet werden, um mithilfe der logischen Operatoren „-any“ und „-all“ Mitgliedschaftsregel zu erstellen.They can be used to create membership rules using the -any and -all logical operators.

PropertiesProperties WerteValues VerwendungUsage
assignedPlansassignedPlans Jedes Objekt in der Sammlung macht folgende Zeichenfolgeneigenschaften verfügbar: capabilityStatus, service, servicePlanIdEach object in the collection exposes the following string properties: capabilityStatus, service, servicePlanId user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
proxyAddressesproxyAddresses SMTP: alias@domain smtp: alias@domainSMTP: alias@domain smtp: alias@domain (user.proxyAddresses -any (_ -contains „contoso“))(user.proxyAddresses -any (_ -contains "contoso"))

Verwenden der Operatoren „-any“ und „-all“Using the -any and -all operators

Sie können die Operatoren „-any“ und „-all“ verwenden, um eine Bedingung auf ein Element oder alle Elemente in der Sammlung anzuwenden.You can use -any and -all operators to apply a condition to one or all of the items in the collection, respectively.

  • „-any“ (erfüllt, wenn mindestens ein Element in der Auflistung der Bedingung entspricht)-any (satisfied when at least one item in the collection matches the condition)
  • „-all“ (erfüllt, wenn alle Elemente in der Auflistung der Bedingung entsprechen)-all (satisfied when all items in the collection match the condition)

Beispiel 1Example 1

assignedPlans ist eine mehrwertige-Eigenschaft, die alle Service-Pläne auflistet, die dem Benutzer zugewiesen sind.assignedPlans is a multi-value property that lists all service plans assigned to the user. Der folgende Ausdruck wählt Benutzer aus, die über einen Serviceplan von Exchange Online verfügen (Plan 2, als GUID-Wert), der sich im Status „Enabled“ befindet:The following expression selects users who have the Exchange Online (Plan 2) service plan (as a GUID value) that is also in Enabled state:

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

Mit einer Regel wie dieser können alle Benutzer gruppiert werden, für die eine Office 365-Funktion (oder ein anderer Microsoft-Onlinedienst) aktiviert ist.A rule such as this one can be used to group all users for whom an Office 365 (or other Microsoft Online Service) capability is enabled. Sie könnten dann einen Satz von Richtlinien auf die Gruppe anwenden.You could then apply with a set of policies to the group.

Beispiel 2Example 2

Der folgende Ausdruck wählt alle Benutzer aus, die über einen Serviceplan verfügen, der mit dem Intune-Dienst (identifizierbar anhand des Dienstnamens „SCO“) verknüpft ist:The following expression selects all users who have any service plan that is associated with the Intune service (identified by service name "SCO"):

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")

Verwenden den Syntax „Unterstrich“ (_)Using the underscore (_) syntax

Die Syntax „Unterstrich“ (_) entspricht dem Vorkommen eines bestimmten Werts in einer mehrwertigen Eigenschaft der Zeichenfolgensammlung, um Benutzer oder Geräte einer dynamischen Gruppe hinzuzufügen.The underscore (_) syntax matches occurrences of a specific value in one of the multivalued string collection properties to add users or devices to a dynamic group. Die Syntax wird mit den Operatoren „-any“ oder „-all“ verwendet.It is used with the -any or -all operators.

Im Folgenden sehen Sie ein Beispiel für die Verwendung des Unterstrichs (_) in einer Regel zum Hinzufügen von Mitgliedern basierend auf „user.proxyAddress“ (identische Funktionsweise wie „user.otherMails“).Here's an example of using the underscore (_) in a rule to add members based on user.proxyAddress (it works the same for user.otherMails). Diese Regel fügt der Gruppe jeden Benutzer mit einer Proxyadresse hinzu, die „contoso“ enthält.This rule adds any user with proxy address that contains "contoso" to the group.

(user.proxyAddresses -any (_ -contains "contoso"))

Andere Eigenschaften und allgemeine RegelnOther properties and common rules

Erstellen einer MitarbeiterregelCreate a "Direct reports" rule

Sie können eine Gruppe erstellen, die alle einem Manager direkt unterstellten Mitarbeiter enthält.You can create a group containing all direct reports of a manager. Wenn sich die direkt unterstellten Mitarbeiter eines Managers in der Zukunft ändern, wird die Mitgliedschaft in der Gruppe automatisch angepasst.When the manager's direct reports change in the future, the group's membership is adjusted automatically.

Die Mitarbeiterregel wird mithilfe der folgenden Syntax erstellt:The direct reports rule is constructed using the following syntax:

Direct Reports for "{objectID_of_manager}"

Dies ist ein Beispiel einer gültigen Regel, bei der „62e19b97-8b3d-4d4a-a106-4ce66896a863“ die Objekt-ID des Managers ist:Here's an example of a valid rule where "62e19b97-8b3d-4d4a-a106-4ce66896a863" is the objectID of the manager:

Direct Reports for "62e19b97-8b3d-4d4a-a106-4ce66896a863"

Die folgenden Tipps können helfen, die Regel ordnungsgemäß zu verwenden.The following tips can help you use the rule properly.

  • Die Manager-ID ist die Objekt-ID des Managers.The Manager ID is the object ID of the manager. Sie finden sie im Profil des Managers.It can be found in the manager's Profile.
  • Damit diese Regel funktioniert, stellen Sie sicher, dass die Eigenschaft Manager für die Benutzer in Ihrem Mandanten korrekt festgelegt ist.For the rule to work, make sure the Manager property is set correctly for users in your tenant. Sie können den aktuellen Wert im Profil des Benutzers überprüfen.You can check the current value in the user's Profile.
  • Diese Regel unterstützt nur die dem Manager direkt unterstellten Mitarbeiter.This rule supports only the manager's direct reports. Sie können also keine Gruppe mit dem Manager direkt unterstellten Mitarbeitern und den ihnen unterstellten Mitarbeitern erstellen.In other words, you can't create a group with the manager's direct reports and their reports.
  • Diese Regel kann nicht mit anderen Mitgliedschaftsregeln kombiniert werden.This rule can't be combined with any other membership rules.

Erstellen einer Regel für alle BenutzerCreate an "All users" rule

Sie können mithilfe einer Mitgliedschaftsregel eine Gruppe mit allen Benutzern innerhalb eines Mandanten erstellen.You can create a group containing all users within a tenant using a membership rule. Wenn Benutzer in Zukunft zum Mandanten hinzugefügt oder daraus entfernt werden, wird die Mitgliedschaft in der Gruppe automatisch angepasst.When users are added or removed from the tenant in the future, the group's membership is adjusted automatically.

Die Regel für alle Benutzer wird mit einem einzelnen Ausdruck mit dem -ne-Operator und dem null-Wert erstellt.The "All users" rule is constructed using single expression using the -ne operator and the null value. Mit dieser Regel werden B2B-Gastbenutzer und Mitgliedsbenutzer der Gruppe hinzugefügt.This rule adds B2B guest users as well as member users to the group.

user.objectid -ne null

Erstellen einer Regel für alle GeräteCreate an "All devices" rule

Sie können mithilfe einer Mitgliedschaftsregel eine Gruppe mit allen Geräten innerhalb eines Mandanten erstellen.You can create a group containing all devices within a tenant using a membership rule. Wenn Geräte in Zukunft zum Mandanten hinzugefügt oder daraus entfernt werden, wird die Mitgliedschaft in der Gruppe automatisch angepasst.When devices are added or removed from the tenant in the future, the group's membership is adjusted automatically.

Die Regel für alle Geräte wird mit einem einzelnen Ausdruck mit dem -ne-Operator und dem null-Wert erstellt:The "All Devices" rule is constructed using single expression using the -ne operator and the null value:

device.objectid -ne null

Erweiterungseigenschaften und benutzerdefinierte ErweiterungseigenschaftenExtension properties and custom extension properties

Erweiterungsattribute und benutzerdefinierte Erweiterungsattribute werden als Zeichenfolgeneigenschaften in den Regeln für eine dynamische Mitgliedschaft unterstützt.Extension attributes and custom extension properties are supported as string properties in dynamic membership rules. Erweiterungsattribute werden von einer lokalen Windows Server AD-Instanz synchronisiert und erhalten folgendes Format: ExtensionAttributeX. Dabei entspricht X 1 bis 15.Extension attributes are synced from on-premises Window Server AD and take the format of "ExtensionAttributeX", where X equals 1 - 15. Dies ist ein Beispiel für eine Regel, die ein Erweiterungsattribut als Eigenschaft verwendet:Here's an example of a rule that uses an extension attribute as a property:

(user.extensionAttribute15 -eq "Marketing")

Benutzerdefinierte Erweiterungseigenschaften werden mit einer lokalen Windows Server AD-Instanz oder einer verbundenen SaaS-Anwendung synchronisiert und weisen das Format user.extension_[GUID]_[Attribute] auf. Dabei gilt:Custom extension properties are synced from on-premises Windows Server AD or from a connected SaaS application and are of the format of user.extension_[GUID]_[Attribute], where:

  • [GUID] ist der eindeutige Bezeichner in Azure AD für die Anwendung, die die Eigenschaft in Azure AD erstellt hat.[GUID] is the unique identifier in Azure AD for the application that created the property in Azure AD
  • [Attribute] ist der Name der Eigenschaft bei ihrer Erstellung.[Attribute] is the name of the property as it was created

Beispiel für eine Regel, die eine benutzerdefinierte Erweiterungseigenschaft verwendet:An example of a rule that uses a custom extension property is:

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

Den Namen der benutzerdefinierten Eigenschaft finden Sie im Verzeichnis. Fragen Sie dazu die Eigenschaft eines Benutzers mithilfe des Graph-Explorers ab, und suchen Sie nach dem Eigenschaftennamen.The custom property name can be found in the directory by querying a user's property using Graph Explorer and searching for the property name. Sie können jetzt im Regel-Generator für dynamische Benutzergruppen auf den Link Get custom extension properties (Benutzerdefinierte Erweiterungseigenschaften abrufen) klicken, um Ihre eindeutige App-ID einzugeben und die vollständige Liste mit benutzerdefinierten Erweiterungseigenschaften abzurufen, die Sie beim Erstellen einer dynamischen Mitgliedschaftsregel verwenden.Also, you can now select Get custom extension properties link in the dynamic user group rule builder to enter a unique app ID and receive the full list of custom extension properties to use when creating a dynamic membership rule. Diese Liste kann auch aktualisiert werden, um neue benutzerdefinierte Erweiterungseigenschaften für diese App zu erhalten.This list can also be refreshed to get any new custom extension properties for that app.

Regeln für GeräteRules for devices

Sie können auch eine Regel erstellen, die Geräteobjekte für die Mitgliedschaft in einer Gruppe auswählt.You can also create a rule that selects device objects for membership in a group. Benutzer und Geräte können nicht gleichzeitig Gruppenmitglieder sein.You can't have both users and devices as group members.

Hinweis

Das Attribut organizationalUnit wird nicht mehr aufgelistet und sollte nicht verwendet werden.The organizationalUnit attribute is no longer listed and should not be used. Diese Zeichenfolge wird von Intune in bestimmten Fällen festgelegt, aber nicht durch Azure AD erkannt, sodass Gruppen keine Geräte basierend auf diesem Attribut hinzugefügt werden.This string is set by Intune in specific cases but is not recognized by Azure AD, so no devices are added to groups based on this attribute.

Hinweis

„systemlabels“ ist ein schreibgeschütztes Attribut, das mit Intune nicht festgelegt werden kann.systemlabels is a read-only attribute that cannot be set with Intune.

Bei Windows 10 lautet das richtige Format des Attributs „deviceOSVersion“ wie folgt: (device.deviceOSVersion -eq "10.0 (17763)").For Windows 10, the correct format of the deviceOSVersion attribute is as follows: (device.deviceOSVersion -eq "10.0 (17763)"). Die Formatierung kann mit dem PowerShell-Cmdlet „Get-MsolDevice“ überprüft werden.The formatting can be validated with the Get-MsolDevice PowerShell cmdlet.

Die folgenden Geräteattribute können verwendet werden.The following device attributes can be used.

GeräteattributDevice attribute WerteValues BeispielExample
accountEnabledaccountEnabled true falsetrue false (device.accountEnabled -eq true)(device.accountEnabled -eq true)
displayNamedisplayName Jeder string-Wert.any string value (device.displayName -eq "Rob iPhone")(device.displayName -eq "Rob iPhone")
deviceOSTypedeviceOSType Jeder string-Wert.any string value (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iPhone")(device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iPhone")
(device.deviceOSType -contains "AndroidEnterprise")(device.deviceOSType -contains "AndroidEnterprise")
(device.deviceOSType -eq "AndroidForWork")(device.deviceOSType -eq "AndroidForWork")
deviceOSVersiondeviceOSVersion Jeder string-Wert.any string value (device.deviceOSVersion -eq "9.1")(device.deviceOSVersion -eq "9.1")
deviceCategorydeviceCategory ein gültiger Gerätekategorienamea valid device category name (device.deviceCategory -eq "BYOD")(device.deviceCategory -eq "BYOD")
deviceManufacturerdeviceManufacturer Jeder string-Wert.any string value (device.deviceManufacturer -eq "Samsung")(device.deviceManufacturer -eq "Samsung")
deviceModeldeviceModel Jeder string-Wert.any string value (device.deviceModel -eq "iPad Air")(device.deviceModel -eq "iPad Air")
deviceOwnershipdeviceOwnership Personal, Unternehmen, UnbekanntPersonal, Company, Unknown (device.deviceOwnership -eq "Company")(device.deviceOwnership -eq "Company")
enrollmentProfileNameenrollmentProfileName Profil für Apple-Geräteregistrierung, Geräteregistrierung – Unternehmensgeräte-IDs (Android – Kiosk) oder Name des Windows Autopilot-ProfilsApple Device Enrollment Profile, Device enrollment - Corporate device identifiers (Android - Kiosk), or Windows Autopilot profile name (device.enrollmentProfileName -eq "DEP iPhones")(device.enrollmentProfileName -eq "DEP iPhones")
isRootedisRooted true falsetrue false (device.isRooted -eq true)(device.isRooted -eq true)
managementTypemanagementType MDM (bei mobilen Geräten)MDM (for mobile devices)
PC (bei Computern, die vom Intune-PC-Agent verwaltet werden)PC (for computers managed by the Intune PC agent)
(device.managementType -eq "MDM")(device.managementType -eq "MDM")
deviceIddeviceId eine gültige Azure AD-Geräte-IDa valid Azure AD device ID (device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d")(device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d")
objectIdobjectId eine gültige Azure AD-Objekt-IDa valid Azure AD object ID (device.objectId -eq "76ad43c9-32c5-45e8-a272-7b58b58f596d")(device.objectId -eq "76ad43c9-32c5-45e8-a272-7b58b58f596d")
devicePhysicalIdsdevicePhysicalIds Jeder von Autopilot verwendete Zeichenfolgenwert, z. B. alle Autopilotgeräte, OrderID oder PurchaseOrderIDany string value used by Autopilot, such as all Autopilot devices, OrderID, or PurchaseOrderID (device.devicePhysicalIDs -any _ -contains "[ZTDId]") (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881") (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")(device.devicePhysicalIDs -any _ -contains "[ZTDId]") (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881") (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
systemLabelssystemLabels Eine beliebige Zeichenfolge, die mit der Intune-Geräteeigenschaft zum Kennzeichnen von Geräten der modernen Arbeitswelt übereinstimmtany string matching the Intune device property for tagging Modern Workplace devices (device.systemLabels -contains "M365Managed")(device.systemLabels -contains "M365Managed")

Hinweis

Für das Geräteattribut „deviceOwnership“ müssen Sie beim Erstellen dynamischer Gruppen für Geräte den Wert auf „Company“ festlegen.For the deviceOwnership when creating Dynamic Groups for devices you need to set the value equal to "Company". In Intune wird der Gerätebesitz dagegen mit „Corporate“ angegeben.On Intune the device ownership is represented instead as Corporate. Weitere Informationen finden Sie unter OwnerTypes.Refer to OwnerTypes for more details.

Nächste SchritteNext steps

Diese Artikel enthalten zusätzliche Informationen zu Gruppen in Azure Active Directory.These articles provide additional information on groups in Azure Active Directory.