Règles d’appartenance de groupe dynamique dans Azure Active DirectoryDynamic membership rules for groups in Azure Active Directory

Dans Azure Active Directory (Azure AD), vous pouvez créer des règles complexes basées sur des attributs pour activer des appartenances dynamiques pour des groupes.In Azure Active Directory (Azure AD), you can create complex attribute-based rules to enable dynamic memberships for groups. L’appartenance de groupe dynamique réduit la charge administrative d’ajout et de suppression d’utilisateurs.Dynamic group membership reduces the administrative overhead of adding and removing users. Cet article détaille les propriétés et la syntaxe à utiliser pour créer des règles d’appartenance dynamique pour des utilisateurs ou des appareils.This article details the properties and syntax to create dynamic membership rules for users or devices. Vous pouvez définir une règle d’appartenance dynamique sur les groupes de sécurité ou Microsoft 365.You can set up a rule for dynamic membership on security groups or Microsoft 365 groups.

Lorsqu’un attribut d’un utilisateur ou d’un appareil change, le système évalue toutes les règles de groupe dynamique d’un annuaire pour voir si la modification déclenche des ajouts ou suppressions de groupe.When any attributes of a user or device change, the system evaluates all dynamic group rules in a directory to see if the change would trigger any group adds or removes. Si un utilisateur ou un appareil respecte une règle d’un groupe, il est ajouté en tant que membre de ce groupe.If a user or device satisfies a rule on a group, they are added as a member of that group. S’il ne respecte plus la règle, il est supprimé.If they no longer satisfy the rule, they are removed. Vous ne pouvez pas ajouter ni supprimer manuellement un membre dans un groupe dynamique.You can't manually add or remove a member of a dynamic group.

  • Vous pouvez créer un groupe dynamique pour les appareils ou utilisateurs, mais vous ne pouvez pas créer une règle qui contient à la fois des utilisateurs et des appareils.You can create a dynamic group for devices or for users, but you can't create a rule that contains both users and devices.
  • Vous ne pouvez pas créer un groupe d’appareils basé sur des attributs des propriétaires d’appareils.You can't create a device group based on the device owners' attributes. Des règles d’appartenance d’appareil ne peuvent référencer que des attributs d’appareils.Device membership rules can only reference device attributes.

Notes

Cette fonctionnalité nécessite une licence Azure AD Premium P1 pour chaque utilisateur unique membre d’un ou de plusieurs groupes dynamiques.This feature requires an Azure AD Premium P1 license for each unique user that is a member of one or more dynamic groups. Vous n’avez pas à attribuer des licences aux utilisateurs pour qu’ils soient membres de groupes dynamiques. Toutefois, vous devez disposer du nombre minimal de licences dans l’organisation Azure AD pour couvrir tous les utilisateurs de ce type.You don't have to assign licenses to users for them to be members of dynamic groups, but you must have the minimum number of licenses in the Azure AD organization to cover all such users. Par exemple, si vous avez un total de 1 000 utilisateurs uniques dans tous les groupes dynamiques de votre organisation, vous devez disposer d’au moins 1 000 licences Azure AD Premium P1 pour répondre aux exigences de licence.For example, if you had a total of 1,000 unique users in all dynamic groups in your organization, you would need at least 1,000 licenses for Azure AD Premium P1 to meet the license requirement. Aucune licence n’est requise pour les appareils qui sont membres d’un groupe d’appareils dynamique.No license is required for devices that are members of a dynamic device group.

Générateur de règles dans le portail AzureRule builder in the Azure portal

Azure AD fournit un générateur de règles pour créer et mettre à jour plus rapidement vos règles importantes.Azure AD provides a rule builder to create and update your important rules more quickly. Le générateur de règles prend en charge la construction de jusqu’à cinq expressions.The rule builder supports the construction of up to five expressions. Le générateur de règles facilite la création d’une règle avec quelques expressions simples. Toutefois, il ne peut pas être utilisé pour reproduire chaque règle.The rule builder makes it easier to form a rule with a few simple expressions, however, it can't be used to reproduce every rule. Si le générateur de règles ne prend pas en charge la règle que vous souhaitez créer, vous pouvez utiliser la zone de texte.If the rule builder doesn't support the rule you want to create, you can use the text box.

Voici quelques exemples de règles avancées ou de syntaxe pour lesquelles nous vous recommandons de construire à l’aide de la zone de texte :Here are some examples of advanced rules or syntax for which we recommend that you construct using the text box:

Notes

Le générateur de règles peut ne pas être en mesure d’afficher certaines règles construites dans la zone de texte.The rule builder might not be able to display some rules constructed in the text box. Un message peut s’afficher lorsque le générateur de règles n’est pas en mesure d’afficher la règle.You might see a message when the rule builder is not able to display the rule. Le générateur de règles ne modifie en aucune façon la syntaxe, la validation ou le traitement des règles de groupe dynamique pris en charge.The rule builder doesn't change the supported syntax, validation, or processing of dynamic group rules in any way.

Pour obtenir des instructions pas à pas, consultez Créer ou mettre à jour un groupe dynamique.For more step-by-step instructions, see Create or update a dynamic group.

Ajouter une règle d’appartenance au groupe dynamique

Syntaxe de règle pour une expression uniqueRule syntax for a single expression

Une expression unique est la forme la plus simple d’une règle d’appartenance, qui ne comprend que les trois parties précitées.A single expression is the simplest form of a membership rule and only has the three parts mentioned above. Une règle avec une expression unique ressemble à ceci : Property Operator Value, où la syntaxe de la propriété est le nom de object.property.A rule with a single expression looks similar to this: Property Operator Value, where the syntax for the property is the name of object.property.

Voici un exemple de règle d’appartenance correctement construite avec une expression unique :The following is an example of a properly constructed membership rule with a single expression:

user.department -eq "Sales"

Les parenthèses sont facultatives pour une expression unique.Parentheses are optional for a single expression. La longueur totale du corps de votre règle d’appartenance ne peut pas dépasser 2048 caractères.The total length of the body of your membership rule cannot exceed 2048 characters.

Construction du corps d’une règle d’appartenanceConstructing the body of a membership rule

Une règle d’appartenance qui remplit automatiquement un groupe d’utilisateurs ou d’appareils est une expression binaire qui génère un résultat vrai ou faux.A membership rule that automatically populates a group with users or devices is a binary expression that results in a true or false outcome. Les trois parties d’une règle simple sont les suivantes :The three parts of a simple rule are:

  • PropriétéProperty
  • OpérateurOperator
  • ValeurValue

L’ordre des parties au sein d’une expression est importants pour éviter les erreurs de syntaxe.The order of the parts within an expression are important to avoid syntax errors.

Propriétés prises en chargeSupported properties

Il existe trois types de propriétés utilisables pour construire une règle d’appartenance.There are three types of properties that can be used to construct a membership rule.

  • BooleanBoolean
  • StringString
  • Collection de chaînesString collection

Les propriétés utilisateur que vous pouvez utiliser pour créer une expression unique sont les suivantes.The following are the user properties that you can use to create a single expression.

Propriétés de type booléenProperties of type boolean

PropriétésProperties Valeurs autoriséesAllowed values UsageUsage
accountEnabledaccountEnabled true falsetrue false user.accountEnabled -eq trueuser.accountEnabled -eq true
dirSyncEnableddirSyncEnabled true falsetrue false user.dirSyncEnabled -eq trueuser.dirSyncEnabled -eq true

Propriétés de type chaîneProperties of type string

PropriétésProperties Valeurs autoriséesAllowed values UsageUsage
citycity Toute valeur de chaîne ou nullAny string value or null (user.city -eq "value")(user.city -eq "value")
countrycountry Toute valeur de chaîne ou nullAny string value or null (user.country -eq "value")(user.country -eq "value")
companyNamecompanyName Toute valeur de chaîne ou nullAny string value or null (user.companyName -eq "value")(user.companyName -eq "value")
departmentdepartment Toute valeur de chaîne ou nullAny string value or null (user.department -eq "value")(user.department -eq "value")
displayNamedisplayName Valeur de chaîne quelconqueAny string value (user.displayName -eq "value")(user.displayName -eq "value")
employeeIdemployeeId Valeur de chaîne quelconqueAny string value (user.employeeId -eq "value")(user.employeeId -eq "value")
(user.employeeId -ne null)(user.employeeId -ne null)
facsimileTelephoneNumberfacsimileTelephoneNumber Toute valeur de chaîne ou nullAny string value or null (user.facsimileTelephoneNumber -eq "value")(user.facsimileTelephoneNumber -eq "value")
givenNamegivenName Toute valeur de chaîne ou nullAny string value or null (user.givenName -eq "value")(user.givenName -eq "value")
jobTitlejobTitle Toute valeur de chaîne ou nullAny string value or null (user.jobTitle -eq "value")(user.jobTitle -eq "value")
mailmail Toute valeur de chaîne ou null (adresse SMTP de l’utilisateur)Any string value or null (SMTP address of the user) (user.mail -eq "value")(user.mail -eq "value")
mailNickNamemailNickName Toute valeur de chaîne (alias de messagerie de l’utilisateur)Any string value (mail alias of the user) (user.mailNickName -eq "value")(user.mailNickName -eq "value")
mobilemobile Toute valeur de chaîne ou nullAny string value or null (user.mobile -eq "value")(user.mobile -eq "value")
objectIdobjectId GUID de l’objet utilisateurGUID of the user object (user.objectId -eq "11111111-1111-1111-1111-111111111111")(user.objectId -eq "11111111-1111-1111-1111-111111111111")
onPremisesSecurityIdentifieronPremisesSecurityIdentifier Identificateur de sécurité (SID) local pour les utilisateurs synchronisés localement vers le cloud.On-premises security identifier (SID) for users who were synchronized from on-premises to the cloud. (user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111")(user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111")
passwordPoliciespasswordPolicies Aucune DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPasswordNone DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword (user.passwordPolicies -eq "DisableStrongPassword")(user.passwordPolicies -eq "DisableStrongPassword")
physicalDeliveryOfficeNamephysicalDeliveryOfficeName Toute valeur de chaîne ou nullAny string value or null (user.physicalDeliveryOfficeName -eq "value")(user.physicalDeliveryOfficeName -eq "value")
postalCodepostalCode Toute valeur de chaîne ou nullAny string value or null (user.postalCode -eq "value")(user.postalCode -eq "value")
preferredLanguagepreferredLanguage Code ISO 639-1ISO 639-1 code (user.preferredLanguage -eq "en-US")(user.preferredLanguage -eq "en-US")
sipProxyAddresssipProxyAddress Toute valeur de chaîne ou nullAny string value or null (user.sipProxyAddress -eq "value")(user.sipProxyAddress -eq "value")
statestate Toute valeur de chaîne ou nullAny string value or null (user.state -eq "value")(user.state -eq "value")
streetAddressstreetAddress Toute valeur de chaîne ou nullAny string value or null (user.streetAddress -eq "value")(user.streetAddress -eq "value")
surnamesurname Toute valeur de chaîne ou nullAny string value or null (user.surname -eq "value")(user.surname -eq "value")
telephoneNumbertelephoneNumber Toute valeur de chaîne ou nullAny string value or null (user.telephoneNumber -eq "value")(user.telephoneNumber -eq "value")
usageLocationusageLocation Code de pays/région à deux lettresTwo lettered country/region code (user.usageLocation -eq "US")(user.usageLocation -eq "US")
userPrincipalNameuserPrincipalName Valeur de chaîne quelconqueAny string value (user.userPrincipalName -eq "alias@domain")(user.userPrincipalName -eq "alias@domain")
userTypeuserType member guest nullmember guest null (user.userType -eq "Member")(user.userType -eq "Member")

Propriétés de type collection de chaînesProperties of type string collection

PropriétésProperties Valeurs autoriséesAllowed values UsageUsage
otherMailsotherMails Valeur de chaîne quelconqueAny string value (user.otherMails -contains "alias@domain")(user.otherMails -contains "alias@domain")
proxyAddressesproxyAddresses SMTP: alias@domain smtp: alias@domainSMTP: alias@domain smtp: alias@domain (user.proxyAddresses -contains "SMTP: alias@domain")(user.proxyAddresses -contains "SMTP: alias@domain")

Concernant les propriétés utilisées pour les règles d’appareils, voir Règles pour les appareils.For the properties used for device rules, see Rules for devices.

Opérateurs d’expression pris en chargeSupported expression operators

Le tableau suivant répertorie tous les opérateurs pris en charge et leur syntaxe pour une expression unique.The following table lists all the supported operators and their syntax for a single expression. Les opérateurs peuvent être utilisés avec ou sans le préfixe de trait d’union (-).Operators can be used with or without the hyphen (-) prefix.

OpérateurOperator SyntaxeSyntax
Non égal àNot Equals -ne-ne
Égal àEquals -eq-eq
Ne commence pas parNot Starts With -notStartsWith-notStartsWith
Starts WithStarts With -startsWith-startsWith
Ne contient pasNot Contains -notContains-notContains
ContientContains -contains-contains
Ne correspond pasNot Match -notMatch-notMatch
CorrespondMatch -match-match
DansIn -in-in
Pas dansNot In -notIn-notIn

Utilisation des opérateurs -in et -notInUsing the -in and -notIn operators

Si vous souhaitez comparer la valeur d’un attribut utilisateur par rapport à un nombre de valeurs différentes, vous pouvez utiliser les opérateurs -in ou -notIn.If you want to compare the value of a user attribute against a number of different values you can use the -in or -notIn operators. Insérez les symboles de crochet « [ » et «] » au début et à la fin de la liste de valeurs.Use the bracket symbols "[" and "]" to begin and end the list of values.

Dans l’exemple suivant, l’expression est vraie si la valeur de user.department est égale à l’une des valeurs dans la liste :In the following example, the expression evaluates to true if the value of user.department equals any of the values in the list:

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

Utilisation de l’opérateur -matchUsing the -match operator

L’opérateur -match est utilisé pour la correspondance de n’importe quelle expression régulière.The -match operator is used for matching any regular expression. Exemples :Examples:

user.displayName -match "Da.*"   

DA, Dav, David retourne true, aDa retourne false.Da, Dav, David evaluate to true, aDa evaluates to false.

user.displayName -match ".*vid"

David retourne true, Da retourne false.David evaluates to true, Da evaluates to false.

Valeurs prises en chargeSupported values

Les valeurs utilisées dans une expression peuvent être de plusieurs types, à savoir :The values used in an expression can consist of several types, including:

  • ChaînesStrings
  • Booléen : « True », « False »Boolean – true, false
  • NombresNumbers
  • Tableaux : tableau de nombres, tableau de chaînesArrays – number array, string array

Lorsque vous spécifiez une valeur dans une expression, il est important d’utiliser la syntaxe correcte pour éviter les erreurs.When specifying a value within an expression it is important to use the correct syntax to avoid errors. Voici quelques conseils de syntaxe :Some syntax tips are:

  • Les guillemets doubles sont facultatifs, sauf si la valeur est une chaîne.Double quotes are optional unless the value is a string.
  • Les opérations de chaîne et regex (expressions régulières) ne prennent pas en compte la casse.String and regex operations are not case sensitive.
  • Quand une valeur de chaîne contient des guillemets doubles, les deux guillemets doivent être échappés à l’aide du caractère `. Par exemple, user.department -eq `"Sales`" est la syntaxe appropriée quand « Sales » est la valeur.When a string value contains double quotes, both quotes should be escaped using the ` character, for example, user.department -eq `"Sales`" is the proper syntax when "Sales" is the value.
  • Vous pouvez également effectuer des vérifications de valeur Null, en utilisant null en tant que valeur. Par exemple, user.department -eq null.You can also perform Null checks, using null as a value, for example, user.department -eq null.

Utiliser des valeurs NullUse of Null values

Pour spécifier une valeur null dans une règle, vous pouvez utiliser la valeur null.To specify a null value in a rule, you can use the null value.

  • Utilisez -eq ou -ne lors de la comparaison de la valeur null dans une expression.Use -eq or -ne when comparing the null value in an expression.
  • N’insérez des guillemets autour du mot null que si vous voulez qu’il soit interprété comme une valeur de chaîne littérale.Use quotes around the word null only if you want it to be interpreted as a literal string value.
  • L’opérateur -not ne peut pas être utilisé comme un opérateur de comparaison pour la valeur null.The -not operator can't be used as a comparative operator for null. Si vous l’utilisez, vous obtenez une erreur, que vous utilisiez une valeur null ou $null.If you use it, you get an error whether you use null or $null.

La manière correcte de référencer la valeur null est la suivante :The correct way to reference the null value is as follows:

   user.mail –ne null

Règles comportant plusieurs expressionsRules with multiple expressions

Une règle d’appartenance de groupe peut se composer de plusieurs expressions uniques reliées par les opérateurs logiques -and, -or et -not.A group membership rule can consist of more than one single expression connected by the -and, -or, and -not logical operators. Des opérateurs logiques peuvent également être utilisés en combinaison.Logical operators can also be used in combination.

Voici des exemples de règles d’appartenance correctement construites avec plusieurs expressions :The following are examples of properly constructed membership rules with multiple expressions:

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -contains "SDE")

Précédence des opérateursOperator precedence

Tous les opérateurs sont répertoriés ci-dessous par ordre de priorité, du plus élevé au plus bas.All operators are listed below in order of precedence from highest to lowest. Les opérateurs figurant sur une même ligne ont une priorité identique :Operators on same line are of equal precedence:

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all

Voici un exemple de priorité d’opérateur où deux expressions sont évaluées pour l’utilisateur :The following is an example of operator precedence where two expressions are being evaluated for the user:

   user.department –eq "Marketing" –and user.country –eq "US"

Des parenthèses ne sont nécessaires que lorsque la priorité ne répond pas à vos besoins.Parentheses are needed only when precedence does not meet your requirements. Par exemple, si vous souhaitez que department soit évalué en premier, ce qui suit montre comment utiliser des parenthèses pour déterminer l’ordre :For example, if you want department to be evaluated first, the following shows how parentheses can be used to determine order:

   user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

Règles avec des expressions complexesRules with complex expressions

Une règle d’appartenance peut être constituée d’expressions complexes où les propriétés, les opérateurs et les valeurs prennent des formes plus complexes.A membership rule can consist of complex expressions where the properties, operators, and values take on more complex forms. Des expressions sont considérées comme complexes quand l’une des conditions suivantes est vraie :Expressions are considered complex when any of the following are true:

  • La propriété consiste en une collection de valeurs, plus précisément, des propriétés à valeurs multiplesThe property consists of a collection of values; specifically, multi-valued properties
  • Les expressions utilisent les opérateurs -any et -allThe expressions use the -any and -all operators
  • La valeur de l’expression peut être elle-même une ou plusieurs expressionsThe value of the expression can itself be one or more expressions

Propriétés à valeurs multiplesMulti-value properties

Les propriétés à valeurs multiples sont des collections d’objets du même type.Multi-value properties are collections of objects of the same type. Vous pouvez vous en servir pour créer des règles d’appartenance utilisant les opérateurs -any et -all.They can be used to create membership rules using the -any and -all logical operators.

PropriétésProperties ValeursValues UsageUsage
assignedPlansassignedPlans Chaque objet de la collection affiche les propriétés de chaînes suivantes : capabilityStatus, service, servicePlanIdEach object in the collection exposes the following string properties: capabilityStatus, service, servicePlanId user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -et assignedPlan.capabilityStatus -eq "Enabled")user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
proxyAddressesproxyAddresses SMTP: alias@domain smtp: alias@domainSMTP: alias@domain smtp: alias@domain (user.proxyAddresses -any (_ -contains "contoso"))(user.proxyAddresses -any (_ -contains "contoso"))

Utilisation des opérateurs -any et -allUsing the -any and -all operators

Vous pouvez utiliser les opérateurs -any et -all pour appliquer respectivement une condition à un ou tous les objets de la collection.You can use -any and -all operators to apply a condition to one or all of the items in the collection, respectively.

  • -any (respectée lorsqu’au moins un élément de la collection correspond à la condition)-any (satisfied when at least one item in the collection matches the condition)
  • -all (respectée lorsque tous les éléments de la collection correspondent à la condition)-all (satisfied when all items in the collection match the condition)

Exemple 1Example 1

assignedPlans est une propriété à valeurs multiples qui répertorie tous les plans de service assignés à l’utilisateur.assignedPlans is a multi-value property that lists all service plans assigned to the user. L’expression ci-dessous sélectionne les utilisateurs qui ont le plan de service (en tant que valeur GUID) Exchange Online (Plan 2), également en état Activé :The following expression selects users who have the Exchange Online (Plan 2) service plan (as a GUID value) that is also in Enabled state:

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

Vous pouvez utiliser une règle telle que celle-ci afin de regrouper tous les utilisateurs pour lesquels une fonctionnalité Microsoft 365 (ou un autre service en ligne Microsoft) est activée.A rule such as this one can be used to group all users for whom an Microsoft 365 (or other Microsoft Online Service) capability is enabled. Vous pourriez ensuite l’appliquer au groupe avec un ensemble de stratégies.You could then apply with a set of policies to the group.

Exemple 2Example 2

L’expression suivante sélectionne tous les utilisateurs qui disposent d’un plan de service associé au service Intune (identifié par le nom de service « SCO ») :The following expression selects all users who have any service plan that is associated with the Intune service (identified by service name "SCO"):

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")

Exemple 3Example 3

L’expression suivante sélectionne tous les utilisateurs qui n’ont pas de plan de service attribué :The following expression selects all users who have no asigned service plan:

user.assignedPlans -all (assignedPlan.servicePlanId -eq "")

Utilisation de la syntaxe de trait de soulignement (_)Using the underscore (_) syntax

La syntaxe de trait de soulignement (_) correspond aux occurrences d’une valeur spécifique dans une des propriétés de collection de chaîne à valeurs multiples pour ajouter des utilisateurs ou des appareils à un groupe dynamique.The underscore (_) syntax matches occurrences of a specific value in one of the multivalued string collection properties to add users or devices to a dynamic group. Elle est utilisée avec les opérateurs -any ou -all.It is used with the -any or -all operators.

Voici un exemple d’utilisation du trait de soulignement (_) dans une règle pour ajouter des membres à partir de user.proxyAddress (le même principe s’applique pour user.otherMails).Here's an example of using the underscore (_) in a rule to add members based on user.proxyAddress (it works the same for user.otherMails). Cette règle ajoute au groupe n’importe quel utilisateur avec l’adresse de proxy contenant « contoso ».This rule adds any user with proxy address that contains "contoso" to the group.

(user.proxyAddresses -any (_ -contains "contoso"))

Autres propriétés et les règles communesOther properties and common rules

Créer une règle « Collaborateurs directs »Create a "Direct reports" rule

Vous pouvez créer un groupe contenant tous les collaborateurs directs d’un responsable.You can create a group containing all direct reports of a manager. À l’avenir, lorsque les collaborateurs directs du responsable changeront, l’appartenance du groupe sera ajustée automatiquement.When the manager's direct reports change in the future, the group's membership is adjusted automatically.

La règle de collaborateurs directs est construite à l’aide de la syntaxe suivante :The direct reports rule is constructed using the following syntax:

Direct Reports for "{objectID_of_manager}"

Voici un exemple de règle valide où « 62e19b97-8b3d-4d4a-a106-4ce66896a863 » est l’ID d’objet du responsable :Here's an example of a valid rule where "62e19b97-8b3d-4d4a-a106-4ce66896a863" is the objectID of the manager:

Direct Reports for "62e19b97-8b3d-4d4a-a106-4ce66896a863"

Les conseils suivants peuvent vous aider à utiliser la règle correctement.The following tips can help you use the rule properly.

  • Manager ID est l’ID d’objet du responsable.The Manager ID is the object ID of the manager. Il figure dans le Profil du responsable.It can be found in the manager's Profile.
  • Pour que la règle fonctionne, vérifiez que la propriété Manager est correctement définie pour les utilisateurs de votre organisation.For the rule to work, make sure the Manager property is set correctly for users in your organization. Vous pouvez vérifier la valeur actuelle dans le Profil de l’utilisateur.You can check the current value in the user's Profile.
  • Cette règle prend en charge uniquement les collaborateurs directs du responsable.This rule supports only the manager's direct reports. En d’autres termes, vous ne peut pas créer de groupe avec les collaborateurs directs du responsable et leurs collaborateurs.In other words, you can't create a group with the manager's direct reports and their reports.
  • Cette règle ne peut pas être combinée avec d’autres règles d’appartenance.This rule can't be combined with any other membership rules.

Créer une règle « Tous les utilisateurs »Create an "All users" rule

Vous pouvez créer un groupe contenant tous les utilisateurs d’une organisation à l’aide d’une règle d’appartenance.You can create a group containing all users within an organization using a membership rule. Lors de l’ajout ou de la suppression d’utilisateurs de l’organisation, l’appartenance du groupe est ajustée automatiquement.When users are added or removed from the organization in the future, the group's membership is adjusted automatically.

La règle « Tous les utilisateurs » est construite à l’aide d’une expression unique utilisant l’opérateur -ne et la valeur null.The "All users" rule is constructed using single expression using the -ne operator and the null value. Cette règle ajoute au groupe les utilisateurs invités B2B, ainsi que les utilisateurs membres.This rule adds B2B guest users as well as member users to the group.

user.objectId -ne null

Si vous souhaitez que votre groupe exclue les utilisateurs invités et inclue uniquement les membres de votre organisation, vous pouvez utiliser la syntaxe suivante :If you want your group to exclude guest users and include only members of your organization, you can use the following syntax:

(user.objectId -ne null) -and (user.userType -eq "Member")

Créer une règle « Tous les appareils »Create an "All devices" rule

Vous pouvez créer un groupe contenant tous les appareils d’une organisation à l’aide d’une règle d’appartenance.You can create a group containing all devices within an organization using a membership rule. Lors de l’ajout ou de la suppression d’appareils de l’organisation, l’appartenance du groupe est ajustée automatiquement.When devices are added or removed from the organization in the future, the group's membership is adjusted automatically.

La règle « Tous les appareils » est construite à l’aide d’une expression unique utilisant l’opérateur -ne et la valeur null :The "All Devices" rule is constructed using single expression using the -ne operator and the null value:

device.objectId -ne null

Attributs d’extension et propriétés d’extension personnaliséeExtension properties and custom extension properties

Les attributs d’extension et les propriétés d’extension personnalisées sont pris en charge en tant que propriétés de chaîne dans les règles d’appartenance dynamique.Extension attributes and custom extension properties are supported as string properties in dynamic membership rules. Les attributs d’extension sont synchronisés à partir de Windows Server AD local et prennent le format « ExtensionAttributeX », où X a une valeur de 1 à 15.Extension attributes are synced from on-premises Window Server AD and take the format of "ExtensionAttributeX", where X equals 1 - 15. Voici en exemple de règle utilisant un attribut d’extension en tant que propriété :Here's an example of a rule that uses an extension attribute as a property:

(user.extensionAttribute15 -eq "Marketing")

Les propriétés d’extension personnalisées sont synchronisées à partir de Windows Server AD local ou à partir d’une application SaaS connectée, et leur format est user.extension_[GUID]_[Attribute], où :Custom extension properties are synced from on-premises Windows Server AD or from a connected SaaS application and are of the format of user.extension_[GUID]_[Attribute], where:

  • [GUID] est l’identificateur unique dans Azure AD pour l’application qui a créé la propriété dans Azure AD[GUID] is the unique identifier in Azure AD for the application that created the property in Azure AD
  • [Attribute] est le nom attribué à la propriété lors de sa création[Attribute] is the name of the property as it was created

Voici un exemple de règle utilisant une propriété d’extension personnalisée :An example of a rule that uses a custom extension property is:

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

Vous pouvez accéder au nom de la propriété personnalisée dans le répertoire en lançant une requête sur une propriété d’utilisateur à l’aide d’Afficheur Graph, et en recherchant le nom de propriété.The custom property name can be found in the directory by querying a user's property using Graph Explorer and searching for the property name. De plus, vous pouvez désormais sélectionner le lien Obtenir des propriétés d’extension personnalisées dans le générateur de règles de groupe d’utilisateurs dynamiques pour entrer un ID d’application unique et recevoir la liste complète des propriétés d’extension personnalisées à utiliser lors de la création d’une règle d’appartenance dynamique.Also, you can now select Get custom extension properties link in the dynamic user group rule builder to enter a unique app ID and receive the full list of custom extension properties to use when creating a dynamic membership rule. Vous pouvez également actualiser cette liste afin d’obtenir les nouvelles propriétés d’extension personnalisées pour cette application.This list can also be refreshed to get any new custom extension properties for that app.

Règles pour les appareilsRules for devices

Vous pouvez également créer une règle qui sélectionne des objets d’appareil pour l’appartenance à un groupe.You can also create a rule that selects device objects for membership in a group. Vous ne pouvez pas avoir à la fois des utilisateurs et des appareils en tant que membres du groupe.You can't have both users and devices as group members.

Notes

L’attribut organizationalUnit n’est plus répertorié et ne doit pas être utilisé.The organizationalUnit attribute is no longer listed and should not be used. Cette chaîne est définie par Intune dans des cas spécifiques mais n’est pas reconnue par Azure AD, donc aucun périphérique n’est ajouté aux groupes en fonction de cet attribut.This string is set by Intune in specific cases but is not recognized by Azure AD, so no devices are added to groups based on this attribute.

Notes

systemlabels est un attribut en lecture seule qui ne peut pas être défini avec Intune.systemlabels is a read-only attribute that cannot be set with Intune.

Pour Windows 10, le format correct de l’attribut deviceOSVersion est le suivant : (device.deviceOSVersion -eq "10.0.17763").For Windows 10, the correct format of the deviceOSVersion attribute is as follows: (device.deviceOSVersion -eq "10.0.17763"). La mise en forme peut être validée avec la cmdlet PowerShell Get-MsolDevice.The formatting can be validated with the Get-MsolDevice PowerShell cmdlet.

Les attributs d’appareil suivants peuvent être utilisés.The following device attributes can be used.

Attribut d’appareilDevice attribute ValeursValues ExempleExample
accountEnabledaccountEnabled true falsetrue false (device.accountEnabled -eq true)(device.accountEnabled -eq true)
displayNamedisplayName Toute valeur de chaîne.any string value (device.displayName -eq "Rob iPhone")(device.displayName -eq "Rob iPhone")
deviceOSTypedeviceOSType Toute valeur de chaîne.any string value (device.deviceOSType -eq "iPad") ou (device.deviceOSType -eq "iPhone")(device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iPhone")
(device.deviceOSType -contains "AndroidEnterprise")(device.deviceOSType -contains "AndroidEnterprise")
(device.deviceOSType -eq "AndroidForWork")(device.deviceOSType -eq "AndroidForWork")
(device.deviceOSType -eq "Windows")(device.deviceOSType -eq "Windows")
deviceOSVersiondeviceOSVersion Toute valeur de chaîne.any string value (device.deviceOSVersion -eq "9.1")(device.deviceOSVersion -eq "9.1")
(device.deviceOSVersion -eq "10.0.17763.0")(device.deviceOSVersion -eq "10.0.17763.0")
deviceCategorydeviceCategory Un nom de catégorie d’appareil valide.a valid device category name (device.deviceCategory -eq "BYOD")(device.deviceCategory -eq "BYOD")
deviceManufacturerdeviceManufacturer Toute valeur de chaîne.any string value (device.deviceManufacturer -eq "Samsung")(device.deviceManufacturer -eq "Samsung")
deviceModeldeviceModel Toute valeur de chaîne.any string value (device.deviceModel -eq "iPad Air")(device.deviceModel -eq "iPad Air")
deviceOwnershipdeviceOwnership Personnel, Entreprise, InconnuPersonal, Company, Unknown (device.deviceOwnership -eq "Company")(device.deviceOwnership -eq "Company")
enrollmentProfileNameenrollmentProfileName Nom du profil d’inscription d’appareil Apple, nom du profil d’inscription d’appareil dédié appartenant à l’entreprise Android Enterprise ou nom du profil Windows AutopilotApple Device Enrollment Profile name, Android Enterprise Corporate-owned dedicated device Enrollment Profile name, or Windows Autopilot profile name (device.enrollmentProfileName -eq "DEP iPhones")(device.enrollmentProfileName -eq "DEP iPhones")
isRootedisRooted true falsetrue false (device.isRooted -eq true)(device.isRooted -eq true)
managementTypemanagementType Gestion des périphériques mobiles (pour les appareils mobiles).MDM (for mobile devices)
PC (pour les ordinateurs gérés par l’agent PC Intune)PC (for computers managed by the Intune PC agent)
(device.managementType -eq "MDM")(device.managementType -eq "MDM")
deviceIddeviceId Un ID d’appareil Azure AD valide.a valid Azure AD device ID (device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d")(device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d")
objectIdobjectId Un ID d’objet Azure AD valide.a valid Azure AD object ID (device.objectId -eq "76ad43c9-32c5-45e8-a272-7b58b58f596d")(device.objectId -eq "76ad43c9-32c5-45e8-a272-7b58b58f596d")
devicePhysicalIdsdevicePhysicalIds toute valeur de chaîne utilisée par AutoPilot, par exemple tous les appareils AutoPilot, OrderID ou PurchaseOrderIDany string value used by Autopilot, such as all Autopilot devices, OrderID, or PurchaseOrderID (device.devicePhysicalIDs -any _ -contains "[ZTDId]") (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881") (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")(device.devicePhysicalIDs -any _ -contains "[ZTDId]") (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881") (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
systemLabelssystemLabels n’importe quelle chaîne correspondant à la propriété d’appareil Intune pour baliser les appareils Modern Workplaceany string matching the Intune device property for tagging Modern Workplace devices (device.systemLabels -contains "M365Managed")(device.systemLabels -contains "M365Managed")

Notes

Quand vous créez des groupes dynamiques pour des appareils, vous devez définir deviceOwnership avec la valeur « Company ».For the deviceOwnership when creating Dynamic Groups for devices you need to set the value equal to "Company". Sur Intune, la propriété de l’appareil est représentée comme Corporate.On Intune the device ownership is represented instead as Corporate. Pour plus d’informations, consultez OwnerTypes.Refer to OwnerTypes for more details.

Étapes suivantesNext steps

Ces articles fournissent des informations supplémentaires sur les groupes dans Azure Active Directory.These articles provide additional information on groups in Azure Active Directory.