Regole di appartenenza dinamica per i gruppi in Azure Active DirectoryDynamic membership rules for groups in Azure Active Directory

In Azure Active Directory (Azure AD) è possibile creare regole complesse basate su attributi per abilitare appartenenze dinamiche per gruppi.In Azure Active Directory (Azure AD), you can create complex attribute-based rules to enable dynamic memberships for groups. L'appartenenza a gruppi dinamica riduce il sovraccarico amministrativo per l'aggiunta e la rimozione di utenti.Dynamic group membership reduces the administrative overhead of adding and removing users. Questo articolo descrive in dettaglio le proprietà e la sintassi per creare regole di appartenenza dinamica per utenti o dispositivi.This article details the properties and syntax to create dynamic membership rules for users or devices. È possibile configurare una regola per l'appartenenza dinamica nei gruppi di sicurezza o nei gruppi di Office 365.You can set up a rule for dynamic membership on security groups or Office 365 groups.

Quando gli attributi di un utente o un dispositivo cambiano, il sistema valuta tutte le regole dinamiche del gruppo in una directory per verificare se la modifica attiverà aggiunte o rimozioni nel gruppo.When any attributes of a user or device change, the system evaluates all dynamic group rules in a directory to see if the change would trigger any group adds or removes. Se un utente o un dispositivo soddisfa una regola in un gruppo, viene aggiunto come membro a tale gruppo.If a user or device satisfies a rule on a group, they are added as a member of that group. Se non soddisfano la regola, vengono rimossi.If they no longer satisfy the rule, they are removed. Non è possibile aggiungere o rimuovere un membro di un gruppo dinamico manualmente.You can't manually add or remove a member of a dynamic group.

  • Sebbene sia possibile creare un gruppo dinamico per i dispositivi o gli utenti, non è possibile creare una regola che contenga sia oggetti utente che dispositivo.You can create a dynamic group for devices or for users, but you can't create a rule that contains both users and devices.
  • Non è possibile creare un gruppo di dispositivi in base agli attributi dei proprietari dei dispositivi.You can't create a device group based on the device owners' attributes. Le regole di appartenenza dei dispositivi possono fare riferimento solo agli attributi dei dispositivi.Device membership rules can only reference device attributes.

Nota

Questa funzionalità richiede una licenza Azure AD Premium P1 per ogni utente univoco membro di almeno un gruppo dinamico.This feature requires an Azure AD Premium P1 license for each unique user that is a member of one or more dynamic groups. Perché gli utenti siano membri dei gruppi dinamici, non è obbligatorio che vengano effettivamente assegnate loro le licenze, ma è necessario avere il numero necessario di licenze nel tenant per coprire tutti gli utenti.You don't have to assign licenses to users for them to be members of dynamic groups, but you must have the minimum number of licenses in the tenant to cover all such users. Se ad esempio si ha un totale di 1.000 utenti univoci in tutti i gruppi dinamici del tenant, è necessario avere almeno 1.000 licenze di Azure AD Premium P1 per soddisfare il requisito delle licenze.For example, if you had a total of 1,000 unique users in all dynamic groups in your tenant, you would need at least 1,000 licenses for Azure AD Premium P1 to meet the license requirement.

Creazione del corpo di una regola di appartenenzaConstructing the body of a membership rule

Una regola di appartenenza che popola automaticamente un gruppo con utenti o dispositivi è un'espressione binaria che restituisce un risultato true o false.A membership rule that automatically populates a group with users or devices is a binary expression that results in a true or false outcome. Le tre parti di una regola semplice sono:The three parts of a simple rule are:

  • ProprietàProperty
  • OperatorOperator
  • ValueValue

L'ordine delle parti in un'espressione è importante per evitare gli errori di sintassi.The order of the parts within an expression are important to avoid syntax errors.

Regole con una singola espressioneRules with a single expression

Una singola espressione è la forma più semplice per una regola di appartenenza e include solo le tre parti indicate in precedenza.A single expression is the simplest form of a membership rule and only has the three parts mentioned above. Una regola con una singola espressione è simile a quanto segue: Property Operator Value, dove la sintassi per la proprietà è il nome di oggetto.proprietà.A rule with a single expression looks similar to this: Property Operator Value, where the syntax for the property is the name of object.property.

Di seguito è riportato un esempio di regola di appartenenza strutturata correttamente con una singola espressione:The following is an example of a properly constructed membership rule with a single expression:

user.department -eq "Sales"

Per una singola espressione le parentesi sono facoltative.Parentheses are optional for a single expression. La lunghezza totale del corpo della regola di appartenenza non può superare i 2048 caratteri.The total length of the body of your membership rule cannot exceed 2048 characters.

Proprietà supportateSupported properties

Ci sono tre tipi di proprietà che è possibile usare per costruire una regola di appartenenza.There are three types of properties that can be used to construct a membership rule.

  • BooleanBoolean
  • StringString
  • Raccolta di tipi stringString collection

Di seguito sono elencate le proprietà utente che è possibile usare per creare una singola espressione.The following are the user properties that you can use to create a single expression.

Proprietà di tipo booleanProperties of type boolean

PropertiesProperties Valori consentitiAllowed values UsoUsage
accountEnabledaccountEnabled true falsetrue false user.accountEnabled -eq trueuser.accountEnabled -eq true
dirSyncEnableddirSyncEnabled true falsetrue false user.dirSyncEnabled -eq trueuser.dirSyncEnabled -eq true

Proprietà di tipo stringaProperties of type string

PropertiesProperties Valori consentitiAllowed values UsoUsage
citycity Qualsiasi valore di stringa o nullAny string value or null (user.city -eq "valore")(user.city -eq "value")
countrycountry Qualsiasi valore di stringa o nullAny string value or null (user.country -eq "valore")(user.country -eq "value")
companyNamecompanyName Qualsiasi valore di stringa o nullAny string value or null (user.companyName -eq "value")(user.companyName -eq "value")
departmentdepartment Qualsiasi valore di stringa o nullAny string value or null (user.department -eq "valore")(user.department -eq "value")
displayNamedisplayName Qualsiasi valore stringa.Any string value (user.displayName -eq "valore")(user.displayName -eq "value")
employeeIdemployeeId Qualsiasi valore stringa.Any string value (user.employeeId -eq "valore")(user.employeeId -eq "value")
(user.employeeId -ne null)(user.employeeId -ne null)
facsimileTelephoneNumberfacsimileTelephoneNumber Qualsiasi valore di stringa o nullAny string value or null (user.facsimileTelephoneNumber -eq "valore")(user.facsimileTelephoneNumber -eq "value")
givenNamegivenName Qualsiasi valore di stringa o nullAny string value or null (user.givenName -eq "valore")(user.givenName -eq "value")
jobTitlejobTitle Qualsiasi valore di stringa o nullAny string value or null (user.jobTitle -eq "valore")(user.jobTitle -eq "value")
mailmail Qualsiasi valore di stringa o null (indirizzo SMTP dell'utente)Any string value or null (SMTP address of the user) (user.mail -eq "valore")(user.mail -eq "value")
mailNickNamemailNickName Qualsiasi valore stringa (alias di posta dell'utente)Any string value (mail alias of the user) (user.mailNickName -eq "valore")(user.mailNickName -eq "value")
mobilemobile Qualsiasi valore di stringa o nullAny string value or null (user.mobile -eq "valore")(user.mobile -eq "value")
objectIdobjectId GUID dell'oggetto utenteGUID of the user object (user.objectId -eq "11111111-1111-1111-1111-111111111111")(user.objectId -eq "11111111-1111-1111-1111-111111111111")
onPremisesSecurityIdentifieronPremisesSecurityIdentifier Identificatore di sicurezza (SID) locale per gli utenti sincronizzati da un ambiente locale al cloud.On-premises security identifier (SID) for users who were synchronized from on-premises to the cloud. (user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111")(user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111")
passwordPoliciespasswordPolicies Nessuno DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPasswordNone DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword (user.passwordPolicies -eq "DisableStrongPassword")(user.passwordPolicies -eq "DisableStrongPassword")
physicalDeliveryOfficeNamephysicalDeliveryOfficeName Qualsiasi valore di stringa o nullAny string value or null (user.physicalDeliveryOfficeName -eq "valore")(user.physicalDeliveryOfficeName -eq "value")
postalCodepostalCode Qualsiasi valore di stringa o nullAny string value or null (user.postalCode -eq "valore")(user.postalCode -eq "value")
preferredLanguagepreferredLanguage Codice ISO 639-1ISO 639-1 code (user.preferredLanguage -eq "en-US")(user.preferredLanguage -eq "en-US")
sipProxyAddresssipProxyAddress Qualsiasi valore di stringa o nullAny string value or null (user.sipProxyAddress -eq "valore")(user.sipProxyAddress -eq "value")
statostate Qualsiasi valore di stringa o nullAny string value or null (user.state -eq "valore")(user.state -eq "value")
streetAddressstreetAddress Qualsiasi valore di stringa o nullAny string value or null (user.streetAddress -eq "valore")(user.streetAddress -eq "value")
surnamesurname Qualsiasi valore di stringa o nullAny string value or null (user.surname -eq "valore")(user.surname -eq "value")
telephoneNumbertelephoneNumber Qualsiasi valore di stringa o nullAny string value or null (user.telephoneNumber -eq "valore")(user.telephoneNumber -eq "value")
usageLocationusageLocation Codice di paese di due lettereTwo lettered country code (user.usageLocation -eq "US")(user.usageLocation -eq "US")
userPrincipalNameuserPrincipalName Qualsiasi valore stringa.Any string value (user.userPrincipalName -eq "alias@domain")(user.userPrincipalName -eq "alias@domain")
userTypeuserType membro guest nullmember guest null (user.userType -eq "Membro")(user.userType -eq "Member")

Proprietà di tipo insieme StringProperties of type string collection

PropertiesProperties Valori consentitiAllowed values UsoUsage
otherMailsotherMails Qualsiasi valore stringa.Any string value (user.otherMails -contains "alias@domain")(user.otherMails -contains "alias@domain")
proxyAddressesproxyAddresses SMTP: alias@domain smtp: alias@domainSMTP: alias@domain smtp: alias@domain (user.proxyAddresses -contains "SMTP: alias@domain")(user.proxyAddresses -contains "SMTP: alias@domain")

Per le proprietà usate per le regole dei dispositivi, vedere Regole per i dispositivi.For the properties used for device rules, see Rules for devices.

Operatori supportatiSupported operators

Nella tabella seguente sono elencati tutti gli operatori supportati e la relativa sintassi per un'espressione singola.The following table lists all the supported operators and their syntax for a single expression. Gli operatori possono essere usati con o senza trattino (-) come prefisso.Operators can be used with or without the hyphen (-) prefix.

OperatorOperator SintassiSyntax
Non uguale aNot Equals -ne-ne
Uguale aEquals -eq-eq
Non inizia conNot Starts With -notStartsWith-notStartsWith
Inizia conStarts With -startsWith-startsWith
Non contieneNot Contains -notContains-notContains
ContieneContains -contains-contains
Non corrispondenteNot Match -notMatch-notMatch
CorrispondenteMatch -match-match
In ingressoIn -in-in
Non inclusoNot In -notIn-notIn

Uso degli operatori -in e -notInUsing the -in and -notIn operators

Per confrontare il valore di un attributo utente con una serie di valori diversi, è possibile usare operatori -in o -notIn.If you want to compare the value of a user attribute against a number of different values you can use the -in or -notIn operators. Usare i simboli di parentesi quadre "[" e "]" per iniziare e terminare l'elenco di valori.Use the bracket symbols "[" and "]" to begin and end the list of values.

Nell'esempio seguente l'espressione restituisce true se il valore di user.department è uguale a uno dei valori nell'elenco:In the following example, the expression evaluates to true if the value of user.department equals any of the values in the list:

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

Uso dell'operatore -matchUsing the -match operator

L'operatore -match viene usato per la corrispondenza di qualsiasi espressione regolare.The -match operator is used for matching any regular expression. Esempi:Examples:

user.displayName -match "Da.*"   

Da, Dav e David restituiscono true, mentre aDa restituisce false.Da, Dav, David evaluate to true, aDa evaluates to false.

user.displayName -match ".*vid"

David restituisce true, mentre Da restituisce false.David evaluates to true, Da evaluates to false.

Valori supportatiSupported values

I valori usati in un'espressione possono essere costituiti da tipi diversi, tra cui:The values used in an expression can consist of several types, including:

  • StringheStrings
  • Valori booleani: true, falseBoolean – true, false
  • NumeriNumbers
  • Matrici: matrice di numeri, matrice di stringheArrays – number array, string array

Quando si specifica un valore in un'espressione, è importante usare la sintassi corretta per evitare errori.When specifying a value within an expression it is important to use the correct syntax to avoid errors. Ecco alcuni suggerimenti per la sintassi:Some syntax tips are:

  • Le virgolette doppie sono facoltative, a meno che il valore non sia una stringa.Double quotes are optional unless the value is a string.
  • Le operazioni di stringa ed espressione regolare non fanno distinzione tra maiuscole e minuscole.String and regex operations are not case sensitive.
  • Quando un valore stringa contiene virgolette doppie, per entrambe le virgolette deve venire usato il carattere di escape `, ad esempio user.department -eq `"Sales`" è la sintassi corretta quando "Sales" è il valore.When a string value contains double quotes, both quotes should be escaped using the ` character, for example, user.department -eq `"Sales`" is the proper syntax when "Sales" is the value.
  • È anche possibile eseguire controlli Null usando null come valore, ad esempio user.department -eq null.You can also perform Null checks, using null as a value, for example, user.department -eq null.

Uso dei valori NullUse of Null values

Per specificare un valore Null in una regola, è possibile usare il valore null.To specify a null value in a rule, you can use the null value.

  • Usare -eq o -ne quando si confronta il valore null in un'espressione.Use -eq or -ne when comparing the null value in an expression.
  • Racchiudere la parola null tra virgolette solo se si vuole che venga interpretata come valore di stringa letterale.Use quotes around the word null only if you want it to be interpreted as a literal string value.
  • L'operatore -not non può essere usato come operatore di confronto per null.The -not operator can't be used as a comparative operator for null. Se si usa questo operatore, viene restituito un errore indipendentemente dal fatto che si usi null o $null.If you use it, you get an error whether you use null or $null.

Il modo corretto per fare riferimento al valore Null è il seguente:The correct way to reference the null value is as follows:

   user.mail –ne null

Regole con più espressioniRules with multiple expressions

Una regola di appartenenza a un gruppo può essere costituita da più espressioni connesse dagli operatori logici -and, -or e -not.A group membership rule can consist of more than one single expression connected by the -and, -or, and -not logical operators. Gli operatori logici possono anche essere usati in combinazione.Logical operators can also be used in combination.

Di seguito sono riportati esempi di regole di appartenenza strutturate correttamente con più espressioni:The following are examples of properly constructed membership rules with multiple expressions:

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -contains "SDE")

Precedenza degli operatoriOperator precedence

Tutti gli operatori sono elencati di seguito in ordine decrescente di precedenza.All operators are listed below in order of precedence from highest to lowest. Gli operatori sulla stessa riga hanno uguale precedenza:Operators on same line are of equal precedence:

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all

Di seguito è riportato un esempio di precedenza degli operatori in cui due espressioni vengono valutate per l'utente:The following is an example of operator precedence where two expressions are being evaluated for the user:

   user.department –eq "Marketing" –and user.country –eq "US"

Le parentesi sono necessarie solo quando la priorità non soddisfa i requisiti.Parentheses are needed only when precedence does not meet your requirements. Ad esempio, se si vuole che venga valutato prima department, usare le parentesi come illustrato di seguito per determinare l'ordine:For example, if you want department to be evaluated first, the following shows how parentheses can be used to determine order:

   user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

Regole con espressioni complesseRules with complex expressions

Una regola di appartenenza può essere costituita da espressioni complesse in cui proprietà, operatori e valori acquisiscono forme più complesse.A membership rule can consist of complex expressions where the properties, operators, and values take on more complex forms. Le espressioni sono considerate complesse in presenza di una delle condizioni seguenti:Expressions are considered complex when any of the following are true:

  • La proprietà è costituita da una raccolta di valori, nello specifico si parla di proprietà multivaloreThe property consists of a collection of values; specifically, multi-valued properties
  • Le espressioni usano gli operatori -any e -allThe expressions use the -any and -all operators
  • Il valore dell'espressione può essere costituito da una o più espressioniThe value of the expression can itself be one or more expressions

Proprietà multivaloreMulti-value properties

Le proprietà multivalore sono raccolte di oggetti dello stesso tipo.Multi-value properties are collections of objects of the same type. Possono essere usate per creare regole di appartenenza tramite gli operatori logici -any e -all.They can be used to create membership rules using the -any and -all logical operators.

PropertiesProperties ValoriValues UsoUsage
assignedPlansassignedPlans Ogni oggetto della raccolta espone le proprietà di stringa seguenti: capabilityStatus, service, servicePlanIdEach object in the collection exposes the following string properties: capabilityStatus, service, servicePlanId user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
proxyAddressesproxyAddresses SMTP: alias@domain smtp: alias@domainSMTP: alias@domain smtp: alias@domain (user.proxyAddresses -any (_ -contains "contoso"))(user.proxyAddresses -any (_ -contains "contoso"))

Uso degli operatori -any e -allUsing the -any and -all operators

È possibile usare gli operatori -any e -all per applicare una condizione rispettivamente a uno o a tutti gli elementi della raccolta.You can use -any and -all operators to apply a condition to one or all of the items in the collection, respectively.

  • -any (soddisfatto quando almeno un elemento della raccolta corrisponde alla condizione)-any (satisfied when at least one item in the collection matches the condition)
  • -all (soddisfatto quando tutti gli elementi della raccolta corrispondono alla condizione)-all (satisfied when all items in the collection match the condition)

Esempio 1Example 1

assignedPlans è una proprietà multivalore che elenca tutti i piani di servizio assegnati all'utente.assignedPlans is a multi-value property that lists all service plans assigned to the user. L'espressione seguente seleziona gli utenti che hanno il piano di servizio Exchange Online (Piano 2) (come valore GUID) con lo stato abilitato:The following expression selects users who have the Exchange Online (Plan 2) service plan (as a GUID value) that is also in Enabled state:

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

Una regola di questo tipo può essere usata per raggruppare tutti gli utenti per i quali è abilitata la funzionalità di Office 365 (o un altro servizio Microsoft online).A rule such as this one can be used to group all users for whom an Office 365 (or other Microsoft Online Service) capability is enabled. È quindi possibile applicare un set di criteri al gruppo.You could then apply with a set of policies to the group.

Esempio 2Example 2

L'espressione seguente seleziona tutti gli utenti che hanno un piano di servizio qualsiasi associato al servizio Intune (identificato dal nome di servizio "SCO"):The following expression selects all users who have any service plan that is associated with the Intune service (identified by service name "SCO"):

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")

Usando la sintassi del carattere di sottolineatura (_)Using the underscore (_) syntax

La sintassi del carattere di sottolineatura (_) combina le occorrenze di un valore specifico in una delle proprietà di raccolta stringa multivalore per aggiungere utenti o dispositivi a un gruppo dinamico.The underscore (_) syntax matches occurrences of a specific value in one of the multivalued string collection properties to add users or devices to a dynamic group. Viene usata con-qualsiasi - o tutti - gli operatori.It is used with the -any or -all operators.

Ecco un esempio dell'uso del carattere di sottolineatura (_) in una regola per aggiungere membri in base a user.proxyAddress (funziona allo stesso modo per user.otherMails).Here's an example of using the underscore (_) in a rule to add members based on user.proxyAddress (it works the same for user.otherMails). Questa regola aggiunge tutti gli utenti con l'indirizzo del proxy contenente "contoso" al gruppo.This rule adds any user with proxy address that contains "contoso" to the group.

(user.proxyAddresses -any (_ -contains "contoso"))

Altre proprietà e regole comuniOther properties and common rules

Creare una regola "Dipendenti diretti"Create a "Direct reports" rule

È possibile creare un gruppo contenente tutti i dipendenti diretti di un manager.You can create a group containing all direct reports of a manager. Quando in futuro i dipendenti diretti del manager cambiano, l'appartenenza al gruppo viene modificata automaticamente.When the manager's direct reports change in the future, the group's membership is adjusted automatically.

La regola per i dipendenti diretti viene costruita usando la sintassi seguente:The direct reports rule is constructed using the following syntax:

Direct Reports for "{objectID_of_manager}"

Di seguito è riportato un esempio di una regola valida in cui "62e19b97-8b3d-4d4a-a106-4ce66896a863" è il valore objectID del manager:Here's an example of a valid rule where "62e19b97-8b3d-4d4a-a106-4ce66896a863" is the objectID of the manager:

Direct Reports for "62e19b97-8b3d-4d4a-a106-4ce66896a863"

I suggerimenti seguenti sono utili per usare la regola in modo appropriato.The following tips can help you use the rule properly.

  • L'ID del manager è l'ID oggetto del manager.The Manager ID is the object ID of the manager. È indicato nella sezione Profilo del manager.It can be found in the manager's Profile.
  • Per il corretto funzionamento della regola, verificare che la proprietà Manager sia impostata correttamente per gli utenti inclusi nel tenant.For the rule to work, make sure the Manager property is set correctly for users in your tenant. È possibile controllare il valore corrente per un utente nella sezione Profilo dell'utente.You can check the current value in the user's Profile.
  • Questa regola supporta solo i dipendenti diretti del manager.This rule supports only the manager's direct reports. In altre parole, non è possibile creare un gruppo con i dipendenti diretti del manager e i loro dipendenti diretti.In other words, you can't create a group with the manager's direct reports and their reports.
  • Questa regola non può essere combinata con altre regole di appartenenza.This rule can't be combined with any other membership rules.

Creare una regola "Tutti gli utenti"Create an "All users" rule

È possibile creare un gruppo contenente tutti gli utenti di un tenant usando una regola di appartenenza.You can create a group containing all users within a tenant using a membership rule. Quando in futuro gli utenti vengono aggiunti o rimossi dal tenant, l'appartenenza al gruppo viene modificata automaticamente.When users are added or removed from the tenant in the future, the group's membership is adjusted automatically.

La regola "All users" viene costruita usando una singola espressione utilizzando l'operatore - ne e il valore null.The "All users" rule is constructed using single expression using the -ne operator and the null value. Questa regola consente di aggiungere al gruppo sia gli utenti guest B2B che gli utenti membri.This rule adds B2B guest users as well as member users to the group.

user.objectid -ne null

Creare una regola di "Tutti i dispositivi"Create an "All devices" rule

È possibile creare un gruppo contenente tutti i dispositivi di un tenant usando una regola di appartenenza.You can create a group containing all devices within a tenant using a membership rule. Quando in futuro i dispositivi vengono aggiunti o rimossi dal tenant, l'appartenenza al gruppo viene modificata automaticamente.When devices are added or removed from the tenant in the future, the group's membership is adjusted automatically.

La regola di "Tutti i dispositivi" viene costruita usando una singola espressione utilizzando l'operatore - ne e il valore null:The "All Devices" rule is constructed using single expression using the -ne operator and the null value:

device.objectid -ne null

Proprietà di estensione e proprietà di estensione personalizzateExtension properties and custom extension properties

Gli attributi di estensione e le proprietà di estensione personalizzati sono supportate come le proprietà della stringa nelle regole di appartenenza dinamica.Extension attributes and custom extension properties are supported as string properties in dynamic membership rules. Gli attributi di estensione vengono sincronizzati dall'istanza locale di Window Server AD e hanno il formato "ExtensionAttributeX", dove X equivale a 1 - 15.Extension attributes are synced from on-premises Window Server AD and take the format of "ExtensionAttributeX", where X equals 1 - 15. Ecco un esempio di regola che usa un attributo di estensione come proprietà:Here's an example of a rule that uses an extension attribute as a property:

(user.extensionAttribute15 -eq "Marketing")

Le proprietà di estensione personalizzate vengono sincronizzate dall'istanza locale di AD di Windows Server o da un'applicazione SaaS connessa e hanno il formato user.extension_[GUID]__[Attribute], dove:Custom extension properties are synced from on-premises Windows Server AD or from a connected SaaS application and are of the format of user.extension_[GUID]__[Attribute], where:

  • [GUID] è l'identificatore univoco in Azure AD per l'applicazione che ha creato la proprietà in Azure AD[GUID] is the unique identifier in Azure AD for the application that created the property in Azure AD
  • [Attribute] è il nome della proprietà quando è stata creata[Attribute] is the name of the property as it was created

Ecco un esempio di regola che usa una proprietà di estensione personalizzata:An example of a rule that uses a custom extension property is:

user.extension_c272a57b722d4eb29bfe327874ae79cb__OfficeNumber -eq "123"

È possibile trovare il nome della proprietà personalizzata nella directory eseguendo una query sulla proprietà dell'utente con Graph explorer e cercando il nome della proprietà.The custom property name can be found in the directory by querying a user's property using Graph Explorer and searching for the property name. È inoltre ora possibile selezionare il collegamento Ottieni proprietà di estensione personalizzate nel generatore di regole di assegnazione dinamica dei gruppi utenti per immettere un ID app univoco e ricevere l'elenco completo di proprietà di estensione personalizzate da usare quando si crea una regola di appartenenza dinamica.Also, you can now select Get custom extension properties link in the dynamic user group rule builder to enter a unique app ID and receive the full list of custom extension properties to use when creating a dynamic membership rule. È anche possibile aggiornare questo elenco per ottenere tutte le nuove proprietà di estensione personalizzate per l'app.This list can also be refreshed to get any new custom extension properties for that app.

Regole per i dispositiviRules for devices

È anche possibile creare una regola che consenta di selezionare gli oggetti dispositivo per l'appartenenza a un gruppo.You can also create a rule that selects device objects for membership in a group. Un gruppo non può avere come membri sia utenti che dispositivi.You can't have both users and devices as group members. L'attributo organizationalUnit non viene più elencato e non deve essere usato.The organizationalUnit attribute is no longer listed and should not be used. Questa stringa viene impostata da Intune in casi specifici ma non viene riconosciuta da Azure AD, quindi nessun dispositivo viene aggiunto ai gruppi in base a questo attributo.This string is set by Intune in specific cases but is not recognized by Azure AD, so no devices are added to groups based on this attribute.

È possibile usare gli attributi del dispositivo seguenti.The following device attributes can be used.

Attributo del dispositivoDevice attribute ValoriValues EsempioExample
accountEnabledaccountEnabled true falsetrue false (device.accountEnabled -eq true)(device.accountEnabled -eq true)
displayNamedisplayName Qualsiasi valore stringa.any string value (Device. DisplayName - eq "IPhone di Rob")(device.displayName -eq "Rob iPhone")
deviceOSTypedeviceOSType Qualsiasi valore stringa.any string value (device.deviceOSType -eq "iPad") o (device.deviceOSType -eq "iPhone")(device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iPhone")
(device.deviceOSType -contains "AndroidEnterprise")(device.deviceOSType -contains "AndroidEnterprise")
(device.deviceOSType -eq "AndroidForWork")(device.deviceOSType -eq "AndroidForWork")
deviceOSVersiondeviceOSVersion Qualsiasi valore stringa.any string value (device.deviceOSVersion -eq "9.1")(device.deviceOSVersion -eq "9.1")
deviceCategorydeviceCategory nome di una categoria di dispositivo validoa valid device category name (device.deviceCategory -eq "BYOD")(device.deviceCategory -eq "BYOD")
deviceManufacturerdeviceManufacturer Qualsiasi valore stringa.any string value (device.deviceManufacturer -eq "Samsung")(device.deviceManufacturer -eq "Samsung")
deviceModeldeviceModel Qualsiasi valore stringa.any string value (device.deviceModel -eq "iPad Air")(device.deviceModel -eq "iPad Air")
deviceOwnershipdeviceOwnership Personale, Azienda, SconosciutoPersonal, Company, Unknown (device.deviceOwnership -eq "Company")(device.deviceOwnership -eq "Company")
enrollmentProfileNameenrollmentProfileName Nome del profilo Apple Device Enrollment o del profilo Windows AutopilotApple Device Enrollment Profile or Windows Autopilot profile name (device.enrollmentProfileName -eq "DEP iPhones")(device.enrollmentProfileName -eq "DEP iPhones")
isRootedisRooted true falsetrue false (device.isRooted -eq true)(device.isRooted -eq true)
managementTypemanagementType MDM (per i dispositivi mobili)MDM (for mobile devices)
PC (per i computer gestiti dall'agente di PC Intune)PC (for computers managed by the Intune PC agent)
(device.managementType -eq "MDM")(device.managementType -eq "MDM")
deviceIddeviceId ID dispositivo di Azure AD validoa valid Azure AD device ID (device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d")(device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d")
objectIdobjectId ID oggetto di Azure AD validoa valid Azure AD object ID (device.objectId -eq 76ad43c9-32c5-45e8-a272-7b58b58f596d")(device.objectId -eq 76ad43c9-32c5-45e8-a272-7b58b58f596d")
systemLabelssystemLabels qualsiasi stringa corrispondente alla proprietà del dispositivo Intune per contrassegnare i dispositivi dell'area di lavoro modernaany string matching the Intune device property for tagging Modern Workplace devices (device.systemLabels-contiene "M365Managed")(device.systemLabels -contains "M365Managed")

Nota

Per deviceOwnership durante la creazione di gruppi dinamici per i dispositivi, è necessario impostare il valore uguale a "Company".For the deviceOwnership when creating Dynamic Groups for devices you need to set the value equal to "Company". In Intune la proprietà del dispositivo viene invece rappresentata come aziendale.On Intune the device ownership is represented instead as Corporate. Fare riferimento a OwnerTypes per altri dettagli.Refer to OwnerTypes for more details.

Passaggi successiviNext steps

Questi articoli forniscono informazioni aggiuntive sui gruppi in Azure Active Directory.These articles provide additional information on groups in Azure Active Directory.