Dynamische lidmaatschapsregels voor groepen in Azure Active DirectoryDynamic membership rules for groups in Azure Active Directory

In Azure Active Directory (Azure AD) kunt u complexe op kenmerken gebaseerde regels maken om dynamische lidmaatschappen voor groepen in te schakelen.In Azure Active Directory (Azure AD), you can create complex attribute-based rules to enable dynamic memberships for groups. Dynamisch groepslidmaatschap vermindert de administratieve belasting van het toevoegen en verwijderen van gebruikers.Dynamic group membership reduces the administrative overhead of adding and removing users. Dit artikel beschrijft de eigenschappen en de syntaxis om dynamische lidmaatschapsregels voor gebruikers of apparaten te maken.This article details the properties and syntax to create dynamic membership rules for users or devices. U kunt een regel instellen voor dynamisch lidmaatschap voor beveiligingsgroepen of Microsoft 365-groepen.You can set up a rule for dynamic membership on security groups or Microsoft 365 groups.

Wanneer kenmerken van een gebruiker of apparaat worden gewijzigd, evalueert het systeem alle dynamische groepsregels in een directory om te zien of de wijziging leidt tot toevoegingen of verwijderingen van de groep.When any attributes of a user or device change, the system evaluates all dynamic group rules in a directory to see if the change would trigger any group adds or removes. Als een gebruiker of apparaat voldoet aan een regel voor een groep, wordt deze toegevoegd als lid van die groep.If a user or device satisfies a rule on a group, they are added as a member of that group. Als deze niet meer voldoen aan de regel, worden ze verwijderd.If they no longer satisfy the rule, they are removed. U kunt een lid van een dynamische groep niet handmatig toevoegen of verwijderen.You can't manually add or remove a member of a dynamic group.

  • U kunt een dynamische groep maken voor apparaten of voor gebruikers, maar u kunt geen regel maken die zowel gebruikers als apparaten bevat.You can create a dynamic group for devices or for users, but you can't create a rule that contains both users and devices.
  • Het is evenmin mogelijk om een apparaatgroep te maken op basis van kenmerken van de apparaateigenaren.You can't create a device group based on the device owners' attributes. Regels voor apparaatlidmaatschap kunnen alleen verwijzen naar apparaatkenmerken.Device membership rules can only reference device attributes.

Notitie

U hebt voor deze functie een Azure AD Premium P1-licentie nodig voor elke unieke gebruiker die lid is van een of meer dynamische groepen.This feature requires an Azure AD Premium P1 license for each unique user that is a member of one or more dynamic groups. U hoeft geen licenties toe te wijzen aan gebruikers zodat deze lid kunnen zijn van dynamische groepen, maar u moet wel het minimumaantal licenties hebben in de Azure AD-organisatie om al deze gebruikers te dekken.You don't have to assign licenses to users for them to be members of dynamic groups, but you must have the minimum number of licenses in the Azure AD organization to cover all such users. Als u bijvoorbeeld een totaal van 1000 unieke gebruikers in alle dynamische groepen in uw organisatie hebt, moet u minstens 1000 licenties voor Azure AD Premium P1 hebben om aan de licentie-eis te voldoen.For example, if you had a total of 1,000 unique users in all dynamic groups in your organization, you would need at least 1,000 licenses for Azure AD Premium P1 to meet the license requirement. Er is geen licentie vereist voor apparaten die lid zijn van een dynamische apparaatgroep.No license is required for devices that are members of a dynamic device group.

De opbouwfunctie voor regels in Azure PortalRule builder in the Azure portal

Azure AD biedt een opbouwfunctie voor regels om uw belangrijke regels sneller te maken en bij te werken.Azure AD provides a rule builder to create and update your important rules more quickly. De opbouwfunctie voor regels ondersteunt de constructie van maximaal vijf expressies.The rule builder supports the construction of up to five expressions. Met de opbouwfunctie voor regels kunt u eenvoudiger een regel maken met enkele eenvoudige expressies, maar u kunt hiermee niet elke regel reproduceren.The rule builder makes it easier to form a rule with a few simple expressions, however, it can't be used to reproduce every rule. Als de opbouwfunctie voor regels geen ondersteuning biedt voor de regel die u wilt maken, kunt u het tekstvak gebruiken.If the rule builder doesn't support the rule you want to create, you can use the text box.

Hier volgen enkele voorbeelden van geavanceerde regels of syntaxis die u het beste kunt maken via het tekstvak:Here are some examples of advanced rules or syntax for which we recommend that you construct using the text box:

Notitie

De opbouwfunctie voor regels kan mogelijk geen regels weergeven die zijn gemaakt in het tekstvak.The rule builder might not be able to display some rules constructed in the text box. Mogelijk wordt een bericht weergegeven wanneer de opbouwfunctie voor regels de regel niet kan weergeven.You might see a message when the rule builder is not able to display the rule. Met de opbouwfunctie voor regels wijzigt u niet de ondersteunde syntaxis, validatie of verwerking van dynamische groepsregels.The rule builder doesn't change the supported syntax, validation, or processing of dynamic group rules in any way.

Zie Een dynamische groep maken of bijwerken voor meer stapsgewijze instructies.For more step-by-step instructions, see Create or update a dynamic group.

Lidmaatschapsregel voor een dynamische groep toevoegen

<a name="rule-syntax-for-a-single-expression">Regelsyntaxis voor één expressieRule syntax for a single expression

Eén expressie is de eenvoudigste vorm van een lidmaatschapsregel en heeft alleen de drie onderdelen die hierboven worden genoemd.A single expression is the simplest form of a membership rule and only has the three parts mentioned above. Een regel met één expressie ziet er ongeveer als volgt uit: Property Operator Value, waarbij de syntaxis van de eigenschap de naam van object.property is.A rule with a single expression looks similar to this: Property Operator Value, where the syntax for the property is the name of object.property.

Hier volgt een voorbeeld van een goed opgebouwde lidmaatschapsregel met één expressie:The following is an example of a properly constructed membership rule with a single expression:

user.department -eq &quot;Sales&quot;

Haakjes zijn optioneel voor één expressie.Parentheses are optional for a single expression. De totale lengte van de hoofd tekst van de lidmaatschaps regel mag niet langer zijn dan 3072 tekens.The total length of the body of your membership rule cannot exceed 3072 characters.

De hoofdtekst van een lidmaatschapsregel samenstellenConstructing the body of a membership rule

Een lidmaatschapsregel die automatisch een groep met gebruikers of apparaten invult, is een binaire expressie die resulteert in het resultaat True of False.A membership rule that automatically populates a group with users or devices is a binary expression that results in a true or false outcome. De drie delen van een eenvoudige regel zijn:The three parts of a simple rule are:

  • EigenschapProperty
  • OperatorOperator
  • WaardeValue

De volgorde van de onderdelen binnen een expressie is belangrijk om syntaxisfouten te voorkomen.The order of the parts within an expression are important to avoid syntax errors.

Ondersteunde eigenschappenSupported properties

Er zijn drie soorten eigenschappen die kunnen worden gebruikt om een lidmaatschapsregel samen te stellen.There are three types of properties that can be used to construct a membership rule.

  • BooleanBoolean
  • TekenreeksString
  • TekenreeksverzamelingString collection

Hier volgen de gebruikerseigenschappen die u kunt gebruiken om één expressie te maken.The following are the user properties that you can use to create a single expression.

Eigenschappen van het type BooleaansProperties of type boolean

EigenschappenProperties Toegestane waardenAllowed values GebruikUsage
accountEnabledaccountEnabled true falsetrue false user.accountEnabled -eq trueuser.accountEnabled -eq true
dirSyncEnableddirSyncEnabled true falsetrue false user.dirSyncEnabled -eq trueuser.dirSyncEnabled -eq true

Eigenschappen van het type tekenreeksProperties of type string

EigenschappenProperties Toegestane waardenAllowed values GebruikUsage
citycity Elke tekenreekswaarde of nullAny string value or null (user.city -eq "value")(user.city -eq "value")
countrycountry Elke tekenreekswaarde of nullAny string value or null (user.country -eq "value")(user.country -eq "value")
companyNamecompanyName Elke tekenreekswaarde of nullAny string value or null (user.companyName -eq "value")(user.companyName -eq "value")
departmentdepartment Elke tekenreekswaarde of nullAny string value or null (user.department -eq "value")(user.department -eq "value")
displayNamedisplayName Elke tekenreekswaardeAny string value (user.displayName -eq "value")(user.displayName -eq "value")
employeeIdemployeeId Elke tekenreekswaardeAny string value (user.employeeId -eq "value")(user.employeeId -eq "value")
(user.employeeId -ne null)(user.employeeId -ne null)
facsimileTelephoneNumberfacsimileTelephoneNumber Elke tekenreekswaarde of nullAny string value or null (user.facsimileTelephoneNumber -eq "value")(user.facsimileTelephoneNumber -eq "value")
givenNamegivenName Elke tekenreekswaarde of nullAny string value or null (user.givenName -eq "value")(user.givenName -eq "value")
jobTitlejobTitle Elke tekenreekswaarde of nullAny string value or null (user.jobTitle -eq "value")(user.jobTitle -eq "value")
mailmail Een willekeurige tekenreekswaarde of null (SMTP-adres van de gebruiker)Any string value or null (SMTP address of the user) (user.mail -eq "value")(user.mail -eq "value")
mailNickNamemailNickName Een willekeurige tekenreekswaarde (e-mailalias van de gebruiker)Any string value (mail alias of the user) (user.mailNickName -eq "value")(user.mailNickName -eq "value")
mobielmobile Elke tekenreekswaarde of nullAny string value or null (user.mobile -eq "value")(user.mobile -eq "value")
objectIdobjectId GUID van het gebruikersobjectGUID of the user object (user.objectId -eq "11111111-1111-1111-1111-111111111111")(user.objectId -eq "11111111-1111-1111-1111-111111111111")
onPremisesSecurityIdentifieronPremisesSecurityIdentifier Een on-premises beveiligings-id (SID) voor gebruikers die zijn gesynchroniseerd van on-premises naar de cloud.On-premises security identifier (SID) for users who were synchronized from on-premises to the cloud. (user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111")(user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111")
passwordPoliciespasswordPolicies None DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPasswordNone DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword (user.passwordPolicies -eq "DisableStrongPassword")(user.passwordPolicies -eq "DisableStrongPassword")
physicalDeliveryOfficeNamephysicalDeliveryOfficeName Elke tekenreekswaarde of nullAny string value or null (user.physicalDeliveryOfficeName -eq "value")(user.physicalDeliveryOfficeName -eq "value")
postalCodepostalCode Elke tekenreekswaarde of nullAny string value or null (user.postalCode -eq "value")(user.postalCode -eq "value")
preferredLanguagepreferredLanguage ISO 639-1-codeISO 639-1 code (user.preferredLanguage -eq "en-US")(user.preferredLanguage -eq "en-US")
sipProxyAddresssipProxyAddress Elke tekenreekswaarde of nullAny string value or null (user.sipProxyAddress -eq "value")(user.sipProxyAddress -eq "value")
staatstate Elke tekenreekswaarde of nullAny string value or null (user.state -eq "value")(user.state -eq "value")
streetAddressstreetAddress Elke tekenreekswaarde of nullAny string value or null (user.streetAddress -eq "value")(user.streetAddress -eq "value")
surnamesurname Elke tekenreekswaarde of nullAny string value or null (user.surname -eq "value")(user.surname -eq "value")
telephoneNumbertelephoneNumber Elke tekenreekswaarde of nullAny string value or null (user.telephoneNumber -eq "value")(user.telephoneNumber -eq "value")
usageLocationusageLocation Land-/regiocode bestaande uit twee lettersTwo lettered country/region code (user.usageLocation -eq "US")(user.usageLocation -eq "US")
userPrincipalNameuserPrincipalName Elke tekenreekswaardeAny string value (user.userPrincipalName -eq "alias@domain")(user.userPrincipalName -eq "alias@domain")
userTypeuserType lidgast nullmember guest null (user.userType -eq "Member")(user.userType -eq "Member")

Eigenschappen van tekenreeksverzamelingProperties of type string collection

EigenschappenProperties Toegestane waardenAllowed values GebruikUsage
otherMailsotherMails Elke tekenreekswaardeAny string value (user.otherMails -contains "alias@domain")(user.otherMails -contains "alias@domain")
proxyAddressesproxyAddresses SMTP: alias@domain smtp: alias@domainSMTP: alias@domain smtp: alias@domain (user.proxyAddresses -contains "SMTP: alias@domain")(user.proxyAddresses -contains "SMTP: alias@domain")

Zie Regels voor apparaten voor de eigenschappen die worden gebruikt voor apparaatregels.For the properties used for device rules, see Rules for devices.

Ondersteunde expressieoperatorsSupported expression operators

De volgende tabel geeft een lijst van alle ondersteunde operators en hun syntaxis voor één expressie.The following table lists all the supported operators and their syntax for a single expression. Operators kunnen worden gebruikt met of zonder het afbreekstreepje (-) als voorvoegsel.Operators can be used with or without the hyphen (-) prefix.

OperatorOperator SyntaxSyntax
Is niet gelijk aanNot Equals -ne-ne
Is gelijk aanEquals -eq-eq
Begint niet metNot Starts With -notStartsWith-notStartsWith
Begint metStarts With -startsWith-startsWith
Bevat geenNot Contains -notContains-notContains
ContainsContains -contains-contains
Komt niet overeen metNot Match -notMatch-notMatch
MatchMatch -match-match
InIn -in-in
Behoort niet totNot In -notIn-notIn

De operators -in en -notIn gebruikenUsing the -in and -notIn operators

Als u de waarde van een gebruikerskenmerk wilt vergelijken met een aantal verschillende waarden, kunt u de operators -in of -notIn gebruiken.If you want to compare the value of a user attribute against a number of different values you can use the -in or -notIn operators. Gebruik de vierkante haken [ en ] om de lijst met waarden te starten en te beëindigen.Use the bracket symbols "[" and "]" to begin and end the list of values.

In het volgende voorbeeld evalueert de uitdrukking naar true als de waarde van user.department gelijk is aan een van de waarden in de lijst:In the following example, the expression evaluates to true if the value of user.department equals any of the values in the list:

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

De operator -match gebruikenUsing the -match operator

De operator -match wordt gebruikt voor het vergelijken van een reguliere expressie.The -match operator is used for matching any regular expression. Voorbeelden:Examples:

user.displayName -match "Da.*"   

Da, Dav, David evalueert naar true, aDa evalueert naar false.Da, Dav, David evaluate to true, aDa evaluates to false.

user.displayName -match ".*vid"

David evalueert naar true, Da evalueert naar false.David evaluates to true, Da evaluates to false.

Ondersteunde waardenSupported values

De waarden die in een expressie worden gebruikt, kunnen bestaan uit verschillende typen, waaronder:The values used in an expression can consist of several types, including:

  • TekenreeksenStrings
  • Booleaans – true, falseBoolean – true, false
  • GetallenNumbers
  • Matrices – nummermatrix, tekenreeksmatrixArrays – number array, string array

Wanneer u een waarde in een expressie opgeeft, is het belangrijk dat u de juiste syntaxis gebruikt om fouten te voorkomen.When specifying a value within an expression it is important to use the correct syntax to avoid errors. Enkele syntaxistips zijn:Some syntax tips are:

  • Dubbele aanhalingstekens zijn optioneel, tenzij de waarde een tekenreeks is.Double quotes are optional unless the value is a string.
  • Tekenreeks- en regex-bewerkingen zijn niet hoofdlettergevoelig.String and regex operations are not case sensitive.
  • Wanneer een tekenreekswaarde dubbele aanhalingstekens bevat, moeten beide aanhalingstekens een escape-teken ` krijgen, zo is user.department -eq `"Sales`" de juiste syntaxis als Sales de waarde is.When a string value contains double quotes, both quotes should be escaped using the ` character, for example, user.department -eq `"Sales`" is the proper syntax when "Sales" is the value.
  • U kunt ook null-controles uitvoeren, waarbij null als waarde wordt gebruikt, bijvoorbeeld user.department -eq null.You can also perform Null checks, using null as a value, for example, user.department -eq null.

Null-waarden gebruikenUse of Null values

Als u een null-waarde in een regel wilt opgeven, gebruikt u de null-waarde.To specify a null value in a rule, you can use the null value.

  • Gebruik -eq of -ne bij het vergelijken van de null-waarde in een expressie.Use -eq or -ne when comparing the null value in an expression.
  • Gebruik alleen aanhalingstekens rond het woord null als u wilt dat het wordt geïnterpreteerd als een letterlijke tekenreekswaarde.Use quotes around the word null only if you want it to be interpreted as a literal string value.
  • De operator -not kan niet worden gebruikt als een vergelijkingsoperator voor null.The -not operator can't be used as a comparative operator for null. Als u deze gebruikt, wordt een foutbericht weergegeven over of u null of $null gebruikt.If you use it, you get an error whether you use null or $null.

De juiste manier om te verwijzen naar de null-waarde is als volgt:The correct way to reference the null value is as follows:

   user.mail –ne null

Regels met meerdere expressiesRules with multiple expressions

Een regel voor groepslidmaatschap kan bestaan uit meer dan één expressie die is verbonden door de operators -and, -or en -not.A group membership rule can consist of more than one single expression connected by the -and, -or, and -not logical operators. Logische operators kunnen ook worden gebruikt in combinatie.Logical operators can also be used in combination.

Hier volgen enkele voorbeelden van goed samengestelde lidmaatschapsregels met meerdere expressies:The following are examples of properly constructed membership rules with multiple expressions:

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -contains "SDE")

Bewerkingsvolgorde van operatorsOperator precedence

Alle operators worden hieronder weergegeven in volgorde van prioriteit van hoog naar laag.All operators are listed below in order of precedence from highest to lowest. Operators op dezelfde regel hebben dezelfde prioriteit:Operators on same line are of equal precedence:

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all

Hier volgt een voorbeeld van de prioriteit van operators waarbij twee expressies worden geëvalueerd voor de gebruiker:The following is an example of operator precedence where two expressions are being evaluated for the user:

   user.department –eq "Marketing" –and user.country –eq "US"

Haakjes zijn alleen nodig wanneer de prioriteit niet voldoet aan uw vereisten.Parentheses are needed only when precedence does not meet your requirements. Als u bijvoorbeeld wilt dat de afdeling eerst wordt geëvalueerd, ziet u in het volgende voorbeeld hoe haakjes kunnen worden gebruikt om de volgorde te bepalen:For example, if you want department to be evaluated first, the following shows how parentheses can be used to determine order:

   user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

Regels met complexe expressiesRules with complex expressions

Een lidmaatschapsregel kan bestaan uit complexe expressies waarbij de eigenschappen, operators en waarden meer complexe vormen hebben.A membership rule can consist of complex expressions where the properties, operators, and values take on more complex forms. Expressies worden beschouwd als complex wanneer een van de volgende voorwaarden waar is:Expressions are considered complex when any of the following are true:

  • De eigenschap bestaat uit een verzameling waarden; met name eigenschappen met meerdere waardenThe property consists of a collection of values; specifically, multi-valued properties
  • De expressies gebruiken de operators -any en -allThe expressions use the -any and -all operators
  • De waarde van de expressie kan zelf een of meer expressies zijnThe value of the expression can itself be one or more expressions

Eigenschappen met meerdere waardenMulti-value properties

Eigenschappen met meerdere waarden zijn verzamelingen objecten van hetzelfde type.Multi-value properties are collections of objects of the same type. Ze kunnen worden gebruikt om lidmaatschapsregels te maken met behulp van de logische operators -any en -all.They can be used to create membership rules using the -any and -all logical operators.

EigenschappenProperties WaardenValues GebruikUsage
assignedPlansassignedPlans Elk object in de verzameling legt de volgende tekenreekseigenschappen bloot: capabilityStatus, service, serviceePlanIdEach object in the collection exposes the following string properties: capabilityStatus, service, servicePlanId user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
proxyAddressesproxyAddresses SMTP: alias@domain smtp: alias@domainSMTP: alias@domain smtp: alias@domain (user.proxyAddresses -any (_ -contains "contoso"))(user.proxyAddresses -any (_ -contains "contoso"))

De operators -any en -all gebruikenUsing the -any and -all operators

U kunt de operators -any en -all gebruiken om een voorwaarde toe te passen op respectievelijk één of alle items in de verzameling.You can use -any and -all operators to apply a condition to one or all of the items in the collection, respectively.

  • -any (er wordt aan de voorwaarde voldaan wanneer ten minste één item in de verzameling overeenkomt met die voorwaarde)-any (satisfied when at least one item in the collection matches the condition)
  • -all (er wordt aan de voorwaarde voldaan wanneer alle items in de verzameling overeenkomen met die voorwaarde)-all (satisfied when all items in the collection match the condition)

Voorbeeld 1Example 1

assignedPlans is een eigenschap met meerdere waarden waarmee alle serviceplannen worden weergegeven die aan de gebruiker zijn toegewezen.assignedPlans is a multi-value property that lists all service plans assigned to the user. Met de volgende expressie selecteert u gebruikers die het serviceplan Exchange Online (abonnement 2) hebben (als GUID-waarde) die ook is ingeschakeld:The following expression selects users who have the Exchange Online (Plan 2) service plan (as a GUID value) that is also in Enabled state:

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

Een regel als deze kan worden gebruikt om alle gebruikers te groeperen voor wie een Microsoft 365-mogelijkheid (of andere Microsoft Online Service) is ingeschakeld.A rule such as this one can be used to group all users for whom an Microsoft 365 (or other Microsoft Online Service) capability is enabled. Vervolgens kunt u een set beleidsregels op de groep toepassen.You could then apply with a set of policies to the group.

Voorbeeld 2Example 2

Met de volgende uitdrukking selecteert u alle gebruikers die een serviceplan hebben dat is gekoppeld aan de Intune-service (geïdentificeerd met de servicenaam SCO):The following expression selects all users who have any service plan that is associated with the Intune service (identified by service name "SCO"):

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")

Voorbeeld 3Example 3

Met de volgende expressie worden alle gebruikers geselecteerd die geen asigned-service plan hebben:The following expression selects all users who have no asigned service plan:

user.assignedPlans -all (assignedPlan.servicePlanId -eq "")

De onderstrepingssyntaxis (_) gebruikenUsing the underscore (_) syntax

De onderstrepingssyntaxis (_) komt overeen met instanties van een specifieke waarde in een van de eigenschappen met meerdere waarden van tekenreeksenverzamelingen om gebruikers of apparaten aan een dynamische groep toe te voegen.The underscore (_) syntax matches occurrences of a specific value in one of the multivalued string collection properties to add users or devices to a dynamic group. Deze wordt gebruikt met de operators -any of -all.It is used with the -any or -all operators.

Hier volgt een voorbeeld van het gebruik van de onderstreping (_) in een regel om leden toe te voegen op basis van user.proxyAddress (het werkt hetzelfde voor user.otherMails).Here's an example of using the underscore (_) in a rule to add members based on user.proxyAddress (it works the same for user.otherMails). Met deze regel wordt een gebruiker met een proxyadres dat contoso bevat aan de groep toegevoegd.This rule adds any user with proxy address that contains "contoso" to the group.

(user.proxyAddresses -any (_ -contains "contoso"))

Andere eigenschappen en algemene regelsOther properties and common rules

Een regel voor direct ondergeschikten makenCreate a "Direct reports" rule

U kunt een groep maken met alle directe ondergeschikten van een manager.You can create a group containing all direct reports of a manager. Wanneer de direct ondergeschikten van de manager in de toekomst worden gewijzigd, wordt het lidmaatschap van de groep automatisch aangepast.When the manager's direct reports change in the future, the group's membership is adjusted automatically.

De regel voor direct ondergeschikten wordt samengesteld met behulp van de volgende syntaxis:The direct reports rule is constructed using the following syntax:

Direct Reports for "{objectID_of_manager}"

Dit is een voorbeeld van een geldige regel waarbij 62e19b97-8b3d-4d4a-a106-4ce66896a863 de object-id van de manager is:Here's an example of a valid rule where "62e19b97-8b3d-4d4a-a106-4ce66896a863" is the objectID of the manager:

Direct Reports for "62e19b97-8b3d-4d4a-a106-4ce66896a863"

Aan de hand van de volgende tips kunt u de regel op de juiste manier gebruiken.The following tips can help you use the rule properly.

  • De Manager-id is de object-id van de manager.The Manager ID is the object ID of the manager. Dit kan worden gevonden in het profiel van de manager.It can be found in the manager's Profile.
  • Om de regel te laten werken, moet u ervoor zorgen dat de eigenschap Manager correct is ingesteld voor gebruikers in uw organisatie.For the rule to work, make sure the Manager property is set correctly for users in your organization. U kunt de huidige waarde in het profiel van de gebruiker controleren.You can check the current value in the user's Profile.
  • Deze regel ondersteunt alleen de direct ondergeschikten van de manager.This rule supports only the manager's direct reports. Met andere woorden, u kunt geen groep maken met de direct ondergeschikten van de manager en hun ondergeschikten.In other words, you can't create a group with the manager's direct reports and their reports.
  • Deze regel kan niet worden gecombineerd met andere lidmaatschapsregels.This rule can't be combined with any other membership rules.

Een regel voor alle gebruikers makenCreate an "All users" rule

U kunt een groep met alle gebruikers in een organisatie maken met behulp van een lidmaatschapsregel.You can create a group containing all users within an organization using a membership rule. Wanneer gebruikers in de toekomst worden toegevoegd aan of verwijderd uit de organisatie, wordt het lidmaatschap van de groep automatisch aangepast.When users are added or removed from the organization in the future, the group's membership is adjusted automatically.

De regel voor alle gebruikers wordt samengesteld met behulp van een enkele expressie met behulp van de operator -ne en de null-waarde.The "All users" rule is constructed using single expression using the -ne operator and the null value. Met deze regel voegt u B2B-gastgebruikers toe, evenals gebruikers van leden aan de groep.This rule adds B2B guest users as well as member users to the group.

user.objectId -ne null

Als u wilt dat voor de groep gastgebruikers worden uitgesloten en alleen leden van uw organisatie omvat, kunt u de volgende syntaxis gebruiken:If you want your group to exclude guest users and include only members of your organization, you can use the following syntax:

(user.objectId -ne null) -and (user.userType -eq "Member")

Een regel voor alle apparaten makenCreate an "All devices" rule

U kunt een groep met alle apparaten in een organisatie maken met behulp van een lidmaatschapsregel.You can create a group containing all devices within an organization using a membership rule. Wanneer apparaten in de toekomst worden toegevoegd aan of verwijderd uit de organisatie, wordt het lidmaatschap van de groep automatisch aangepast.When devices are added or removed from the organization in the future, the group's membership is adjusted automatically.

De regel voor alle apparaten wordt samengesteld met behulp van een enkele expressie met behulp van de operator -ne en de null-waarde:The "All Devices" rule is constructed using single expression using the -ne operator and the null value:

device.objectId -ne null

Extensie-eigenschappen en aangepaste extensie-eigenschappenExtension properties and custom extension properties

Extensiekenmerken en aangepaste extensie-eigenschappen worden ondersteund als tekenreekseigenschappen in dynamische lidmaatschapsregels.Extension attributes and custom extension properties are supported as string properties in dynamic membership rules. Extensiekenmerken worden gesynchroniseerd vanaf de on-premises Windows Server AD en hebben de indeling ExtensionAttributeX, waarbij X gelijk is aan 1-15.Extension attributes are synced from on-premises Window Server AD and take the format of "ExtensionAttributeX", where X equals 1 - 15. Hier volgt een voorbeeld van een regel die waarin gebruik wordt gemaakt van een uitbreidingskenmerk als eigenschap:Here's an example of a rule that uses an extension attribute as a property:

(user.extensionAttribute15 -eq "Marketing")

Aangepaste extensie-eigenschappen worden gesynchroniseerd vanuit de on-premises Windows Server AD of vanuit een verbonden SaaS-toepassing, en hebben de indeling user.extension_[GUID]_[Attribute], waarbij:Custom extension properties are synced from on-premises Windows Server AD or from a connected SaaS application and are of the format of user.extension_[GUID]_[Attribute], where:

  • [GUID] de unieke id in Azure AD is voor de toepassing die de eigenschap heeft gemaakt in Azure AD[GUID] is the unique identifier in Azure AD for the application that created the property in Azure AD
  • [Kenmerk] de naam is van de eigenschap die is gemaakt[Attribute] is the name of the property as it was created

Een voorbeeld van een regel waarin gebruik wordt gemaakt van een aangepaste extensie-eigenschap is:An example of a rule that uses a custom extension property is:

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

De aangepaste naam van de eigenschap kan worden gevonden in de map door een query uit te voeren op de eigenschap van een gebruiker met behulp van Graph Explorer en te zoeken naar de naam van de eigenschap.The custom property name can be found in the directory by querying a user's property using Graph Explorer and searching for the property name. Ook kunt u nu klikken op de koppeling Aangepaste extensie-eigenschappen ophalen in de opbouwfunctie voor regels voor de dynamische gebruikersgroep om een unieke app-id in te voeren en de volledige lijst van aangepaste extensie-eigenschappen te ontvangen om toe te passen bij het maken van een dynamische lidmaatschapsregel.Also, you can now select Get custom extension properties link in the dynamic user group rule builder to enter a unique app ID and receive the full list of custom extension properties to use when creating a dynamic membership rule. Deze lijst kan ook worden vernieuwd om nieuwe aangepaste extensie-eigenschappen voor die app op te halen.This list can also be refreshed to get any new custom extension properties for that app.

Regels voor apparatenRules for devices

U kunt ook een regel maken waarmee apparaatobjecten worden geselecteerd voor het lidmaatschap van een groep.You can also create a rule that selects device objects for membership in a group. U kunt niet zowel gebruikers als apparaten als groepsleden hebben.You can't have both users and devices as group members.

Notitie

Het kenmerk organizationalUnit wordt niet meer weergegeven en mag niet worden gebruikt.The organizationalUnit attribute is no longer listed and should not be used. Deze tekenreeks wordt in specifieke gevallen door Intune ingesteld, maar wordt niet herkend door Azure AD, zodat er geen apparaten worden toegevoegd aan groepen op basis van dit kenmerk.This string is set by Intune in specific cases but is not recognized by Azure AD, so no devices are added to groups based on this attribute.

Notitie

systemlabels is een alleen-lezenkenmerk dat niet kan worden ingesteld met Intune.systemlabels is a read-only attribute that cannot be set with Intune.

Voor Windows 10 is de juiste indeling van het kenmerk deviceOSVersion als volgt: (device.deviceOSVersion -eq "10.0.17763").For Windows 10, the correct format of the deviceOSVersion attribute is as follows: (device.deviceOSVersion -eq "10.0.17763"). De opmaak kan worden gevalideerd met de Get-MsolDevice PowerShell cmdlet.The formatting can be validated with the Get-MsolDevice PowerShell cmdlet.

De volgende apparaatkenmerken kunnen worden gebruikt.The following device attributes can be used.

ApparaatkenmerkDevice attribute WaardenValues VoorbeeldExample
accountEnabledaccountEnabled true falsetrue false (device.accountEnabled -eq true)(device.accountEnabled -eq true)
displayNamedisplayName elke tekenreekswaardeany string value (device.displayName -eq "Rob iPhone")(device.displayName -eq "Rob iPhone")
deviceOSTypedeviceOSType elke tekenreekswaardeany string value (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iPhone")(device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iPhone")
(device.deviceOSType -contains "AndroidEnterprise")(device.deviceOSType -contains "AndroidEnterprise")
(device.deviceOSType -eq "AndroidForWork")(device.deviceOSType -eq "AndroidForWork")
(Device. deviceOSType-EQ "Windows")(device.deviceOSType -eq "Windows")
deviceOSVersiondeviceOSVersion elke tekenreekswaardeany string value (device.deviceOSVersion -eq "9.1")(device.deviceOSVersion -eq "9.1")
(Device. deviceOSVersion-EQ "10.0.17763.0")(device.deviceOSVersion -eq "10.0.17763.0")
deviceCategorydeviceCategory een geldige naam voor een apparaatcategoriea valid device category name (device.deviceCategory -eq "BYOD")(device.deviceCategory -eq "BYOD")
deviceManufacturerdeviceManufacturer elke tekenreekswaardeany string value (device.deviceManufacturer -eq "Samsung")(device.deviceManufacturer -eq "Samsung")
deviceModeldeviceModel elke tekenreekswaardeany string value (device.deviceModel -eq "iPad Air")(device.deviceModel -eq "iPad Air")
deviceOwnershipdeviceOwnership Persoonlijk, Bedrijf, OnbekendPersonal, Company, Unknown (device.deviceOwnership -eq "Company")(device.deviceOwnership -eq "Company")
enrollmentProfileNameenrollmentProfileName Inschrijvingsprofielen van Apple- of Android Enterprise-apparaat in het bezit van het bedrijf of profielnaam van Windows AutopilotApple Device Enrollment Profile name, Android Enterprise Corporate-owned dedicated device Enrollment Profile name, or Windows Autopilot profile name (device.enrollmentProfileName -eq "DEP iPhones")(device.enrollmentProfileName -eq "DEP iPhones")
isRootedisRooted true falsetrue false (device.isRooted -eq true)(device.isRooted -eq true)
managementTypemanagementType MDM (voor mobiele apparaten)MDM (for mobile devices)
PC (voor computers die worden beheerd door de Intune PC-agent)PC (for computers managed by the Intune PC agent)
(device.managementType -eq "MDM")(device.managementType -eq "MDM")
deviceIddeviceId een geldig apparaat-id voor Azure ADa valid Azure AD device ID (device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d")(device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d")
objectIdobjectId een geldige Azure AD-object-ida valid Azure AD object ID (device.objectId -eq "76ad43c9-32c5-45e8-a272-7b58b58f596d")(device.objectId -eq "76ad43c9-32c5-45e8-a272-7b58b58f596d")
devicePhysicalIdsdevicePhysicalIds een tekenreekswaarde die wordt gebruikt door Autopilot, zoals alle Autopilot-apparaten, OrderID of PurchaseOrderIDany string value used by Autopilot, such as all Autopilot devices, OrderID, or PurchaseOrderID (device.devicePhysicalIDs -any _ -contains "[ZTDId]") (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881") (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")(device.devicePhysicalIDs -any _ -contains "[ZTDId]") (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881") (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
systemLabelssystemLabels een tekenreeks die overeenkomt met de eigenschap van het Intune-apparaat voor het labelen van moderne werkplekapparatenany string matching the Intune device property for tagging Modern Workplace devices (device.systemLabels -contains "M365Managed")(device.systemLabels -contains "M365Managed")

Notitie

Voor de deviceOwnership bij het maken van dynamische groepen voor apparaten moet u de waarde instellen op Bedrijf.For the deviceOwnership when creating Dynamic Groups for devices you need to set the value equal to "Company". Op Intune wordt het apparaateigendom in plaats daarvan vertegenwoordigd als Bedrijf.On Intune the device ownership is represented instead as Corporate. Zie OwnerTypes voor meer informatie.Refer to OwnerTypes for more details.

Volgende stappenNext steps

Deze artikelen bevatten aanvullende informatie over Azure Active Directory-groepen.These articles provide additional information on groups in Azure Active Directory.