Regras dinâmicas de adesão para grupos em Azure Ative Directory
Pode criar regras baseadas em atributos para permitir a adesão dinâmica a um grupo em Azure Ative Directory (Azure AD), parte de Microsoft Entra. A adesão ao grupo dinâmico adiciona e remove os membros do grupo automaticamente usando regras de adesão com base em atributos dos membros. Este artigo detalha as propriedades e sintaxe para criar regras dinâmicas de adesão para utilizadores ou dispositivos. Pode configurar uma regra para a adesão dinâmica em grupos de segurança ou grupos Microsoft 365.
Quando os atributos de um utilizador ou de um dispositivo mudam, o sistema avalia todas as regras dinâmicas do grupo num diretório para ver se a alteração desencadearia qualquer grupo que adicionasse ou removesse. Se um utilizador ou dispositivo satisfaz uma regra de um grupo, são adicionados como membro desse grupo. Se já não satisfazem a regra, são removidos. Não é possível adicionar ou remover manualmente um membro de um grupo dinâmico.
- Pode criar um grupo dinâmico para dispositivos ou para utilizadores, mas não é possível criar uma regra que contenha tanto os utilizadores como os dispositivos.
- Não é possível criar um grupo de dispositivos baseado nos atributos do utilizador do proprietário do dispositivo. As regras de adesão ao dispositivo só podem fazer referência a atributos do dispositivo.
Nota
Esta funcionalidade requer uma licença de Azure AD Premium P1 ou Intune para a Educação para cada utilizador único que seja membro de um ou mais grupos dinâmicos. Não é necessário atribuir licenças aos utilizadores para que sejam membros de grupos dinâmicos, mas deve ter o número mínimo de licenças na organização Azure AD para abranger todos esses utilizadores. Por exemplo, se tivesse um total de 1.000 utilizadores únicos em todos os grupos dinâmicos da sua organização, precisaria de pelo menos 1.000 licenças para Azure AD Premium P1 para satisfazer o requisito da licença. Não é necessária qualquer licença para dispositivos que sejam membros de um grupo de dispositivos dinâmicos.
Construtor de regras no portal do Azure
Azure AD fornece um construtor de regras para criar e atualizar as suas regras importantes mais rapidamente. O construtor de regras apoia a construção de até cinco expressões. O construtor de regras torna mais fácil formar uma regra com algumas expressões simples, no entanto, não pode ser usado para reproduzir todas as regras. Se o construtor de regras não apoiar a regra que pretende criar, pode utilizar a caixa de texto.
Aqui estão alguns exemplos de regras avançadas ou sintaxe para as quais recomendamos que construa usando a caixa de texto:
- Governar com mais de cinco expressões
- A regra dos relatórios diretos
- Definição de precedência do operador
- Regras com expressões complexas; Por exemplo
(user.proxyAddresses -any (_ -contains "contoso"))
Nota
O construtor de regras pode não ser capaz de exibir algumas regras construídas na caixa de texto. Pode ver uma mensagem quando o construtor de regras não é capaz de mostrar a regra. O construtor de regras não altera a sintaxe suportada, validação ou processamento de regras dinâmicas de grupo de qualquer forma.
Para obter mais instruções passo a passo, consulte Criar ou atualizar um grupo dinâmico.
Sintaxe de regra para uma única expressão
Uma única expressão é a forma mais simples de uma regra de adesão e só tem as três partes acima mencionadas. Uma regra com uma única expressão é semelhante a este exemplo: Property Operator Value, onde a sintaxe para a propriedade é o nome de object.property.
O exemplo a seguir ilustra uma regra de adesão devidamente construída com uma única expressão:
user.department -eq "Sales"
Os parênteses são opcionais para uma única expressão. O comprimento total do corpo da sua regra de adesão não pode exceder 3072 caracteres.
Construção do corpo de uma regra de adesão
Uma regra de adesão que povoa automaticamente um grupo com utilizadores ou dispositivos é uma expressão binária que resulta num resultado verdadeiro ou falso. As três partes de uma regra simples são:
- Propriedade
- Operador
- Valor
A ordem das peças dentro de uma expressão é importante para evitar erros de sintaxe.
Propriedades suportadas
Existem três tipos de propriedades que podem ser usadas para construir uma regra de adesão.
- Booleano
- Cadeia
- Coleção de cordas
Seguem-se as propriedades do utilizador que pode utilizar para criar uma única expressão.
Propriedades do tipo boolean
| Propriedades | Valores permitidos | Utilização |
|---|---|---|
| accountEnabled | verdadeiro falso | user.accountEnabled -eq verdadeiro |
| dirSyncEnabled | verdadeiro falso | user.dirSyncEnabled -eq verdadeiro |
Propriedades de tipo de cadeia
| Propriedades | Valores permitidos | Utilização |
|---|---|---|
| city | Qualquer valor de corda ou nulo | user.city -eq "valor" |
| país | Qualquer valor de corda ou nulo | user.country -eq "valor" |
| nome da empresa | Qualquer valor de corda ou nulo | user.companyName -eq "valor" |
| departamento | Qualquer valor de corda ou nulo | user.department -eq "valor" |
| displayName | Qualquer valor de corda | user.displayName -eq "valor" |
| employeeId | Qualquer valor de corda | user.employeeId -eq "valor" user.employeeId -ne nulo |
| facsimileTelephoneNumber | Qualquer valor de corda ou nulo | user.facsimileTelephoneNumber -eq "valor" |
| nomeDado | Qualquer valor de corda ou nulo | user.givenName -eq "valor" |
| jobTitle | Qualquer valor de corda ou nulo | user.jobTit -eq "valor" |
| correio | Qualquer valor de cadeia ou nulo (endereço SMTP do utilizador) | user.mail -eq "valor" |
| mailNickName | Qualquer valor de cadeia (pseudónimo de correio do utilizador) | user.mailNickName -eq "valor" |
| membroOf | Qualquer valor de cadeia (ID de objeto de grupo válido) | user.memberof -any (group.objectId -in ['value']) |
| dispositivo móvel | Qualquer valor de corda ou nulo | user.mobile -eq "valor" |
| objectId | GUIA do objeto do utilizador | user.objectId -eq "11111111-1111-1111-1111-1111-111111111111111" |
| onPremisesDistinguishedName (pré-visualização) | Qualquer valor de corda ou nulo | user.onPremisesDistinguishedName -eq "value" |
| onPremisesSecurityIdentifier | Identificador de segurança no local (SID) para utilizadores que foram sincronizados desde as instalações até à nuvem. | user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-11111111-1111111-11111111-1111111" |
| passwordPolícias | Nenhuma Desativar a palavra-passe desativada DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
| physicalDeliveryOfficeName | Qualquer valor de corda ou nulo | user.physicalDeliveryOfficeName -eq "valor" |
| postalCode | Qualquer valor de corda ou nulo | user.postalCode -eq "valor" |
| preferiuLanguage | Código ISO 639-1 | user.preferredLanguage -eq "en-US" |
| sipProxyAddress | Qualquer valor de corda ou nulo | user.sipProxyAddress -eq "value" |
| state | Qualquer valor de corda ou nulo | user.state -eq "valor" |
| streetAddress | Qualquer valor de corda ou nulo | user.streetAddress -eq "valor" |
| surname | Qualquer valor de corda ou nulo | user.surname -eq "valor" |
| telephoneNumber | Qualquer valor de corda ou nulo | user.telephoneNumber -eq "valor" |
| usageLocation | Código de dois letras do país ou da região | user.usageLocation -eq "US" |
| userPrincipalName | Qualquer valor de corda | user.userPrincipalName -eq "alias@domain" |
| userType | membro convidado nulo | user.userType -eq "Member" |
Propriedades da coleção de cordas tipo
| Propriedades | Valores permitidos | Exemplo |
|---|---|---|
| outras Mensagens | Qualquer valor de corda | user.otherMails -contém "alias@domain" |
| proxyAddresses | SMTP: SmtP alias@domain: alias@domain | user.proxyAddresses -contém "SMTP: alias@domain" |
Para as propriedades utilizadas para as regras do dispositivo, consulte regras para dispositivos.
Operadores de expressão apoiados
A tabela que se segue lista todos os operadores apoiados e a sua sintaxe para uma única expressão. Os operadores podem ser utilizados com ou sem o prefixo hífen (-) do hífen. O operador Contém partidas parciais de cordas, mas não item numa coleção corresponde.
| Operador | Syntax |
|---|---|
| Não é igual | -ne |
| Igual a | -eq |
| Não começa com | -notStartsWith |
| Começa com | -começa Com |
| Não contém | -nãoContes |
| Contains | -contém |
| Não corresponder | -não-Mese-não |
| Match | -combinar |
| Em | -em |
| Não em | -notIn |
Utilizando os operadores -in e -notIn
Se quiser comparar o valor de um atributo de utilizador com vários valores, pode utilizar os operadores -in ou -notIn. Utilize os símbolos do suporte "[" e "]" para iniciar e terminar a lista de valores.
No exemplo seguinte, a expressão avalia a verdade se o valor do utilizador.departamento é igual a qualquer um dos valores da lista:
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
Utilizando o operador de correspondência
O operador de correspondência é utilizado para corresponder a qualquer expressão regular. Exemplos:
user.displayName -match "Da.*"
Da, Davavaliar David a verdade, a ADa avalia a falsa.
user.displayName -match ".*vid"
David avalia a verdade, Da avalia a falsa.
Valores suportados
Os valores utilizados numa expressão podem consistir em vários tipos, incluindo:
- Cadeias
- Booleano - verdadeiro, falso
- Números
- Arrays - matriz de números, matriz de cordas
Ao especificar um valor dentro de uma expressão, é importante usar a sintaxe correta para evitar erros. Algumas dicas de sintaxe são:
- As cotações duplas são opcionais, a menos que o valor seja uma corda.
- As operações de cordas e regex não são sensíveis a casos.
- Quando um valor de cadeia contém citações duplas, ambas as citações devem ser escapadas usando o ' caracter, por exemplo, user.department -eq 'Sales'" é a sintaxe adequada quando "Vendas" é o valor. As cotações individuais devem ser escapadas usando duas cotações únicas em vez de uma de cada vez.
- Também pode efetuar verificações nulas, utilizando nulos como valor, por exemplo,
user.department -eq null.
Utilização de valores nulos
Para especificar um valor nulo numa regra, pode utilizar o valor nulo .
- Utilize -eq ou -ne ao comparar o valor nulo numa expressão.
- Utilize aspas em torno da palavra nulo apenas se quiser que seja interpretada como um valor de cadeia literal.
- O operador não pode ser usado como um operador comparativo para nulo. Se o utilizar, terá um erro quer utilize nulo ou $null.
A forma correta de referenciar o valor nulo é a seguinte:
user.mail –ne null
Regras com múltiplas expressões
Uma regra de adesão ao grupo pode consistir em mais de uma única expressão ligada pelos operadores -e, ou não lógicos. Os operadores lógicos também podem ser usados em combinação.
Seguem-se exemplos de regras de adesão devidamente construídas com múltiplas expressões:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -contains "SDE")
Precedência de operadores
Todos os operadores estão listados abaixo por ordem de precedência do mais alto para o mais baixo. Os operadores na mesma linha têm igual precedência:
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
O exemplo a seguir ilustra a precedência do operador onde estão a ser avaliadas duas expressões para o utilizador:
user.department –eq "Marketing" –and user.country –eq "US"
Parênteses só são necessários quando a precedência não satisfaz os seus requisitos. Por exemplo, se pretender que o departamento seja avaliado primeiro, o seguinte mostra como os parênteses podem ser usados para determinar a ordem:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Regras com expressões complexas
Uma regra de adesão pode consistir em expressões complexas onde as propriedades, operadores e valores assumem formas mais complexas. As expressões são consideradas complexas quando qualquer uma das seguintes são verdadeiras:
- O imóvel é constituído por uma coleção de valores; especificamente, propriedades multi-valorizadas
- As expressões usam os operadores -todos e todos os operadores
- O valor da expressão pode ser uma ou mais expressões
Propriedades multi-valor
Propriedades multi-valor são coleções de objetos do mesmo tipo. Podem ser usados para criar regras de adesão utilizando os operadores lógicos .
| Propriedades | Valores | Utilização |
|---|---|---|
| planos atribuídos | Cada objeto da coleção expõe as seguintes propriedades de cordas: capabilityStatus, serviço, serviçoPlanId | user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -e designado Plano.capabilityStatus -eq "Enabled") |
| proxyAddresses | SMTP: SmtP alias@domain: alias@domain | (user.proxyAddresses -any (_ -contém "contoso")) |
Usando os -todos e todos os operadores
Pode utilizar -todos e todos os operadores para aplicar uma condição a um ou todos os itens da coleção, respectivamente.
- -qualquer (satisfeito quando pelo menos um item da recolha corresponde à condição)
- -todos (satisfeitos quando todos os itens da recolha correspondem à condição)
Exemplo 1
a assignedPlans é uma propriedade de vários valores que lista todos os planos de serviço atribuídos ao utilizador. A expressão a seguir seleciona utilizadores que tenham o plano de serviço Exchange Online (Plano 2) (como um valor GUID) que também está em estado habilitado:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
Uma regra como esta pode ser usada para agrupar todos os utilizadores para os quais uma Microsoft 365 ou outra capacidade do Microsoft Online Service está ativada. Pode então aplicar-se com um conjunto de políticas ao grupo.
Exemplo 2
A expressão a seguir seleciona todos os utilizadores que tenham qualquer plano de serviço associado ao serviço Intune (identificado pelo nome de serviço "SCO"):
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Exemplo 3
A expressão a seguir seleciona todos os utilizadores que não tenham um plano de serviço atribuído:
user.assignedPlans -all (assignedPlan.servicePlanId -eq "")
Usando a sintaxe sublinhada (_)
O sublinhado (_) sintaxe corresponde a ocorrências de um valor específico numa das propriedades de recolha de cordas multivalorizadas para adicionar utilizadores ou dispositivos a um grupo dinâmico. É usado com todos os operadores.
Aqui está um exemplo de utilização do sublinhado (_) numa regra para adicionar membros com base no user.proxyAddress (funciona da mesma forma para o utilizador.otherMails). Esta regra adiciona qualquer utilizador com endereço proxy que contenha "contoso" ao grupo.
(user.proxyAddresses -any (_ -contains "contoso"))
Outras propriedades e regras comuns
Criar uma regra de "relatórios diretos"
Pode criar um grupo que contenha todos os relatórios diretos de um gestor. Quando os relatórios diretos do gestor mudam no futuro, a adesão do grupo é ajustada automaticamente.
A regra dos relatórios diretos é construída utilizando a seguinte sintaxe:
Direct Reports for "{objectID_of_manager}"
Aqui está um exemplo de uma regra válida, onde "62e19b97-8b3d-4d4a-a106-4ce66896a863" é o objectID do gestor:
Direct Reports for "62e19b97-8b3d-4d4a-a106-4ce66896a863"
As seguintes dicas podem ajudá-lo a utilizar a regra corretamente.
- A identificação do gerente é a identificação do objeto do gerente. Pode ser encontrado no Perfil do gestor.
- Para que a regra funcione, certifique-se de que a propriedade do Manager está corretamente definida para os utilizadores da sua organização. Pode verificar o valor atual no Perfil do utilizador.
- Esta regra apoia apenas os relatórios diretos do gestor. Por outras palavras, não se pode criar um grupo com os relatórios diretos do gestor e os seus relatórios.
- Esta regra não pode ser combinada com quaisquer outras regras de adesão.
Criar uma regra "Todos os utilizadores"
Pode criar um grupo que contenha todos os utilizadores dentro de uma organização utilizando uma regra de adesão. Quando os utilizadores são adicionados ou removidos da organização no futuro, a adesão do grupo é ajustada automaticamente.
A regra "Todos os utilizadores" é construída com uma única expressão utilizando o operador -ne e o valor nulo. Esta regra adiciona utilizadores convidados B2B e utilizadores membros ao grupo.
user.objectId -ne null
Se quiser que o seu grupo exclua os utilizadores convidados e inclua apenas membros da sua organização, pode utilizar a seguinte sintaxe:
(user.objectId -ne null) -and (user.userType -eq "Member")
Criar uma regra "Todos os dispositivos"
Pode criar um grupo que contenha todos os dispositivos dentro de uma organização utilizando uma regra de adesão. Quando os dispositivos são adicionados ou removidos da organização no futuro, a adesão do grupo é ajustada automaticamente.
A regra "Todos os Dispositivos" é construída com uma única expressão utilizando o operador -ne e o valor nulo:
device.objectId -ne null
Propriedades de extensão e propriedades de extensão personalizadas
Os atributos de extensão e as propriedades de extensão personalizadas são suportados como propriedades de cordas em regras dinâmicas de adesão. Os atributos de extensão são sincronizados a partir do Diretor Ativo do Servidor de Janelas no local e tomam o formato de "ExtensionAttributeX", onde X é igual a 1 - 15. Aqui está um exemplo de uma regra que usa um atributo de extensão como uma propriedade:
(user.extensionAttribute15 -eq "Marketing")
As propriedades de extensão personalizada são sincronizadas a partir de instalações Windows Server Ative Directory ou de uma aplicação SaaS conectada e são do formato deuser.extension_[GUID]_[Attribute], onde:
- [GUID] é o identificador único em Azure AD para a aplicação que criou o imóvel em Azure AD
- [Atributo] é o nome da propriedade tal como foi criado
Um exemplo de uma regra que usa uma propriedade de extensão personalizada é:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
O nome da propriedade personalizada pode ser encontrado no diretório consultando a propriedade de um utilizador usando Graph Explorer e procurando o nome da propriedade. Além disso, pode agora selecionar Obter o link de propriedades de extensão personalizada no dinâmico construtor de regras do grupo de utilizadores para introduzir um ID de aplicação único e receber a lista completa de propriedades de extensão personalizadas para usar ao criar uma regra de adesão dinâmica. Esta lista também pode ser atualizada para obter quaisquer novas propriedades de extensão personalizada para essa aplicação. Os atributos de extensão e as propriedades de extensão personalizadas devem ser de aplicações no seu inquilino.
Para obter mais informações, consulte Utilizar os atributos em grupos dinâmicos no artigo Azure AD Ligação sincronização: Extensões de diretório.
Regras para dispositivos
Também pode criar uma regra que selecione objetos de dispositivo para a adesão a um grupo. Não pode ter utilizadores e dispositivos como membros do grupo.
Nota
O atributo organizationalUnit já não está listado e não deve ser utilizado. Esta cadeia é definida por Intune em casos específicos, mas não é reconhecida por Azure AD, pelo que nenhum dispositivo é adicionado a grupos com base neste atributo.
Nota
systemlabels é um atributo apenas de leitura que não pode ser definido com Intune.
Para Windows 10, o formato correto do atributo deviceOSVersion é o seguinte: (device.deviceOSVersion -startsCom "10.0.1"). A formatação pode ser validada com o Get-MsolDevice cmdlet PowerShell.
Podem ser utilizados os seguintes atributos do dispositivo.
| Atributo do dispositivo | Valores | Exemplo |
|---|---|---|
| accountEnabled | verdadeiro falso | device.accountEnabled -eq verdadeiro |
| dispositivoCategoria | um nome válido da categoria de dispositivo | dispositivo.deviceCategoria -eq "BYOD" |
| deviceId | um ID de dispositivo de Azure AD válido | dispositivo.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
| dispositivoManagementAppId | um ID de aplicação de MDM válido em Azure AD | dispositivo.deviceManagementAppId -eq "000000a-0000-0000-c000-0000000000000000000000" para Intune ID da aplicação MDM |
| dispositivo Manfacturer | qualquer valor de cadeia | dispositivo.deviceManufacturer -eq "Samsung" |
| modelo de dispositivo | qualquer valor de cadeia | dispositivo.deviceModel -eq "iPad Air" |
| displayName | qualquer valor de cadeia | device.displayName -eq "Rob iPhone" |
| tipoDeSODoDispositivo | qualquer valor de cadeia | (device.deviceOSType -eq "iPad") - ou (dispositivo.deviceOSType -eq "iPhone") device.deviceOSType -contém "AndroidEnterprise" device.deviceOSType -eq "AndroidForWork" device.deviceOSType -eq "Windows" |
| versãoDeSODoDispositivo | qualquer valor de cadeia | dispositivo.deviceOSVersion -eq "9.1" dispositivo.deviceOSVersion -começa com "10.0.1" |
| deviceOwnership | Pessoal, Companhia, Desconhecido | dispositivo.deviceOwnership -eq "Empresa" |
| dispositivoSFÍsicos | qualquer valor de cadeia utilizado pelo Autopilot, como todos os dispositivos Autopilot, OrderID ou PurchaseOrderID | dispositivo.devicePhysicalIDs -any _ -contém "[ZTDId]" (dispositivo.deviceFísicos -qualquer _ -eq "[OrderID]:179887111881" (dispositivo.deviceFísicos -any _ -eq "[PurchaseOrderId]:76222342342" |
| DispositivoTrustType | AzureAD, ServerAD, Local de Trabalho | dispositivo.deviceAnership -eq "AzureAD" |
| matrículaProfileName | Nome do perfil de inscrição de dispositivo da Apple, Android nome de perfil de inscrição de dispositivo dedicado à empresa, ou Windows nome do perfil do piloto automático | device.registrationProfileName -eq "DEP iPhones" |
| extensãoAttribute1 | qualquer valor de cadeia | dispositivo.extensionAttribute1 -eq "algum valor de corda" |
| extensãoAttribute2 | qualquer valor de cadeia | dispositivo.extensionAttribute2 -eq "algum valor de corda" |
| extensãoAttribute3 | qualquer valor de cadeia | dispositivo.extensionAttribute3 -eq "algum valor de corda" |
| extensãoAttribute4 | qualquer valor de cadeia | dispositivo.extensionAttribute4 -eq "algum valor de corda" |
| extensãoAttribute5 | qualquer valor de cadeia | dispositivo.extensionAttribute5 -eq "algum valor de corda" |
| extensãoAttribute6 | qualquer valor de cadeia | dispositivo.extensionAttribute6 -eq "algum valor de corda" |
| extensãoAttribute7 | qualquer valor de cadeia | dispositivo.extensionAttribute7 -eq "algum valor de corda" |
| extensãoAttribute8 | qualquer valor de cadeia | dispositivo.extensionAttribute8 -eq "algum valor de cadeia" |
| extensãoAttribute9 | qualquer valor de cadeia | dispositivo.extensionAttribute9 -eq "algum valor de corda" |
| extensãoTribui10 | qualquer valor de cadeia | dispositivo.extensionAttribute10 -eq "algum valor de corda" |
| extensãoAttribute11 | qualquer valor de cadeia | dispositivo.extensionAttribute11 -eq "algum valor de corda" |
| extensãoAttribute12 | qualquer valor de cadeia | dispositivo.extensionAttribute12 -eq "algum valor de corda" |
| extensãoAttribute13 | qualquer valor de cadeia | dispositivo.extensionAttribute13 -eq "algum valor de corda" |
| extensãoAttribute14 | qualquer valor de cadeia | dispositivo.extensionAttribute14 -eq "algum valor de corda" |
| extensãoTribui15 | qualquer valor de cadeia | dispositivo.extensionAttribute15 -eq "algum valor de corda" |
| isRooted | verdadeiro falso | dispositivo.isRooted -eq verdadeiro |
| tipo de gestão | MDM (para dispositivos móveis) | dispositivo.managementType -eq "MDM" |
| membroOf | Qualquer valor de cadeia (ID de objeto de grupo válido) | device.memberof -any (group.objectId -in ['value']) |
| objectId | um ID de objeto Azure AD válido | device.objectId -eq "76ad43c9-32c5-45e8-a272-7b58b58f596d" |
| perfilType | um tipo de perfil válido em Azure AD | device.profileType -eq "RegisteredDevice" |
| systemLabels | qualquer cadeia que combine a propriedade do dispositivo Intune para a marcação de dispositivos do Local de Trabalho Moderno | device.systemLabels -contém "M365Managed" |
Nota
Ao utilizar o dispositivoAlesão para criar Grupos Dinâmicos para dispositivos, é necessário definir o valor igual a "Empresa". Na Intune a propriedade do dispositivo é representada como Corporate. Para mais informações, consulte o OwnerTypes para obter mais detalhes. Ao utilizar o dispositivoTrustType para criar Grupos Dinâmicos para dispositivos, é necessário definir o valor igual ao "AzureAD" para representar Azure AD dispositivos unidos, "ServerAD" para representar dispositivos híbridos Azure AD unidos ou "Workplace" para representar Azure AD dispositivos registados. Ao utilizar a extensãoAttribute1-15 para criar Grupos Dinâmicos para dispositivos, é necessário definir o valor para a extensãoAtribuição1-15 no dispositivo. Saiba mais sobre como escrever extensõesAtribuções num objeto de dispositivo Azure AD
Passos seguintes
Estes artigos fornecem informações adicionais sobre grupos em Azure Ative Directory.