Azure Active Directory'de gruplar için dinamik Üyelik kurallarıDynamic membership rules for groups in Azure Active Directory

Azure Active Directory'de (Azure AD), gruplar için dinamik üyelik etkinleştirmek için karmaşık öznitelik tabanlı kurallar oluşturabilirsiniz.In Azure Active Directory (Azure AD), you can create complex attribute-based rules to enable dynamic memberships for groups. Dinamik grup üyeliği ekleme ve kaldırma kullanıcılara yönelik yönetim yükünü azaltır.Dynamic group membership reduces the administrative overhead of adding and removing users. Bu makalede kullanıcı veya cihaz için dinamik Üyelik kuralları oluşturmak için sözdizimi ve özellikleri ayrıntılı olarak açıklanmaktadır.This article details the properties and syntax to create dynamic membership rules for users or devices. Güvenlik gruplarında veya Office 365 gruplarında dinamik üyelik için bir kural ayarlayabilirsiniz.You can set up a rule for dynamic membership on security groups or Office 365 groups.

Bir kullanıcı veya cihaz herhangi bir özniteliği değiştiğinde sistem, herhangi bir grubu ekler veya kaldırır değişiklik tetikleyecek olmadığını görmek için bir dizindeki tüm dinamik Grup kurallarını değerlendirir.When any attributes of a user or device change, the system evaluates all dynamic group rules in a directory to see if the change would trigger any group adds or removes. Bir kullanıcı veya cihaz bir grup üzerindeki kuralı karşılıyorsa bu grubun bir üyesi eklenir.If a user or device satisfies a rule on a group, they are added as a member of that group. Bunlar artık kural karşılıyorsanız, bunlar kaldırılır.If they no longer satisfy the rule, they are removed. El ile ekleyemez veya dinamik bir grup üyesi kaldırın.You can't manually add or remove a member of a dynamic group.

  • Kullanıcılar veya cihazlar için dinamik bir grup oluşturabilirsiniz, ancak hem kullanıcılar hem de cihazları içeren bir kural oluşturulamıyor.You can create a dynamic group for devices or for users, but you can't create a rule that contains both users and devices.
  • Cihaz sahipleri özniteliklerine dayalı bir cihaz grubu oluşturulamıyor.You can't create a device group based on the device owners' attributes. Cihaz Üyelik kuralları yalnızca cihaz özniteliklerine başvurabilir.Device membership rules can only reference device attributes.

Not

Bu özellik, bir veya daha fazla dinamik grupların üyesi olan her benzersiz bir kullanıcı için bir Azure AD Premium P1 lisansı gerekir.This feature requires an Azure AD Premium P1 license for each unique user that is a member of one or more dynamic groups. Dinamik grupların üyesi olmak için bunları kullanıcılara lisans atama gerekmez ancak tüm kullanıcıları kapsayacak kiracıda lisansları en az sayıda olmalıdır.You don't have to assign licenses to users for them to be members of dynamic groups, but you must have the minimum number of licenses in the tenant to cover all such users. Örneğin, kiracınızda içindeki tüm dinamik gruplar 1.000 benzersiz kullanıcıların toplam olsaydı, lisans gereksinimi karşılamak Azure AD Premium P1 için en az 1000 lisans gerekir.For example, if you had a total of 1,000 unique users in all dynamic groups in your tenant, you would need at least 1,000 licenses for Azure AD Premium P1 to meet the license requirement.

Gövdesi bir üyelik kuralı oluşturmaConstructing the body of a membership rule

Bir kullanıcı veya cihaz grubuyla otomatik olarak dolduran bir üyelik kuralı, bir true veya false sonucu sonuçları ikili bir ifadedir.A membership rule that automatically populates a group with users or devices is a binary expression that results in a true or false outcome. Üç basit bir kuralı bölümleri şunlardır:The three parts of a simple rule are:

  • ÖzellikProperty
  • İşleçOperator
  • DeğerValue

Söz dizimi hatalarını önlemek, bir ifade içinde bölümleri sırası önemlidir.The order of the parts within an expression are important to avoid syntax errors.

Tek bir ifade ile kurallarıRules with a single expression

Tek bir ifade, bir üyelik kuralının en basit biçimidir ve yalnızca yukarıda açıklanan üç parça içerir.A single expression is the simplest form of a membership rule and only has the three parts mentioned above. Tek bir ifadeye sahip bir kural şuna benzer: Property Operator Valueburada özelliği için söz dizimi nesne.özellik adıdır.A rule with a single expression looks similar to this: Property Operator Value, where the syntax for the property is the name of object.property.

Tek bir ifade doğru şekilde oluşturulmuş üyelik kuralıyla bir örneği verilmiştir:The following is an example of a properly constructed membership rule with a single expression:

user.department -eq "Sales"

Parantezler için tek bir ifade isteğe bağlıdır.Parentheses are optional for a single expression. Üyeliklerini kuralınız gövdesi toplam uzunluğu 2048 karakterden uzun olamaz.The total length of the body of your membership rule cannot exceed 2048 characters.

Desteklenen özelliklerSupported properties

Üç türde bir üyelik kuralı oluşturmak için kullanılan özellikleri vardır.There are three types of properties that can be used to construct a membership rule.

  • BooleanBoolean
  • StringString
  • Dize koleksiyonuString collection

Tek bir ifade oluşturmak için kullanabileceğiniz kullanıcı özellikleri aşağıda verilmiştir.The following are the user properties that you can use to create a single expression.

Özelliklerini boolean türüProperties of type boolean

ÖzelliklerProperties İzin verilen değerlerAllowed values KullanımUsage
accountEnabledaccountEnabled doğru yanlıştrue false user.accountEnabled -eq trueuser.accountEnabled -eq true
dirSyncEnableddirSyncEnabled doğru yanlıştrue false user.dirSyncEnabled -eq trueuser.dirSyncEnabled -eq true

Dize türündeki özellikleriProperties of type string

ÖzelliklerProperties İzin verilen değerlerAllowed values KullanımUsage
citycity Herhangi bir dize değeri veya nullAny string value or null (user.city - eq "value")(user.city -eq "value")
Ülkecountry Herhangi bir dize değeri veya nullAny string value or null (Resource.country - eq "value")(user.country -eq "value")
Şirket adıcompanyName Herhangi bir dize değeri veya nullAny string value or null (user.companyName - eq "value")(user.companyName -eq "value")
Bölümdepartment Herhangi bir dize değeri veya nullAny string value or null (user.department - eq "value")(user.department -eq "value")
displayNamedisplayName herhangi bir dize değeriAny string value (user.displayName - eq "value")(user.displayName -eq "value")
EmployeeIDemployeeId herhangi bir dize değeriAny string value (user.employeeId - eq "value")(user.employeeId -eq "value")
(user.employeeId - ne null)(user.employeeId -ne null)
facsimileTelephoneNumberfacsimileTelephoneNumber Herhangi bir dize değeri veya nullAny string value or null (user.facsimileTelephoneNumber - eq "value")(user.facsimileTelephoneNumber -eq "value")
givenNamegivenName Herhangi bir dize değeri veya nullAny string value or null (user.givenName - eq "value")(user.givenName -eq "value")
İş UnvanıjobTitle Herhangi bir dize değeri veya nullAny string value or null (user.jobTitle - eq "value")(user.jobTitle -eq "value")
postamail Herhangi bir dize değeri veya null (kullanıcının SMTP adresi)Any string value or null (SMTP address of the user) (user.mail - eq "value")(user.mail -eq "value")
mailNickNamemailNickName Herhangi bir dize değeri (kullanıcının posta diğer)Any string value (mail alias of the user) (user.mailNickName - eq "value")(user.mailNickName -eq "value")
Mobilmobile Herhangi bir dize değeri veya nullAny string value or null (user.mobile - eq "value")(user.mobile -eq "value")
objectIdobjectId Kullanıcı nesnesinin GUIDGUID of the user object (user.objectId -eq "11111111-1111-1111-1111-111111111111")(user.objectId -eq "11111111-1111-1111-1111-111111111111")
onPremisesSecurityIdentifieronPremisesSecurityIdentifier Güvenlik tanımlayıcısı (SID) şirket içinden buluta eşitlenmiş kullanıcılar için şirket içi.On-premises security identifier (SID) for users who were synchronized from on-premises to the cloud. (user.onPremisesSecurityIdentifier - eq "S-1-1-11-1111111111-1111111111-1111111111-1111111")(user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111")
passwordPoliciespasswordPolicies Hiçbiri DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPasswordNone DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword (user.passwordPolicies - eq "DisableStrongPassword")(user.passwordPolicies -eq "DisableStrongPassword")
physicalDeliveryOfficeNamephysicalDeliveryOfficeName Herhangi bir dize değeri veya nullAny string value or null (user.physicalDeliveryOfficeName - eq "value")(user.physicalDeliveryOfficeName -eq "value")
posta kodupostalCode Herhangi bir dize değeri veya nullAny string value or null (user.postalCode - eq "value")(user.postalCode -eq "value")
preferredLanguagepreferredLanguage ISO 639-1 koduISO 639-1 code (user.preferredLanguage - eq "en-US")(user.preferredLanguage -eq "en-US")
sipProxyAddresssipProxyAddress Herhangi bir dize değeri veya nullAny string value or null (user.sipProxyAddress - eq "value")(user.sipProxyAddress -eq "value")
statestate Herhangi bir dize değeri veya nullAny string value or null (user.state - eq "value")(user.state -eq "value")
streetAddressstreetAddress Herhangi bir dize değeri veya nullAny string value or null (user.streetAddress - eq "value")(user.streetAddress -eq "value")
Soyadısurname Herhangi bir dize değeri veya nullAny string value or null (user.surname - eq "value")(user.surname -eq "value")
telephoneNumbertelephoneNumber Herhangi bir dize değeri veya nullAny string value or null (user.telephoneNumber - eq "value")(user.telephoneNumber -eq "value")
usageLocationusageLocation İki yitirmiş ülke koduTwo lettered country code (user.usageLocation - eq "US")(user.usageLocation -eq "US")
userPrincipalNameuserPrincipalName herhangi bir dize değeriAny string value (user.userPrincipalName - eq "alias@domain")(user.userPrincipalName -eq "alias@domain")
UserTypeuserType üye Konuk nullmember guest null (user.userType - eq "Üye")(user.userType -eq "Member")

Türü dize koleksiyonunun özellikleriProperties of type string collection

ÖzelliklerProperties İzin verilen değerlerAllowed values KullanımUsage
otherMailsotherMails herhangi bir dize değeriAny string value (user.otherMails-içeren "alias@domain")(user.otherMails -contains "alias@domain")
proxyAddressesproxyAddresses SMTP: alias@domain smtp: alias@domainSMTP: alias@domain smtp: alias@domain (user.proxyAddresses-içeren "SMTP: alias@domain")(user.proxyAddresses -contains "SMTP: alias@domain")

Cihaz kuralları için kullanılan özellikleri için bkz: cihazlar için kuralları.For the properties used for device rules, see Rules for devices.

Desteklenen işleçleriSupported operators

Aşağıdaki tabloda, desteklenen tüm işleçler ve tek bir ifade için kendi sözdizimini listeler.The following table lists all the supported operators and their syntax for a single expression. İşleçleri ile veya kısa çizgi (-) öneki olmadan kullanılabilir.Operators can be used with or without the hyphen (-) prefix.

İşleçOperator SözdizimiSyntax
Eşit değildirNot Equals -ne-ne
EşittirEquals -eq-eq
İle başlamazNot Starts With -notStartsWith-notStartsWith
Şununla başlarStarts With -startsWith-startsWith
İçermezNot Contains -notContains-notContains
İçerirContains -içerir-contains
EşleşmiyorNot Match -notMatch-notMatch
EşleşmeMatch -eşleşmesi-match
İçindeIn -içinde-in
İçinde değilNot In -notIn-notIn

Kullanarak içinde ve - notIn işleçleriUsing the -in and -notIn operators

Bir dizi farklı değerler karşı bir kullanıcı özniteliğinin değeri karşılaştırmak istiyorsanız kullanabileceğiniz içinde veya - notIn işleçleri.If you want to compare the value of a user attribute against a number of different values you can use the -in or -notIn operators. Köşeli ayraç simgelerini kullanın "[" ve "]", değerler listesinin başlayıp.Use the bracket symbols "[" and "]" to begin and end the list of values.

Aşağıdaki örnekte, ifade listesindeki değerlerin hiçbirini user.department değeri eşitse true olarak değerlendirilir:In the following example, the expression evaluates to true if the value of user.department equals any of the values in the list:

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

Kullanarak eşleştirme işleciUsing the -match operator

-Eşleşen işleci, herhangi bir normal ifade eşleştirmesi için kullanılır.The -match operator is used for matching any regular expression. Örnekler:Examples:

user.displayName -match "Da.*"   

True olarak da, Dav, David değerlendirmek, aDa yanlış olarak değerlendirilir.Da, Dav, David evaluate to true, aDa evaluates to false.

user.displayName -match ".*vid"

David true olarak değerlendirilen, bu Da yanlış olarak değerlendirilir.David evaluates to true, Da evaluates to false.

Desteklenen değerlerSupported values

Bir ifadede kullanılan değerleri dahil olmak üzere birkaç türde oluşabilir:The values used in an expression can consist of several types, including:

  • DizelerStrings
  • Boole: true, falseBoolean – true, false
  • SayılarNumbers
  • Diziler – sayı dizisi, dize dizisiArrays – number array, string array

Bir ifade içinde bir değer belirtmek için doğru sözdizimi hataları önlemek önemlidir.When specifying a value within an expression it is important to use the correct syntax to avoid errors. Bazı söz dizimi ipuçları şunlardır:Some syntax tips are:

  • Değer bir dize olmadığı sürece tırnak isteğe bağlıdır.Double quotes are optional unless the value is a string.
  • Dize ve normal ifade işlemleri büyük/küçük harfe duyarlı değildir.String and regex operations are not case sensitive.
  • Bir dize değeri çift tırnak işareti içeriyorsa, her iki kullanarak kaçış karakterli tırnak işaretleri ` örneğin user.department - eq karakter `"Sales`" değeri "Sales" olduğunda doğru sözdizimi şöyledir.When a string value contains double quotes, both quotes should be escaped using the ` character, for example, user.department -eq `"Sales`" is the proper syntax when "Sales" is the value.
  • Null bir değer olarak, örneğin, kullanarak Null denetimlerini gerçekleştirebilir user.department -eq null.You can also perform Null checks, using null as a value, for example, user.department -eq null.

Null değerlerin kullanınUse of Null values

Null değeri bir kuralda belirtmek için kullanabileceğiniz null değeri.To specify a null value in a rule, you can use the null value.

  • -Eq veya kullanın - ne karşılaştırılırken null değeri bir ifade.Use -eq or -ne when comparing the null value in an expression.
  • Sözcüğü tırnak kullanın null yalnızca bir değişmez dize değeri yorumlanması için istiyorsanız.Use quotes around the word null only if you want it to be interpreted as a literal string value.
  • Not işleci kullanılamaz bir karşılaştırma işleci olarak null.The -not operator can't be used as a comparative operator for null. Bunu kullanırsanız, null kullanıp veya $null hata alırsınız.If you use it, you get an error whether you use null or $null.

Null değerine başvurmak üzere doğru şekilde aşağıdaki gibidir:The correct way to reference the null value is as follows:

   user.mail –ne null

Birden çok ifadelerle kurallarıRules with multiple expressions

Bir grup üyeliği kuralı tarafından bağlanmış birden fazla tek ifade oluşabilir ve, - veya ve - olmayan mantıksal işleçler.A group membership rule can consist of more than one single expression connected by the -and, -or, and -not logical operators. Mantıksal işleçler de birlikte kullanılabilir.Logical operators can also be used in combination.

Birden fazla ifade ile doğru şekilde oluşturulmuş Üyelik kuralları örnekleri şunlardır:The following are examples of properly constructed membership rules with multiple expressions:

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -contains "SDE")

İşleç önceliğiOperator precedence

Tüm işleçler, öncelik en yüksekten en düşüğe sırayla aşağıda listelenmiştir.All operators are listed below in order of precedence from highest to lowest. Aynı satırda işleçleri eşit önceliği vardır:Operators on same line are of equal precedence:

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all

İşleç önceliği örneği kullanıcı için iki ifadeden değerlendirilen burada verilmiştir:The following is an example of operator precedence where two expressions are being evaluated for the user:

   user.department –eq "Marketing" –and user.country –eq "US"

Yalnızca önceliği gereksinimlerinizi karşılamadığında parantez gereklidir.Parentheses are needed only when precedence does not meet your requirements. İlk değerlendirilecek departmanı istiyorsanız, örneğin, aşağıdaki parantez sırasını belirlemek için nasıl kullanılabileceğini gösterir:For example, if you want department to be evaluated first, the following shows how parentheses can be used to determine order:

   user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

Karmaşık ifadeleri ile kurallarıRules with complex expressions

Bir üyelik kuralı burada daha karmaşık formlarında özelliklerini, işleçlerini ve değerlerini almak karmaşık ifadeleri oluşabilir.A membership rule can consist of complex expressions where the properties, operators, and values take on more complex forms. Aşağıdakilerden herhangi biri doğru olduğunda karmaşık ifadeleri olarak değerlendirilir:Expressions are considered complex when any of the following are true:

  • Özellik değerlerinin koleksiyonunu oluşur; Özellikle, birden çok değerli özelliklerThe property consists of a collection of values; specifically, multi-valued properties
  • İfadeleri kullanma tüm ve - tüm işleçleriThe expressions use the -any and -all operators
  • İfadenin değerini kendi bir veya daha fazla ifade olabilirThe value of the expression can itself be one or more expressions

Birden çok değerli özelliklerMulti-value properties

Birden çok değerli özellikler aynı türde nesne koleksiyonlarıdır.Multi-value properties are collections of objects of the same type. Kullanarak Üyelik kuralları oluşturmak için kullanılabilir tüm ve - tüm mantıksal işleçler.They can be used to create membership rules using the -any and -all logical operators.

ÖzelliklerProperties DeğerlerValues KullanımUsage
assignedPlansassignedPlans Koleksiyondaki her nesne aşağıdaki dize özellikleri sunar: capabilityStatus, hizmeti, servicePlanIdEach object in the collection exposes the following string properties: capabilityStatus, service, servicePlanId user.assignedPlans-tüm (assignedPlan.servicePlanId - eq "efb87545-963c-4e0d-99df-69c6916d9eb0"- ve assignedPlan.capabilityStatus - eq "Etkin")user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
proxyAddressesproxyAddresses SMTP: alias@domain smtp: alias@domainSMTP: alias@domain smtp: alias@domain (user.proxyAddresses-tüm (_ -"contoso" içeren))(user.proxyAddresses -any (_ -contains "contoso"))

Kullanarak tüm ve - tüm işleçleriUsing the -any and -all operators

Kullanabileceğiniz - sırasıyla bir koşul koleksiyondaki öğelerin tümünü veya bir uygulamak için herhangi bir ve - tüm işleçler.You can use -any and -all operators to apply a condition to one or all of the items in the collection, respectively.

  • -Tüm (ne zaman en az koleksiyondaki bir öğe koşulu ile eşleşen memnun)-any (satisfied when at least one item in the collection matches the condition)
  • -(tüm koleksiyondaki tüm öğeler koşulu eşleştiğinde memnun)-all (satisfied when all items in the collection match the condition)

Örnek 1Example 1

assignedPlans kullanıcıya atanan tüm hizmet planları listeleyen birden çok değerli bir özelliktir.assignedPlans is a multi-value property that lists all service plans assigned to the user. Aşağıdaki ifade, aynı zamanda etkin durumda olan Exchange Online (Plan 2) hizmet planına (bir GUID değeri) sahip kullanıcılar seçer:The following expression selects users who have the Exchange Online (Plan 2) service plan (as a GUID value) that is also in Enabled state:

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

Bunun gibi bir kural, tüm kullanıcılar için Grup için kullanılabilir bir Office 365 (veya diğer Microsoft çevrimiçi hizmet) özelliği etkinleştirilir.A rule such as this one can be used to group all users for whom an Office 365 (or other Microsoft Online Service) capability is enabled. Ardından, bir ilke kümesi ile grubuna uygulayabilirsiniz.You could then apply with a set of policies to the group.

Örnek 2Example 2

Aşağıdaki ifade (hizmet adı "SCO" tarafından tanımlanır) Intune hizmeti ile ilişkili olan tüm hizmet planına sahip tüm kullanıcılar'ı seçer:The following expression selects all users who have any service plan that is associated with the Intune service (identified by service name "SCO"):

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")

Alt çizgi kullanarak (_) söz dizimiUsing the underscore (_) syntax

Alt çizgi (_) sözdizimi ile eşleşen bir kullanıcı veya cihaz için dinamik bir grup eklemek için birden çok değerli dize koleksiyon özelliklerini belirli bir değerin.The underscore (_) syntax matches occurrences of a specific value in one of the multivalued string collection properties to add users or devices to a dynamic group. İle kullanılan veya - tüm işleçler.It is used with the -any or -all operators.

Aşağıda, alt çizgi kullanarak bir örnek (_) (çalıştığını user.otherMails aynı) user.proxyAddress alarak üyeleri eklemek için bir kural içinde.Here's an example of using the underscore (_) in a rule to add members based on user.proxyAddress (it works the same for user.otherMails). Bu kural grubuna "contoso" içeren proxy adresine sahip herhangi bir kullanıcı ekler.This rule adds any user with proxy address that contains "contoso" to the group.

(user.proxyAddresses -any (_ -contains "contoso"))

Diğer özellikleri ve genel kurallarıOther properties and common rules

"Bağlı çalışanları" kuralı oluşturmaCreate a "Direct reports" rule

Bir yönetici, tüm bağlı çalışanları içeren bir grup oluşturabilirsiniz.You can create a group containing all direct reports of a manager. Yöneticinin çalışanların gelecekteki değiştirdiğinizde, Grup üyeliğini otomatik olarak ayarlanır.When the manager's direct reports change in the future, the group's membership is adjusted automatically.

Bağlı çalışanları kuralı aşağıdaki sözdizimi kullanılarak oluşturulur:The direct reports rule is constructed using the following syntax:

Direct Reports for "{objectID_of_manager}"

"62e19b97-8b3d-4d4a-a106-4ce66896a863" objectID Yöneticisi olduğu geçerli bir kural, bir örnek aşağıda verilmiştir:Here's an example of a valid rule where "62e19b97-8b3d-4d4a-a106-4ce66896a863" is the objectID of the manager:

Direct Reports for "62e19b97-8b3d-4d4a-a106-4ce66896a863"

Aşağıdaki ipuçları, kuralın düzgün şekilde kullanmanıza yardımcı olabilir.The following tips can help you use the rule properly.

  • Yöneticisi kimliği Yöneticisi nesne kimliği.The Manager ID is the object ID of the manager. Yöneticinin içinde bulunabilir profili.It can be found in the manager's Profile.
  • İş kuralı için emin Manager özelliği düzgün şekilde ayarlandığını kiracınızdaki kullanıcılar için.For the rule to work, make sure the Manager property is set correctly for users in your tenant. Kullanıcının geçerli değerinin denetleyebilirsiniz profili.You can check the current value in the user's Profile.
  • Bu kural yalnızca doğrudan Rapor Yöneticisi'nin destekler.This rule supports only the manager's direct reports. Diğer bir deyişle, yöneticinin bağlı çalışanları ile bir grubu oluşturulamıyor. ve raporlarının.In other words, you can't create a group with the manager's direct reports and their reports.
  • Bu kural, herhangi bir üyelik kuralları ile birleştirilemez.This rule can't be combined with any other membership rules.

"Tüm kullanıcılar" kuralı oluşturmaCreate an "All users" rule

Bir üyelik kuralı kullanılarak bir kiracı içindeki tüm kullanıcıları içeren bir grup oluşturabilirsiniz.You can create a group containing all users within a tenant using a membership rule. Kullanıcılar eklendiğinde veya kiracıdan gelecekte kaldırıldığında, Grup üyeliğini otomatik olarak ayarlanır.When users are added or removed from the tenant in the future, the group's membership is adjusted automatically.

"Tüm kullanıcılar" kuralı, - ne işleci ve null değerini kullanarak tek bir ifade kullanılarak oluşturulur.The "All users" rule is constructed using single expression using the -ne operator and the null value. Bu kural, B2B konuk kullanıcıların yanı sıra üye kullanıcıları gruba ekler.This rule adds B2B guest users as well as member users to the group.

user.objectid -ne null

"Tüm cihazlar" kuralı oluşturmaCreate an "All devices" rule

Bir üyelik kuralı kullanılarak bir kiracı içindeki tüm cihazları içeren bir grup oluşturabilirsiniz.You can create a group containing all devices within a tenant using a membership rule. Aygıtlar eklendiğinde veya kiracıdan gelecekte kaldırıldığında, Grup üyeliğini otomatik olarak ayarlanır.When devices are added or removed from the tenant in the future, the group's membership is adjusted automatically.

"Tüm cihazlar" kuralı, - ne işleci ve null değerini kullanarak tek bir ifade kullanılarak oluşturulur:The "All Devices" rule is constructed using single expression using the -ne operator and the null value:

device.objectid -ne null

Uzantı özellikleri ve özel uzantı özellikleriExtension properties and custom extension properties

Uzantı öznitelikleri ve özel uzantı özellikleri, dinamik Üyelik kuralları dize özellikleri olarak desteklenir.Extension attributes and custom extension properties are supported as string properties in dynamic membership rules. Uzantı öznitelikleri, şirket içi Windows Server AD eşitlenir ve "burada X, 1-15 eşit ExtensionAttributeX" biçiminin gerçekleştirin.Extension attributes are synced from on-premises Window Server AD and take the format of "ExtensionAttributeX", where X equals 1 - 15. Bir özellik olarak uzantısı özniteliği kullanan bir kural, bir örnek aşağıda verilmiştir:Here's an example of a rule that uses an extension attribute as a property:

(user.extensionAttribute15 -eq "Marketing")

Özel uzantı özellikleri şirket içi Windows Server AD veya bağlı bir SaaS uygulama eşitlenir ve biçimi olan user.extension_[GUID]__[Attribute]burada:Custom extension properties are synced from on-premises Windows Server AD or from a connected SaaS application and are of the format of user.extension_[GUID]__[Attribute], where:

  • [GUID], Özelliği Azure AD'de oluşturulan uygulama için Azure AD'de benzersiz tanımlayıcısı değil.[GUID] is the unique identifier in Azure AD for the application that created the property in Azure AD
  • [Attribute] oluşturulduğu özelliğin adını aynıdır[Attribute] is the name of the property as it was created

Özel uzantı özelliği kullanan bir kural örneğidir:An example of a rule that uses a custom extension property is:

user.extension_c272a57b722d4eb29bfe327874ae79cb__OfficeNumber -eq "123"

Özel özellik adını bir kullanıcı sorgulayarak dizininde bulunabilir özelliği Graph Gezgini kullanarak ve arama özellik adı.The custom property name can be found in the directory by querying a user's property using Graph Explorer and searching for the property name. Ayrıca, artık seçebilirsiniz özel uzantı özelliklerini alma bağlantı benzersiz uygulama Kimliğini girin ve bir dinamik üyelik kuralı oluşturulurken kullanılacak özel uzantı özelliklerinin tam listesini almak için dinamik kullanıcı grubu kuralı Oluşturucusu.Also, you can now select Get custom extension properties link in the dynamic user group rule builder to enter a unique app ID and receive the full list of custom extension properties to use when creating a dynamic membership rule. Bu liste, bu uygulama için tüm yeni özel uzantı özellikleri almak için aynı zamanda yenilenebilir.This list can also be refreshed to get any new custom extension properties for that app.

Cihazlar için kurallarıRules for devices

Ayrıca, bir gruptaki üyelik için cihaz nesnelerinin seçen bir kural oluşturabilirsiniz.You can also create a rule that selects device objects for membership in a group. Grup üyeleri hem kullanıcılar hem de cihazlara sahip olamaz.You can't have both users and devices as group members. OrganizationalUnit özniteliği artık listelenir ve kullanılmamalıdır.The organizationalUnit attribute is no longer listed and should not be used. Bu dize, Intune tarafından belirli durumlarda ayarlanır ancak hiçbir cihaz Bu öznitelikte göre gruplara eklenir, böylece Azure AD tarafından tanınmıyor.This string is set by Intune in specific cases but is not recognized by Azure AD, so no devices are added to groups based on this attribute.

Aşağıdaki cihaz öznitelikleri kullanılabilir.The following device attributes can be used.

Cihaz özniteliğiDevice attribute DeğerlerValues ÖrnekExample
accountEnabledaccountEnabled doğru yanlıştrue false (device.accountEnabled - eq true)(device.accountEnabled -eq true)
displayNamedisplayName herhangi bir dize değeriany string value (device.displayName -eq "Rob iPhone")(device.displayName -eq "Rob iPhone")
deviceOSTypedeviceOSType herhangi bir dize değeriany string value (cihaz.cihazostürü - eq "iPad")- veya (cihaz.cihazostürü - eq "iPhone")(device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iPhone")
(cihaz.cihazostürü-"AndroidEnterprise" içerir)(device.deviceOSType -contains "AndroidEnterprise")
(cihaz.cihazostürü - eq "AndroidForWork")(device.deviceOSType -eq "AndroidForWork")
deviceOSVersiondeviceOSVersion herhangi bir dize değeriany string value (device.deviceOSVersion - eq "9.1")(device.deviceOSVersion -eq "9.1")
deviceCategorydeviceCategory Geçerli cihaz kategorisi adıa valid device category name (device.deviceCategory - eq "KCG")(device.deviceCategory -eq "BYOD")
deviceManufacturerdeviceManufacturer herhangi bir dize değeriany string value (device.deviceManufacturer -eq "Samsung")(device.deviceManufacturer -eq "Samsung")
deviceModeldeviceModel herhangi bir dize değeriany string value (device.deviceModel - eq "iPad hava")(device.deviceModel -eq "iPad Air")
deviceOwnershipdeviceOwnership Kişisel, şirket, bilinmeyenPersonal, Company, Unknown (device.deviceOwnership - eq "Şirket")(device.deviceOwnership -eq "Company")
enrollmentProfileNameenrollmentProfileName Apple cihaz kayıt profili ya da Windows Autopilot profili adıApple Device Enrollment Profile or Windows Autopilot profile name (device.enrollmentProfileName - eq "DEP iPhone")(device.enrollmentProfileName -eq "DEP iPhones")
isRootedisRooted doğru yanlıştrue false (device.isRooted - eq true)(device.isRooted -eq true)
managementTypemanagementType MDM (mobil cihazlar için)MDM (for mobile devices)
Bilgisayar (Intune PC aracısı tarafından yönetilen bilgisayarlar için)PC (for computers managed by the Intune PC agent)
(device.managementType - eq "MDM")(device.managementType -eq "MDM")
deviceIddeviceId Geçerli bir Azure AD cihaz kimliğia valid Azure AD device ID (device.deviceId - eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d")(device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d")
objectIdobjectId Geçerli bir Azure AD nesne kimliğia valid Azure AD object ID (device.objectId - eq 76ad43c9-32c5-45e8-a272-7b58b58f596d")(device.objectId -eq 76ad43c9-32c5-45e8-a272-7b58b58f596d")
systemLabelssystemLabels Modern iş yeri cihazları etiketleme için Intune cihaz özelliği eşleşen herhangi bir dizeany string matching the Intune device property for tagging Modern Workplace devices (device.systemLabels-"M365Managed" içerir)(device.systemLabels -contains "M365Managed")

Not

Dinamik gruplar için cihazları oluştururken deviceOwnership için değer "Şirket" eşit ayarlamanız gerekir.For the deviceOwnership when creating Dynamic Groups for devices you need to set the value equal to "Company". Intune cihaz sahipliğini şirket bunun yerine gösterilir.On Intune the device ownership is represented instead as Corporate. Başvurmak OwnerTypes daha fazla ayrıntı için.Refer to OwnerTypes for more details.

Sonraki adımlarNext steps

Bu makaleler, Azure Active Directory içinde grupları hakkında ek bilgi sağlar.These articles provide additional information on groups in Azure Active Directory.