Azure Active Directory gruplar için dinamik üyelik kurallarıDynamic membership rules for groups in Azure Active Directory

Azure Active Directory (Azure AD) ' de, gruplar için dinamik üyelikleri etkinleştirmek üzere karmaşık öznitelik tabanlı kurallar oluşturabilirsiniz.In Azure Active Directory (Azure AD), you can create complex attribute-based rules to enable dynamic memberships for groups. Dinamik grup üyeliği, Kullanıcı ekleme ve kaldırma yönetim yükünü azaltır.Dynamic group membership reduces the administrative overhead of adding and removing users. Bu makalede, kullanıcılar veya cihazlar için dinamik üyelik kuralları oluşturmaya yönelik özellikler ve söz dizimi ayrıntılı olarak açıklanır.This article details the properties and syntax to create dynamic membership rules for users or devices. Güvenlik gruplarında veya Office 365 gruplarında dinamik üyelik için bir kural ayarlayabilirsiniz.You can set up a rule for dynamic membership on security groups or Office 365 groups.

Bir kullanıcının veya cihazın herhangi bir özniteliği değiştiğinde, sistem, değişikliğin herhangi bir grup ekleme veya kaldırma tetikleyip tetikleyemeyeceğini görmek için bir dizindeki tüm dinamik grup kurallarını değerlendirir.When any attributes of a user or device change, the system evaluates all dynamic group rules in a directory to see if the change would trigger any group adds or removes. Bir kullanıcı veya cihaz bir gruptaki bir kuralı karşılıyorsa, bu grubun üyesi olarak eklenir.If a user or device satisfies a rule on a group, they are added as a member of that group. Kuralı artık karşılamadığı takdirde bunlar kaldırılır.If they no longer satisfy the rule, they are removed. Dinamik bir grubun bir üyesini el ile ekleyemez veya kaldıramazsınız.You can't manually add or remove a member of a dynamic group.

  • Cihazlar veya kullanıcılar için dinamik bir grup oluşturabilirsiniz, ancak hem Kullanıcı hem de cihaz içeren bir kural oluşturamazsınız.You can create a dynamic group for devices or for users, but you can't create a rule that contains both users and devices.
  • Cihaz sahiplerinin özniteliklerini temel alan bir cihaz grubu oluşturamazsınız.You can't create a device group based on the device owners' attributes. Cihaz Üyelik kuralları yalnızca cihaz özniteliklerine başvurabilir.Device membership rules can only reference device attributes.

Not

Bu özellik bir veya daha fazla dinamik grubun üyesi olan her benzersiz kullanıcı için Azure AD Premium P1 lisansı gerektirir.This feature requires an Azure AD Premium P1 license for each unique user that is a member of one or more dynamic groups. Kullanıcılara, dinamik grupların üyesi olmaları için lisans atamanız gerekmez, ancak bu gibi tüm kullanıcıları kapsayacak şekilde Kiracıdaki en az sayıda lisansa sahip olmanız gerekir.You don't have to assign licenses to users for them to be members of dynamic groups, but you must have the minimum number of licenses in the tenant to cover all such users. Örneğin, kiracınızdaki tüm dinamik gruplarda toplam 1.000 benzersiz kullanıcınız varsa, lisans gereksinimini karşılamak için Azure AD Premium P1 için en az 1.000 lisansa sahip olmanız gerekir.For example, if you had a total of 1,000 unique users in all dynamic groups in your tenant, you would need at least 1,000 licenses for Azure AD Premium P1 to meet the license requirement.

Üyelik kuralının gövdesini oluşturmaConstructing the body of a membership rule

Bir grubu Kullanıcı veya cihazlarla otomatik olarak dolduran bir üyelik kuralı, doğru veya yanlış bir sonuç elde eden bir ikili ifadedir.A membership rule that automatically populates a group with users or devices is a binary expression that results in a true or false outcome. Basit bir kuralın üç bölümü şunlardır:The three parts of a simple rule are:

  • ÖzellikProperty
  • OperatorOperator
  • ValueValue

İfade içindeki parçaların sırası, söz dizimi hatalarından kaçınmak için önemlidir.The order of the parts within an expression are important to avoid syntax errors.

Azure portal kural OluşturucuRule builder in the Azure portal

Azure AD, önemli kurallarınızı daha hızlı bir şekilde oluşturmak ve güncelleştirmek için bir kural Oluşturucusu sağlar.Azure AD provides a rule builder to create and update your important rules more quickly. Kural Oluşturucusu en fazla beş kuralı destekler.The rule builder supports up to five rules. Altıncı ve sonraki bir kural terimi eklemek için metin kutusunu kullanmanız gerekir.To add a sixth and any subsequent rule terms, you must use the text box. Daha fazla adım adım yönergeler için bkz. dinamik grubu güncelleştirme.For more step-by-step instructions, see Update a dynamic group.

Dinamik bir grup için üyelik kuralı ekle

Tek bir ifade içeren kurallarRules with a single expression

Tek bir ifade, üyelik kuralının en basit biçimidir ve yalnızca yukarıda belirtilen üç bölümden oluşur.A single expression is the simplest form of a membership rule and only has the three parts mentioned above. Tek bir ifade içeren bir kural şuna benzer: Property Operator Value, burada özelliğin sözdizimi Object. Property adıdır.A rule with a single expression looks similar to this: Property Operator Value, where the syntax for the property is the name of object.property.

Aşağıda, tek bir ifadeyle doğru şekilde oluşturulmuş bir üyelik kuralına örnek verilmiştir:The following is an example of a properly constructed membership rule with a single expression:

user.department -eq "Sales"

Parantezler tek bir ifade için isteğe bağlıdır.Parentheses are optional for a single expression. Üyelik kuralınız gövdesinin toplam uzunluğu 2048 karakteri aşamaz.The total length of the body of your membership rule cannot exceed 2048 characters.

Desteklenen özelliklerSupported properties

Üyelik kuralı oluşturmak için kullanılabilecek üç tür özellik vardır.There are three types of properties that can be used to construct a membership rule.

  • Boole değeriBoolean
  • DizeString
  • Dize koleksiyonuString collection

Aşağıda, tek bir ifade oluşturmak için kullanabileceğiniz Kullanıcı özellikleri verilmiştir.The following are the user properties that you can use to create a single expression.

Boole türü özellikleriProperties of type boolean

ÖzelliklerProperties İzin verilen değerlerAllowed values KullanımUsage
accountEnabledaccountEnabled doğru yanlıştrue false User. accountEnabled-EQ doğruuser.accountEnabled -eq true
dirSyncEnableddirSyncEnabled doğru yanlıştrue false User. dirSyncEnabled-EQ doğruuser.dirSyncEnabled -eq true

Dize türü özellikleriProperties of type string

ÖzelliklerProperties İzin verilen değerlerAllowed values KullanımUsage
citycity Herhangi bir dize değeri veya nullAny string value or null (User. City-EQ "değer")(user.city -eq "value")
ülkecountry Herhangi bir dize değeri veya nullAny string value or null (User. Country-EQ "değer")(user.country -eq "value")
TadıcompanyName Herhangi bir dize değeri veya nullAny string value or null (User. companyName-EQ "değer")(user.companyName -eq "value")
Bölümdepartment Herhangi bir dize değeri veya nullAny string value or null (User. Department-EQ "değer")(user.department -eq "value")
displayNamedisplayName Herhangi bir dize değeriAny string value (User. displayName-EQ "değer")(user.displayName -eq "value")
ÇalışanemployeeId Herhangi bir dize değeriAny string value (User. EmployeeID-EQ "Value")(user.employeeId -eq "value")
(User. EmployeeID-ne null)(user.employeeId -ne null)
facsimileTelephoneNumberfacsimileTelephoneNumber Herhangi bir dize değeri veya nullAny string value or null (User. facsimileTelephoneNumber-EQ "değer")(user.facsimileTelephoneNumber -eq "value")
givenNamegivenName Herhangi bir dize değeri veya nullAny string value or null (User.,-EQ "Value")(user.givenName -eq "value")
İş UnvanıjobTitle Herhangi bir dize değeri veya nullAny string value or null (User. jobTitle-EQ "değer")(user.jobTitle -eq "value")
postamail Herhangi bir dize değeri veya null (kullanıcının SMTP adresi)Any string value or null (SMTP address of the user) (User. Mail-EQ "değer")(user.mail -eq "value")
mailNickNamemailNickName Herhangi bir dize değeri (kullanıcının posta diğer adı)Any string value (mail alias of the user) (User. Mailtakma ad-EQ "değer")(user.mailNickName -eq "value")
Mobilmobile Herhangi bir dize değeri veya nullAny string value or null (User. Mobile-EQ "değer")(user.mobile -eq "value")
objectIdobjectId Kullanıcı nesnesinin GUID 'SIGUID of the user object (User. ObjectID-EQ "11111111-1111-1111-1111-111111111111")(user.objectId -eq "11111111-1111-1111-1111-111111111111")
onPremisesSecurityIdentifieronPremisesSecurityIdentifier Şirket içinden buluta eşitlenen kullanıcılar için şirket içi güvenlik tanımlayıcısı (SID).On-premises security identifier (SID) for users who were synchronized from on-premises to the cloud. (User. onPremisesSecurityIdentifier-EQ "S-1-1-11-1111111111-1111111111-1111111111-1111111")(user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111")
passwordPoliciespasswordPolicies None DisableStrongPassword Disablepasswordexpiasyon Disablepasswordexpima, DisableStrongPasswordNone DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword (User. passwordPolicies-EQ "DisableStrongPassword")(user.passwordPolicies -eq "DisableStrongPassword")
physicalDeliveryOfficeNamephysicalDeliveryOfficeName Herhangi bir dize değeri veya nullAny string value or null (User. Physicaldeliveryofficeename-EQ "Value")(user.physicalDeliveryOfficeName -eq "value")
posta kodupostalCode Herhangi bir dize değeri veya nullAny string value or null (User. PostaKodu-EQ "değer")(user.postalCode -eq "value")
preferredLanguagepreferredLanguage ISO 639-1 koduISO 639-1 code (User. preferredLanguage-EQ "en-US")(user.preferredLanguage -eq "en-US")
sipProxyAddresssipProxyAddress Herhangi bir dize değeri veya nullAny string value or null (User. sipProxyAddress-EQ "değer")(user.sipProxyAddress -eq "value")
statestate Herhangi bir dize değeri veya nullAny string value or null (User. State-EQ "değer")(user.state -eq "value")
streetAddressstreetAddress Herhangi bir dize değeri veya nullAny string value or null (User. streetAddress-EQ "değer")(user.streetAddress -eq "value")
Soyadısurname Herhangi bir dize değeri veya nullAny string value or null (User. soyad-EQ "Value")(user.surname -eq "value")
telephoneNumber 'dırtelephoneNumber Herhangi bir dize değeri veya nullAny string value or null (User. telephoneNumber-EQ "değer")(user.telephoneNumber -eq "value")
usageLocationusageLocation İki kodlu ülke koduTwo lettered country code (User. usageLocation-EQ "US")(user.usageLocation -eq "US")
userPrincipalNameuserPrincipalName Herhangi bir dize değeriAny string value (User. userPrincipalName-EQ "alias@domain")(user.userPrincipalName -eq "alias@domain")
userTypeuserType üye Konuk nullmember guest null (User. userType-EQ "üye")(user.userType -eq "Member")

Dize koleksiyonu türü özellikleriProperties of type string collection

ÖzelliklerProperties İzin verilen değerlerAllowed values KullanımUsage
Diğer postalarotherMails Herhangi bir dize değeriAny string value (User. Otherpostalarını-"alias@domain" içerir)(user.otherMails -contains "alias@domain")
proxyAddressesproxyAddresses SMTP: alias@domain SMTP:alias@domainSMTP: alias@domain smtp: alias@domain (User. proxyAddresses-"SMTP: alias@domain" içerir)(user.proxyAddresses -contains "SMTP: alias@domain")

Cihaz kuralları için kullanılan özellikler için bkz. Cihazlar Için kurallar.For the properties used for device rules, see Rules for devices.

Desteklenen işleçlerSupported operators

Aşağıdaki tabloda, tek bir ifade için desteklenen tüm işleçler ve bunların sözdizimi listelenmektedir.The following table lists all the supported operators and their syntax for a single expression. İşleçler, kısa çizgi (-) öneki ile veya bu önek olmadan kullanılabilir.Operators can be used with or without the hyphen (-) prefix.

OperatorOperator SözdizimiSyntax
Eşit değildirNot Equals -ne-ne
EşittirEquals -EQ-eq
Ile birlikte başlarNot Starts With -notStartsWith-notStartsWith
Şununla başlarStarts With -startsWith-startsWith
İçermezNot Contains -notContains-notContains
İçerirContains -içerir-contains
EşleşmiyorNot Match -notMatch-notMatch
EşleşmeMatch -Match-match
İçindeIn -ın-in
Not ınNot In -Notın-notIn

-İn ve-Notın işleçlerini kullanmaUsing the -in and -notIn operators

Bir kullanıcı özniteliğinin değerini bir dizi farklı değerle karşılaştırmak istiyorsanız-ın veya-Notın işleçlerini kullanabilirsiniz.If you want to compare the value of a user attribute against a number of different values you can use the -in or -notIn operators. Değer listesini başlatmak ve sonlandırmak için köşeli ayraç sembolleri "[" ve "]" kullanın.Use the bracket symbols "[" and "]" to begin and end the list of values.

Aşağıdaki örnekte, User. Department değeri listedeki değerlerden birine eşitse ifade true olarak değerlendirilir:In the following example, the expression evaluates to true if the value of user.department equals any of the values in the list:

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

-Match işlecini kullanmaUsing the -match operator

-Match işleci herhangi bir normal ifadeyi eşleştirmek için kullanılır.The -match operator is used for matching any regular expression. Örnekler:Examples:

user.displayName -match "Da.*"   

Da DAV, David true olarak değerlendirilir, aDa yanlış olarak değerlendirilir.Da, Dav, David evaluate to true, aDa evaluates to false.

user.displayName -match ".*vid"

David true olarak değerlendirilir, da false olarak değerlendirilir.David evaluates to true, Da evaluates to false.

Desteklenen değerlerSupported values

Bir ifadede kullanılan değerler, aşağıdakiler de dahil olmak üzere çeşitli türlerden oluşabilir:The values used in an expression can consist of several types, including:

  • DizelerStrings
  • Boolean – true, falseBoolean – true, false
  • SayılarınınNumbers
  • Diziler – sayı dizisi, dize dizisiArrays – number array, string array

Bir ifade içinde bir değer belirtirken, hataları önlemek için doğru sözdiziminin kullanılması önemlidir.When specifying a value within an expression it is important to use the correct syntax to avoid errors. Bazı sözdizimi ipuçları şunlardır:Some syntax tips are:

  • Değer bir dize değilse çift tırnak işaretleri isteğe bağlıdır.Double quotes are optional unless the value is a string.
  • Dize ve Regex işlemleri büyük/küçük harfe duyarlı değildir.String and regex operations are not case sensitive.
  • Bir dize değeri çift tırnak içeriyorsa, her iki tırnak de ` karakter kullanılarak atlanmalıdır, örneğin, "Sales" değeri olduğunda, Kullanıcı. departmanı-EQ `"Sales`" uygun sözdizimidir.When a string value contains double quotes, both quotes should be escaped using the ` character, for example, user.department -eq `"Sales`" is the proper syntax when "Sales" is the value.
  • Değer olarak null kullanarak null denetimleri de yapabilirsiniz, örneğin, user.department -eq null.You can also perform Null checks, using null as a value, for example, user.department -eq null.

Null değer kullanımıUse of Null values

Bir kuralda null değer belirtmek için null değeri kullanabilirsiniz.To specify a null value in a rule, you can use the null value.

  • Bir ifadede null değeri karşılaştırırken-EQ veya-ne ' i kullanın.Use -eq or -ne when comparing the null value in an expression.
  • Yalnızca bir sabit değer dize değeri olarak yorumlanması istiyorsanız, sözcüğü etrafında tırnak işareti kullanın.Use quotes around the word null only if you want it to be interpreted as a literal string value.
  • -Not işleci, null için karşılaştırılma işleci olarak kullanılamaz.The -not operator can't be used as a comparative operator for null. Kullanıyorsanız, null veya $null kullanıp kullanmayacağınızı bir hata alırsınız.If you use it, you get an error whether you use null or $null.

Null değere başvurmak için doğru yol aşağıdaki gibidir:The correct way to reference the null value is as follows:

   user.mail –ne null

Birden çok ifade olan kurallarRules with multiple expressions

Bir grup üyeliği kuralı-ve,-veya ve olmayan mantıksal işleçlerle bağlanmış birden fazla tek ifadeden oluşabilir.A group membership rule can consist of more than one single expression connected by the -and, -or, and -not logical operators. Mantıksal işleçler de birlikte kullanılabilir.Logical operators can also be used in combination.

Aşağıda, birden çok ifadeye sahip doğru şekilde oluşturulmuş Üyelik kuralları örnekleri verilmiştir:The following are examples of properly constructed membership rules with multiple expressions:

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -contains "SDE")

İşleç önceliğiOperator precedence

Tüm işleçler, en yüksekten en düşüğe öncelik sırasına göre aşağıda listelenmiştir.All operators are listed below in order of precedence from highest to lowest. Aynı satırdaki operatörler eşit önceliğe sahiptir:Operators on same line are of equal precedence:

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all

Aşağıda, iki ifadenin Kullanıcı için değerlendirildiği operatör önceinin bir örneği verilmiştir:The following is an example of operator precedence where two expressions are being evaluated for the user:

   user.department –eq "Marketing" –and user.country –eq "US"

Parantezler yalnızca öncelik gereksinimlerinizi karşılamıyorsa gereklidir.Parentheses are needed only when precedence does not meet your requirements. Örneğin, bölümün ilk olarak değerlendirilmesini istiyorsanız, sıralamayı belirlemede parantez nasıl kullanılabileceğini gösterir:For example, if you want department to be evaluated first, the following shows how parentheses can be used to determine order:

   user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

Karmaşık ifadelerle kurallarRules with complex expressions

Bir üyelik kuralı, özelliklerin, işleçlerin ve değerlerin daha karmaşık formlar üzerinde aldığı karmaşık ifadelerden oluşabilir.A membership rule can consist of complex expressions where the properties, operators, and values take on more complex forms. Aşağıdakilerden biri doğruysa ifadeler karmaşık kabul edilir:Expressions are considered complex when any of the following are true:

  • Özelliği bir değerler koleksiyonundan oluşur; Özellikle, çok değerli özelliklerThe property consists of a collection of values; specifically, multi-valued properties
  • İfadeler-any ve-All işleçlerini kullanırThe expressions use the -any and -all operators
  • İfadenin değeri bir veya daha fazla ifade olabilirThe value of the expression can itself be one or more expressions

Çoklu değerli özelliklerMulti-value properties

Birden çok değerli özellikler aynı türdeki nesne koleksiyonlarıdır.Multi-value properties are collections of objects of the same type. -Any ve-All mantıksal işleçlerini kullanarak Üyelik kuralları oluşturmak için kullanılabilirler.They can be used to create membership rules using the -any and -all logical operators.

ÖzelliklerProperties DeğerlerValues KullanımUsage
assignedPlansassignedPlans Koleksiyondaki her nesne şu dize özelliklerini kullanıma sunar: capabilityStatus, Service, ServiceplanıdEach object in the collection exposes the following string properties: capabilityStatus, service, servicePlanId User. assignedPlans-any (assignedPlan. Serviceplanıd-EQ "efb87545-963c-4e0d-99df-69c6916d9eb0"-ve assignedPlan. capabilityStatus-EQ "Enabled")user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
proxyAddressesproxyAddresses SMTP: alias@domain SMTP:alias@domainSMTP: alias@domain smtp: alias@domain (User. proxyAddresses-any (_ -Contains "contoso"))(user.proxyAddresses -any (_ -contains "contoso"))

-Any ve-All işleçlerini kullanmaUsing the -any and -all operators

-Any ve-All işleçlerini, sırasıyla koleksiyondaki öğelerin birine veya tümüne koşul uygulamak için kullanabilirsiniz.You can use -any and -all operators to apply a condition to one or all of the items in the collection, respectively.

  • -Any (koleksiyonda en az bir öğe koşulla eşleştiğinde karşılandı)-any (satisfied when at least one item in the collection matches the condition)
  • -Tümü (koleksiyondaki tüm öğeler koşulla eşleşiyorsa karşılandı)-all (satisfied when all items in the collection match the condition)

Örnek 1Example 1

assignedPlans, kullanıcıya atanan tüm hizmet planlarını listeleyen bir çoklu değerli özelliktir.assignedPlans is a multi-value property that lists all service plans assigned to the user. Aşağıdaki ifade, etkin durumda olan Exchange Online (plan 2) hizmet planına (GUID değeri olarak) sahip kullanıcıları seçer:The following expression selects users who have the Exchange Online (Plan 2) service plan (as a GUID value) that is also in Enabled state:

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

Bu bir kural, bir Office 365 (veya diğer Microsoft çevrimiçi hizmeti) özelliğinin etkinleştirildiği tüm kullanıcıları gruplandırmak için kullanılabilir.A rule such as this one can be used to group all users for whom an Office 365 (or other Microsoft Online Service) capability is enabled. Daha sonra gruba bir ilke kümesiyle uygulayabilirsiniz.You could then apply with a set of policies to the group.

Örnek 2Example 2

Aşağıdaki ifade, Intune hizmetiyle ilişkili herhangi bir hizmet planına sahip tüm kullanıcıları seçer (hizmet adı "SCO" ile tanımlanır):The following expression selects all users who have any service plan that is associated with the Intune service (identified by service name "SCO"):

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")

Alt çizgi (_) sözdizimini kullanmaUsing the underscore (_) syntax

Alt çizgi (_) sözdizimi, dinamik bir gruba kullanıcı veya cihaz eklemek için çok değerli dize koleksiyonu özelliklerinden birindeki belirli bir değerin oluşumlarıyla eşleşir.The underscore (_) syntax matches occurrences of a specific value in one of the multivalued string collection properties to add users or devices to a dynamic group. -Any veya-All işleçleri ile kullanılır.It is used with the -any or -all operators.

Burada, User. ProxyAddress 'a göre üye eklemek_için bir kuralda alt çizgi () kullanılmasına örnek verilmiştir (Kullanıcı. otherpostalarda aynı şekilde çalışmaktadır).Here's an example of using the underscore (_) in a rule to add members based on user.proxyAddress (it works the same for user.otherMails). Bu kural, "contoso" içeren proxy adresine sahip tüm kullanıcıları gruba ekler.This rule adds any user with proxy address that contains "contoso" to the group.

(user.proxyAddresses -any (_ -contains "contoso"))

Diğer özellikler ve ortak kurallarOther properties and common rules

"Doğrudan rapor" kuralı oluşturmaCreate a "Direct reports" rule

Bir yöneticinin tüm doğrudan raporlarını içeren bir grup oluşturabilirsiniz.You can create a group containing all direct reports of a manager. Daha sonra yöneticinin doğrudan raporları değiştiğinde grubun üyeliği otomatik olarak ayarlanır.When the manager's direct reports change in the future, the group's membership is adjusted automatically.

Doğrudan raporlar kuralı aşağıdaki sözdizimi kullanılarak oluşturulur:The direct reports rule is constructed using the following syntax:

Direct Reports for "{objectID_of_manager}"

Aşağıda, "62e19b97-8b3d-4d4a-A106-4ce66896a863" öğesinin, yöneticinin ObjectID olduğu geçerli bir kurala örnek verilmiştir:Here's an example of a valid rule where "62e19b97-8b3d-4d4a-a106-4ce66896a863" is the objectID of the manager:

Direct Reports for "62e19b97-8b3d-4d4a-a106-4ce66896a863"

Aşağıdaki ipuçları, kuralı düzgün şekilde kullanmanıza yardımcı olabilir.The following tips can help you use the rule properly.

  • Yönetıcı kimliği , YÖNETICININ nesne kimliğidir.The Manager ID is the object ID of the manager. Bu, yöneticinin profilindebulunabilir.It can be found in the manager's Profile.
  • Kuralın çalışması için, kiracınızdaki kullanıcılar için Manager özelliğinin doğru ayarlandığından emin olun.For the rule to work, make sure the Manager property is set correctly for users in your tenant. Kullanıcının profilindekigeçerli değeri kontrol edebilirsiniz.You can check the current value in the user's Profile.
  • Bu kural yalnızca yöneticinin doğrudan raporlarını destekler.This rule supports only the manager's direct reports. Diğer bir deyişle, yöneticinin doğrudan raporlarının ve raporlarının bulunduğu bir grup oluşturamazsınız.In other words, you can't create a group with the manager's direct reports and their reports.
  • Bu kural diğer üyelik kurallarıyla birleştirilemez.This rule can't be combined with any other membership rules.

"Tüm kullanıcılar" kuralı oluşturmaCreate an "All users" rule

Bir üyelik kuralı kullanarak bir kiracının içindeki tüm kullanıcıları içeren bir grup oluşturabilirsiniz.You can create a group containing all users within a tenant using a membership rule. Kullanıcılar gelecekte kiracıya eklendiğinde veya kiracıdan çıkarıldığında grubun üyeliği otomatik olarak ayarlanır.When users are added or removed from the tenant in the future, the group's membership is adjusted automatically.

"Tüm kullanıcılar" kuralı-ne işleci ve null değeri kullanılarak tek bir ifade kullanılarak oluşturulur.The "All users" rule is constructed using single expression using the -ne operator and the null value. Bu kural, B2B Konuk kullanıcılarını ve üye kullanıcıları gruba ekler.This rule adds B2B guest users as well as member users to the group.

user.objectid -ne null

"Tüm cihazlar" kuralı oluşturmaCreate an "All devices" rule

Bir üyelik kuralı kullanarak bir kiracının içindeki tüm cihazları içeren bir grup oluşturabilirsiniz.You can create a group containing all devices within a tenant using a membership rule. Cihazlarda bir cihaz eklendiğinde veya kiracıya kaldırıldığında grubun üyeliği otomatik olarak ayarlanır.When devices are added or removed from the tenant in the future, the group's membership is adjusted automatically.

"Tüm cihazlar" kuralı-ne işleci ve null değeri kullanılarak tek bir ifade kullanılarak oluşturulur:The "All Devices" rule is constructed using single expression using the -ne operator and the null value:

device.objectid -ne null

Uzantı özellikleri ve özel uzantı özellikleriExtension properties and custom extension properties

Uzantı öznitelikleri ve özel uzantı özellikleri, dinamik üyelik kurallarında dize özellikleri olarak desteklenir.Extension attributes and custom extension properties are supported as string properties in dynamic membership rules. Uzantı öznitelikleri şirket içi Windows Server AD 'den eşitlenir ve "ExtensionAttributeX" biçimini alır, burada X eşittir 1-15.Extension attributes are synced from on-premises Window Server AD and take the format of "ExtensionAttributeX", where X equals 1 - 15. Bir özellik olarak uzantı özniteliği kullanan bir kurala örnek aşağıda verilmiştir:Here's an example of a rule that uses an extension attribute as a property:

(user.extensionAttribute15 -eq "Marketing")

Özel uzantı özellikleri şirket içi Windows Server ad 'den veya bağlı bir SaaS uygulamasından eşitlenir ve şu biçimdedir user.extension_[GUID]__[Attribute]:Custom extension properties are synced from on-premises Windows Server AD or from a connected SaaS application and are of the format of user.extension_[GUID]__[Attribute], where:

  • [GUID], Azure AD 'de özelliği oluşturan uygulama için Azure AD 'de benzersiz tanıtıcıdır[GUID] is the unique identifier in Azure AD for the application that created the property in Azure AD
  • [Attribute], oluşturulduğu şekliyle özelliğin adıdır[Attribute] is the name of the property as it was created

Özel uzantı özelliği kullanan bir kurala örnek:An example of a rule that uses a custom extension property is:

user.extension_c272a57b722d4eb29bfe327874ae79cb__OfficeNumber -eq "123"

Özel özellik adı, Graph Explorer kullanılarak bir kullanıcının özelliği sorgulanarak ve özellik adı aranırken dizinde bulunabilir.The custom property name can be found in the directory by querying a user's property using Graph Explorer and searching for the property name. Ayrıca, benzersiz bir uygulama KIMLIĞI girmek ve dinamik üyelik kuralı oluştururken kullanmak üzere özel uzantı özelliklerinin tam listesini almak için dinamik Kullanıcı grubu kural tasarımcısında özel uzantı özellikleri al bağlantısını seçebilirsiniz.Also, you can now select Get custom extension properties link in the dynamic user group rule builder to enter a unique app ID and receive the full list of custom extension properties to use when creating a dynamic membership rule. Bu liste, bu uygulama için tüm yeni özel uzantı özellikleri almak için aynı zamanda yenilenebilir.This list can also be refreshed to get any new custom extension properties for that app.

Cihazlar için kurallarRules for devices

Ayrıca, bir gruptaki üyelik için cihaz nesneleri seçen bir kural oluşturabilirsiniz.You can also create a rule that selects device objects for membership in a group. Grup üyeleri olarak hem Kullanıcı hem de cihaz ekleyemezsiniz.You can't have both users and devices as group members. OrganizationalUnit özniteliği artık listelenmez ve kullanılmamalıdır.The organizationalUnit attribute is no longer listed and should not be used. Bu dize, Intune tarafından belirli durumlarda ayarlanır ancak Azure AD tarafından tanınmamaktadır, bu nedenle bu özniteliğe göre gruplara hiçbir cihaz eklenmez.This string is set by Intune in specific cases but is not recognized by Azure AD, so no devices are added to groups based on this attribute.

Aşağıdaki cihaz öznitelikleri kullanılabilir.The following device attributes can be used.

Cihaz özniteliğiDevice attribute DeğerlerValues ÖrnekExample
accountEnabledaccountEnabled doğru yanlıştrue false (Device. accountEnabled-EQ true)(device.accountEnabled -eq true)
displayNamedisplayName herhangi bir dize değeriany string value (Device. displayName-EQ "Ramiz iPhone")(device.displayName -eq "Rob iPhone")
CihazostürüdeviceOSType herhangi bir dize değeriany string value (Device. deviceOSType-EQ "iPad")-veya (Device. deviceOSType-EQ "iPhone")(device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iPhone")
(Device. deviceOSType-"AndroidEnterprise" içerir)(device.deviceOSType -contains "AndroidEnterprise")
(Device. deviceOSType-EQ "AndroidForWork")(device.deviceOSType -eq "AndroidForWork")
deviceOSVersiondeviceOSVersion herhangi bir dize değeriany string value (Device. deviceOSVersion-EQ "9,1")(device.deviceOSVersion -eq "9.1")
deviceCategorydeviceCategory geçerli bir cihaz kategorisi adıa valid device category name (Device. deviceCategory-EQ "BYOD")(device.deviceCategory -eq "BYOD")
deviceManufacturerdeviceManufacturer herhangi bir dize değeriany string value (Device. deviceManufacturer-EQ "Samsung")(device.deviceManufacturer -eq "Samsung")
deviceModeldeviceModel herhangi bir dize değeriany string value (Device. deviceModel-EQ "iPad hava")(device.deviceModel -eq "iPad Air")
DevicesahiplikdeviceOwnership Kişisel, Şirket, bilinmeyenPersonal, Company, Unknown (Device. Devicesahiplik-EQ "Şirket")(device.deviceOwnership -eq "Company")
enrollmentProfileNameenrollmentProfileName Apple cihaz kayıt profili veya Windows Autopilot profili adıApple Device Enrollment Profile or Windows Autopilot profile name (Device. kayıtlarına Mentprofilename-EQ "DEP IPhone")(device.enrollmentProfileName -eq "DEP iPhones")
IBir kökü belirtilmişisRooted doğru yanlıştrue false (Device. ısınroot-EQ true)(device.isRooted -eq true)
managementTypemanagementType MDM (mobil cihazlar için)MDM (for mobile devices)
BILGISAYAR (Intune bılgısayar Aracısı tarafından yönetilen bilgisayarlar için)PC (for computers managed by the Intune PC agent)
(Device. managementType-EQ "MDM")(device.managementType -eq "MDM")
deviceIddeviceId geçerli bir Azure AD cihaz KIMLIĞIa valid Azure AD device ID (Device. DeviceID-EQ "d4fe7726-5966-431c-b3b8-cddc8fdb717d")(device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d")
objectIdobjectId geçerli bir Azure AD nesne KIMLIĞIa valid Azure AD object ID (Device. ObjectID-EQ 76ad43c9-32c5-45e8-a272-7b58b58f596d ")(device.objectId -eq 76ad43c9-32c5-45e8-a272-7b58b58f596d")
systemLabelssystemLabels Modern çalışma alanı cihazlarını etiketlemek için Intune cihaz özelliği ile eşleşen tüm dizelerany string matching the Intune device property for tagging Modern Workplace devices (Device. systemLabels-"M365Managed" içerir)(device.systemLabels -contains "M365Managed")

Not

Cihazlar için dinamik gruplar oluştururken Devicesahiplik için, "Şirket" değerine eşit değeri ayarlamanız gerekir.For the deviceOwnership when creating Dynamic Groups for devices you need to set the value equal to "Company". Intune 'da cihaz sahipliği, şirket yerine temsil edilir.On Intune the device ownership is represented instead as Corporate. Daha fazla ayrıntı için Ownertypes öğesine bakın.Refer to OwnerTypes for more details.

Sonraki adımlarNext steps

Bu makaleler Azure Active Directory gruplar hakkında ek bilgiler sağlar.These articles provide additional information on groups in Azure Active Directory.