Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Você pode criar regras baseadas em atributos de usuário ou de dispositivo para habilitar a associação a grupos com associação dinâmica no Microsoft Entra ID. Você pode adicionar e remover grupos de associação dinâmica automaticamente usando regras de associação com base em atributos de membro. No Microsoft Entra, um único locatário pode ter no máximo 15.000 grupos de associação dinâmica.
Este artigo detalha as propriedades e a sintaxe para criar regras de grupos de associação dinâmica com base em usuários ou dispositivos.
Observação
Os grupos de segurança podem incluir dispositivos ou usuários, mas os grupos do Microsoft 365 podem incluir apenas usuários.
Considerações sobre grupos de associação dinâmica
Quando os atributos de um usuário ou um dispositivo são alterados, o sistema avalia todas as regras para grupos de associação dinâmica em um diretório para ver se a alteração dispararia adições ou remoções de grupo. Se os usuários ou dispositivos atenderem a uma regra em um grupo, eles são adicionados como membros desse grupo. Se não atender mais à regra, ele será removido. Manualmente, não é possível adicionar nem remover um grupo de associação dinâmica.
Lembre-se também dessas limitações:
- Você pode criar grupos de associação dinâmica para dispositivos ou usuários, mas não pode criar uma regra que contenha usuários e dispositivos.
- Você não pode criar um grupo de associação de dispositivos com base nos atributos de usuário do proprietário do dispositivo. Regras de associação de dispositivo podem fazer referência somente a atributos do dispositivo.
Requisitos de licença
O recurso de grupos de associação dinâmica requer uma licença do Microsoft Entra ID P1 ou uma licença do Intune for Education para cada usuário exclusivo que seja membro de um ou mais grupos de associação dinâmica. Você não precisa atribuir licenças aos usuários para que eles sejam membros de grupos de associação dinâmica. Mas você deve ter o número mínimo de licenças na organização do Microsoft Entra para abranger todos esses usuários.
Por exemplo, se você tiver um total de 1.000 usuários exclusivos em todos os grupos de associação dinâmica em sua organização, precisará de pelo menos 1.000 licenças para o Microsoft Entra ID P1 para atender ao requisito de licença.
Nenhuma licença é necessária para dispositivos que são membros de um grupo de associação dinâmica com base em dispositivo.
Construtor de regras no portal do Azure
O Microsoft Entra ID fornece um construtor de regras para criar e atualizar suas regras importantes mais rapidamente. O construtor de regras dá suporte à construção de até cinco expressões. Você pode usar o construtor de regras para formar uma regra com algumas expressões simples, mas não pode usá-la para reproduzir todas as regras. Se o construtor de regras não der suporte à regra que você deseja criar, você poderá usar a caixa de texto.
Para obter instruções passo a passo, consulte Criar ou atualizar um grupo de associação dinâmica.
Importante
O construtor de regras está disponível apenas para grupos de associação dinâmica baseados no usuário. Você pode criar grupos de associação dinâmica baseados em dispositivo apenas usando a caixa de texto.
Aqui estão alguns exemplos de regras ou sintaxe avançadas que exigem o uso da caixa de texto:
- Regra com mais de cinco expressões
- Regra para relatórios diretos
- Regra com um operador
-containsou-notContains - Como definir a precedência do operador
-
Regra com expressões complexas; por exemplo
(user.proxyAddresses -any (_ -startsWith "contoso"))
Observação
O construtor de regras pode não conseguir exibir algumas regras construídas na caixa de texto. Você poderá ver uma mensagem quando o construtor de regras não puder exibir a regra. O construtor de regras não altera de nenhuma forma a sintaxe, a validação nem o processamento de regras compatíveis de grupos de associação dinâmica.
Sintaxe de regra para uma única expressão
Uma única expressão é a forma mais simples de uma regra de associação. Uma regra com uma única expressão assume a forma de <Property> <Operator> <Value>, em que a sintaxe da propriedade é o nome de <object>.<property>.
O exemplo a seguir ilustra uma regra de associação construída de maneira adequada com uma única expressão:
user.department -eq "Sales"
Parênteses são opcionais para uma única expressão. O comprimento total do corpo da regra de associação não pode exceder 3.072 caracteres.
Construção do corpo de uma regra de associação
Uma regra de associação que preenche automaticamente um grupo de usuários ou dispositivos é uma expressão binária que resulta em um resultado verdadeiro ou falso. As três partes de uma regra simples são:
- Propriedade
- Operador
- Valor
A ordem das partes de uma expressão é importante para evitar erros de sintaxe.
Propriedades com suporte
Você pode usar três tipos de propriedades para construir uma regra de associação:
- booleano
- Data/hora
- fio
- Coleção de Cadeias de Caracteres
Você pode usar as propriedades de usuário a seguir para criar uma única expressão.
Propriedades do tipo booliano
| Propriedade | Valores permitidos | Uso |
|---|---|---|
accountEnabled |
true, false |
user.accountEnabled -eq true |
dirSyncEnabled |
true, false |
user.dirSyncEnabled -eq true |
Propriedades do tipo data/hora
| Propriedade | Valores permitidos | Uso |
|---|---|---|
employeeHireDate (versão Preliminar) |
Qualquer DateTimeOffset valor ou palavra-chave system.now |
user.employeeHireDate -eq "value" |
Propriedades do tipo cadeia de caracteres
| Propriedade | Valores permitidos | Uso |
|---|---|---|
city |
Qualquer valor de cadeia de caracteres ou null |
user.city -eq "value" |
country |
Qualquer valor de cadeia de caracteres ou null |
user.country -eq "value" |
companyName |
Qualquer valor de cadeia de caracteres ou null |
user.companyName -eq "value" |
department |
Qualquer valor de cadeia de caracteres ou null |
user.department -eq "value" |
displayName |
Qualquer valor de cadeia de caracteres | user.displayName -eq "value" |
employeeId |
Qualquer valor de cadeia de caracteres | user.employeeId -eq "value"user.employeeId -ne "null" |
facsimileTelephoneNumber |
Qualquer valor de cadeia de caracteres ou null |
user.facsimileTelephoneNumber -eq "value" |
givenName |
Qualquer valor de cadeia de caracteres ou null |
user.givenName -eq "value" |
jobTitle |
Qualquer valor de cadeia de caracteres ou null |
user.jobTitle -eq "value" |
mail |
Qualquer valor de cadeia de caracteres ou null (endereço SMTP do usuário) |
user.mail -eq "value"user.mail -notEndsWith "@Contoso.com" |
mailNickName |
Qualquer valor de cadeia de caracteres (alias de email do usuário) | user.mailNickName -eq "value"user.mailNickname -endsWith "-vendor" |
memberOf |
Qualquer valor de cadeia de caracteres (ID de objeto de grupo válido) | user.memberOf -any (group.objectId -in ['value']) |
mobile |
Qualquer valor de cadeia de caracteres ou null |
user.mobile -eq "value" |
objectId |
GUID do objeto de usuário | user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
onPremisesDistinguishedName |
Qualquer valor de cadeia de caracteres ou null |
user.onPremisesDistinguishedName -eq "value" |
onPremisesSecurityIdentifier |
SID (identificador de segurança local) para usuários que foram sincronizados do local para a nuvem | user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111" |
passwordPolicies |
None, DisableStrongPassword, DisablePasswordExpiration, , DisablePasswordExpirationDisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
physicalDeliveryOfficeName |
Qualquer valor de cadeia de caracteres ou null |
user.physicalDeliveryOfficeName -eq "value" |
postalCode |
Qualquer valor de cadeia de caracteres ou null |
user.postalCode -eq "value" |
preferredLanguage |
Código ISO 639-1 | user.preferredLanguage -eq "en-US" |
sipProxyAddress |
Qualquer valor de cadeia de caracteres ou null |
user.sipProxyAddress -eq "value" |
state |
Qualquer valor de cadeia de caracteres ou null |
user.state -eq "value" |
streetAddress |
Qualquer valor de cadeia de caracteres ou null |
user.streetAddress -eq "value" |
surname |
Qualquer valor de cadeia de caracteres ou null |
user.surname -eq "value" |
telephoneNumber |
Qualquer valor de cadeia de caracteres ou null |
user.telephoneNumber -eq "value" |
usageLocation |
Código de país ou região de duas letras | user.usageLocation -eq "US" |
userPrincipalName |
Qualquer valor de cadeia de caracteres | user.userPrincipalName -eq "alias@domain" |
userType |
member, , guestnull |
user.userType -eq "Member" |
Propriedades de coleção de cadeias de caracteres de tipo
| Propriedade | Valores permitidos | Exemplos |
|---|---|---|
otherMails |
Qualquer valor de cadeia de caracteres | user.otherMails -startsWith "alias@domain"user.otherMails -endsWith"@contoso.com" |
proxyAddresses |
SMTP: alias@domain, smtp: alias@domain |
user.proxyAddresses -startsWith "SMTP: alias@domain"user.proxyAddresses -notEndsWith "@outlook.com" |
Para as propriedades usadas para regras de dispositivo, consulte Regras para dispositivos.
Operadores de expressão com suporte
A tabela a seguir lista os operadores com suporte e sua sintaxe para uma única expressão. Você pode usar operadores com ou sem o prefixo hífen (-). O Contains operador faz correspondências parciais de cadeia de caracteres, mas não corresponde a itens em uma coleção.
Cuidado
Para obter melhores resultados, minimize ao máximo o uso de Match ou Contains. O artigo Criar regras mais simples e eficientes para grupos de associação dinâmica fornece diretrizes sobre como criar regras que resultam em melhores tempos dinâmicos de processamento de grupo. O memberOf operador está em versão prévia e tem algumas limitações, portanto, use-o com cuidado.
| Operador | Sintaxe |
|---|---|
Ends With |
-endsWith |
Not Ends With |
-notEndsWith |
Not Equals |
-ne |
Equals |
-eq |
Not Starts With |
-notStartsWith |
Starts With |
-startsWith |
Not Contains |
-notContains |
Contains |
-contains |
Not Match |
-notMatch |
Match |
-match |
In |
-in |
Not In |
-notIn |
Usando os operadores -in e -notIn
Se você quiser comparar o valor de um atributo de usuário com vários valores, poderá usar os operadores -in ou -notIn. Use os símbolos de colchete ([ e ]) para iniciar e encerrar a lista de valores.
No exemplo a seguir, a expressão resulta em true se o valor de user.department for igual a qualquer um dos valores na lista:
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
Usar os operadores -le e -ge
Você pode usar o operador menor que (-le) ou maior que (-ge) quando estiver usando o employeeHireDate atributo em regras para grupos de associação dinâmica.
Veja alguns exemplos:
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
Usando o operador -match
Você pode usar o -match operador para corresponder a qualquer expressão regular.
Para o exemplo a seguir, Da, Dav e David avaliam a true.
aDa é avaliado como false.
user.displayName -match "^Da.*"
Para o exemplo a seguir, David é avaliado como true.
Da é avaliado como false.
user.displayName -match ".*vid"
Valores com suporte
Os valores que você usa em uma expressão podem consistir em vários tipos:
- Cadeias de caracteres
- Booliano (
true,false) - Números
- Matrizes (matriz de números, matriz de cadeia de caracteres)
Quando você especifica um valor dentro de uma expressão, é importante usar a sintaxe correta para evitar erros. Aqui estão algumas dicas de sintaxe:
- Aspas duplas são opcionais, a menos que o valor seja uma cadeia de caracteres.
- As operações Regex e string não diferenciam maiúsculas de minúsculas.
- Verifique se os nomes de propriedade estão formatados corretamente conforme mostrado, pois diferenciam maiúsculas de minúsculas.
- Quando um valor de cadeia de caracteres contém aspas duplas, você deve escapar de ambas as aspas usando o caractere de barra invertida (
\). Por exemplo, user.department -eq '"Sales'" é a sintaxe adequada quandoSalesé o valor. Substitua as aspas simples por duas aspas simples em vez de usar apenas uma cada vez. - Você também pode executar verificações nulas usando
nullcomo um valor; por exemplo,user.department -eq null.
Uso de valores nulos
Para especificar um null valor em uma regra:
- Use
-eqou-nequando estiver comparando onullvalor em uma expressão. - Use aspas em torno da palavra
nullsomente se você quiser que ela seja interpretada como um valor de cadeia de caracteres literal. - Não use o
-notoperador como um operador comparativo para o valor nulo. Se você usá-lo, receberá um erro, seja usandonullou$null.
A maneira correta de referenciar o valor null é a seguinte:
user.mail –ne null
Regras com várias expressões
As regras para grupos de associação dinâmica podem consistir em mais de uma única expressão conectada pelos operadores lógicos -and, -or, e -not. Você também pode usar operadores lógicos em combinação.
A seguir estão exemplos de regras de associação construídas de maneira adequada com várias expressões:
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
Precedência do operador
A lista a seguir mostra todos os operadores em ordem de precedência do mais alto para o mais baixo. Os operadores na mesma linha têm precedência igual.
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
O exemplo a seguir ilustra a precedência de operador em que as duas expressões são sendo avaliadas para o usuário:
user.department –eq "Marketing" –and user.country –eq "US"
Você só precisa de parênteses quando a precedência não atende aos seus requisitos. Por exemplo, se você quiser que o departamento seja avaliado primeiro, o código a seguir mostra como você pode usar parênteses para determinar a ordem:
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
Regras com expressões complexas
Uma regra de associação pode consistir em expressões complexas, onde as propriedades, operadores e valores assumem formas mais complexas. As expressões são consideradas complexas quando qualquer um dos seguintes pontos é verdadeiro:
- A propriedade consiste em uma coleção de valores; especificamente, propriedades de vários valores.
- As expressões usam os operadores
-anye-all. - O valor da expressão pode, ele próprio, ser uma ou mais expressões.
Propriedades de vários valores
As propriedades de vários valores são coleções de objetos do mesmo tipo. Você pode usá-las para criar regras de associação usando os operadores lógicos -any e -all.
| Propriedade | Valores | Uso |
|---|---|---|
assignedPlans |
Cada objeto na coleção expõe as seguintes propriedades de cadeia de caracteres: capabilityStatus, , serviceservicePlanId |
user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled") |
proxyAddresses |
SMTP: alias@domain, smtp: alias@domain |
(user.proxyAddresses -any (\_ -startsWith "contoso")) |
Usando os operadores -qualquer e -todos
Você pode usar os seguintes operadores para aplicar uma condição a um ou a todos os itens da coleção:
-
-any: satisfeito quando pelo menos um item na coleção corresponde à condição. -
-all: satisfeito quando todos os itens na coleção correspondem à condição.
Exemplo 1
assignedPlans é uma propriedade de vários valores que lista todos os planos de serviço atribuídos ao usuário. A expressão a seguir seleciona os usuários que têm o plano de serviço do Exchange Online (Plano 2) (como um valor GUID) que também está em um Enabled estado:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
Você pode usar uma regra como esta para agrupar todos os usuários para os quais um recurso do Microsoft 365 ou outros Serviços Online da Microsoft está habilitado. Em seguida, você pode aplicar a regra com um conjunto de políticas ao grupo.
Exemplo 2
A expressão a seguir seleciona todos os usuários que têm qualquer plano de serviço associado ao serviço do Intune (identificado pelo nome SCOdo serviço):
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
Exemplo 3
A seguinte expressão seleciona todos os usuários que não têm nenhum plano de serviço atribuído:
user.assignedPlans -all (assignedPlan.servicePlanId -eq null)
Usar a sintaxe de sublinhado (_)
A sintaxe de sublinha (_) identifica ocorrências de um valor específico em uma das propriedades da coleção de strings de múltiplos valores, permitindo adicionar usuários ou dispositivos a um grupo de associação dinâmica. Você o utiliza com o operador -any ou o operador -all.
Aqui está um exemplo de como usar o sublinhado em uma regra para adicionar membros com base em user.proxyAddress. (Funciona da mesma forma para user.otherMails.) Essa regra adiciona qualquer usuário que tenha um endereço proxy que comece com contoso o grupo.
(user.proxyAddresses -any (_ -startsWith "contoso"))
Outras propriedades e as regras comuns
Criar uma regra para relatórios diretos
Você pode criar um grupo que contenha todos os relatórios diretos de um gerente. Quando os subordinados diretos do gerente forem alterados no futuro, a associação do grupo será ajustada automaticamente.
Observação
O gerente também é adicionado a um grupo dinâmico de subordinados diretos.
Você constrói a regra de relatórios diretos usando a seguinte sintaxe:
Direct Reports for "{objectID_of_manager}"
Aqui está um exemplo de uma regra válida, onde aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb está a ID do objeto do gerente:
Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
As dicas a seguir podem ajudá-lo a usar a regra corretamente:
- A ID do gerente é a ID do objeto do gerente. Você pode encontrá-lo no perfil do gerente.
- Para que a regra funcione, verifique se a
Managerpropriedade está definida corretamente para os usuários em sua organização. Você pode verificar o valor atual no perfil do usuário. - Essa regra dá suporte a apenas os relatórios de diretos do gerente. Você não pode criar um grupo que tenha os relatórios diretos do gerente e seus relatórios.
- Você não pode combinar essa regra com nenhuma outra regra de associação.
Criar uma regra para todos os usuários
Você pode criar um grupo que contenha todos os usuários em uma organização usando uma regra de associação. Quando os usuários são adicionados ou removidos da organização no futuro, a associação do grupo é ajustada automaticamente.
Você constrói a regra para todos os usuários usando uma única expressão que inclui o -ne operador e o null valor. Essa regra adiciona usuários convidados B2B e usuários membros ao grupo.
user.objectId -ne null
Se você quiser que o grupo exclua os usuários convidados e inclua somente os membros da sua organização, poderá usar a seguinte sintaxe:
(user.objectId -ne null) -and (user.userType -eq "Member")
Criar uma regra para todos os dispositivos
Você pode criar um grupo que contenha todos os dispositivos em uma organização usando uma regra de associação. Quando os dispositivos são adicionados ou removidos da organização no futuro, a associação do grupo é ajustada automaticamente.
Você constrói a regra para todos os dispositivos usando uma única expressão que inclui o -ne operador e o null valor:
device.objectId -ne null
Atributos de extensão e propriedades de extensão personalizadas
Os atributos de extensão e as propriedades de extensão personalizadas são aceitos como propriedades de cadeia de caracteres nas regras de grupos de associação dinâmica.
Você pode sincronizar atributos de extensão do Active Directory do Windows Server local. Ou você pode atualizar atributos de extensão usando o Microsoft Graph.
Os atributos de extensão assumem o formato de ExtensionAttribute<X>, onde <X> é igual a 1-15. As propriedades de extensão de vários valores não são aceitas em regras de grupos de associação dinâmica.
Um exemplo de uma regra que usa um atributo de extensão como propriedade:
(user.extensionAttribute15 -eq "Marketing")
Você pode sincronizar propriedades de extensão personalizadas do Windows Server Active Directory local ou de um aplicativo SaaS (software como serviço) conectado. Você pode criar propriedades de extensão personalizadas usando o Microsoft Graph.
As propriedades de extensão personalizadas assumem o formato de user.extension_[GUID]_[Attribute], em que:
-
[GUID]é a versão simplificada do identificador exclusivo no Microsoft Entra ID para o aplicativo que criou a propriedade. Ele contém apenas caracteres 0-9 e A-Z. -
[Attribute]é o nome da propriedade como ela foi criada.
Um exemplo de uma regra que usa um atributo personalizado:
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
Propriedades de extensão personalizadas também são chamadas de propriedades de extensão de diretório ou do Microsoft Entra.
Você pode encontrar o nome da propriedade personalizada no diretório consultando a propriedade de um usuário no Explorador do Graph e pesquisando o nome da propriedade. Além disso, agora você pode selecionar o link Obter propriedades de extensão personalizadas no construtor de regras dinâmicas para inserir uma ID de aplicativo exclusiva e receber a lista completa de propriedades de extensão personalizadas a serem usadas ao criar uma regra para grupos de associação dinâmica. Você pode atualizar essa lista para obter quaisquer novas propriedades de extensão personalizadas para esse aplicativo. Atributos de extensão e propriedades de extensão personalizadas precisam ser de aplicativos em seu locatário.
Para obter mais informações, consulte Usar os atributos em grupos de associação dinâmica.
Regras para dispositivos
Você pode criar uma regra que seleciona objetos de dispositivo para associação em um grupo. Você não pode ter usuários e dispositivos como membros do grupo.
Observação
O organizationalUnit atributo não está mais listado e você não deve usá-lo. O Intune define essa cadeia de caracteres em casos específicos, mas a ID do Microsoft Entra não a reconhece. Nenhum dispositivo é adicionado a grupos com base nesse atributo.
O systemlabels atributo é somente leitura. Não é possível defini-lo com o Intune.
Para o Windows 10, o formato correto do deviceOSVersion atributo é device.deviceOSVersion -startsWith "10.0.1". Você pode validar a formatação usando o cmdlet do Get-MgDevice PowerShell:
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
Você pode usar os seguintes atributos de dispositivo.
| Atributo do dispositivo | Valores | Exemplos |
|---|---|---|
accountEnabled |
true, false |
device.accountEnabled -eq true |
deviceCategory |
Um nome de categoria de dispositivo válido | device.deviceCategory -eq "BYOD" |
deviceId |
Uma ID válida do dispositivo Microsoft Entra | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
deviceManagementAppId |
Uma ID de aplicativo válida para gerenciamento de dispositivo móvel na ID do Microsoft Entra |
device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" para dispositivos gerenciados pela Microsoft Intune"54b943f8-d761-4f8d-951e-9cea1846db5a" para dispositivos co-gerenciados do System Center Configuration Manager |
deviceManufacturer |
Qualquer valor de cadeia de caracteres | device.deviceManufacturer -eq "Samsung" |
deviceModel |
Qualquer valor de cadeia de caracteres | device.deviceModel -eq "iPad Air" |
displayName |
Qualquer valor de cadeia de caracteres | device.displayName -eq "Rob iPhone" |
deviceOSType |
Qualquer valor de cadeia de caracteres | (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iPhone")device.deviceOSType -startsWith "AndroidEnterprise"device.deviceOSType -eq "AndroidForWork"device.deviceOSType -eq "Windows" |
deviceOSVersion |
Qualquer valor de cadeia de caracteres | device.deviceOSVersion -eq "9.1"device.deviceOSVersion -startsWith "10.0.1" |
deviceOwnership
1 |
Personal, , CompanyUnknown |
device.deviceOwnership -eq "Company" |
devicePhysicalIds |
Qualquer valor de cadeia de caracteres que o Windows Autopilot usa, como todos os dispositivos Windows Autopilot, OrderIDou PurchaseOrderID |
device.devicePhysicalIDs -any _ -startsWith "[ZTDId]"device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881"device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
deviceTrustType
2 |
AzureAD, , ServerADWorkplace |
device.deviceTrustType -eq "AzureAD" |
enrollmentProfileName |
Nome do perfil para Registro de Dispositivo Automatizado da Apple, inscrição de dispositivo corporativo dedicado do Android Enterprise, ou do Windows Autopilot | device.enrollmentProfileName -eq "DEP iPhones" |
extensionAttribute1
3 |
Qualquer valor de cadeia de caracteres | device.extensionAttribute1 -eq "some string value" |
extensionAttribute2 |
Qualquer valor de cadeia de caracteres | device.extensionAttribute2 -eq "some string value" |
extensionAttribute3 |
Qualquer valor de cadeia de caracteres | device.extensionAttribute3 -eq "some string value" |
extensionAttribute4 |
Qualquer valor de cadeia de caracteres | device.extensionAttribute4 -eq "some string value" |
extensionAttribute5 |
Qualquer valor de cadeia de caracteres | device.extensionAttribute5 -eq "some string value" |
extensionAttribute6 |
Qualquer valor de cadeia de caracteres | device.extensionAttribute6 -eq "some string value" |
extensionAttribute7 |
Qualquer valor de cadeia de caracteres | device.extensionAttribute7 -eq "some string value" |
extensionAttribute8 |
Qualquer valor de cadeia de caracteres | device.extensionAttribute8 -eq "some string value" |
extensionAttribute9 |
Qualquer valor de cadeia de caracteres | device.extensionAttribute9 -eq "some string value" |
extensionAttribute10 |
Qualquer valor de cadeia de caracteres | device.extensionAttribute10 -eq "some string value" |
extensionAttribute11 |
Qualquer valor de cadeia de caracteres | device.extensionAttribute11 -eq "some string value" |
extensionAttribute12 |
Qualquer valor de cadeia de caracteres | device.extensionAttribute12 -eq "some string value" |
extensionAttribute13 |
Qualquer valor de cadeia de caracteres | device.extensionAttribute13 -eq "some string value" |
extensionAttribute14 |
Qualquer valor de cadeia de caracteres | device.extensionAttribute14 -eq "some string value" |
extensionAttribute15 |
Qualquer valor de cadeia de caracteres | device.extensionAttribute15 -eq "some string value" |
isRooted |
true, false |
device.isRooted -eq true |
managementType |
Gerenciamento de dispositivo móvel (para dispositivos móveis) | device.managementType -eq "MDM" |
memberOf |
Qualquer valor de cadeia de caracteres (ID de objeto de grupo válido) | device.memberOf -any (group.objectId -in ['value']) |
objectId |
Uma ID de objeto válida do Microsoft Entra | device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
profileType |
Um tipo de perfil válido na ID do Microsoft Entra | device.profileType -eq "RegisteredDevice" |
systemLabels
4 |
Uma cadeia de caracteres somente leitura que corresponde à propriedade de dispositivo do Intune para marcar dispositivos do Local de Trabalho Moderno | device.systemLabels -startsWith "M365Managed" SystemLabels |
1 Quando você usa deviceOwnership para criar grupos de associação dinâmica para dispositivos, você precisa definir o valor igual a Company. No Intune, a propriedade do dispositivo é representada como Corporate. Para obter mais informações, consulte ownerTypes.
2 Quando você usa deviceTrustType para criar grupos de associação dinâmica para dispositivos, precisa definir o valor igual para AzureAD representar dispositivos ingressados no Microsoft Entra, ServerAD representar dispositivos ingressados híbridos do Microsoft Entra ou Workplace representar dispositivos registrados do Microsoft Entra.
3 Quando você usa extensionAttribute1-15 para criar grupos de associação dinâmica para dispositivos, você precisa definir no dispositivo o valor para extensionAttribute1-15.
Saiba mais sobre como escrever extensionAttributes em um objeto de dispositivo do Microsoft Entra.
4 Quando você usa systemLabels, um atributo somente leitura usado em vários contextos (como gerenciamento de dispositivos e rotulagem de sensibilidade) não pode ser editado no Intune.