ユーザー ベースまたはデバイス属性ベースのルールを作成して、Microsoft Entra ID の動的メンバーシップ グループのメンバーシップを有効にすることができます。 メンバー属性に基づくメンバーシップ ルールを使用して、動的メンバーシップ グループを自動的に追加および削除できます。 Microsoft Entra では、1 つのテナントに最大 15,000 個の動的メンバーシップ グループを含めることができます。
この記事では、ユーザーまたはデバイスに基づいて動的メンバーシップ グループの規則を作成するためのプロパティと構文について説明します。
注
セキュリティ グループにはデバイスまたはユーザーを含めることができますが、Microsoft 365 グループにはユーザーのみを含めることができます。
動的メンバーシップ グループに関する考慮事項
ユーザーまたはデバイスの属性が変更されると、システムはディレクトリ内の動的メンバーシップ グループのすべてのルールを評価して、変更によってグループの追加または削除がトリガーされるかどうかを確認します。 ユーザーまたはデバイスがグループのルールを満たしている場合は、そのグループのメンバーとして追加されます。 ルールに適合しなくなった場合は、削除されます。 動的メンバーシップ グループのメンバーを手動で追加または削除することはできません。
また、次の制限事項にも注意してください。
- ユーザーまたはデバイスの動的メンバーシップ グループは作成できますが、ユーザーとデバイスの両方を含む規則は作成できません。
- デバイス所有者のユーザー属性に基づいてデバイス メンバーシップ グループを作成することはできません。 デバイス メンバーシップ ルールでは、デバイスの属性のみを参照できます。
ライセンス要件
動的メンバーシップ グループの機能には、1 つ以上の動的メンバーシップ グループのメンバーである一意のユーザーごとに、Microsoft Entra ID P1 ライセンスまたは Intune for Education ライセンスが必要です。 ユーザーが動的メンバーシップ グループのメンバーになるには、ユーザーにライセンスを割り当てる必要はありません。 ただし、このようなすべてのユーザーを対象にするには、Microsoft Entra 組織のライセンスの最小数が必要です。
たとえば、組織内のすべての動的メンバーシップ グループに合計 1,000 人の一意のユーザーがいる場合、ライセンス要件を満たすために Microsoft Entra ID P1 のライセンスが少なくとも 1,000 個必要です。
デバイスに基づいた動的メンバーシップ グループのメンバーであるデバイスには、ライセンスは必要ありません。
Azure portal のルール ビルダー
Microsoft Entra ID には、重要なルールをすばやく作成したり更新したりできるルール ビルダーが用意されています。 ルール ビルダーでは、最大で 5 つの式の作成がサポートされます。 ルール ビルダーを使用して、いくつかの単純な式でルールを形成できますが、それを使用してすべてのルールを再現することはできません。 ルール ビルダーが作成するルールをサポートしていない場合は、テキスト ボックスを使用できます。
詳細な手順については、「 動的メンバーシップ グループを作成または更新する」を参照してください。
重要
ルール ビルダーは、ユーザー ベースの動的メンバーシップ グループでのみ使用できます。 デバイス ベースの動的メンバーシップ グループは、テキスト ボックスを使用してのみ作成できます。
テキスト ボックスの使用を必要とする高度なルールまたは構文の例を次に示します。
- 5 つを超える式を持つルール
- 直属の部下に関する規則
-
-contains演算子または-notContains演算子を含む規則 - 演算子の優先順位の設定
-
複雑な式を含むルール。例えば
(user.proxyAddresses -any (_ -startsWith "contoso"))
注
ルール ビルダーは、テキスト ボックスで作成された一部のルールを表示できない場合があります。 ルール ビルダーでルールを表示できない場合に、メッセージが表示されることがあります。 ルール ビルダーは、動的メンバーシップ グループの規則のサポートされている構文、検証、または処理をどのような方法でも変更しません。
単一式のルール構文
1 つの式は、メンバーシップ ルールの最も簡単な形式です。 単一の式を持つルールは、プロパティの構文が<Property> <Operator> <Value>の名前である<object>.<property>の形式になります。
次は、単一式で正しく構成されたメンバーシップ ルールの例です。
user.department -eq "Sales"
単一式の場合、かっこは省略可能です。 メンバーシップ ルールの本文の合計長は 3,072 文字を超えることはできません。
メンバーシップ ルールの本文の作成
グループにユーザーまたはデバイスを自動的に入力するメンバーシップ ルールは、true または false に帰結するバイナリ式です。 シンプルなルールの要素は次の 3 つです。
- プロパティ
- 演算子
- 値
構文エラーを避けるためには、式内の部分の順序が重要です。
サポートされているプロパティ
メンバーシップ ルールを作成するには、次の 3 種類のプロパティを使用できます。
- ボーリアン
- 日付/時刻
- 糸
- 文字列コレクション
次のユーザー プロパティを使用して、1 つの式を作成できます。
ブール型のプロパティ
| プロパティ | 使用できる値 | 使用法 |
|---|---|---|
accountEnabled |
true、false |
user.accountEnabled -eq true |
dirSyncEnabled |
true、false |
user.dirSyncEnabled -eq true |
日付/時刻型のプロパティ
| プロパティ | 使用できる値 | 使用法 |
|---|---|---|
employeeHireDate (プレビュー) |
任意の DateTimeOffset 値またはキーワード system.now |
user.employeeHireDate -eq "value" |
文字列型のプロパティ
| プロパティ | 使用できる値 | 使用法 |
|---|---|---|
city |
任意の文字列値または null |
user.city -eq "value" |
country |
任意の文字列値または null |
user.country -eq "value" |
companyName |
任意の文字列値または null |
user.companyName -eq "value" |
department |
任意の文字列値または null |
user.department -eq "value" |
displayName |
任意の文字列値 | user.displayName -eq "value" |
employeeId |
任意の文字列値 | user.employeeId -eq "value"user.employeeId -ne "null" |
facsimileTelephoneNumber |
任意の文字列値または null |
user.facsimileTelephoneNumber -eq "value" |
givenName |
任意の文字列値または null |
user.givenName -eq "value" |
jobTitle |
任意の文字列値または null |
user.jobTitle -eq "value" |
mail |
任意の文字列値または null (ユーザーの SMTP アドレス) |
user.mail -eq "value"user.mail -notEndsWith "@Contoso.com" |
mailNickName |
任意の文字列値 (ユーザーのメール エイリアス) | user.mailNickName -eq "value"user.mailNickname -endsWith "-vendor" |
memberOf |
任意の文字列値 (有効なグループ オブジェクト ID) | user.memberOf -any (group.objectId -in ['value']) |
mobile |
任意の文字列値または null |
user.mobile -eq "value" |
objectId |
ユーザー オブジェクトの GUID | user.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
onPremisesDistinguishedName |
任意の文字列値または null |
user.onPremisesDistinguishedName -eq "value" |
onPremisesSecurityIdentifier |
オンプレミスからクラウドに同期されたユーザーのオンプレミス セキュリティ識別子 (SID) | user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111" |
passwordPolicies |
None、 DisableStrongPassword、 DisablePasswordExpiration、 DisablePasswordExpiration、 DisableStrongPassword |
user.passwordPolicies -eq "DisableStrongPassword" |
physicalDeliveryOfficeName |
任意の文字列値または null |
user.physicalDeliveryOfficeName -eq "value" |
postalCode |
任意の文字列値または null |
user.postalCode -eq "value" |
preferredLanguage |
ISO 639-1 コード | user.preferredLanguage -eq "en-US" |
sipProxyAddress |
任意の文字列値または null |
user.sipProxyAddress -eq "value" |
state |
任意の文字列値または null |
user.state -eq "value" |
streetAddress |
任意の文字列値または null |
user.streetAddress -eq "value" |
surname |
任意の文字列値または null |
user.surname -eq "value" |
telephoneNumber |
任意の文字列値または null |
user.telephoneNumber -eq "value" |
usageLocation |
2 文字の国または地域コード | user.usageLocation -eq "US" |
userPrincipalName |
任意の文字列値 | user.userPrincipalName -eq "alias@___domain" |
userType |
member、 guest、 null |
user.userType -eq "Member" |
文字列コレクション型のプロパティ
| プロパティ | 使用できる値 | 例示 |
|---|---|---|
otherMails |
任意の文字列値 | user.otherMails -startsWith "alias@___domain"user.otherMails -endsWith"@contoso.com" |
proxyAddresses |
SMTP: alias@___domain、smtp: alias@___domain |
user.proxyAddresses -startsWith "SMTP: alias@___domain"user.proxyAddresses -notEndsWith "@outlook.com" |
デバイス ルールに使用されるプロパティについては、「デバイスのルール」を参照してください。
サポートされている式の演算子
次の表は、サポートされているすべての演算子とその単一式用の構文をまとめたものです。 演算子は、ハイフン (-) プレフィックスの有無にかかわらず使用できます。
Contains演算子は、文字列の部分的な一致を行いますが、コレクション内の項目には一致しません。
注意
最良の結果を得るには、できるだけ Match または Contains の使用を最小限に抑えます。 動的 メンバーシップ グループのよりシンプルで効率的なルールの作成 に関する記事では、動的グループの処理時間を短縮するルールを作成する方法に関するガイダンスを提供します。
memberOfオペレーターはプレビュー段階であり、いくつかの制限があるため、注意して使用してください。
| 演算子 | 構文 |
|---|---|
Ends With |
-endsWith |
Not Ends With |
-notEndsWith |
Not Equals |
-ne |
Equals |
-eq |
Not Starts With |
-notStartsWith |
Starts With |
-startsWith |
Not Contains |
-notContains |
Contains |
-contains |
Not Match |
-notMatch |
Match |
-match |
In |
-in |
Not In |
-notIn |
-in および -notIn 演算子の使用
ユーザー属性の値を複数の値と比較する場合は、 -in 演算子または -notIn 演算子を使用できます。 角かっこ記号 ([ と ]) を使用して、値のリストを開始および終了します。
次の例では、trueの値がリスト内のいずれかの値と等しい場合、式はuser.departmentに評価されます。
user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]
-le 演算子と -ge 演算子の使用
動的メンバーシップ グループのルールで -le 属性を使用する場合は、より小さい (-ge) 演算子またはより大きい (employeeHireDate) 演算子を使用できます。
以下に例を示します。
user.employeehiredate -ge system.now -plus p1d
user.employeehiredate -le 2020-06-10T18:13:20Z
-match 演算子の使用
-match演算子を使用して、任意の正規表現を照合できます。
次の例では、 Da、 Dav、および David は trueと評価されます。
aDa は false に評価されます。
user.displayName -match "^Da.*"
次の例では、 David は trueに評価されます。
Da は false に評価されます。
user.displayName -match ".*vid"
サポートされている値
式で使用する値は、いくつかの型で構成できます。
- 文字列
- Boolean (
true、false) - 数値
- 配列 (数値配列、文字列配列)
式内で値を指定する場合は、エラーを回避するために正しい構文を使用することが重要です。 構文のヒントを次に示します。
- 値が文字列でない限り、二重引用符は省略可能です。
- 正規表現と文字列の操作では、大文字と小文字は区別されません。
- プロパティ名は大文字と小文字が区別されるため、表示されているとおりに正しく書式設定されていることを確認します。
- 文字列値に二重引用符が含まれている場合は、バックスラッシュ (
\) 文字を使用して両方の引用符をエスケープする必要があります。 たとえば、 user.department -eq "Sales" は、Salesが値である場合に適切な構文です。 単一引用符をエスケープするには、毎回 1 つではなく 2 つの単一引用符を使用します。 -
nullを値として使用して null チェックを実行することもできます (たとえば、user.department -eq null)。
null 値の使用
ルールで null 値を指定するには:
- 式の
-eq値を比較するときは、-neまたはnullを使用します。 - 単語
nullをリテラル文字列値として解釈する場合にのみ、引用符を使用します。 - null 値の比較演算子として
-not演算子を使用しないでください。 これを使用すると、nullまたは$nullのどちらを使用してもエラーが発生します。
null値を参照する正しい方法は次のとおりです。
user.mail –ne null
複数の式を持つルール
動的メンバーシップ グループの規則は、 -and、 -or、および -not 論理演算子によって接続された複数の式で構成できます。 論理演算子を組み合わせて使用することもできます。
複数の式で正しく構築されたメンバーシップ ルールの例を次に示します。
(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -startsWith "SDE")
演算子の優先順位
次の一覧は、優先順位が最高から最も低い順にすべての演算子を示しています。 同じ行の演算子の優先順位は同じです。
-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all
次の例は、演算子の優先順位を示しています。この例では、ユーザーに対して 2 つの式が評価されます。
user.department –eq "Marketing" –and user.country –eq "US"
かっこは、優先順位が要件を満たしていない場合にのみ必要です。 たとえば、部門を最初に評価する場合、次のコードは、かっこを使用して順序を決定する方法を示しています。
user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")
複雑な式を持つルール
メンバーシップ ルールは、プロパティ、演算子、値がより複雑な形式をとる複雑な式で構成できます。 次のいずれかの点に該当する場合、式は複雑と見なされます。
- プロパティは、値のコレクションで構成されます。具体的には、複数値のプロパティです。
- 式では、
-any演算子と-all演算子が使用されます。 - 式の値は、それ自体に 1 つ以上の式を指定できます。
複数値プロパティ
複数値プロパティは、同じ型のオブジェクトのコレクションです。 これらを使用して、 -any と -all 論理演算子を使用してメンバーシップ ルールを作成できます。
| プロパティ | 値 | 使用法 |
|---|---|---|
assignedPlans |
コレクション内の各オブジェクトは、次の文字列プロパティを公開します: capabilityStatus、 service、 servicePlanId |
user.assignedPlans -any (assignedPlan.servicePlanId -eq "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" -and assignedPlan.capabilityStatus -eq "Enabled") |
proxyAddresses |
SMTP: alias@___domain、smtp: alias@___domain |
(user.proxyAddresses -any (\_ -startsWith "contoso")) |
-any 演算子と -all 演算子を使用する
次の演算子を使用して、コレクション内の 1 つまたはすべての項目に条件を適用できます。
-
-any: コレクション内の少なくとも 1 つの項目が条件と一致する場合に満たされます。 -
-all: コレクション内のすべての項目が条件と一致する場合に満たされます。
例 1
assignedPlans は、ユーザーに割り当てられているすべてのサービス プランを一覧表示する複数値プロパティです。 次の式では、Exchange Online (プラン 2) サービス プラン (GUID 値) を持つユーザーも Enabled 状態であるユーザーを選択します。
user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
このようなルールを使用して、Microsoft 365 またはその他の Microsoft Online Services 機能が有効になっているすべてのユーザーをグループ化できます。 その後、一連のポリシーを含むルールをグループに適用できます。
例 2
次の式では、Intune サービスに関連付けられているサービス プランを持つすべてのユーザーを選択します (サービス名 SCOで識別されます)。
user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")
例 3
次の式では、サービス プランが割り当てられていないすべてのユーザーを選択します:
user.assignedPlans -all (assignedPlan.servicePlanId -eq null)
アンダースコア (_) 構文を使用する
アンダースコア (_) 構文は、動的メンバーシップ グループにユーザーまたはデバイスを追加するために、複数値の文字列コレクション プロパティの 1 つで特定の値が出現した場合と一致します。
-anyまたは -all 演算子と共に使用します。
ルールでアンダースコアを使用して、 user.proxyAddressに基づいてメンバーを追加する例を次に示します。 ( user.otherMailsでも同じように動作します)。このルールは、 contoso で始まるプロキシ アドレスを持つユーザーをグループに追加します。
(user.proxyAddresses -any (_ -startsWith "contoso"))
その他のプロパティと一般的なルール
直属の部下に対するルールを作成する
マネージャーのすべての直属の部下を含むグループを作成できます。 将来、マネージャーの直属の部下が変更されたとき、グループのメンバーシップが自動的に調整されます。
直属の部下ルールは、次の構文を使用して構築します。
Direct Reports for "{objectID_of_manager}"
有効なルールの例を次に示します。ここで、 aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb はマネージャーのオブジェクト ID です。
Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
次のヒントは、ルールを正しく使用するのに役立ちます。
- マネージャー ID は、マネージャーのオブジェクト ID です。 マネージャーのプロファイルで見つけることができます。
- ルールを機能させるには、組織内のユーザーに対して
Managerプロパティが正しく設定されていることを確認します。 ユーザーのプロファイルで現在の値を確認できます。 - このルールでは、マネージャーの直属の部下のみがサポートされます。 マネージャーの直属の部下 とその レポートを含むグループを作成することはできません。
- このルールを他のメンバーシップ ルールと組み合わせることはできません。
すべてのユーザーのルールを作成する
メンバーシップ ルールを使用して、組織内のすべてのユーザーを含むグループを作成できます。 将来、ユーザーが組織に追加されたり、組織から削除されたりしたとき、メンバーシップは自動的に調整されます。
-ne演算子とnull値を含む単一の式を使用して、すべてのユーザーのルールを作成します。 このルールは、企業間ゲスト ユーザーとメンバー ユーザーをグループに追加します。
user.objectId -ne null
グループでゲスト ユーザーを除外し、ご自身の組織のメンバーのみを含めるようにする場合は、次の構文を使用できます。
(user.objectId -ne null) -and (user.userType -eq "Member")
すべてのデバイスのルールを作成する
メンバーシップ ルールを使用して、組織内のすべてのデバイスを含むグループを作成できます。 今後、デバイスが組織に追加されたり、組織から削除されたりしたとき、メンバーシップは自動的に調整されます。
-ne演算子とnull値を含む単一の式を使用して、すべてのデバイスのルールを構築します。
device.objectId -ne null
拡張属性とカスタム拡張プロパティ
拡張機能属性とカスタム拡張機能プロパティは、動的メンバーシップ グループの規則で文字列プロパティとしてサポートされています。
オンプレミスの Windows Server Active Directory から 拡張機能の属性を同期 できます。 または、Microsoft Graph を使用して拡張属性を更新することもできます。
拡張属性は ExtensionAttribute<X>の形式になります。ここで、 <X> は 1-15と等しくなります。 複数値の拡張機能プロパティは、動的メンバーシップ グループの規則ではサポートされていません。
プロパティとして拡張機能属性を使用するルールの例を示します。
(user.extensionAttribute15 -eq "Marketing")
カスタム拡張機能プロパティは、オンプレミスの Windows Server Active Directory または接続されたサービスとしてのソフトウェア (SaaS) アプリケーションから同期できます。 カスタム拡張機能プロパティは、Microsoft Graph を使用して作成できます。
カスタム拡張機能のプロパティは、 user.extension_[GUID]_[Attribute]の形式を受け取ります。ここで、
-
[GUID]は、プロパティを作成したアプリケーションの Microsoft Entra ID の一意識別子の削除されたバージョンです。 0 ~ 9 文字と A ~ Z 文字のみが含まれます。 -
[Attribute]は、作成されたプロパティの名前です。
カスタム拡張機能プロパティを使用するルールの例を次に示します。
user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"
カスタム拡張機能プロパティは、ディレクトリまたは Microsoft Entra 拡張機能プロパティとも呼ばれます。
Graph Explorer でユーザーのプロパティに対してクエリを実行し、プロパティ名を検索することで、ディレクトリ内でカスタム プロパティ名を見つけることができます。 また、動的ルール ビルダーで [ カスタム拡張機能プロパティの取得 ] リンクを選択して、一意のアプリ ID を入力し、動的メンバーシップ グループのルールを作成するときに使用するカスタム拡張機能プロパティの完全な一覧を受け取ることができます。 この一覧を更新すると、そのアプリの新しいカスタム拡張機能プロパティを取得できます。 拡張属性とカスタム拡張プロパティは、テナント内のアプリケーションからのものである必要があります。
詳細については、「 動的メンバーシップ グループでの属性の使用」を参照してください。
デバイスのルール
グループのメンバーシップのデバイス オブジェクトを選択するルールを作成できます。 グループ メンバーとしてユーザーとデバイスの両方を含めることはできません。
注
organizationalUnit属性は一覧に表示されなくなり、使用しないでください。 Intune では特定のケースでこの文字列が設定されますが、Microsoft Entra ID では認識されません。 この属性に基づいてグループにデバイスは追加されません。
systemlabels属性は読み取り専用です。 Intune では設定できません。
Windows 10 の場合、 deviceOSVersion 属性の正しい形式が device.deviceOSVersion -startsWith "10.0.1"。
Get-MgDevice PowerShell コマンドレットを使用して、書式設定を検証できます。
Get-MgDevice -Search "displayName:YourMachineNameHere" -ConsistencyLevel eventual | Select-Object -ExpandProperty 'OperatingSystemVersion'
次のデバイス属性を使用できます。
| デバイス属性 | 値 | 例示 |
|---|---|---|
accountEnabled |
true、false |
device.accountEnabled -eq true |
deviceCategory |
有効なデバイス カテゴリ名 | device.deviceCategory -eq "BYOD" |
deviceId |
有効な Microsoft Entra デバイス ID | device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d" |
deviceManagementAppId |
Microsoft Entra ID でのモバイル デバイス管理の有効なアプリケーション ID |
device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" Microsoft Intune マネージド デバイス用"54b943f8-d761-4f8d-951e-9cea1846db5a" System Center Configuration Manager の共同管理デバイスの場合 |
deviceManufacturer |
任意の文字列値 | device.deviceManufacturer -eq "Samsung" |
deviceModel |
任意の文字列値 | device.deviceModel -eq "iPad Air" |
displayName |
任意の文字列値 | device.displayName -eq "Rob iPhone" |
deviceOSType |
任意の文字列値 | (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iOS")device.deviceOSType -startsWith "AndroidEnterprise"device.deviceOSType -eq "AndroidForWork"device.deviceOSType -eq "Windows" |
deviceOSVersion |
任意の文字列値 | device.deviceOSVersion -eq "9.1"device.deviceOSVersion -startsWith "10.0.1" |
deviceOwnership
1 |
Personal、 Company、 Unknown |
device.deviceOwnership -eq "Company" |
devicePhysicalIds |
Windows Autopilot が使用する任意の文字列値、すべての Windows Autopilot デバイス、OrderID、または PurchaseOrderID |
device.devicePhysicalIDs -any _ -startsWith "[ZTDId]"device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881"device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342" |
deviceTrustType
2 |
AzureAD、 ServerAD、 Workplace |
device.deviceTrustType -eq "AzureAD" |
enrollmentProfileName |
Apple 自動デバイス登録、Android Enterprise 企業所有の専用デバイス登録、または Windows Autopilot のプロファイル名 | device.enrollmentProfileName -eq "DEP iPhones" |
extensionAttribute1
3 |
任意の文字列値 | device.extensionAttribute1 -eq "some string value" |
extensionAttribute2 |
任意の文字列値 | device.extensionAttribute2 -eq "some string value" |
extensionAttribute3 |
任意の文字列値 | device.extensionAttribute3 -eq "some string value" |
extensionAttribute4 |
任意の文字列値 | device.extensionAttribute4 -eq "some string value" |
extensionAttribute5 |
任意の文字列値 | device.extensionAttribute5 -eq "some string value" |
extensionAttribute6 |
任意の文字列値 | device.extensionAttribute6 -eq "some string value" |
extensionAttribute7 |
任意の文字列値 | device.extensionAttribute7 -eq "some string value" |
extensionAttribute8 |
任意の文字列値 | device.extensionAttribute8 -eq "some string value" |
extensionAttribute9 |
任意の文字列値 | device.extensionAttribute9 -eq "some string value" |
extensionAttribute10 |
任意の文字列値 | device.extensionAttribute10 -eq "some string value" |
extensionAttribute11 |
任意の文字列値 | device.extensionAttribute11 -eq "some string value" |
extensionAttribute12 |
任意の文字列値 | device.extensionAttribute12 -eq "some string value" |
extensionAttribute13 |
任意の文字列値 | device.extensionAttribute13 -eq "some string value" |
extensionAttribute14 |
任意の文字列値 | device.extensionAttribute14 -eq "some string value" |
extensionAttribute15 |
任意の文字列値 | device.extensionAttribute15 -eq "some string value" |
isRooted |
true、false |
device.isRooted -eq true |
managementType |
モバイル デバイス管理 (モバイル デバイス用) | device.managementType -eq "MDM" |
memberOf |
任意の文字列値 (有効なグループ オブジェクト ID) | device.memberOf -any (group.objectId -in ['value']) |
objectId |
有効な Microsoft Entra オブジェクト ID | device.objectId -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" |
profileType |
Microsoft Entra ID の有効なプロファイルの種類 | device.profileType -eq "RegisteredDevice" |
systemLabels
4 |
Intune デバイス プロパティと一致する、Modern Workplace デバイスにタグを付けるための読み取り専用の文字列 | device.systemLabels -startsWith "M365Managed" SystemLabels |
1deviceOwnership を使用してデバイスの動的メンバーシップ グループを作成する場合は、値を Company に設定する必要があります。 Intune では、デバイスの所有権は代わりに Corporateとして表されます。 詳細については、ownerTypesを参照してください。
2deviceTrustType を使用してデバイスの動的メンバーシップ グループを作成する場合は、Microsoft Entra 参加済みデバイスを表す AzureAD 、Microsoft Entra ハイブリッド参加済みデバイスを表す ServerAD 、または Microsoft Entra 登録済みデバイスを表す Workplace 値を設定する必要があります。
3extensionAttribute1-15 を使用してデバイスの動的メンバーシップ グループを作成する場合は、デバイスの extensionAttribute1-15 の値を設定する必要があります。
Microsoft Entra デバイス オブジェクトに extensionAttributes を記述する方法について説明します。
4systemLabelsを使用する場合、さまざまなコンテキストで使用される読み取り専用属性 (デバイス管理や秘密度ラベル付けなど) は、Intune で編集できません。