Consulta de dispositivo
La consulta de dispositivos permite obtener rápidamente información a petición sobre el estado de los dispositivos. Al escribir una consulta en un dispositivo seleccionado, la consulta de dispositivo ejecuta una consulta en tiempo real. Los datos devueltos se pueden usar para responder a amenazas de seguridad, solucionar problemas del dispositivo o tomar decisiones empresariales.
Requisitos previos
Para usar la consulta de dispositivo en el inquilino, debe tener una licencia que incluya Análisis avanzado de Microsoft Intune. Análisis avanzado características están disponibles con:
- Complemento de Intune Análisis avanzado
- Microsoft Intune Suite
Para usar la consulta de dispositivo en un dispositivo, el dispositivo debe inscribirse en Endpoint Analytics. Obtenga información sobre cómo inscribir un dispositivo en Endpoint Analytics.
No puede optar por no participar en las notificaciones en la nube (WNS)
Para que un usuario use la consulta De dispositivo, debe asignarle el permisoConsultade dispositivos - administrados.
Para usar la consulta de dispositivos, los dispositivos deben ser Intune administrados y corporativos.
Plataformas compatibles
Actualmente, la consulta de dispositivos solo se admite en dispositivos que ejecutan Windows 10 y versiones posteriores.
Uso de la consulta de dispositivo
Para usar la consulta de dispositivo, vaya a Dispositivos y seleccione el dispositivo en el que desea usar Consulta de dispositivo. Seleccione Consulta de dispositivo en la sección Monitor .
Las propiedades admitidas que puede consultar se enumeran en la sección Propiedades . Para ejecutar una consulta, escriba una consulta de Lenguaje de consulta Kusto (KQL) y seleccione Ejecutar. Los resultados se muestran en el área de pestaña Resultados .
Para obtener más información sobre Lenguaje de consulta Kusto, consulte Más información sobre Lenguaje de consulta Kusto.
Sugerencia
Ahora puede usar Copilot en Intune (versión preliminar pública) para generar consultas KQL para la consulta de dispositivos mediante solicitudes de lenguaje natural. Para más información, vaya a Consulta con Copilot en la consulta del dispositivo.
Operadores admitidos
La consulta de dispositivo solo admite un subconjunto de los operadores admitidos en el Lenguaje de consulta Kusto (KQL). Actualmente se admiten los siguientes operadores:
Operadores de tabla
Los operadores de tabla se pueden usar para filtrar, resumir y transformar flujos de datos. Actualmente se admiten los siguientes operadores:
| Operadores de tabla | Descripción |
|---|---|
| count | Devuelve una tabla con un único registro que contiene el número de registros. |
| distinto | Genera una tabla con la combinación distinta de las columnas proporcionadas de la tabla de entrada. |
| join | Combinar las filas de dos tablas para formar una nueva tabla mediante una fila coincidente para el mismo dispositivo |
| order by | Ordenar las filas de la tabla de entrada en orden por una o varias columnas |
| proyecto | Seleccione las columnas que desea incluir, cambiar el nombre o quitar e insertar nuevas columnas calculadas. |
| tomar | Devolver hasta el número especificado de filas |
| top | Devuelve los primeros N registros ordenados por las columnas especificadas. |
| Dónde | Filtra una tabla al subconjunto de filas que satisfacen un predicado |
Operadores escalares
En la tabla siguiente se resumen los operadores:
| Operadores | Descripción | Ejemplo |
|---|---|---|
| == | Igual | 1 == 1, 'aBc' == 'AbC' |
| = | No es igual | 1 != 2, 'abc' != 'abcd' |
| < | Menos | 1 < 2, 'abc' < 'DEF' |
| > | Mayor | 2 > 1, 'xyz' > 'XYZ' |
| <= | Menor o igual | 1 <= 2, 'abc' <= 'abc' |
| >= | Mayor o igual | 2 >= 1, 'abc' >= 'ABC' |
| + | Agregar | 2 + 1, now() + 1d |
| - | Subtract | 2 - 1, now() - 1h |
| * | Multiplicar | 2 * 2 |
| / | Dividir | 2 / 1 |
| % | Módulo | 2 % 1 |
| como | El lado izquierdo (LHS) contiene una coincidencia para el lado derecho (RHS) | 'abc' like '%B%' |
| contains | RHS se produce como una subsecuencia de LHS | 'abc' contains 'b' |
| !Contiene | RHS no se produce en LHS | 'team' !contains 'i' |
| startswith | RHS es una subsecuencia inicial de LHS | 'team' startswith 'tea' |
| !startswith | RHS no es una subsecuencia inicial de LHS | 'abc' !startswith 'bc' |
| endswith | RHS es una subsecuencia de cierre de LHS | 'abc' endswith 'bc' |
| !endswith | RHS no es una subsecuencia de cierre de LHS | 'abc' !endswith 'a' |
| y | True si y solo si RHS y LHS son true | (1 == 1) and (2 == 2) |
| Otra posibilidad: | True si y solo si RHS o LHS es true | (1 == 1) or (1 == 2) |
Funciones de agregación
Las funciones de agregación se pueden usar con el operador de tabla summarize para calcular los valores resumidos. Actualmente se admiten las siguientes funciones de agregación:
| Función | Descripción |
|---|---|
| avg() | Devuelve el promedio de los valores del grupo. |
| count() | Devuelve un recuento de los registros por grupo de resumen. |
| countif() | Devuelve un recuento de filas para las que Predicate se evalúa como true. |
| dcount() | Devuelve el número de valores distintos del grupo. |
| max() | Devuelve el valor máximo en el grupo. |
| maxif() | A partir de la versión 2107, puede usar maxif con el operador de tabla summarize.
Devuelve el valor máximo en el grupo para el que Predicate se evalúa como true. |
| min() | Devuelve el valor mínimo en el grupo. |
| minif() | A partir de la versión 2107, puede usar minif con el operador de tabla summarize.
Devuelve el valor mínimo en el grupo para el que Predicate se evalúa como true. |
| percentile() | Devuelve una estimación del percentil de clasificación más cercano especificado de la población definida por Expr. |
| sum() | Devuelve la suma de los valores en el grupo. |
| sumif() | Devuelve una suma de Expr para la que Predicate se evalúa como true. |
Funciones escalares
Las funciones escalares se pueden usar en expresiones. Actualmente se admiten las siguientes funciones escalares:
| Función | Descripción |
|---|---|
| ago() | Resta el intervalo de tiempo especificado de la hora utc actual |
| bin() | Redondea los valores a varios múltiplos de fecha y hora de un tamaño de contenedor determinado |
| case() | Evalúa una lista de predicados y devuelve la primera expresión de resultado cuyo predicado se cumple |
| datetime_add() | Calcula una nueva fecha y hora a partir de una parte de fecha especificada multiplicada por una cantidad especificada, agregada a una fecha y hora especificada. |
| datetime_diff() | Calcula la diferencia entre dos valores de fecha y hora |
| iif() | Evalúa el primer argumento y devuelve el valor del segundo o tercer argumento en función de si el predicado se evaluó como true (segundo) o false (tercero) |
| indexof() | La función notifica el índice de base cero de la primera aparición de una cadena especificada dentro de la cadena de entrada. |
| isnotnull() | Evalúa su único argumento y devuelve un valor booleano que indica si el argumento se evalúa como un valor que no es NULL. |
| isnull() | Evalúa su único argumento y devuelve un valor booleano que indica si el argumento se evalúa como un valor NULL. |
| now() | Devuelve la hora actual del reloj UTC. |
| strcat() | Concatena entre 1 y 64 argumentos |
| strlen() | Devuelve la longitud, en caracteres, de la cadena de entrada. |
| substring() | Extrae una subcadena de una cadena de origen desde algún índice hasta el final de la cadena. |
| tostring() | Convierte la entrada en una representación de cadena |
Propiedades admitidas
La consulta de dispositivo admite las siguientes entidades. Para obtener más información sobre qué propiedades se admiten para cada entidad, consulte Intune Esquema de la plataforma de datos.
BiosInfo
Certificado
CPU
DiskDrive
EncryptableVolume
FileInfo
LocalGroup
LocalUserAccount
LogicalDrive
MemoryInfo
OsVersion
Proceso
SystemEnclosure
SystemInfo
Tpm
WindowsAppCrashEvent
WindowsDriver
WindowsEvent
WindowsQfe
WindowsRegistry
WindowsService
Limitaciones conocidas
La cadena de resultado de cualquier consulta está limitada a 128 kb de caracteres. Si el resultado de la consulta tiene más de 128 kb de caracteres, el resultado se trunca. Un mensaje de error le informa sobre cuántas filas se truncan.
Solo puede enviar 15 consultas por minuto. Si se produce un error que supera el límite de consultas , espere un minuto e inténtelo de nuevo.
Las entradas de consulta tienen un límite de longitud de 2048 caracteres. Si encuentra un error de consulta demasiado largo , afina la consulta para que tenga menos caracteres e inténtelo de nuevo.
La función escalar now() no admite el parámetro offset.
No se admite el operador !like.
La ventana de entrada recomienda automáticamente comillas dobles cuando solo se admiten comillas simples en los operadores siguientes:
- contains
- !Contiene
- startswith
- !startswith
- endswith
La entidad WindowsRegistry no puede devolver RegistryKey para la raíz.
La entidad WindowsRegistry no puede devolver claves del Registro compartidas de 64 bits.
La entidad WindowsRegistry no puede devolver valueData binario.
Si está consultando dispositivos que se ejecutan en Windows 10, deben tener una versión de calidad mínima.
Si ejecuta Windows 10 21H2, asegúrese de que ejecuta la versión 10.0.19044.3393.
Si ejecuta Windows 10 22H2, asegúrese de que ejecuta la versión 10.0.19045.3393.
Si hay varias tarjetas de red disponibles en el equipo, solo se devuelve el primer dominio configurado.
Si TPM 2.0 está presente en el dispositivo, siempre se devuelve activado y habilitado como TRUE.
Si un archivo está actualmente en uso en la máquina, las consultas FileInfo devolverán un error.
Si el usuario final tiene acceso de administrador al dispositivo, es posible que pueda cambiar la información basada en cliente que se muestra en los resultados de la consulta. Por ejemplo, versión del sistema operativo y registro.
Pasos siguientes
Para obtener más información, vaya a: