Requête d’appareil
La requête d’appareil vous permet d’obtenir rapidement des informations à la demande sur l’état de vos appareils. Lorsque vous entrez une requête sur un appareil sélectionné, la requête d’appareil exécute une requête en temps réel. Les données retournées peuvent ensuite être utilisées pour répondre aux menaces de sécurité, résoudre les problèmes de l’appareil ou prendre des décisions métier.
Configuration requise
Pour utiliser la requête d’appareil dans votre locataire, vous devez disposer d’une licence qui inclut Analyses avancées Microsoft Intune. Analyses avancées fonctionnalités sont disponibles avec :
- Module complémentaire Intune Analyses avancées
- Microsoft Intune Suite
Pour utiliser la requête d’appareil sur un appareil, l’appareil doit être inscrit dans Endpoint Analytics. Découvrez comment inscrire un appareil dans Endpoint Analytics.
Vous ne pouvez pas refuser les notifications cloud (WNS)
Pour qu’un utilisateur utilise la requête d’appareil, vous devez lui attribuer l’autorisationRequêted’appareils - gérés.
Pour utiliser la requête d’appareil, les appareils doivent être Intune gérés et détenus par l’entreprise.
Plateformes prises en charge
La requête d’appareil est actuellement prise en charge uniquement sur les appareils exécutant Windows 10 et versions ultérieures.
Comment utiliser la requête d’appareil
Pour utiliser requête d’appareil, accédez à Appareils et sélectionnez l’appareil sur lequel vous souhaitez utiliser requête d’appareil. Sélectionnez Requête d’appareil sous la section Surveiller .
Les propriétés prises en charge que vous pouvez interroger sont répertoriées dans la section Propriétés . Pour exécuter une requête, entrez une requête Langage de requête Kusto (KQL), puis sélectionnez Exécuter. Les résultats sont affichés dans la zone d’onglet Résultats .
Pour plus d’informations sur Langage de requête Kusto, consultez En savoir plus sur Langage de requête Kusto.
Conseil
Vous pouvez maintenant utiliser Copilot dans Intune (préversion publique) pour générer des requêtes KQL pour les requêtes d’appareil à l’aide de requêtes en langage naturel. Pour plus d’informations, accédez à Requête avec Copilot dans la requête d’appareil.
Opérateurs pris en charge
La requête d’appareil prend uniquement en charge un sous-ensemble des opérateurs pris en charge dans le Langage de requête Kusto (KQL). Les opérateurs suivants sont actuellement pris en charge :
Opérateurs de table
Les opérateurs de table peuvent être utilisés pour filtrer, synthétiser et transformer des flux de données. Actuellement, les opérateurs suivants sont pris en charge :
| Opérateurs de table | Description |
|---|---|
| count | Retourne une table avec un enregistrement unique contenant le nombre d’enregistrements |
| distinct | Produit une table avec la combinaison distincte des colonnes fournies de la table d’entrée |
| jointure | Fusionner les lignes de deux tables pour former une nouvelle table en faisant correspondre la ligne pour le même appareil |
| commander par | Trier les lignes de la table d’entrée dans l’ordre par une ou plusieurs colonnes |
| projet | Sélectionnez les colonnes à inclure, renommer ou supprimer, puis insérez de nouvelles colonnes calculées |
| prendre | Retourner jusqu’au nombre de lignes spécifié |
| top | Retourne les N premiers enregistrements triés par les colonnes spécifiées |
| où | Filtre une table en fonction du sous-ensemble de lignes qui répondent à un prédicat |
Opérateurs scalaires
Le tableau suivant récapitule les opérateurs :
| Opérateurs | Description | Exemple |
|---|---|---|
| == | Equal | 1 == 1, 'aBc' == 'AbC' |
| != | N’est pas égal à | 1 != 2, 'abc' != 'abcd' |
| < | Moins | 1 < 2, 'abc' < 'DEF' |
| > | Plus | 2 > 1, 'xyz' > 'XYZ' |
| <= | Inférieur ou égal à | 1 <= 2, 'abc' <= 'abc' |
| >= | Supérieur ou égal à | 2 >= 1, 'abc' >= 'ABC' |
| + | Ajouter | 2 + 1, now() + 1d |
| - | Soustraire | 2 - 1, now() - 1h |
| * | Multiplier | 2 * 2 |
| / | Diviser | 2 / 1 |
| % | Modulo | 2 % 1 |
| comme | Le côté gauche (LHS) contient une correspondance pour le côté droit (RHS) | 'abc' like '%B%' |
| contains | RHS se produit comme une sous-séquence de LHS | 'abc' contains 'b' |
| !Contient | RhS ne se produit pas dans LHS | 'team' !contains 'i' |
| startswith | RHS est une sous-séquence initiale de LHS | 'team' startswith 'tea' |
| !startswith | RHS n’est pas une sous-séquence initiale de LHS | 'abc' !startswith 'bc' |
| endswith | RHS est une sous-séquence fermante de LHS | 'abc' endswith 'bc' |
| !endswith | RHS n’est pas une sous-séquence fermante de LHS | 'abc' !endswith 'a' |
| et | True si et uniquement si RHS et LHS ont la valeur true | (1 == 1) and (2 == 2) |
| ou | True si et uniquement si RHS ou LHS a la valeur true | (1 == 1) or (1 == 2) |
Fonctions d’agrégation
Les fonctions d’agrégation peuvent être utilisées avec l’opérateur de table summarize pour calculer des valeurs résumées. Actuellement, les fonctions d’agrégation suivantes sont prises en charge :
| Fonction | Description |
|---|---|
| avg() | Retourne la moyenne des valeurs dans le groupe |
| count() | Retourne le nombre d’enregistrements par groupe de synthèse |
| countif() | Retourne le nombre de lignes pour lesquelles le prédicat prend la valeur true. |
| dcount() | Retourne le nombre de valeurs distinctes dans le groupe |
| max() | Retourne la valeur maximale dans le groupe |
| maxif() | À compter de la version 2107, vous pouvez utiliser maxif avec l’opérateur de table summarize.
Retourne la valeur maximale dans le groupe pour lequel le prédicat prend truela valeur . |
| min() | Retourne la valeur minimale dans le groupe |
| minif() | À compter de la version 2107, vous pouvez utiliser minif avec l’opérateur de table summarize.
Retourne la valeur minimale dans le groupe pour lequel le prédicat prend truela valeur . |
| percentile() | Retourne une estimation pour le centile de rang le plus proche spécifié de la population définie par Expr |
| sum() | Retourne la somme des valeurs dans le groupe |
| sumif() | Retourne une somme d’Expr pour laquelle le prédicat prend la valeur true. |
Fonctions scalaires
Les fonctions scalaires peuvent être utilisées dans des expressions. Actuellement, les fonctions scalaires suivantes sont prises en charge :
| Fonction | Description |
|---|---|
| ago() | Soustrait l’intervalle de temps donné de l’heure UTC actuelle |
| bin() | Arrondit les valeurs à plusieurs dateheure multiple d’une taille de compartiment donnée |
| case() | Évalue une liste de prédicats et retourne la première expression de résultat dont le prédicat est satisfait |
| datetime_add() | Calcule un nouveau datetime à partir d’un datepart spécifié multiplié par un montant spécifié, ajouté à un datetime spécifié |
| datetime_diff() | Calcule la différence entre deux valeurs de date et heure |
| iif() | Évalue le premier argument et retourne la valeur du deuxième ou du troisième argument selon que le prédicat a été évalué à true (deuxième) ou false (troisième) |
| indexof() | La fonction signale l’index de base zéro de la première occurrence d’une chaîne spécifiée dans la chaîne d’entrée |
| isnotnull() | Évalue son seul argument et retourne une valeur booléenne indiquant si l’argument prend la valeur d’une valeur non null. |
| isnull() | Évalue son seul argument et retourne une valeur booléenne indiquant si l’argument prend la valeur null |
| now() | Retourne l’heure d’horloge UTC actuelle |
| strcat() | Concatène entre 1 et 64 arguments |
| strlen() | Retourne la longueur, en caractères, de la chaîne d’entrée |
| substring() | Extrait une sous-chaîne d’une chaîne source à partir d’un index jusqu’à la fin de la chaîne |
| tostring() | Convertit l’entrée en représentation sous forme de chaîne |
Propriétés prises en charge
La requête d’appareil prend en charge les entités suivantes. Pour en savoir plus sur les propriétés prises en charge pour chaque entité, consultez Intune Schéma de plateforme de données.
BiosInfo
Certificat
CPU
DiskDrive
EncryptableVolume
FileInfo
LocalGroup
LocalUserAccount
LogicalDrive
MemoryInfo
OsVersion
Processus
SystemEnclosure
SystemInfo
Tpm
WindowsAppCrashEvent
WindowsDriver
WindowsEvent
WindowsQfe
WindowsRegistry
WindowsService
Limitations connues
La chaîne de résultat d’une requête est limitée à 128 Ko. Si le résultat de votre requête dépasse 128 Ko, le résultat est tronqué. Un message d’erreur vous informe du nombre de lignes tronquées.
Vous ne pouvez envoyer que 15 requêtes par minute. Si vous rencontrez une erreur de dépassement de la limite de requêtes , attendez une minute, puis réessayez.
Les entrées de requête ont une longueur limitée à 2 048 caractères. Si vous rencontrez une erreur de requête trop longue , affinez votre requête pour qu’elle comporte moins de caractères et réessayez.
La fonction scalaire now() ne prend pas en charge le paramètre offset.
L’opérateur !like n’est pas pris en charge.
La fenêtre d’entrée recommande automatiquement les guillemets doubles lorsque seuls les guillemets simples sont pris en charge sur les opérateurs suivants :
- contains
- !Contient
- startswith
- !startswith
- endswith
L’entité WindowsRegistry ne parvient pas à renvoyer la clé De Registre pour la racine.
L’entité WindowsRegistry ne parvient pas à retourner les clés de Registre partagées 64 bits.
L’entité WindowsRegistry ne parvient pas à retourner la valeur binaire ValueData.
Si vous interrogez des appareils qui s’exécutent sur Windows 10, ils doivent être sur une version de qualité minimale.
Si vous exécutez Windows 10 21H2, vérifiez qu’il exécute la version 10.0.19044.3393.
Si vous exécutez Windows 10 22H2, vérifiez qu’il exécute la version 10.0.19045.3393.
Si plusieurs cartes réseau sont disponibles sur l’ordinateur, seul le premier domaine configuré est retourné.
Si le module TPM 2.0 est présent sur l’appareil, activé et activé est toujours retourné avec la valeur TRUE.
Si un fichier est actuellement utilisé sur l’ordinateur, les requêtes FileInfo retournent une erreur.
Si l’utilisateur final dispose d’un accès administrateur à l’appareil, il peut être en mesure de modifier les informations basées sur le client qui s’affichent dans les résultats de la requête. Par exemple, la version du système d’exploitation et le registre.
Étapes suivantes
Pour plus d’informations, voir :