Query del dispositivo
La query del dispositivo consente di ottenere rapidamente informazioni su richiesta sullo stato dei dispositivi. Quando si immette una query in un dispositivo selezionato, la query dispositivo esegue una query in tempo reale. I dati restituiti possono quindi essere usati per rispondere alle minacce alla sicurezza, risolvere i problemi del dispositivo o prendere decisioni aziendali.
Prerequisiti
Per usare la funzionalità Query del dispositivo nel tenant, devi disporre di una licenza che includa Analisi avanzata di Microsoft Intune. Analisi avanzata funzionalità sono disponibili con:
- Componente aggiuntivo Intune Analisi avanzata
- Microsoft Intune Suite
Per usare La query del dispositivo in un dispositivo, il dispositivo deve essere registrato in Endpoint Analytics. Informazioni su come registrare un dispositivo in Endpoint Analytics.
Non è possibile rifiutare esplicitamente le notifiche cloud (WNS)
Per consentire a un utente di usare la query dispositivo, è necessario assegnare l'autorizzazioneQuerydispositivi - gestiti.
Per usare la query dispositivo, i dispositivi devono essere Intune gestiti e di proprietà dell'azienda.
Piattaforme supportate
La query del dispositivo è attualmente supportata solo nei dispositivi che eseguono Windows 10 e versioni successive.
Come usare la query del dispositivo
Per usare la query Dispositivo, passare a Dispositivi e selezionare il dispositivo in cui si vuole usare la query dispositivo. Selezionare Query dispositivo nella sezione Monitoraggio .
Le proprietà supportate su cui è possibile eseguire query sono elencate nella sezione Proprietà . Per eseguire una query, immettere una query Linguaggio di query Kusto (KQL) e selezionare Esegui. I risultati vengono visualizzati nell'area della scheda Risultati .
Per altre informazioni su Linguaggio di query Kusto, vedere Altre informazioni sui Linguaggio di query Kusto.
Consiglio
È ora possibile usare Copilot in Intune (anteprima pubblica) per generare query KQL per query sul dispositivo usando richieste in linguaggio naturale. Per altre informazioni, vedere Eseguire query con Copilot nella query sul dispositivo.
Operatori supportati
La query del dispositivo supporta solo un subset degli operatori supportati nel Linguaggio di query Kusto (KQL). Attualmente sono supportati gli operatori seguenti:
Operatori di tabella
Gli operatori di tabella possono essere usati per filtrare, riepilogare e trasformare i flussi di dati. Attualmente sono supportati gli operatori seguenti:
| Operatori di tabella | Descrizione |
|---|---|
| contare | Restituisce una tabella con un singolo record contenente il numero di record |
| distinto | Produce una tabella con la combinazione distinta delle colonne fornite della tabella di input |
| unire | Unire le righe di due tabelle per formare una nuova tabella associando una riga per lo stesso dispositivo |
| order by | Ordinare le righe della tabella di input in base a una o più colonne |
| progetto | Selezionare le colonne da includere, rinominare o eliminare e inserire nuove colonne calcolate |
| prendere | Restituisce fino al numero specificato di righe |
| In alto | Restituisce i primi N record ordinati in base alle colonne specificate |
| dove | Filtra una tabella nel subset di righe che soddisfano un predicato |
Operatori scalari
La tabella seguente riepiloga gli operatori:
| Operatori | Descrizione | Esempio |
|---|---|---|
| == | Uguale | 1 == 1, 'aBc' == 'AbC' |
| != | Non uguale | 1 != 2, 'abc' != 'abcd' |
| < | Meno | 1 < 2, 'abc' < 'DEF' |
| > | Maggiore | 2 > 1, 'xyz' > 'XYZ' |
| <= | Minore o uguale | 1 <= 2, 'abc' <= 'abc' |
| >= | Maggiore o uguale | 2 >= 1, 'abc' >= 'ABC' |
| + | Aggiunta | 2 + 1, now() + 1d |
| - | Sottrarre | 2 - 1, now() - 1h |
| * | Moltiplicare | 2 * 2 |
| / | Dividere | 2 / 1 |
| % | Modulo | 2 % 1 |
| come | Left Hand Side (LHS) contiene una corrispondenza per right hand side (RHS) | 'abc' like '%B%' |
| Contiene | RHS si verifica come sottosequenza di LHS | 'abc' contains 'b' |
| !Contiene | RHS non si verifica in LHS | 'team' !contains 'i' |
| startswith | RHS è una sottosequenza iniziale di LHS | 'team' startswith 'tea' |
| !startswith | RHS non è una sottosequenza iniziale di LHS | 'abc' !startswith 'bc' |
| endswith | RHS è una sottosequenza di chiusura di LHS | 'abc' endswith 'bc' |
| !endswith | RHS non è una sottosequenza di chiusura di LHS | 'abc' !endswith 'a' |
| e | True se e solo se RHS e LHS sono true | (1 == 1) and (2 == 2) |
| o | True se e solo se RHS o LHS è true | (1 == 1) or (1 == 2) |
Funzioni di aggregazione
Le funzioni di aggregazione possono essere usate con l'operatore di tabella summarize per calcolare i valori riepilogati. Attualmente sono supportate le funzioni di aggregazione seguenti:
| Funzione | Descrizione |
|---|---|
| avg() | Restituisce la media dei valori nel gruppo |
| count() | Restituisce un conteggio dei record per gruppo di riepilogo |
| countif() | Restituisce un conteggio di righe per le quali predicato restituisce true |
| dcount() | Restituisce il numero di valori distinti nel gruppo |
| max() | Restituisce il valore massimo nel gruppo |
| maxif() | A partire dalla versione 2107, è possibile usare maxif con l'operatore di tabella summarize.
Restituisce il valore massimo nel gruppo per il quale Predicato restituisce true. |
| min() | Restituisce il valore minimo nel gruppo |
| minif() | A partire dalla versione 2107, è possibile usare minif con l'operatore di tabella summarize.
Restituisce il valore minimo nel gruppo per il quale Predicato restituisce true. |
| percentile() | Restituisce una stima per il percentile di rango più vicino specificato della popolazione definita da Expr |
| sum() | Restituisce la somma dei valori nel gruppo |
| sumif() | Restituisce una somma di Expr per cui predicato restituisce true |
Funzioni scalari
Le funzioni scalari possono essere usate nelle espressioni. Attualmente sono supportate le funzioni scalari seguenti:
| Funzione | Descrizione |
|---|---|
| ago() | Sottrae l'intervallo di tempo specificato dall'ora UTC corrente |
| bin() | Arrotonda i valori per difetto a molti valori datetime multipli di una determinata dimensione del contenitore |
| case() | Valuta un elenco di predicati e restituisce la prima espressione del risultato il cui predicato è soddisfatto |
| datetime_add() | Calcola un nuovo datetime da un datepart specificato moltiplicato per un importo specificato, aggiunto a un datetime specificato |
| datetime_diff() | Calcola la differenza tra due valori di data e ora |
| iif() | Valuta il primo argomento e restituisce il valore del secondo o del terzo argomento a seconda che il predicato abbia valutato true (secondo) o false (terzo) |
| indexof() | La funzione segnala l'indice in base zero della prima occorrenza di una stringa specificata all'interno della stringa di input |
| isnotnull() | Valuta l'unico argomento e restituisce un valore booleano che indica se l'argomento restituisce un valore diverso da Null |
| isnull() | Valuta l'unico argomento e restituisce un valore booleano che indica se l'argomento restituisce un valore Null |
| now() | Restituisce l'ora UTC corrente |
| strcat() | Concatena tra 1 e 64 argomenti |
| strlen() | Restituisce la lunghezza, in caratteri, della stringa di input |
| substring() | Estrae una sottostringa da una stringa di origine a partire da un indice alla fine della stringa |
| tostring() | Converte l'input in una rappresentazione di stringa |
Proprietà supportate
La query del dispositivo supporta le entità seguenti. Per altre informazioni sulle proprietà supportate per ogni entità, vedere Intune Data Platform Schema.
BiosInfo
Certificato
CPU
DiskDrive
EncryptableVolume
FileInfo
LocalGroup
LocalUserAccount
LogicalDrive
MemoryInfo
OsVersion
Procedura
SystemEnclosure
SystemInfo
Tpm
WindowsAppCrashEvent
WindowsDriver
WindowsEvent
WindowsQfe
WindowsRegistry
WindowsService
Limitazioni note
La stringa di risultato di qualsiasi query è limitata a 128 kb di caratteri. Se il risultato della query è più lungo di 128 kb di caratteri, il risultato viene troncato. Un messaggio di errore indica il numero di righe troncate.
È possibile inviare solo 15 query al minuto. Se si verifica un errore di superamento del limite di query , attendere un minuto e riprovare.
Gli input di query hanno un limite di lunghezza di 2048 caratteri. Se si verifica un errore di query troppo lungo , perfezionare la query in modo che abbia meno caratteri e riprovare.
La funzione scalare now() non supporta il parametro offset.
L'operatore !like non è supportato.
La finestra di input consiglia automaticamente virgolette doppie quando sono supportate solo virgolette singole negli operatori seguenti:
- Contiene
- !Contiene
- startswith
- !startswith
- endswith
L'entità WindowsRegistry non riesce a restituire RegistryKey per la radice.
L'entità WindowsRegistry non riesce a restituire chiavi del Registro di sistema condivise a 64 bit.
L'entità WindowsRegistry non riesce a restituire ValueData binario.
Se si eseguono query sui dispositivi in esecuzione in Windows 10, devono avere una versione di qualità minima.
Se si esegue Windows 10 21H2, assicurarsi che sia in esecuzione la versione 10.0.19044.3393.
Se si esegue Windows 10 22H2, assicurarsi che sia in esecuzione la versione 10.0.19045.3393.
Se nel computer sono disponibili più schede di rete, viene restituito solo il primo dominio configurato.
Se TPM 2.0 è presente nel dispositivo, l'attivazione e l'abilitazione vengono sempre restituite come TRUE.
Se un file è attualmente in uso nel computer, le query FileInfo restituiscono un errore.
Se l'utente finale ha accesso amministratore al dispositivo, potrebbe essere in grado di modificare le informazioni basate sul client visualizzate nei risultati della query. Ad esempio, versione del sistema operativo e Registro di sistema.
Operazioni successive
Per altre informazioni, vedere: