Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Nota
Questa funzionalità è disponibile come componente aggiuntivo Intune. Per altre informazioni, vedere Usare le funzionalità del componente aggiuntivo Intune Suite.
La query del dispositivo consente di ottenere rapidamente informazioni su richiesta sullo stato dei dispositivi Windows. Quando si immette una query in un dispositivo selezionato, la query dispositivo esegue una query in tempo reale. I dati restituiti possono quindi essere usati per rispondere alle minacce alla sicurezza, risolvere i problemi del dispositivo o prendere decisioni aziendali.
Prima di iniziare
- Verificare che l'ambiente soddisfi tutti i prerequisiti.
Prerequisiti aggiuntivi per la query del dispositivo:
Requisiti di configurazione del dispositivo
La query del dispositivo supporta i dispositivi Windows che sono:
- Gestito da Intune e contrassegnato come di proprietà dell'azienda.
- Microsoft Entra aggiunto
- Microsoft Entra aggiunto ibrido
La query del dispositivo viene eseguita in tempo reale: quando si esegue una query su un dispositivo, Intune invia una richiesta al dispositivo e si aspetta una risposta immediata. WNS è il meccanismo di trasporto: Windows Push Notification Services viene usato per notificare al dispositivo e restituire i risultati della query. Dipendenza obbligatoria: poiché WNS è parte integrante di questa comunicazione, non è possibile disabilitarla o ignorarla. Se WNS è bloccato o non disponibile, la query del dispositivo avrà esito negativo.
Requisiti dei ruoli
Per usare la query del dispositivo, usare un account con almeno uno dei ruoli seguenti:
- Operatore help desk
- Ruolo personalizzato che include:
- Autorizzazione Dispositivi gestiti/Query
- Autorizzazioni che offrono visibilità e accesso ai dispositivi gestiti in Intune (ad esempio, organizzazione/lettura, dispositivi gestiti/lettura)
Usare la query del dispositivo
- Nell'interfaccia di amministrazione Microsoft Intune selezionare Dispositivi>Windows.
- Selezionare un dispositivo e quindi Selezionare Query dispositivo nella sezione Monitoraggio .
Le proprietà supportate su cui è possibile eseguire query sono elencate nella sezione Proprietà supportate . Per eseguire una query, immettere una query Linguaggio di query Kusto (KQL) e selezionare Esegui. I risultati vengono visualizzati nell'area della scheda Risultati .
Per altre informazioni su Linguaggio di query Kusto, vedere Panoramica Linguaggio di query Kusto.
Consiglio
Usare Copilot in Intune per generare query KQL per query sul dispositivo usando richieste in linguaggio naturale. Per altre informazioni, vedere Eseguire query con Copilot nella query sul dispositivo.
Procedure consigliate:
- Valutare in che modo è possibile usare le query dei dispositivi per aiutare i tecnici L1/L2 a risolvere più rapidamente i ticket di supporto, riducendo al minimo le interruzioni per gli utenti.
- Esaminare i processi di supporto e le attività che in genere richiedono una sessione di controllo remoto per il dispositivo dell'utente finale. Verificare se è possibile completare queste operazioni usando una singola query del dispositivo, ad esempio verificando un servizio in esecuzione, controllando un valore della chiave del Registro di sistema per una configurazione dell'applicazione, controllando una versione dell'applicazione o segnalando i processi principali in base al consumo della CPU.
- Creare query salvate per le indagini ricorrenti nel knowledge base ITSM, per consentire ai tecnici L1/L2 di accedere rapidamente.
- Aggiornare i processi per usare azioni remote per la risoluzione rapida dei problemi. Riavviare un dispositivo o eseguire uno script di correzione per risolvere un problema noto.
Azioni del dispositivo remoto
Usare il Intune azioni remote del dispositivo nella query per dispositivo singolo per gestire i dispositivi in remoto. Dall'interfaccia di query del dispositivo è ora possibile eseguire azioni del dispositivo in base ai risultati delle query per una risoluzione dei problemi più rapida ed efficiente.
Le azioni del dispositivo disponibili dipendono dalla piattaforma e dalla configurazione del dispositivo. Non tutte le azioni sono disponibili per tutti i dispositivi. Per un elenco completo delle operazioni che è possibile eseguire nei dispositivi, vedere Azioni del dispositivo remoto in Microsoft Intune .
Operatori supportati
La query del dispositivo supporta solo un subset degli operatori supportati nel Linguaggio di query Kusto (KQL). Attualmente sono supportati gli operatori seguenti:
Operatori di tabella
Gli operatori di tabella possono essere usati per filtrare, riepilogare e trasformare i flussi di dati. Attualmente sono supportati gli operatori seguenti:
| Operatori di tabella | Descrizione |
|---|---|
count |
Restituisce una tabella con un singolo record contenente il numero di record |
distinct |
Produce una tabella con la combinazione distinta delle colonne fornite della tabella di input |
join |
Unire le righe di due tabelle per formare una nuova tabella associando una riga per lo stesso dispositivo |
order by |
Ordinare le righe della tabella di input in base a una o più colonne |
project |
Selezionare le colonne da includere, rinominare o eliminare e inserire nuove colonne calcolate |
take |
Restituisce fino al numero specificato di righe |
top |
Restituisce i primi N record ordinati in base alle colonne specificate |
where |
Filtra una tabella nel subset di righe che soddisfano un predicato |
Operatori scalari
La tabella seguente riepiloga gli operatori:
| Operatori | Descrizione | Esempio |
|---|---|---|
== |
Uguale | 1 == 1, 'aBc' == 'AbC' |
!= |
Non uguale | 1 != 2, 'abc' != 'abcd' |
< |
Less | 1 < 2, 'abc' < 'DEF' |
> |
Greater | 2 > 1, 'xyz' > 'XYZ' |
<= |
Minore o uguale | 1 <= 2, 'abc' <= 'abc' |
>= |
Maggiore o uguale | 2 >= 1, 'abc' >= 'ABC' |
+ |
Aggiunta | 2 + 1, now() + 1d |
- |
Sottrarre | 2 - 1, now() - 1h |
* |
Moltiplicare | 2 * 2 |
/ |
Dividere | 2 / 1 |
% |
Modulo | 2 % 1 |
like |
Left Hand Side (LHS) contiene una corrispondenza per right hand side (RHS) | 'abc' like '%B%' |
contains |
RHS si verifica come sottosequenza di LHS | 'abc' contains 'b' |
!contains |
RHS non si verifica in LHS | 'team' !contains 'i' |
startswith |
RHS è una sottosequenza iniziale di LHS | 'team' startswith 'tea' |
!startswith |
RHS non è una sottosequenza iniziale di LHS | 'abc' !startswith 'bc' |
endswith |
RHS è una sottosequenza di chiusura di LHS | 'abc' endswith 'bc' |
!endswith |
RHS non è una sottosequenza di chiusura di LHS | 'abc' !endswith 'a' |
and |
True se e solo se RHS e LHS sono true | (1 == 1) and (2 == 2) |
or |
True se e solo se RHS o LHS è true | (1 == 1) or (1 == 2) |
Funzioni di aggregazione
Le funzioni di aggregazione possono essere usate con l'operatore table summarize per calcolare i valori riepilogati. Attualmente sono supportate le funzioni di aggregazione seguenti:
| Funzione | Descrizione |
|---|---|
avg() |
Restituisce la media dei valori nel gruppo |
count() |
Restituisce un conteggio dei record per gruppo di riepilogo |
countif() |
Restituisce un conteggio di righe per le quali predicato restituisce true |
dcount() |
Restituisce il numero di valori distinti nel gruppo |
max() |
Restituisce il valore massimo nel gruppo |
maxif() |
A partire dalla versione 2107, è possibile usare maxif con l'operatore table summarize .
Restituisce il valore massimo nel gruppo per il quale Predicato restituisce true. |
min() |
Restituisce il valore minimo nel gruppo |
minif() |
A partire dalla versione 2107, è possibile usare minif con l'operatore table summarize .
Restituisce il valore minimo nel gruppo per il quale Predicato restituisce true. |
percentile() |
Restituisce una stima per il percentile di rango più vicino specificato della popolazione definita da Expr |
sum() |
Restituisce la somma dei valori nel gruppo |
sumif() |
Restituisce una somma di Expr per cui predicato restituisce true |
Funzioni scalari
Le funzioni scalari possono essere usate nelle espressioni. Attualmente sono supportate le funzioni scalari seguenti:
| Funzione | Descrizione |
|---|---|
ago() |
Sottrae l'intervallo di tempo specificato dall'ora UTC corrente |
bin() |
Arrotonda i valori per difetto a molti valori datetime multipli di una determinata dimensione del contenitore |
case() |
Valuta un elenco di predicati e restituisce la prima espressione del risultato il cui predicato è soddisfatto |
datetime_add() |
Calcola un nuovo datetime da un datepart specificato moltiplicato per un importo specificato, aggiunto a un datetime specificato |
datetime_diff() |
Calcola la differenza tra due valori di data e ora |
iif() |
Valuta il primo argomento e restituisce il valore del secondo o del terzo argomento a seconda che il predicato abbia valutato true (secondo) o false (terzo) |
indexof() |
La funzione segnala l'indice in base zero della prima occorrenza di una stringa specificata all'interno della stringa di input |
isnotnull() |
Valuta l'unico argomento e restituisce un valore booleano che indica se l'argomento restituisce un valore diverso da Null |
isnull() |
Valuta l'unico argomento e restituisce un valore booleano che indica se l'argomento restituisce un valore Null |
now() |
Restituisce l'ora UTC corrente |
strcat() |
Concatena tra 1 e 64 argomenti |
strlen() |
Restituisce la lunghezza, in caratteri, della stringa di input |
substring() |
Estrae una sottostringa da una stringa di origine a partire da un indice alla fine della stringa |
tostring() |
Converte l'input in una rappresentazione di stringa |
Proprietà supportate
La query del dispositivo supporta le entità seguenti. Per altre informazioni sulle proprietà supportate per ogni entità, vedere Intune Data Platform Schema.
BiosInfoCertificateCpuDiskDriveEncryptableVolumeFileInfoLocalGroupLocalUserAccountLogicalDriveMemoryInfoOsVersionProcessSystemEnclosureSystemInfoTpmWindowsAppCrashEventWindowsDriverWindowsEventWindowsQfeWindowsRegistryWindowsService
Limitazioni note
- La stringa di risultato di qualsiasi query è limitata a 128 kb di caratteri. Se il risultato della query è più lungo di 128 kb di caratteri, il risultato viene troncato. Un messaggio di errore indica il numero di righe troncate.
- È possibile inviare solo 15 query al minuto. Se si verifica un errore di superamento del limite di query , attendere un minuto e riprovare.
- Gli input di query hanno un limite di lunghezza di 2048 caratteri. Se si verifica un errore di query troppo lungo , perfezionare la query in modo che abbia meno caratteri e riprovare.
- La funzione scalare now() non supporta il parametro offset.
- L'operatore
!likenon è supportato. - La finestra di input consiglia automaticamente virgolette doppie quando sono supportate solo virgolette singole negli operatori seguenti:
contains!containsstartswith!startswithendswith
- L'entità WindowsRegistry non riesce a restituire RegistryKey per la radice.
- L'entità WindowsRegistry non riesce a restituire chiavi del Registro di sistema condivise a 64 bit.
- L'entità WindowsRegistry non riesce a restituire ValueData binario.
- Se nel computer sono disponibili più schede di rete, viene restituito solo il primo dominio configurato.
- Se TPM 2.0 è presente nel dispositivo, l'attivazione e l'abilitazione vengono sempre restituite come TRUE.
- Se un file è attualmente in uso nel computer, le query FileInfo restituiscono un errore.
- Se l'utente finale ha accesso amministratore al dispositivo, potrebbe essere in grado di modificare le informazioni basate sul client restituite nei risultati della query. Ad esempio, versione del sistema operativo e Registro di sistema.