디바이스 쿼리
디바이스 쿼리를 사용하면 디바이스 상태에 대한 주문형 정보를 빠르게 얻을 수 있습니다. 선택한 디바이스에 쿼리를 입력하면 디바이스 쿼리가 실시간으로 쿼리를 실행합니다. 그런 다음 반환된 데이터를 사용하여 보안 위협에 대응하거나, 디바이스 문제를 해결하거나, 비즈니스 결정을 내릴 수 있습니다.
필수 구성 요소
테넌트에서 디바이스 쿼리를 사용하려면 Microsoft Intune 고급 분석 포함하는 라이선스가 있어야 합니다. 고급 분석 기능은 다음과 같습니다.
- Intune 고급 분석 추가 기능
- Microsoft Intune Suite
디바이스에서 디바이스 쿼리를 사용하려면 디바이스를 Endpoint Analytics에 등록해야 합니다. Endpoint Analytics에서 디바이스를 등록하는 방법을 알아봅니다.
WNS(클라우드 알림)를 옵트아웃할 수 없습니다.
사용자가 디바이스 쿼리를 사용하려면 관리 디바이스 - 쿼리 권한을 할당해야 합니다.
디바이스 쿼리를 사용하려면 디바이스가 Intune 관리 및 회사 소유여야 합니다.
지원되는 플랫폼
디바이스 쿼리는 현재 Windows 10 이상을 실행하는 디바이스에서만 지원됩니다.
디바이스 쿼리를 사용하는 방법
디바이스 쿼리를 사용하려면 디바이스로 이동하여 디바이스 쿼리를 사용할 디바이스를 선택합니다. 모니터 섹션에서 디바이스 쿼리를 선택합니다.
쿼리할 수 있는 지원되는 속성은 속성 섹션에 나열됩니다. 쿼리를 실행하려면 Kusto 쿼리 언어(KQL) 쿼리를 입력하고 실행을 선택합니다. 결과는 결과 탭 영역에 표시됩니다.
Kusto 쿼리 언어 대한 자세한 내용은 Kusto 쿼리 언어 대한 자세한 내용을 참조하세요.
지원되는 연산자
디바이스 쿼리는 Kusto 쿼리 언어(KQL)에서 지원되는 연산자의 하위 집합만 지원합니다. 현재 지원되는 연산자는 다음과 같습니다.
테이블 연산자
테이블 연산자는 데이터 스트림 필터링, 요약 및 변환을 사용할 수 있습니다. 현재 다음 연산자가 지원됩니다.
| 테이블 연산자 | 설명 |
|---|---|
| 횟수 | 레코드 수를 포함하는 단일 레코드가 있는 테이블을 반환합니다. |
| 별개 | 입력 테이블의 제공된 열의 고유한 조합을 사용하여 테이블을 생성합니다. |
| 가입 | 두 테이블의 행을 병합하여 동일한 디바이스에 대한 행을 일치시켜 새 테이블을 형성합니다. |
| order by | 하나 이상의 열을 기준으로 입력 테이블의 행을 순서대로 정렬합니다. |
| 프로젝트 | 포함, 이름 바꾸기 또는 삭제할 열을 선택하고 새 계산 열을 삽입합니다. |
| take | 지정된 행 수까지 반환 |
| 맨 위로 | 지정된 열을 기준으로 정렬된 첫 번째 N 레코드를 반환합니다. |
| 어디 | 조건자를 충족하는 행의 하위 집합으로 테이블을 필터링합니다. |
스칼라 연산자
다음 표에는 연산자가 요약됩니다.
| 연산자 | 설명 | 예제 |
|---|---|---|
| == | 동등한 | 1 == 1, 'aBc' == 'AbC' |
| != | 같지 않음 | 1 != 2, 'abc' != 'abcd' |
| < | 덜 | 1 < 2, 'abc' < 'DEF' |
| > | 큰 | 2 > 1, 'xyz' > 'XYZ' |
| <= | 작거나 같음 | 1 <= 2, 'abc' <= 'abc' |
| >= | 크거나 같음 | 2 >= 1, 'abc' >= 'ABC' |
| + | 추가 | 2 + 1, now() + 1d |
| - | 빼기 | 2 - 1, now() - 1h |
| * | 곱하면 | 2 * 2 |
| / | 분할 | 2 / 1 |
| % | 모듈로 | 2 % 1 |
| 좋아요 | LHS(왼쪽)에는 RHS(오른쪽)에 대한 일치 항목이 포함되어 있습니다. | 'abc' like '%B%' |
| !처럼 | LHS에는 RHS에 대한 일치 항목이 포함되어 있지 않습니다. | 'abc' !like '_d_' |
| 포함 | RHS는 LHS의 하위 시퀀스로 발생합니다. | 'abc' contains 'b' |
| !포함 | RHS는 LHS에서 발생하지 않습니다. | 'team' !contains 'i' |
| startswith | RHS는 LHS의 초기 하위 시퀀스입니다. | 'team' startswith 'tea' |
| !startswith | RHS는 LHS의 초기 하위 시퀀스가 아닙니다. | 'abc' !startswith 'bc' |
| Endswith | RHS는 LHS의 종결 하위 시퀀스입니다. | 'abc' endswith 'bc' |
| !Endswith | RHS는 LHS의 종결 하위 시퀀스가 아닙니다. | 'abc' !endswith 'a' |
| 및 | TRUE이면 이고 RHS 및 LHS가 true인 경우에만 | (1 == 1) and (2 == 2) |
| 또는 | TRUE이면 이고 RHS 또는 LHS가 true인 경우에만 | (1 == 1) or (1 == 2) |
집계 함수
집계 함수는 요약 테이블 연산자에서 요약된 값을 계산하는 데 사용할 수 있습니다. 현재 다음 집계 함수가 지원됩니다.
| 함수 | 설명 |
|---|---|
| avg() | 그룹 전체의 값 평균을 반환합니다. |
| count() | 요약 그룹당 레코드 수를 반환합니다. |
| countif() | 조건자가 true로 평가되는 행 수를 반환합니다. |
| dcount() | 그룹의 고유 값 수를 반환합니다. |
| max() | 그룹 전체의 최대값을 반환합니다. |
| maxif() | 버전 2107부터 summarize 테이블 연산자에 maxif 를 사용할 수 있습니다. 조건자가 로 계산되는 그룹의 최대값을 반환합니다.true |
| min() | 그룹 전체의 최소값을 반환합니다. |
| minif() | 버전 2107부터는 summarize 테이블 연산자에서 minif 를 사용할 수 있습니다. 조건자가 로 계산되는 그룹의 최소값을 반환합니다.true |
| percentile() | Expr에서 정의한 모집단의 지정된 가장 가까운 순위 백분위수에 대한 예상값을 반환합니다. |
| sum() | 그룹 전체의 값 합계를 반환합니다. |
| sumif() | 조건자가 true로 평가되는 Expr의 합계를 반환합니다. |
스칼라 함수
스칼라 함수는 식에서 사용할 수 있습니다. 현재 지원되는 스칼라 함수는 다음과 같습니다.
| 함수 | 설명 |
|---|---|
| ago() | 현재 UTC 클록 시간에서 지정된 시간 범위를 뺍니다. |
| bin() | 지정된 bin 크기의 여러 datetime 배수로 값을 반올림합니다. |
| case() | 조건자 목록을 평가하고 조건자가 충족되는 첫 번째 결과 식을 반환합니다. |
| datetime_add() | 지정된 datepart의 새 datetime을 지정된 날짜/시간에 추가된 지정된 양만큼 곱한 값으로 계산합니다. |
| datetime_diff() | 두 날짜 시간 값 간의 차이를 계산합니다. |
| iif() | 첫 번째 인수를 평가하고 조건자가 true(두 번째) 또는 false(세 번째)로 평가되었는지 여부에 따라 두 번째 또는 세 번째 인수의 값을 반환합니다. |
| indexof() | 함수는 입력 문자열 내에서 지정된 문자열이 처음 나타나는 인덱스(0부터 시작)를 보고합니다. |
| isnotnull() | 유일한 인수를 평가하고 인수가 null이 아닌 값으로 계산되는지 여부를 나타내는 부울 값을 반환합니다. |
| isnull() | 유일한 인수를 평가하고 인수가 null 값으로 평가되는지 여부를 나타내는 부울 값을 반환합니다. |
| now() | 현재 UTC 클록 시간을 반환합니다. |
| strcat() | 1~64개 인수 간 연결 |
| strlen() | 입력 문자열의 길이(문자)를 반환합니다. |
| substring() | 일부 인덱스에서 문자열의 끝으로 시작하는 원본 문자열에서 부분 문자열을 추출합니다. |
| tostring() | 입력을 문자열 표현으로 변환합니다. |
지원되는 속성
디바이스 쿼리는 다음 엔터티를 지원합니다. 각 엔터티에 대해 지원되는 속성에 대한 자세한 내용은 Intune 데이터 플랫폼 스키마를 참조하세요.
BiosInfo
인증서
Cpu
DiskDrive
EncryptableVolume
Fileinfo
LocalGroup
LocalUserAccount
LogicalDrive
MemoryInfo
OsVersion
프로세스
SystemEnclosure
SystemInfo
Tpm
WindowsAppCrashEvent
WindowsDriver
WindowsEvent
WindowsQfe
WindowsRegistry
WindowsService
알려진 제한
쿼리의 결과 문자열은 128kb 문자로 제한됩니다. 쿼리 결과가 128kb 문자보다 긴 경우 결과가 잘립니다. 잘리는 행 수에 대한 오류 메시지가 표시됩니다.
1분에만 15개의 쿼리를 보낼 수 있습니다. 쿼리 제한 초과 오류가 발생하면 잠시 기다렸다가 다시 시도하세요.
쿼리 입력의 길이 제한은 2048자입니다. 쿼리가 너무 긴 오류가 발생하면 쿼리를 구체화하여 문자 수를 줄이도록 하고 다시 시도합니다.
now() 스칼라 함수는 오프셋 매개 변수를 지원하지 않습니다.
입력 창은 다음 연산자에서 작은따옴표만 지원되는 경우 큰따옴표를 자동으로 권장합니다.
- 포함
- !포함
- startswith
- !startswith
- Endswith
WindowsRegistry 엔터티가 루트에 대한 RegistryKey를 반환하지 못합니다.
WindowsRegistry 엔터티가 64비트 공유 레지스트리 키를 반환하지 못합니다.
WindowsRegistry 엔터티가 이진 ValueData를 반환하지 못합니다.
Windows 10 실행 중인 디바이스를 쿼리하는 경우 최소 품질 버전이어야 합니다.
Windows 10 21H2를 실행하는 경우 버전 10.0.19044.3393이 실행되고 있는지 확인합니다.
Windows 10 22H2를 실행하는 경우 버전 10.0.19045.3393이 실행되고 있는지 확인합니다.
컴퓨터에서 사용할 수 있는 네트워크 카드가 여러 대 있는 경우 첫 번째 구성된 도메인만 반환됩니다.
TPM 2.0이 디바이스에 있는 경우 활성화 및 사용은 항상 TRUE로 반환됩니다.
파일이 현재 컴퓨터에서 사용 중인 경우 FileInfo 쿼리는 오류를 반환합니다.
최종 사용자가 디바이스에 대한 관리자 액세스 권한이 있는 경우 쿼리 결과에 표시되는 클라이언트 기반 정보를 변경할 수 있습니다. 예를 들어 OS 버전 및 레지스트리입니다.
다음 단계
자세한 내용을 보려면 다음으로 이동하세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기