Zapytanie dotyczące urządzenia
Zapytanie urządzenia umożliwia szybkie uzyskiwanie informacji na żądanie o stanie urządzeń. Po wprowadzeniu zapytania na wybranym urządzeniu zapytanie urządzenie uruchamia zapytanie w czasie rzeczywistym. Zwrócone dane mogą być następnie używane do reagowania na zagrożenia bezpieczeństwa, rozwiązywania problemów z urządzeniem lub podejmowania decyzji biznesowych.
Wymagania wstępne
Aby używać zapytania dotyczącego urządzenia w dzierżawie, musisz mieć licencję obejmującą Zaawansowaną analizę Microsoft Intune. Zaawansowana analiza funkcje są dostępne w następujących systemach:
- Dodatek Intune Zaawansowana analiza
- Microsoft Intune Suite
Aby używać zapytania Urządzenia na urządzeniu, urządzenie musi być zarejestrowane w usłudze Endpoint Analytics. Dowiedz się , jak zarejestrować urządzenie w usłudze Endpoint Analytics.
Nie można zrezygnować z powiadomień w chmurze (WNS)
Aby użytkownik używał zapytania Urządzenia, musisz przypisać do niego uprawnienie Zapytania dotyczące urządzeń zarządzanych - .
Aby korzystać z zapytania Urządzenia, urządzenia muszą być Intune zarządzane i należące do firmy.
Obsługiwane platformy
Zapytanie urządzenia jest obecnie obsługiwane tylko na urządzeniach z systemem Windows 10 i nowszych.
Jak używać zapytania urządzenia
Aby użyć zapytania Urządzenie, przejdź do pozycji Urządzenia i wybierz urządzenie, na którym chcesz użyć zapytania Urządzenie. Wybierz pozycję Zapytanie urządzenia w sekcji Monitorowanie .
Obsługiwane właściwości, których można wykonywać zapytania, są wymienione w sekcji Właściwości . Aby uruchomić zapytanie, wprowadź zapytanie język zapytań Kusto (KQL), a następnie wybierz pozycję Uruchom. Wyniki są wyświetlane w obszarze karty Wyniki .
Aby uzyskać więcej informacji na temat język zapytań Kusto, zobacz Dowiedz się więcej o język zapytań Kusto.
Porada
Teraz możesz użyć rozwiązania Copilot w Intune (publiczna wersja zapoznawcza) do generowania zapytań KQL dotyczących zapytań dotyczących urządzeń przy użyciu żądań języka naturalnego. Aby dowiedzieć się więcej, przejdź do pozycji Zapytanie za pomocą rozwiązania Copilot w zapytaniu urządzenia.
Obsługiwane operatory
Zapytanie urządzenia obsługuje tylko podzbiór operatorów obsługiwanych w język zapytań Kusto (KQL). Obecnie obsługiwane są następujące operatory:
Operatory tabel
Operatory tabel mogą służyć do filtrowania, podsumowywanie i przekształcanie strumieni danych. Obecnie obsługiwane są następujące operatory:
| Operatory tabel | Opis |
|---|---|
| hrabia | Zwraca tabelę z pojedynczym rekordem zawierającym liczbę rekordów |
| odmienny | Tworzy tabelę z odrębną kombinacją podanych kolumn tabeli wejściowej |
| dołączyć | Scal wiersze dwóch tabel, tworząc nową tabelę, dopasowując wiersz dla tego samego urządzenia |
| order by | Sortuj wiersze tabeli wejściowej w kolejności według co najmniej jednej kolumny |
| projekt | Wybierz kolumny do uwzględnienia, zmień nazwę lub upuść, a następnie wstaw nowe kolumny obliczone |
| brać | Wróć do określonej liczby wierszy |
| Do góry | Zwraca pierwsze rekordy N posortowane według określonych kolumn |
| gdzie | Filtruje tabelę do podzestawu wierszy spełniających predykat |
Operatory skalarne
Poniższa tabela zawiera podsumowanie operatorów:
| Operatorów | Opis | Przykład |
|---|---|---|
| == | Równy | 1 == 1, 'aBc' == 'AbC' |
| != | Nie równe | 1 != 2, 'abc' != 'abcd' |
| < | Mniej | 1 < 2, 'abc' < 'DEF' |
| > | Większa | 2 > 1, 'xyz' > 'XYZ' |
| <= | Mniejsze lub równe | 1 <= 2, 'abc' <= 'abc' |
| >= | Większe lub równe | 2 >= 1, 'abc' >= 'ABC' |
| + | Dodawać | 2 + 1, now() + 1d |
| - | Odejmować | 2 - 1, now() - 1h |
| * | Mnożyć | 2 * 2 |
| / | Dzielić | 2 / 1 |
| % | Modulo | 2 % 1 |
| takie jak | Lewa strona (LHS) zawiera dopasowanie do prawej strony (RHS) | 'abc' like '%B%' |
| Contains | RHS występuje jako podsekwencja LHS | 'abc' contains 'b' |
| !Contains | Funkcja RHS nie występuje w systemie LHS | 'team' !contains 'i' |
| rozpoczyna się | RHS jest początkową podsekwencją LHS | 'team' startswith 'tea' |
| !startswith | RHS nie jest początkową podsekwencją LHS | 'abc' !startswith 'bc' |
| endswith | RHS jest podsekwencją zamykającą LHS | 'abc' endswith 'bc' |
| !endswith | RHS nie jest podsekwencją zamykającą LHS | 'abc' !endswith 'a' |
| i | Prawda, jeśli i tylko wtedy, gdy RHS i LHS są prawdziwe | (1 == 1) and (2 == 2) |
| lub | Prawda, jeśli i tylko wtedy, gdy RHS lub LHS ma wartość true | (1 == 1) or (1 == 2) |
Funkcje agregacji
Funkcje agregacji mogą być używane z operatorem tabeli sumowania do obliczania wartości podsumowania. Obecnie obsługiwane są następujące funkcje agregacji:
| Funkcja | Opis |
|---|---|
| avg() | Zwraca średnią wartości w grupie |
| count() | Zwraca liczbę rekordów na grupę podsumowania |
| countif() | Zwraca liczbę wierszy, dla których predykat ma wartość true |
| dcount() | Zwraca liczbę unikatowych wartości w grupie |
| max() | Zwraca wartość maksymalną w grupie |
| maxif() | Począwszy od wersji 2107, można użyć narzędzia maxif z operatorem tabeli podsumowania.
Zwraca wartość maksymalną w grupie, dla której predykat truema wartość . |
| min() | Zwraca wartość minimalną w grupie |
| minif() | Począwszy od wersji 2107, można użyć minif z operatorem tabeli podsumowania.
Zwraca wartość minimalną w grupie, dla której predykat truema wartość . |
| percentile() | Zwraca oszacowanie dla określonego percentyla najbliższej rangi populacji zdefiniowanego przez wyrażenie |
| sum() | Zwraca sumę wartości w grupie |
| sumif() | Zwraca sumę wyrażeń, dla których predykat ma wartość true |
Funkcje skalarne
Funkcji skalarnych można używać w wyrażeniach. Obecnie obsługiwane są następujące funkcje skalarne:
| Funkcja | Opis |
|---|---|
| ago() | Odejmuje dany przedział czasu od bieżącego czasu zegara UTC |
| bin() | Zaokrągla wartości w dół do wielu wielokrotności daty/godziny dla danego rozmiaru pojemnika |
| case() | Oblicza listę predykatów i zwraca pierwsze wyrażenie wyniku, którego predykat jest spełniony |
| datetime_add() | Oblicza nową datę/godzinę z określonego elementu datepart pomnożonego przez określoną kwotę dodaną do określonej daty/godziny |
| datetime_diff() | Oblicza różnicę między dwiema wartościami daty i godziny |
| iif() | Oblicza pierwszy argument i zwraca wartość drugiego lub trzeciego argumentu w zależności od tego, czy predykat został obliczony na wartość true (sekunda) czy false (trzeci) |
| indexof() | Funkcja zgłasza indeks zerowy pierwszego wystąpienia określonego ciągu w ciągu wejściowym |
| isnotnull() | Oblicza jej jedyny argument i zwraca wartość logiczną wskazującą, czy argument ma wartość inną niż null |
| isnull() | Oblicza jej jedyny argument i zwraca wartość logiczną wskazującą, czy argument ma wartość null |
| now() | Zwraca bieżący czas zegara UTC |
| strcat() | Łączy od 1 do 64 argumentów |
| strlen() | Zwraca długość ciągu wejściowego w postaci znaków |
| substring() | Wyodrębnia podciąg z ciągu źródłowego, zaczynając od pewnego indeksu do końca ciągu |
| tostring() | Konwertuje dane wejściowe na reprezentację ciągu |
Obsługiwane właściwości
Zapytanie urządzenia obsługuje następujące jednostki. Aby dowiedzieć się więcej o tym, jakie właściwości są obsługiwane dla każdej jednostki, zobacz Intune Schemat platformy danych.
BiosInfo
Certyfikat
Procesor
DiskDrive
EncryptableVolume
FileInfo
LocalGroup
LocalUserAccount
Dysk logiczny
MemoryInfo
OsVersion
Proces
SystemEnclosure
SystemInfo
Moduł tpm
WindowsAppCrashEvent
WindowsDriver
WindowsEvent
WindowsQfe
WindowsRegistry
WindowsService
Znane ograniczenia
Ciąg wyniku dowolnego zapytania jest ograniczony do 128 kb znaków. Jeśli wynik zapytania jest dłuższy niż 128 kb znaków, wynik jest obcinany. Komunikat o błędzie informuje o liczbie obciętych wierszy.
Możesz wysyłać tylko 15 zapytań na minutę. Jeśli wystąpi błąd przekroczenia limitu zapytań , poczekaj chwilę i spróbuj ponownie.
Dane wejściowe zapytania mają limit długości 2048 znaków. Jeśli wystąpi zbyt długi błąd zapytania , uściślij zapytanie tak, aby miało mniej znaków, i spróbuj ponownie.
Funkcja skalarna now() nie obsługuje parametru przesunięcia.
Operator !like nie jest obsługiwany.
Okno wejściowe automatycznie zaleca podwójne cudzysłowy, gdy tylko pojedyncze cudzysłowy są obsługiwane w następujących operatorach:
- Contains
- !Contains
- rozpoczyna się
- !startswith
- endswith
Jednostka WindowsRegistry nie może zwrócić klucza rejestru dla katalogu głównego.
Jednostka WindowsRegistry nie może zwrócić 64-bitowych udostępnionych kluczy rejestru.
Jednostka WindowsRegistry nie może zwrócić binarnej wartości ValueData.
Jeśli wykonujesz zapytania dotyczące urządzeń działających na Windows 10, muszą one mieć minimalną wersję jakości.
Jeśli uruchomiono Windows 10 21H2, upewnij się, że jest uruchomiona wersja 10.0.19044.3393.
Jeśli uruchomiono Windows 10 22H2, upewnij się, że jest uruchomiona wersja 10.0.19045.3393.
Jeśli na maszynie jest dostępnych wiele kart sieciowych, zwracana jest tylko pierwsza skonfigurowana domena.
Jeśli na urządzeniu znajduje się moduł TPM 2.0, aktywowany i włączony jest zawsze zwracany jako WARTOŚĆ TRUE.
Jeśli plik jest obecnie używany na maszynie, zapytanie FileInfo zwraca błąd.
Jeśli użytkownik końcowy ma dostęp administratora do urządzenia, może mieć możliwość zmiany informacji opartych na kliencie, które są wyświetlane w wynikach zapytania. Na przykład wersja systemu operacyjnego i rejestr.
Następne kroki
Aby uzyskać więcej informacji, zobacz: