Consulta de dispositivo
A consulta de dispositivo permite que você obtenha rapidamente informações sob demanda sobre o estado de seus dispositivos. Quando você insere uma consulta em um dispositivo selecionado, a consulta de dispositivo executa uma consulta em tempo real. Os dados retornados podem então ser usados para responder a ameaças de segurança, solucionar problemas do dispositivo ou tomar decisões comerciais.
Pré-requisitos
Para usar a consulta de dispositivo em seu locatário, você deve ter uma licença que inclua Análise avançada do Microsoft Intune. Análise avançada recursos estão disponíveis com:
- Complemento de Análise avançada do Intune
- Microsoft Intune Suite
Para usar a consulta de dispositivo em um dispositivo, o dispositivo deve ser registrado no Endpoint Analytics. Saiba como registrar um dispositivo no Endpoint Analytics.
Você não pode optar por não receber notificações na nuvem (WNS)
Para um usuário usar a consulta de dispositivo, você deve atribuir a permissãode Consultade Dispositivos Gerenciados - a eles.
Para usar a consulta de dispositivo, os dispositivos devem ser gerenciados pelo Intune e de propriedade corporativa.
Plataformas compatíveis
Atualmente, há suporte para consulta de dispositivo somente em dispositivos que executam Windows 10 e posteriores.
Como usar a consulta de dispositivo
Para usar a consulta de dispositivo, navegue até Dispositivos e selecione o dispositivo no qual você deseja usar a consulta de dispositivo. Selecione Consulta de Dispositivo na seção Monitor .
As propriedades com suporte que você pode consultar estão listadas na seção Propriedades . Para executar uma consulta, insira uma consulta de Linguagem de Consulta Kusto (KQL) e selecione Executar. Os resultados são exibidos na área guia Resultados .
Para obter mais informações sobre Linguagem de Consulta Kusto, consulte Saiba mais sobre Linguagem de Consulta Kusto.
Operadores com suporte
A consulta de dispositivo dá suporte apenas a um subconjunto dos operadores com suporte no KQL (Linguagem de Consulta Kusto). Atualmente, há suporte para os seguintes operadores:
Operadores de tabela
Os operadores de tabela podem ser usados filtrar, resumir e transformar fluxos de dados. Atualmente, há suporte para os seguintes operadores:
| Operadores de tabela | Descrição |
|---|---|
| count | Retorna uma tabela com um único registro que contém o número de registros |
| Distintas | Produz uma tabela com a combinação distinta das colunas fornecidas da tabela de entrada |
| participar | Mesclar as linhas de duas tabelas para formar uma nova tabela combinando linha para o mesmo dispositivo |
| order por | Classificar as linhas da tabela de entrada em ordem por uma ou mais colunas |
| projeto | Selecione as colunas para incluir, renomear ou soltar e inserir novas colunas computadas |
| Levar | Retornar até o número especificado de linhas |
| top | Retorna os primeiros registros N classificados pelas colunas especificadas |
| Onde | Filtra uma tabela para o subconjunto de linhas que atendem a um predicado |
Operadores escalares
A tabela a seguir resume os operadores:
| Operadores | Descrição | Exemplo |
|---|---|---|
| == | Igual a | 1 == 1, 'aBc' == 'AbC' |
| != | Não Igual | 1 != 2, 'abc' != 'abcd' |
| < | Menos | 1 < 2, 'abc' < 'DEF' |
| > | Maior | 2 > 1, 'xyz' > 'XYZ' |
| <= | Menos ou Igual | 1 <= 2, 'abc' <= 'abc' |
| >= | Maior ou Igual | 2 >= 1, 'abc' >= 'ABC' |
| + | Adicionar | 2 + 1, now() + 1d |
| - | Subtrair | 2 - 1, now() - 1h |
| * | Multiplicar | 2 * 2 |
| / | Dividir | 2 / 1 |
| % | Módulo | 2 % 1 |
| como | O LHS (lado esquerdo) contém uma correspondência para RHS (lado direito) | 'abc' like '%B%' |
| !Como | O LHS não contém uma correspondência para RHS | 'abc' !like '_d_' |
| contains | O RHS ocorre como uma subsequência de LHS | 'abc' contains 'b' |
| !Contém | O RHS não ocorre no LHS | 'team' !contains 'i' |
| startswith | RHS é uma subsequência inicial do LHS | 'team' startswith 'tea' |
| !Startswith | RHS não é uma subsequência inicial do LHS | 'abc' !startswith 'bc' |
| endswith | RHS é uma subsequência de fechamento do LHS | 'abc' endswith 'bc' |
| !Endswith | RHS não é uma subsequência de fechamento do LHS | 'abc' !endswith 'a' |
| e | True se e somente se RHS e LHS forem verdadeiros | (1 == 1) and (2 == 2) |
| ou | True se e somente se RHS ou LHS for verdadeiro | (1 == 1) or (1 == 2) |
Funções de agregação
As funções de agregação podem ser usadas com o operador de tabela de resumo para calcular valores resumidos. Atualmente, há suporte para as seguintes funções de agregação:
| Função | Descrição |
|---|---|
| avg() | Retorna a média dos valores em todo o grupo |
| count() | Retorna uma contagem dos registros por grupo de resumo |
| countif() | Retorna uma contagem de linhas para as quais o Predicate avalia como true |
| dcount() | Retorna o número de valores distintos no grupo |
| max() | Retorna o valor máximo em todo o grupo |
| maxif() | A partir da versão 2107, você pode usar maxif com o operador de tabela de resumo. Retorna o valor máximo em todo o grupo para o qual o Predicate avalia como true. |
| min() | Retorna o valor mínimo em todo o grupo |
| minif() | A partir da versão 2107, você pode usar o minif com o operador de tabela de resumo. Retorna o valor mínimo em todo o grupo para o qual o Predicate avalia como true. |
| percentile() | Retorna uma estimativa para o percentil de classificação mais próximo especificado da população definida pelo Expr |
| sum() | Retorna a soma dos valores em todo o grupo |
| sumif() | Retorna uma soma de Expr para a qual o Predicate avalia como true |
Funções escalares
Funções escalares podem ser usadas em expressões. Atualmente, há suporte para as seguintes funções escalares:
| Função | Descrição |
|---|---|
| ago() | Subtrai o tempo limite determinado do tempo de relógio UTC atual |
| bin() | Arredonda valores para baixo para muitos datetime múltiplos de um determinado tamanho de lixeira |
| case() | Avalia uma lista de predicados e retorna a primeira expressão de resultado cujo predicado está satisfeito |
| datetime_add() | Calcula um novo datetime de uma datepart especificada multiplicada por uma quantidade especificada, adicionada a um datetime especificado |
| datetime_diff() | Calcula a diferença entre dois valores de data e hora |
| iif() | Avalia o primeiro argumento e retorna o valor do segundo ou terceiro argumentos, dependendo se o predicado foi avaliado como true (segundo) ou false (terceiro) |
| indexof() | A função relata o índice baseado em zero da primeira ocorrência de uma cadeia de caracteres especificada na cadeia de caracteres de entrada |
| isnotnull() | Avalia seu único argumento e retorna um valor booliano indicando se o argumento é avaliado como um valor não nulo |
| isnull() | Avalia seu único argumento e retorna um valor booliano indicando se o argumento é avaliado como um valor nulo |
| now() | Retorna a hora do relógio UTC atual |
| strcat() | Concatena entre 1 e 64 argumentos |
| strlen() | Retorna o comprimento, em caracteres, da cadeia de caracteres de entrada |
| substring() | Extrai uma substring de uma cadeia de caracteres de origem começando de algum índice até o final da cadeia de caracteres |
| tostring() | Converte a entrada em uma representação de cadeia de caracteres |
Propriedades com suporte
A consulta de dispositivo dá suporte às entidades a seguir. Para saber mais sobre quais propriedades têm suporte para cada entidade, confira Esquema de Plataforma de Dados do Intune.
BiosInfo
Certificado
Cpu
DiskDrive
EncryptableVolume
Fileinfo
Localgroup
LocalUserAccount
LogicalDrive
MemoryInfo
Osversion
Processo
SystemEnclosure
Systeminfo
Tpm
WindowsAppCrashEvent
WindowsDriver
WindowsEvent
WindowsQfe
WindowsRegistry
WindowsService
Limitações conhecidas
A cadeia de caracteres de resultado de qualquer consulta é limitada a caracteres de 128kb. Se o resultado da consulta for maior que 128kb, o resultado será truncado. Uma mensagem de erro informa quantas linhas são truncadas.
Você só pode enviar 15 consultas por minuto. Se você encontrar um erro excedido no limite de consulta , aguarde um minuto e tente novamente.
As entradas de consulta têm um limite de comprimento de 2048 caracteres. Se você encontrar um erro de consulta muito longo , refina sua consulta para ter menos caracteres e tentar novamente.
A função escalar now() não dá suporte ao parâmetro de deslocamento.
A janela de entrada recomenda automaticamente aspas duplas quando apenas aspas individuais têm suporte nos seguintes operadores:
- contains
- !Contém
- startswith
- !Startswith
- endswith
A entidade WindowsRegistry não retorna o RegistryKey para raiz.
A entidade WindowsRegistry não retorna chaves de registro compartilhadas de 64 bits.
A entidade WindowsRegistry não retorna o ValueData binário.
Se você estiver consultando dispositivos que estão em execução no Windows 10, eles devem estar em uma versão de qualidade mínima.
Se estiver executando Windows 10 21H2, verifique se ele está executando a versão 10.0.19044.3393.
Se estiver executando Windows 10 22H2, verifique se ele está executando a versão 10.0.19045.3393.
Se houver vários cartões de rede disponíveis no computador, somente o primeiro domínio configurado será retornado.
Se o TPM 2.0 estiver presente no dispositivo, ativado e habilitado sempre será retornado como TRUE.
Se um arquivo estiver atualmente em uso no computador, as consultas FileInfo retornarão um erro.
Se o usuário final tiver acesso de administrador ao dispositivo, poderá alterar informações baseadas no cliente que aparecem nos resultados da consulta. Por exemplo, versão do sistema operacional e registro.
Próximas etapas
Para obter mais informações, confira:
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de