通过

设备查询

  • 项目

通过设备查询,可以快速获取有关设备状态的按需信息。 在所选设备上输入查询时,设备查询会实时运行查询。 然后,返回的数据可用于响应安全威胁、对设备进行故障排除或做出业务决策。

先决条件

若要在租户中使用设备查询,必须具有包含Microsoft Intune 高级分析的许可证。 高级分析功能可用于:

  • Intune 高级分析加载项
  • Microsoft Intune Suite

若要在设备上使用设备查询,必须在 Endpoint Analytics 中注册设备。 了解如何在 Endpoint Analytics 中注册设备

无法选择退出云通知 (WNS)

用户若要使用设备查询,必须向其分配 托管设备 - 查询 权限。

若要使用设备查询,设备必须Intune管理和公司拥有。

支持的平台

目前仅在运行 Windows 10 及更高版本的设备上支持设备查询。

如何使用设备查询

若要使用设备查询,请导航到 “设备 ”,然后选择要使用设备查询的设备。 选择“监视”部分下的“设备查询”。

“属性”部分列出了可查询支持 的属性 。 若要运行查询,请输入Kusto 查询语言 (KQL) 查询,然后选择“运行”。 结果显示在“ 结果 ”选项卡区域中。

有关Kusto 查询语言的详细信息,请参阅了解有关Kusto 查询语言的详细信息

提示

现在可以在公共预览版) Intune (使用 Copilot 为使用自然语言请求的设备查询生成 KQL 查询。 若要了解详细信息,请转到 设备查询中使用 Copilot 进行查询

支持的运算符

设备查询仅支持Kusto 查询语言 (KQL) 中支持的一部分运算符。 当前支持以下运算符:

表运算符

标量运算符

聚合函数

标量函数

表运算符

表运算符可用于筛选、汇总和转换数据流。 目前支持以下运算符:

表运算符 说明
count 返回一个表,其中包含包含记录数的单个记录
不同 使用输入表提供的列的不同组合生成表
join 合并两个表的行,通过匹配同一设备的行来形成新表
order by 按一列或多列对输入表的行进行排序
项目 选择要包含、重命名或删除的列,然后插入新的计算列
返回最多指定的行数
top 返回按指定列排序的前 N 条记录
哪里 将表筛选为满足谓词的行子集

标量运算符

下表汇总了运算符:

运算符 说明 示例
== 等于 1 == 1, 'aBc' == 'AbC'
!= 不等于 1 != 2, 'abc' != 'abcd'
< 1 < 2, 'abc' < 'DEF'
> 2 > 1, 'xyz' > 'XYZ'
<= 小于或等于 1 <= 2, 'abc' <= 'abc'
>= 大于或等于 2 >= 1, 'abc' >= 'ABC'
+ 添加 2 + 1, now() + 1d
- 减法 2 - 1, now() - 1h
* 乘法 2 * 2
/ 除法 2 / 1
% 2 % 1
喜欢 左侧 (LHS) 包含右侧 (RHS) 'abc' like '%B%'
contains RHS 作为 LHS 的子序列出现 'abc' contains 'b'
!包含 LHS 中不会出现 RHS 'team' !contains 'i'
startswith RHS 是 LHS 的初始子序列 'team' startswith 'tea'
!startswith RHS 不是 LHS 的初始子序列 'abc' !startswith 'bc'
endswith RHS 是 LHS 的结束子序列 'abc' endswith 'bc'
!endswith RHS 不是 LHS 的结束子序列 'abc' !endswith 'a'
仅当 RHS 和 LHS 为 true 时,才为 True (1 == 1) and (2 == 2)
如果且仅当 RHS 或 LHS 为 true 时,才为 True (1 == 1) or (1 == 2)

聚合函数

聚合函数可与 summarize table 运算符一起使用来计算汇总值。 目前支持以下聚合函数:

功能 说明
avg () 返回组中值的平均值
count () 返回每个汇总组的记录计数
countif () 返回 Predicate 计算结果为 true 的行计数
dcount () 返回组中非重复值的数目
max () 返回组中的最大值
maxif () 从版本 2107 开始,可以将 maxif 与 summarize table 运算符配合使用。

返回 Predicate 计算 true结果为 的组的最大值。
min () 返回组中的最小值
minif () 从版本 2107 开始,可以将 minif 与 summarize table 运算符配合使用。

返回 Predicate 计算 true结果为 的组的最小值。
百分位 () 返回 Expr 所定义总体的指定最接近排名百分位数的估计值
sum () 返回组中值的总和
sumif () 返回 Predicate 计算结果为 true 的 Expr 之和

标量函数

可以在表达式中使用标量函数。 目前支持以下标量函数:

功能 说明
以前 () 从当前 UTC 时钟时间减去给定的时间跨度
bin () 将值向下舍入为给定箱大小的多个日期/时间倍数
case () 计算谓词列表,并返回满足谓词的第一个结果表达式
datetime_add () 从指定的日期部分乘以指定金额计算新的日期时间,并添加到指定的日期时间
datetime_diff () 计算两个日期时间值之间的差值
iif () 计算第一个参数并返回第二个或第三个参数的值,具体取决于谓词的计算结果为 true (第二个) 还是 false (第三个)
indexof () 函数报告输入字符串中指定字符串的第一个匹配项的从零开始的索引
isnotnull () 计算其唯一参数并返回一个布尔值,该值指示参数的计算结果是否为非 null 值
isnull () 计算其唯一参数并返回一个布尔值,该值指示参数的计算结果是否为 null 值
现在 () 返回当前 UTC 时钟时间
strcat () 连接 1 到 64 个参数
strlen () 返回输入字符串的长度(以字符为单位)
substring () 从源字符串中提取从某个索引开始到字符串末尾的子字符串
tostring () 将输入转换为字符串表示形式

支持的属性

设备查询支持以下实体。 若要详细了解每个实体支持哪些属性,请参阅Intune数据平台架构

  • BiosInfo

  • 证书

  • 中央处理器

  • DiskDrive

  • EncryptableVolume

  • FileInfo

  • LocalGroup

  • LocalUserAccount

  • LogicalDrive

  • MemoryInfo

  • OsVersion

  • 流程

  • SystemEnclosure

  • SystemInfo

  • Tpm

  • WindowsAppCrashEvent

  • WindowsDriver

  • WindowsEvent

  • WindowsQfe

  • WindowsRegistry

  • WindowsService

已知限制

  • 任何查询的结果字符串限制为 128kb 字符。 如果查询结果超过 128kb 字符,则结果将被截断。 错误消息会通知你有多少行被截断。

  • 每分钟只能发送 15 个查询。 如果遇到 “超过查询限制 ”错误,请等待一分钟,然后重试。

  • 查询输入的长度限制为 2048 个字符。 如果遇到 查询过长 错误,请优化查询以包含较少的字符,然后重试。

  • 现在 () 标量函数不支持 offset 参数。

  • 不支持 !like 运算符。

  • 当以下运算符仅支持单引号时,输入窗口会自动推荐双引号:

    • contains
    • !包含
    • startswith
    • !startswith
    • endswith

  • WindowsRegistry 实体无法返回根目录的 RegistryKey。

  • WindowsRegistry 实体无法返回 64 位共享注册表项。

  • WindowsRegistry 实体无法返回 binary ValueData。

  • 如果要查询在 Windows 10 上运行的设备,则它们必须采用最低质量版本。

    • 如果运行 Windows 10 21H2,请确保其运行版本 10.0.19044.3393。

    • 如果运行 Windows 10 22H2,请确保运行版本 10.0.19045.3393。

  • 如果计算机上有多个可用的网卡,则仅返回第一个配置的域。

  • 如果设备上存在 TPM 2.0,则激活和启用始终返回为 TRUE。

  • 如果计算机上当前正在使用某个文件,则 FileInfo 查询将返回错误。

  • 如果最终用户对设备具有管理员访问权限,他们也许能够更改查询结果中显示的基于客户端的信息。 例如,OS 版本和注册表。

后续步骤

有关详细信息,请转到: