分享方式:


裝置查詢

裝置查詢可讓您快速取得裝置狀態的隨選資訊。 當您在選取的裝置上輸入查詢時,裝置查詢會即時執行查詢。 然後,傳回的數據可用來回應安全性威脅、對裝置進行疑難解答,或進行商務決策。

必要條件

若要在租用戶中使用裝置查詢,您必須擁有包含 Microsoft Intune 進階分析的授權。 進階分析 功能可供使用:

  • Intune 進階分析 附加元件
  • Microsoft Intune Suite

若要在裝置上使用裝置查詢,裝置必須在 Endpoint Analytics 中註冊。 瞭解 如何在端點分析中註冊裝置

您無法退出宣告雲端通知 (WNS)

若要讓使用者使用裝置查詢,您必須將受控 裝置 - 查詢 許可權指派給他們。

若要使用裝置查詢,裝置必須 Intune 受控且屬公司擁有。

支援的平台

目前只有執行 Windows 10和更新版本的裝置才支援裝置查詢。

如何使用裝置查詢

若要使用裝置查詢,請流覽至 [ 裝置 ],然後選取您要使用裝置查詢的裝置。 選取 [監視] 區段下的 [裝置查詢]。

您可以查詢的支援屬性會列在 [屬性] 段中。 若要執行查詢,請輸入 Kusto 查詢語言 (KQL) 查詢,然後選取 [執行]。 結果會顯示在 [ 結果 ] 索引標籤區域中。

如需 Kusto 查詢語言 的詳細資訊,請參閱深入瞭解 Kusto 查詢語言

提示

您現在可以在公開預覽 Intune (中使用 Copilot) 使用自然語言要求來產生裝置查詢的 KQL 查詢。 若要深入瞭解,請移至 在裝置查詢中使用 Copilot 查詢

支援的運算子

裝置查詢僅支援 Kusto 查詢語言 (KQL) 中支援的一部分運算符。 目前支援下列運算子:

數據表運算子

純量運算子

匯總函式

純量函式

數據表運算子

數據表運算子可以用來篩選、摘要和轉換數據流。 目前支援下列運算子:

數據表運算子 描述
Count 傳回包含記錄數目的單一記錄的數據表
不同 產生具有輸入數據表所提供數據行之相異組合的數據表
加入 藉由比對相同裝置的數據列,合併兩個數據表的數據列以形成新的數據表
order by 依一或多個數據行順序排序輸入數據表的數據列
專案 選取要包含、重新命名或卸除的數據行,然後插入新的計算數據行
最多傳回指定的數據列數目
top 傳回依指定數據行排序的前 N 筆記錄
哪裡 將數據表篩選為滿足述詞的數據列子集

純量運算子

下表摘要說明運算子:

運算子 描述 範例
== 平等 1 == 1, 'aBc' == 'AbC'
!= 不等於 1 != 2, 'abc' != 'abcd'
< 1 < 2, 'abc' < 'DEF'
> 2 > 1, 'xyz' > 'XYZ'
<= 小於或等於 1 <= 2, 'abc' <= 'abc'
>= 大於或等於 2 >= 1, 'abc' >= 'ABC'
+ 新增 2 + 1, now() + 1d
- Subtract 2 - 1, now() - 1h
* 2 * 2
/ 2 / 1
% 2 % 1
按讚 左側 (LHS) 包含與右側 (RHS) 'abc' like '%B%'
包含 RHS 會以 LHS 的子序列發生 'abc' contains 'b'
!包含 RHS 不會在 LHS 中發生 'team' !contains 'i'
startswith RHS 是 LHS 的初始子序列 'team' startswith 'tea'
!startswith RHS 不是 LHS 的初始子序列 'abc' !startswith 'bc'
endswith RHS 是 LHS 的結尾子序列 'abc' endswith 'bc'
!endswith RHS 不是 LHS 的結尾子序列 'abc' !endswith 'a'
只有在 RHS 和 LHS 為 true 時才為 True (1 == 1) and (2 == 2)
只有在 RHS 或 LHS 為 true 時才為 True (1 == 1) or (1 == 2)

匯總函式

匯總函數可以與 summarize 數據表運算元搭配使用,以計算摘要值。 目前支援下列匯總函數:

函數 描述
平均 () 傳回整個群組中值的平均值
count () 傳回每個摘要群組的記錄計數
countif () 傳回述詞評估為 true 的數據列計數
dcount () 傳回群組中相異值的數目
最大 () 傳回整個群組的最大值
maxif () 從 2107 版開始,您可以使用 maxif 搭配 summarize 數據表運算符。

傳回述 評估 true為之群組的最大值。
min () 傳回整個群組的最小值
minif () 從 2107 版開始,您可以使用 minif 搭配 summarize 數據表運算符。

傳回述 評估 true為之群組的最小值。
百分位數 () 傳回 Expr 所定義母體中指定最接近排名百分位數的估計值
總和 () 傳回整個群組的值總和
sumif () 傳回述詞評估為 true 的 Expr 總和

純量函式

純量函式可用於表達式。 目前支援下列純量函式:

函數 描述
ago () 從目前的UTC時鐘時間減去指定的時間範圍
bin () 將值無條件舍去至指定間隔大小的許多日期時間倍數
案例 () 評估述詞清單,並傳回第一個符合述詞的結果表達式
datetime_add () 從指定的 datepart 計算新的日期時間乘以指定的數量,新增至指定的 datetime
datetime_diff () 計算兩個日期時間值之間的差異
iif () 評估第一個自變數,並傳回第二個或第三個自變數的值,視述詞評估為 true (秒) 或 false (第三個)
indexof () 函式會報告輸入字串內第一次出現指定字串之以零起始的索引
isotnull () 評估其唯一自變數,並傳回布爾值,指出自變數是否評估為非 Null 值
isnull () 評估其唯一自變數,並傳回布爾值,指出自變數是否評估為 Null 值
現在 () 傳回目前的UTC時鐘時間
strcat () 串連 1 到 64 個自變數
strlen () 傳回輸入字串的長度,以字元為單位
子字串 () 從某個索引到字串結尾的來源字串擷取子字串
tostring () 將輸入轉換成字串表示

支援的屬性

裝置查詢支援下列實體。 若要深入瞭解每個實體支援哪些屬性,請參閱 Intune 數據平台架構

  • BiosInfo

  • 認證

  • 中央處理器

  • DiskDrive

  • EncryptableVolume

  • FileInfo

  • LocalGroup

  • LocalUserAccount

  • LogicalDrive

  • MemoryInfo

  • OsVersion

  • 程序

  • SystemEnclosure

  • SystemInfo

  • Tpm

  • WindowsAppCrashEvent

  • WindowsDriver

  • WindowsEvent

  • WindowsQfe

  • WindowsRegistry

  • WindowsService

已知限制

  • 任何查詢的結果字串限制為 128 kb 個字元。 如果您的查詢結果超過 128kb 個字元,則會截斷結果。 錯誤訊息會通知您有多少數據列被截斷。

  • 您一分鐘只能傳送 15 個查詢。 如果您遇到 超過查詢限制 的錯誤,請等候一分鐘,然後再試一次。

  • 查詢輸入的長度限制為 2048 個字元。 如果您遇到 查詢太長 的錯誤,請將查詢精簡為較少的字元,然後再試一次。

  • 現在 () 純量函式不支援 offset 參數。

  • 不支援 !like 運算符。

  • 當下列運算符只支援單引號時,輸入視窗會自動建議雙引號:

    • 包含
    • !包含
    • startswith
    • !startswith
    • endswith
  • WindowsRegistry 實體無法傳回根目錄的 RegistryKey。

  • WindowsRegistry 實體無法傳回 64 位共用登錄機碼。

  • WindowsRegistry 實體無法傳回二進位 ValueData。

  • 如果您要查詢在 Windows 10 上執行的裝置,它們必須是最低品質版本。

    • 如果執行 Windows 10 21H2,請確定其執行版本為 10.0.19044.3393。

    • 如果執行 Windows 10 22H2,請確定其執行版本為 10.0.19045.3393。

  • 如果電腦上有多個可用的網路卡,則只會傳回第一個設定的網域。

  • 如果裝置上有 TPM 2.0,則啟用並啟用一律會以 TRUE 傳回。

  • 如果計算機上目前正在使用檔案,則 FileInfo 查詢會傳回錯誤。

  • 如果終端使用者具有裝置的系統管理員存取權,他們或許能夠變更查詢結果中顯示的用戶端式資訊。 例如,操作系統版本和登錄。

後續步驟

如需詳細資訊,請移至: