注意事項
此功能可作為 Intune 附加元件提供。 欲了解更多資訊,請參閱使用 Intune Suite 附加元件功能。
裝置查詢讓你能快速獲得 Windows 裝置狀態的即時資訊。 當你在所選裝置輸入查詢時,裝置查詢會即時執行查詢。 回傳的資料可用於回應安全威脅、排除裝置故障或做出商業決策。
開始之前
- 確認你的環境符合所有 先決條件。
裝置查詢的額外前提條件:
裝置配置需求
裝置查詢支援以下 Windows 裝置:
- 由 Intune 管理,並標示為企業所有。
- Microsoft Entra 加入
- Microsoft Entra hybrid 加入
裝置查詢是即時進行的:當你查詢裝置時,Intune 會向裝置發送請求,並期待立即回應。 WNS 是傳輸機制:Windows 推播通知服務用於通知裝置並回傳查詢結果。 強制依賴:由於 WNS 是此通訊的核心,無法停用或繞過它。 如果 WNS 被封鎖或無法使用,裝置查詢將會失敗。
職務要求
使用裝置查詢
- 在 Microsoft Intune 管理中心,選擇「裝置>視窗」。
- 選擇一個裝置,然後在監控區塊中選擇裝置查詢。
你可以查詢的支援屬性列在 支援屬性 區塊。 要執行查詢,請輸入Kusto 查詢語言 (KQL) 查詢,並選擇執行。 結果會顯示在 結果 標籤區。
欲了解更多關於 Kusto 查詢語言的資訊,請參閱 Kusto 查詢語言概述。
提示
在 Intune 中使用 Copilot 來產生 KQL 查詢,針對使用自然語言請求的裝置查詢。 欲了解更多,請參閱 裝置查詢中的「使用 Copilot 查詢」。
最佳做法:
- 請考慮裝置查詢如何幫助 L1/L2 工程師更快解決支援工單,同時減少對使用者的干擾。
- 檢視通常需要遠端控制至終端使用者裝置的支援流程與任務。 檢查這些是否能透過單一裝置查詢完成,例如檢查正在執行的服務、檢查應用程式設定的登錄鍵值、檢查應用程式版本,或依 CPU 消耗報告最高程序。
- 在您的 ITSM 知識庫中建立已儲存的查詢,方便 L1/L2 工程師快速存取。
- 更新流程,使用遠端行動以快速解決問題。 要麼重啟裝置,要麼執行修復腳本來解決已知問題。
遠端裝置動作
在單一裝置查詢中,使用 Intune 遠端裝置操作,幫助你遠端管理裝置。 從裝置查詢介面,你現在可以根據查詢結果執行裝置動作,以加快且更有效率的故障排除。
可用的裝置動作依裝置平台與設定而異。 並非所有動作都適用於所有裝置。 欲了解您的裝置可執行的完整功能清單,請參閱 Microsoft Intune 中的遠端裝置操作。
支援的營運商
裝置查詢僅支援Kusto 查詢語言 (KQL) 中支援的部分運算元。 目前支援的業者包括:
表格運算元
表格運算子可用於篩選、摘要及轉換資料串流。 目前支援以下營運商:
| 表格運算元 | 描述 |
|---|---|
count |
回傳一個表格,內含單一記錄,包含記錄數量 |
distinct |
產生一個包含輸入資料表欄位不同組合的表格 |
join |
將兩個資料表的列合併,透過匹配同一裝置的一列,形成新的資料表 |
order by |
將輸入資料表的列依一欄或多欄排序 |
project |
選擇包含、重新命名或刪除的欄位,並插入新的計算欄位 |
take |
返回最多指定列數 |
top |
回傳依指定欄位排序的前 N 筆紀錄 |
where |
將資料表過濾到滿足某謂詞的子集 |
純量算子
下表總結了運算子:
| 運算子 | 描述 | 範例 |
|---|---|---|
== |
等 | 1 == 1, 'aBc' == 'AbC' |
!= |
不平等 | 1 != 2, 'abc' != 'abcd' |
< |
少 | 1 < 2, 'abc' < 'DEF' |
> |
更偉大 | 2 > 1, 'xyz' > 'XYZ' |
<= |
大小相等 | 1 <= 2, 'abc' <= 'abc' |
>= |
大或相等 | 2 >= 1, 'abc' >= 'ABC' |
+ |
新增 | 2 + 1, now() + 1d |
- |
Subtract | 2 - 1, now() - 1h |
* |
乘 | 2 * 2 |
/ |
除 | 2 / 1 |
% |
模模 | 2 % 1 |
like |
左邊 (左邊) 包含右邊 (右邊與右邊) 匹配 | 'abc' like '%B%' |
contains |
RHS 作為 LHS 的亞序列出現 | 'abc' contains 'b' |
!contains |
右翼血球不會出現在左胸症候群中 | 'team' !contains 'i' |
startswith |
RHS 是 LHS 的初始亞序列 | 'team' startswith 'tea' |
!startswith |
RHS 並不是 LHS 的初始亞序列 | 'abc' !startswith 'bc' |
endswith |
RHS 是 LHS 的閉合子序列 | 'abc' endswith 'bc' |
!endswith |
RHS 不是 LHS 的閉合子序列 | 'abc' !endswith 'a' |
and |
當且僅當 RHS 和 LHS 為真 | (1 == 1) and (2 == 2) |
or |
當且僅當 RHS 或 LHS 為真時為真 | (1 == 1) or (1 == 2) |
聚合函數
彙總函數可搭配 summarize 表格運算子計算彙總值。 目前支援以下聚合功能:
| 函數 | 描述 |
|---|---|
avg() |
回傳該群組中各值的平均值 |
count() |
回傳每個摘要群組的紀錄數量 |
countif() |
回傳一個列數,謂詞對其評估為真 |
dcount() |
返回該群中不同值的數量 |
max() |
返回整個群組的最大值 |
maxif() |
從 2107 版本開始,你可以搭配summarize表格運算子一起使用maxif。
回傳謂 詞 評估為 true的群中最大值。 |
min() |
回傳整個群組的最小值 |
minif() |
從 2107 版本開始,你可以搭配summarize表格運算子一起使用minif。
回傳謂 詞 在群中值值為 true的最小值。 |
percentile() |
回傳由 Expr 定義的人口中最近排名百分位的估計值 |
sum() |
回傳整個群中各值的總和 |
sumif() |
回傳一個 Expr 的總和,對此 謂詞評估為真 |
純量函數
標量函數可用於表達式中。 目前支援以下純量函數:
| 函數 | 描述 |
|---|---|
ago() |
從當前 UTC 時鐘中減去給定時間跨度 |
bin() |
將值向下取整為給定箱大小的多個日期時間倍數 |
case() |
評估一串謂詞,並回傳第一個條件滿足的結果表達式 |
datetime_add() |
從指定的日期部分乘以指定數值,再加到指定的日期時間,計算出新的日期時間 |
datetime_diff() |
計算兩個日期時間值的差異 |
iif() |
評估第一個參數,並根據被評為真 (或假的謂詞,回傳第二或第三個參數的值 (第三) ) |
indexof() |
函式回報輸入字串中指定字串首次出現的零基索引 |
isnotnull() |
評估其唯一的參數,並回傳一個布林值,指示該參數是否評估為非空值 |
isnull() |
評估其唯一的參數,並回傳一個布林值,表示該參數是否應值為空值 |
now() |
回傳當前 UTC 時鐘時間 |
strcat() |
串接1到64個論元 |
strlen() |
回傳輸入字串的長度(以字元為單位) |
substring() |
從來源字串中擷取子字串,從某索引到字串末端 |
tostring() |
將輸入轉換為字串表示 |
支援屬性
裝置查詢支援以下實體。 欲了解更多各實體支援的屬性,請參閱 Intune 資料平台架構。
BiosInfoCertificateCpuDiskDriveEncryptableVolumeFileInfoLocalGroupLocalUserAccountLogicalDriveMemoryInfoOsVersionProcessSystemEnclosureSystemInfoTpmWindowsAppCrashEventWindowsDriverWindowsEventWindowsQfeWindowsRegistryWindowsService
已知限制
- 任何查詢的結果字串限制為 128kb 字元。 若查詢結果超過 128kb 字元,則會被截斷。 錯誤訊息會告知你截斷了多少列。
- 你每分鐘只能發送15個查詢。 如果遇到 查詢上限超過 錯誤,請等一分鐘再試一次。
- 查詢輸入的長度限制為 2048 個字元。 如果遇到 查詢太長 錯誤,就將查詢縮小到字元數更少,然後再試一次。
- 現在 () 的標量函數不支援偏移參數。
-
!like操作員不被支援。 - 當以下運算符僅支援單引號時,輸入視窗會自動推薦雙引號:
contains!containsstartswith!startswithendswith
- WindowsRegistry 實體未能回傳 RegistryKey 作為 root 權限。
- WindowsRegistry 實體無法回傳 64 位元的共用登錄檔金鑰。
- WindowsRegistry 實體無法回傳二進位 ValueData。
- 如果機器上有多張網路卡可用,則只會回傳第一個設定的網域。
- 如果裝置上有 TPM 2.0,那麼啟用與啟用總是會顯示為 TRUE。
- 如果某個檔案目前在機器上正在使用,則 FileInfo 查詢會回傳錯誤。
- 如果最終使用者擁有裝置的管理員權限,他們可能能夠更改查詢結果中回傳的客戶端資訊。 例如作業系統版本和登錄檔。