裝置查詢
裝置查詢可讓您快速取得裝置狀態的隨選資訊。 當您在選取的裝置上輸入查詢時,裝置查詢會即時執行查詢。 然後,傳回的數據可用來回應安全性威脅、對裝置進行疑難解答,或進行商務決策。
必要條件
若要在租用戶中使用裝置查詢,您必須擁有包含 Microsoft Intune 進階分析的授權。 進階分析 功能可供使用:
- Intune 進階分析 附加元件
- Microsoft Intune Suite
若要在裝置上使用裝置查詢,裝置必須在 Endpoint Analytics 中註冊。 瞭解 如何在端點分析中註冊裝置。
您無法退出宣告雲端通知 (WNS)
若要讓使用者使用裝置查詢,您必須將受控 裝置 - 查詢 許可權指派給他們。
若要使用裝置查詢,裝置必須 Intune 受控且屬公司擁有。
支援的平台
目前只有執行 Windows 10和更新版本的裝置才支援裝置查詢。
如何使用裝置查詢
若要使用裝置查詢,請流覽至 [ 裝置 ],然後選取您要使用裝置查詢的裝置。 選取 [監視] 區段下的 [裝置查詢]。
您可以查詢的支援屬性會列在 [屬性] 區 段中。 若要執行查詢,請輸入 Kusto 查詢語言 (KQL) 查詢,然後選取 [執行]。 結果會顯示在 [ 結果 ] 索引標籤區域中。
如需 Kusto 查詢語言 的詳細資訊,請參閱深入瞭解 Kusto 查詢語言。
提示
您現在可以在公開預覽 Intune (中使用 Copilot) 使用自然語言要求來產生裝置查詢的 KQL 查詢。 若要深入瞭解,請移至 在裝置查詢中使用 Copilot 查詢。
支援的運算子
裝置查詢僅支援 Kusto 查詢語言 (KQL) 中支援的一部分運算符。 目前支援下列運算子:
數據表運算子
數據表運算子可以用來篩選、摘要和轉換數據流。 目前支援下列運算子:
| 數據表運算子 | 描述 |
|---|---|
| Count | 傳回包含記錄數目的單一記錄的數據表 |
| 不同 | 產生具有輸入數據表所提供數據行之相異組合的數據表 |
| 加入 | 藉由比對相同裝置的數據列,合併兩個數據表的數據列以形成新的數據表 |
| order by | 依一或多個數據行順序排序輸入數據表的數據列 |
| 專案 | 選取要包含、重新命名或卸除的數據行,然後插入新的計算數據行 |
| 拿 | 最多傳回指定的數據列數目 |
| top | 傳回依指定數據行排序的前 N 筆記錄 |
| 哪裡 | 將數據表篩選為滿足述詞的數據列子集 |
純量運算子
下表摘要說明運算子:
| 運算子 | 描述 | 範例 |
|---|---|---|
| == | 平等 | 1 == 1, 'aBc' == 'AbC' |
| != | 不等於 | 1 != 2, 'abc' != 'abcd' |
| < | 少 | 1 < 2, 'abc' < 'DEF' |
| > | 大 | 2 > 1, 'xyz' > 'XYZ' |
| <= | 小於或等於 | 1 <= 2, 'abc' <= 'abc' |
| >= | 大於或等於 | 2 >= 1, 'abc' >= 'ABC' |
| + | 新增 | 2 + 1, now() + 1d |
| - | Subtract | 2 - 1, now() - 1h |
| * | 乘 | 2 * 2 |
| / | 分 | 2 / 1 |
| % | 模 | 2 % 1 |
| 按讚 | 左側 (LHS) 包含與右側 (RHS) | 'abc' like '%B%' |
| 包含 | RHS 會以 LHS 的子序列發生 | 'abc' contains 'b' |
| !包含 | RHS 不會在 LHS 中發生 | 'team' !contains 'i' |
| startswith | RHS 是 LHS 的初始子序列 | 'team' startswith 'tea' |
| !startswith | RHS 不是 LHS 的初始子序列 | 'abc' !startswith 'bc' |
| endswith | RHS 是 LHS 的結尾子序列 | 'abc' endswith 'bc' |
| !endswith | RHS 不是 LHS 的結尾子序列 | 'abc' !endswith 'a' |
| 及 | 只有在 RHS 和 LHS 為 true 時才為 True | (1 == 1) and (2 == 2) |
| 或 | 只有在 RHS 或 LHS 為 true 時才為 True | (1 == 1) or (1 == 2) |
匯總函式
匯總函數可以與 summarize 數據表運算元搭配使用,以計算摘要值。 目前支援下列匯總函數:
| 函數 | 描述 |
|---|---|
| 平均 () | 傳回整個群組中值的平均值 |
| count () | 傳回每個摘要群組的記錄計數 |
| countif () | 傳回述詞評估為 true 的數據列計數 |
| dcount () | 傳回群組中相異值的數目 |
| 最大 () | 傳回整個群組的最大值 |
| maxif () | 從 2107 版開始,您可以使用 maxif 搭配 summarize 數據表運算符。
傳回述 詞 評估 true為之群組的最大值。 |
| min () | 傳回整個群組的最小值 |
| minif () | 從 2107 版開始,您可以使用 minif 搭配 summarize 數據表運算符。
傳回述 詞 評估 true為之群組的最小值。 |
| 百分位數 () | 傳回 Expr 所定義母體中指定最接近排名百分位數的估計值 |
| 總和 () | 傳回整個群組的值總和 |
| sumif () | 傳回述詞評估為 true 的 Expr 總和 |
純量函式
純量函式可用於表達式。 目前支援下列純量函式:
| 函數 | 描述 |
|---|---|
| ago () | 從目前的UTC時鐘時間減去指定的時間範圍 |
| bin () | 將值無條件舍去至指定間隔大小的許多日期時間倍數 |
| 案例 () | 評估述詞清單,並傳回第一個符合述詞的結果表達式 |
| datetime_add () | 從指定的 datepart 計算新的日期時間乘以指定的數量,新增至指定的 datetime |
| datetime_diff () | 計算兩個日期時間值之間的差異 |
| iif () | 評估第一個自變數,並傳回第二個或第三個自變數的值,視述詞評估為 true (秒) 或 false (第三個) |
| indexof () | 函式會報告輸入字串內第一次出現指定字串之以零起始的索引 |
| isotnull () | 評估其唯一自變數,並傳回布爾值,指出自變數是否評估為非 Null 值 |
| isnull () | 評估其唯一自變數,並傳回布爾值,指出自變數是否評估為 Null 值 |
| 現在 () | 傳回目前的UTC時鐘時間 |
| strcat () | 串連 1 到 64 個自變數 |
| strlen () | 傳回輸入字串的長度,以字元為單位 |
| 子字串 () | 從某個索引到字串結尾的來源字串擷取子字串 |
| tostring () | 將輸入轉換成字串表示 |
支援的屬性
裝置查詢支援下列實體。 若要深入瞭解每個實體支援哪些屬性,請參閱 Intune 數據平台架構。
BiosInfo
認證
中央處理器
DiskDrive
EncryptableVolume
FileInfo
LocalGroup
LocalUserAccount
LogicalDrive
MemoryInfo
OsVersion
程序
SystemEnclosure
SystemInfo
Tpm
WindowsAppCrashEvent
WindowsDriver
WindowsEvent
WindowsQfe
WindowsRegistry
WindowsService
已知限制
任何查詢的結果字串限制為 128 kb 個字元。 如果您的查詢結果超過 128kb 個字元,則會截斷結果。 錯誤訊息會通知您有多少數據列被截斷。
您一分鐘只能傳送 15 個查詢。 如果您遇到 超過查詢限制 的錯誤,請等候一分鐘,然後再試一次。
查詢輸入的長度限制為 2048 個字元。 如果您遇到 查詢太長 的錯誤,請將查詢精簡為較少的字元,然後再試一次。
現在 () 純量函式不支援 offset 參數。
不支援 !like 運算符。
當下列運算符只支援單引號時,輸入視窗會自動建議雙引號:
- 包含
- !包含
- startswith
- !startswith
- endswith
WindowsRegistry 實體無法傳回根目錄的 RegistryKey。
WindowsRegistry 實體無法傳回 64 位共用登錄機碼。
WindowsRegistry 實體無法傳回二進位 ValueData。
如果您要查詢在 Windows 10 上執行的裝置,它們必須是最低品質版本。
如果執行 Windows 10 21H2,請確定其執行版本為 10.0.19044.3393。
如果執行 Windows 10 22H2,請確定其執行版本為 10.0.19045.3393。
如果電腦上有多個可用的網路卡,則只會傳回第一個設定的網域。
如果裝置上有 TPM 2.0,則啟用並啟用一律會以 TRUE 傳回。
如果計算機上目前正在使用檔案,則 FileInfo 查詢會傳回錯誤。
如果終端使用者具有裝置的系統管理員存取權,他們或許能夠變更查詢結果中顯示的用戶端式資訊。 例如,操作系統版本和登錄。
後續步驟
如需詳細資訊,請移至: