Geräteabfrage
Mit der Geräteabfrage können Sie schnell Bedarfsinformationen über den Zustand Ihrer Geräte erhalten. Wenn Sie eine Abfrage auf einem ausgewählten Gerät eingeben, führt die Geräteabfrage eine Abfrage in Echtzeit aus. Die zurückgegebenen Daten können dann verwendet werden, um auf Sicherheitsbedrohungen zu reagieren, probleme mit dem Gerät zu beheben oder Geschäftsentscheidungen zu treffen.
Voraussetzungen
Um die Geräteabfrage in Ihrem Mandanten verwenden zu können, benötigen Sie eine Lizenz, die Microsoft Intune Advanced Analytics enthält. Advanced Analytics Features sind verfügbar mit:
- Das Intune Advanced Analytics-Add-On
- Microsoft Intune Suite
Um die Geräteabfrage auf einem Gerät verwenden zu können, muss das Gerät bei Endpoint Analytics registriert sein. Erfahren Sie , wie Sie ein Gerät in Endpoint Analytics registrieren.
Sie können cloudbenachrichtigungen (WNS) nicht deaktivieren.
Damit ein Benutzer die Geräteabfrage verwenden kann, müssen Sie ihm dieAbfrageberechtigungfür verwaltete Geräte - zuweisen.
Um die Geräteabfrage verwenden zu können, müssen Geräte Intune verwaltet und unternehmenseigene Geräte sein.
Unterstützte Plattformen
Geräteabfragen werden derzeit nur auf Geräten unterstützt, auf denen Windows 10 und höher ausgeführt wird.
Verwenden einer Geräteabfrage
Um die Geräteabfrage zu verwenden, navigieren Sie zu Geräte , und wählen Sie das Gerät aus, auf dem Sie die Geräteabfrage verwenden möchten. Wählen Sie im Abschnitt Überwachen die Option Geräteabfrage aus.
Die unterstützten Eigenschaften, die Sie abfragen können, sind im Abschnitt Eigenschaften aufgeführt. Um eine Abfrage auszuführen, geben Sie eine Kusto-Abfragesprache -Abfrage (KQL) ein, und wählen Sie Ausführen aus. Die Ergebnisse werden im Registerkartenbereich Ergebnisse angezeigt.
Weitere Informationen zu Kusto-Abfragesprache finden Sie unter Weitere Informationen zu Kusto-Abfragesprache.
Tipp
Sie können jetzt Copilot in Intune (public preview) verwenden, um KQL-Abfragen für Geräteabfragen mithilfe von Anforderungen in natürlicher Sprache zu generieren. Weitere Informationen finden Sie unter Abfragen mit Copilot in der Geräteabfrage.
Unterstützte Operatoren
Geräteabfragen unterstützen nur eine Teilmenge der Operatoren, die im Kusto-Abfragesprache (KQL) unterstützt werden. Die folgenden Operatoren werden derzeit unterstützt:
Tabellenoperatoren
Tabellenoperatoren können zum Filtern, Zusammenfassen und Transformieren von Datenströmen verwendet werden. Derzeit werden die folgenden Operatoren unterstützt:
| Tabellenoperatoren | Beschreibung |
|---|---|
| count | Gibt eine Tabelle mit einem einzelnen Datensatz zurück, der die Anzahl der Datensätze enthält. |
| deutlich | Erzeugt eine Tabelle mit der eindeutigen Kombination der bereitgestellten Spalten der Eingabetabelle. |
| Verknüpfung | Führen Sie die Zeilen von zwei Tabellen zusammen, um eine neue Tabelle zu erstellen, indem Sie die Zeile für dasselbe Gerät abgleichen. |
| order by | Sortieren der Zeilen der Eingabetabelle nach einer oder mehreren Spalten |
| Projekt | Wählen Sie die Spalten aus, die eingeschlossen, umbenannt oder gelöscht werden sollen, und fügen Sie neue berechnete Spalten ein. |
| nehmen | Zurückgeben bis zur angegebenen Anzahl von Zeilen |
| Nach oben | Gibt die ersten N Datensätze zurück, die nach den angegebenen Spalten sortiert sind. |
| wo | Filtert eine Tabelle nach der Teilmenge der Zeilen, die einem Prädikat entsprechen |
Skalare Operatoren
In der folgenden Tabelle sind die Operatoren zusammengefasst:
| Operatoren | Beschreibung | Beispiel |
|---|---|---|
| == | Equal | 1 == 1, 'aBc' == 'AbC' |
| != | Ungleich | 1 != 2, 'abc' != 'abcd' |
| < | Weniger | 1 < 2, 'abc' < 'DEF' |
| > | Größer | 2 > 1, 'xyz' > 'XYZ' |
| <= | Kleiner oder gleich | 1 <= 2, 'abc' <= 'abc' |
| >= | Größer oder gleich | 2 >= 1, 'abc' >= 'ABC' |
| + | Ergänzungen | 2 + 1, now() + 1d |
| - | Subtrahieren | 2 - 1, now() - 1h |
| * | Multiplizieren | 2 * 2 |
| / | Dividieren | 2 / 1 |
| % | Modulo | 2 % 1 |
| zum Beispiel | Left Hand Side (LHS) enthält eine Übereinstimmung für Right Hand Side (RHS) | 'abc' like '%B%' |
| contains | RHS tritt als Untersequenz von LHS auf. | 'abc' contains 'b' |
| !enthält | RHS tritt in LHS nicht auf | 'team' !contains 'i' |
| startswith | RHS ist eine anfängliche Untersequenz von LHS. | 'team' startswith 'tea' |
| !startswith | RHS ist keine anfängliche Untersequenz von LHS. | 'abc' !startswith 'bc' |
| endswith | RHS ist eine schließende Untersequenz von LHS | 'abc' endswith 'bc' |
| !endswith | RHS ist keine schließende Untersequenz von LHS | 'abc' !endswith 'a' |
| und | True, wenn und nur wenn RHS und LHS true sind | (1 == 1) and (2 == 2) |
| oder | True, wenn und nur wenn RHS oder LHS true ist | (1 == 1) or (1 == 2) |
Aggregationsfunktionen
Aggregationsfunktionen können mit dem summarize-Tabellenoperator verwendet werden, um zusammengefasste Werte zu berechnen. Derzeit werden die folgenden Aggregationsfunktionen unterstützt:
| Funktion | Beschreibung |
|---|---|
| avg() | Gibt den Mittelwert der Werte in der Gruppe zurück. |
| count() | Gibt die Anzahl der Datensätze pro Zusammenfassungsgruppe zurück. |
| countif() | Gibt die Anzahl der Zeilen zurück, für die das Prädikat als "true" ausgewertet wird. |
| dcount() | Gibt die Anzahl unterschiedlicher Werte in der Gruppe zurück. |
| max() | Gibt den Maximalwert für die Gruppe zurück. |
| maxif() | Ab Version 2107 können Sie maxif mit dem Operator summarize table verwenden.
Gibt den Maximalwert für die Gruppe zurück, für die Prädikat als trueausgewertet wird. |
| min() | Gibt den Mindestwert für die Gruppe zurück. |
| minif() | Ab Version 2107 können Sie minif mit dem Operator summarize table verwenden.
Gibt den Mindestwert für die Gruppe zurück, für die Prädikat als trueausgewertet wird. |
| percentile() | Gibt eine Schätzung für das angegebene perZentil am nächsten gelegenen Quantil der durch Expr definierten Grundgesamtheit zurück. |
| sum() | Gibt die Summe der Werte in der Gruppe zurück. |
| sumif() | Gibt eine Summe von Expr zurück, für die prädikat als true ausgewertet wird. |
Skalare Funktionen
Skalare Funktionen können in Ausdrücken verwendet werden. Derzeit werden die folgenden Skalarfunktionen unterstützt:
| Funktion | Beschreibung |
|---|---|
| ago() | Subtrahiert den angegebenen Zeitraum von der aktuellen UTC-Uhrzeit |
| bin() | Rundet Werte auf viele Datetime-Vielfache einer angegebenen Bin-Größe ab. |
| case() | Wertet eine Liste von Prädikaten aus und gibt den ersten Ergebnisausdruck zurück, dessen Prädikat erfüllt ist. |
| datetime_add() | Berechnet eine neue datetime aus einem angegebenen datepart multipliziert mit einem angegebenen Betrag, der einem angegebenen datetime hinzugefügt wird |
| datetime_diff() | Berechnet die Differenz zwischen zwei Datums-/Uhrzeitwerten. |
| iif() | Wertet das erste Argument aus und gibt den Wert des zweiten oder dritten Arguments zurück, je nachdem, ob das Prädikat als true (zweites) oder false (drittes) ausgewertet wird. |
| indexof() | Funktion meldet den nullbasierten Index des ersten Vorkommens einer angegebenen Zeichenfolge in der Eingabezeichenfolge. |
| isnotnull() | Wertet das einzige Argument aus und gibt einen booleschen Wert zurück, der angibt, ob das Argument zu einem Wert ungleich NULL ausgewertet wird. |
| isnull() | Wertet das einzige Argument aus und gibt einen booleschen Wert zurück, der angibt, ob das Argument zu einem NULL-Wert ausgewertet wird. |
| now() | Gibt die aktuelle UTC-Uhrzeit zurück. |
| strcat() | Verkettet zwischen 1 und 64 Argumenten |
| strlen() | Gibt die Länge der Eingabezeichenfolge in Zeichen zurück. |
| substring() | Extrahiert eine Teilzeichenfolge aus einer Quellzeichenfolge, beginnend von einem Index bis zum Ende der Zeichenfolge. |
| tostring() | Konvertiert eingaben in eine Zeichenfolgendarstellung |
Unterstützte Eigenschaften
Geräteabfragen unterstützen die folgenden Entitäten. Weitere Informationen dazu, welche Eigenschaften für die einzelnen Entitäten unterstützt werden, finden Sie unter Intune Datenplattformschema.
BiosInfo
Zertifikat
CPU
DiskDrive
EncryptableVolume
FileInfo
LocalGroup
LocalUserAccount
LogicalDrive
MemoryInfo
OsVersion
Prozess
SystemEnclosure
SystemInfo
Tpm
WindowsAppCrashEvent
WindowsDriver
WindowsEvent
WindowsQfe
WindowsRegistry
WindowsService
Bekannte Einschränkungen
Die Ergebniszeichenfolge jeder Abfrage ist auf 128 KB-Zeichen beschränkt. Wenn das Ergebnis der Abfrage länger als 128 KB ist, wird das Ergebnis abgeschnitten. Eine Fehlermeldung informiert Sie darüber, wie viele Zeilen abgeschnitten werden.
Sie können nur 15 Abfragen pro Minute senden. Wenn ein Abfragelimit einen Fehler überschritten hat , warten Sie eine Minute, und versuchen Sie es erneut.
Abfrageeingaben haben eine Längenbeschränkung von 2048 Zeichen. Wenn ein Fehler mit zu langer Abfrage auftritt, verfeinern Sie die Abfrage so, dass sie weniger Zeichen enthält, und versuchen Sie es erneut.
Die now()-Skalarfunktion unterstützt den Offsetparameter nicht.
Der !like-Operator wird nicht unterstützt.
Das Eingabefenster empfiehlt automatisch doppelte Anführungszeichen, wenn nur einfache Anführungszeichen für die folgenden Operatoren unterstützt werden:
- contains
- !enthält
- startswith
- !startswith
- endswith
Die Entität WindowsRegistry kann den Registrierungsschlüssel für den Stamm nicht zurückgeben.
Die Entität WindowsRegistry kann keine 64-Bit-Registrierungsschlüssel zurückgeben.
Die WindowsRegistry-Entität kann keine binäre ValueData-Eigenschaft zurückgeben.
Wenn Sie Geräte abfragen, die auf Windows 10 ausgeführt werden, müssen diese eine Mindestqualitätsversion aufweisen.
Wenn sie Windows 10 21H2 ausführen, stellen Sie sicher, dass version 10.0.19044.3393 ausgeführt wird.
Wenn Windows 10 22H2 ausgeführt wird, stellen Sie sicher, dass version 10.0.19045.3393 ausgeführt wird.
Wenn auf dem Computer mehrere Netzwerkkarten verfügbar sind, wird nur die erste konfigurierte Domäne zurückgegeben.
Wenn TPM 2.0 auf dem Gerät vorhanden ist, wird aktiviert und aktiviert immer als TRUE zurückgegeben.
Wenn eine Datei derzeit auf dem Computer verwendet wird, geben FileInfo-Abfragen einen Fehler zurück.
Wenn der Endbenutzer über Administratorzugriff auf das Gerät verfügt, kann er möglicherweise clientbasierte Informationen ändern, die in den Abfrageergebnissen angezeigt werden. Beispiel: Betriebssystemversion und Registrierung.
Nächste Schritte
Weitere Informationen finden Sie unter: