デバイス クエリ
デバイス クエリを使用すると、デバイスの状態に関するオンデマンド情報をすばやく取得できます。 選択したデバイスでクエリを入力すると、デバイス クエリによってクエリがリアルタイムで実行されます。 返されたデータは、セキュリティ上の脅威への対応、デバイスのトラブルシューティング、またはビジネス上の意思決定に使用できます。
前提条件
テナントでデバイス クエリを使用するには、Microsoft Intune 高度分析を含むライセンスが必要です。 高度分析機能は次の機能で利用できます。
- Intune 高度分析 アドオン
- Microsoft Intune Suite
デバイスでデバイス クエリを使用するには、デバイスを Endpoint Analytics に登録する必要があります。 Endpoint Analytics にデバイスを登録する方法について説明します。
クラウド通知 (WNS) をオプトアウトすることはできません
ユーザーがデバイス クエリを使用するには、 管理対象デバイス - Query アクセス許可を割り当てる必要があります。
デバイス クエリを使用するには、デバイスを管理および企業所有Intune必要があります。
サポートされるプラットフォーム
デバイス クエリは現在、Windows 10 以降を実行しているデバイスでのみサポートされています。
デバイス クエリの使用方法
デバイス クエリを使用するには、[ デバイス] に移動し、デバイス クエリを使用するデバイスを選択します。 [モニター] セクションで [デバイス クエリ] を選択します。
クエリを実行できるサポートされているプロパティは、[ プロパティ ] セクションに一覧表示されます。 クエリを実行するには、Kusto 照会言語 (KQL) クエリを入力し、[実行] を選択します。 [結果] タブ領域に 結果 が表示されます。
Kusto 照会言語の詳細については、「Kusto 照会言語の詳細」を参照してください。
ヒント
Intune (パブリック プレビュー) で Copilot を使用して、自然言語要求を使用してデバイス クエリの KQL クエリを生成できるようになりました。 詳細については、「 デバイス クエリで Copilot を使用してクエリを実行する」を参照してください。
サポートされている演算子
デバイス クエリでは、Kusto 照会言語 (KQL) でサポートされている演算子のサブセットのみがサポートされます。 現在、次の演算子がサポートされています。
テーブル演算子
テーブル演算子は、データ ストリームのフィルター、集計、変換を使用できます。 現在、次の演算子がサポートされています。
テーブル演算子 | 説明 |
---|---|
count | レコード数を含む 1 つのレコードを含むテーブルを返します |
朖 | 入力テーブルの指定された列の個別の組み合わせを持つテーブルを生成します |
join | 同じデバイスの行を照合して、2 つのテーブルの行をマージして新しいテーブルを形成する |
次の順序で | 入力テーブルの行を 1 つ以上の列で並べ替える |
プロジェクト | 含める列を選択し、名前を変更または削除し、新しい計算列を挿入します |
取る | 指定した行数までを返します |
top | 指定した列で並べ替えられた最初の N 個のレコードを返します |
どこ | 述語を満たす行のサブセットに対してテーブルをフィルター処理する |
スカラー演算子
次の表は、演算子をまとめたものです。
演算子 | 説明 | 例 |
---|---|---|
== | 等しい | 1 == 1, 'aBc' == 'AbC' |
!= | 等しくない | 1 != 2, 'abc' != 'abcd' |
< | より小さい | 1 < 2, 'abc' < 'DEF' |
> | Greater | 2 > 1, 'xyz' > 'XYZ' |
<= | Less or Equal | 1 <= 2, 'abc' <= 'abc' |
>= | 大きいまたは等しい | 2 >= 1, 'abc' >= 'ABC' |
+ | 追加する | 2 + 1, now() + 1d |
- | 減算 | 2 - 1, now() - 1h |
* | 乗算 | 2 * 2 |
/ | 除算 | 2 / 1 |
% | モジュロ | 2 % 1 |
。 | 左側 (LHS) には、右側 (RHS) の一致が含まれています | 'abc' like '%B%' |
contains | RHS は、LHS のサブシーケンスとして発生します | 'abc' contains 'b' |
!含む | LHS で RHS が発生しない | 'team' !contains 'i' |
startswith | RHS は LHS の初期サブシーケンスです | 'team' startswith 'tea' |
!startswith | RHS は LHS の初期サブシーケンスではありません | 'abc' !startswith 'bc' |
endswith | RHS は LHS の終了サブシーケンスです | 'abc' endswith 'bc' |
!endswith | RHS は LHS の終了サブシーケンスではありません | 'abc' !endswith 'a' |
and | TRUE の場合と、RHS と LHS が true の場合のみ | (1 == 1) and (2 == 2) |
または | RHS または LHS が true の場合にのみ True | (1 == 1) or (1 == 2) |
集計関数
集計関数は、集計テーブル演算子と共に使用して、集計された値を計算できます。 現在、次の集計関数がサポートされています。
関数 | 説明 |
---|---|
avg() | グループ全体の値の平均を返します |
count() | 集計グループごとのレコード数を返します |
countif() | 述語が true と評価される行の数を返します |
dcount() | グループ内の個別の値の数を返します |
max() | グループ全体の最大値を返します |
maxif() | バージョン 2107 以降では、summarize テーブル演算子で maxif を使用できます。
Predicate が true と評価されるグループ全体の最大値を返します。 |
min() | グループ全体の最小値を返します |
minif() | バージョン 2107 以降では、summarize テーブル演算子で minif を使用できます。
Predicate が true と評価されるグループ全体の最小値を返します。 |
percentile() | Expr によって定義された母集団の指定された最も近いランクパーセンタイルの推定値を返します |
sum() | グループ全体の値の合計を返します |
sumif() | 述語が true と評価される Expr の合計を返します |
スカラー関数
スカラー関数は、式で使用できます。 現在、次のスカラー関数がサポートされています。
関数 | 説明 |
---|---|
ago() | 現在の UTC クロック時刻から指定されたタイムスパンを減算します |
bin() | 指定されたビン サイズの多くの datetime 倍数に値を丸めます |
case() | 述語の一覧を評価し、述語が満たされている最初の結果式を返します |
datetime_add() | 指定した datepart から指定した datetime に指定した datetime を乗算し、指定した datetime に加算して、新しい datetime を計算します。 |
datetime_diff() | 2 つの日付時刻値の差を計算します |
iif() | 述語が true (2 番目) または false (3 番目) に評価されたかどうかに応じて、最初の引数を評価し、2 番目または 3 番目の引数の値を返します。 |
indexof() | 関数は、入力文字列内の指定された文字列の最初の出現の 0 から始まるインデックスを報告します |
isnotnull() | その唯一の引数を評価し、引数が null 以外の値に評価されるかどうかを示すブール値を返します。 |
isnull() | その唯一の引数を評価し、引数が null 値に評価されるかどうかを示すブール値を返します |
now() | 現在の UTC 時刻を返します |
strcat() | 1 から 64 個の引数の間の連結 |
strlen() | 入力文字列の長さを文字数で返します |
substring() | 一部のインデックスから文字列の末尾まで、ソース文字列から部分文字列を抽出します |
tostring() | 入力を文字列表現に変換します |
サポートされるプロパティ
デバイス クエリでは、次のエンティティがサポートされています。 各エンティティでサポートされるプロパティの詳細については、「データ プラットフォーム スキーマのIntune」を参照してください。
BiosInfo
証明書
Cpu
DiskDrive
EncryptableVolume
FileInfo
LocalGroup
LocalUserAccount
LogicalDrive
MemoryInfo
OsVersion
プロセス
SystemEnclosure
SystemInfo
Tpm
WindowsAppCrashEvent
WindowsDriver
WindowsEvent
WindowsQfe
WindowsRegistry
WindowsService
既知の制限
クエリの結果文字列は 128 kb 文字に制限されています。 クエリの結果が 128 kb 文字を超える場合、結果は切り捨てられます。 切り捨てられる行の数を示すエラー メッセージが表示されます。
1 分間に送信できるクエリは 15 個のみです。 クエリの制限を超えたエラーが発生した場合は、1 分間待ってからやり直してください。
クエリ入力の長さの制限は 2048 文字です。 クエリが長すぎるエラーが発生した場合は、クエリを絞り込んで文字数を減らしてからやり直してください。
now() スカラー関数は offset パラメーターをサポートしていません。
!like 演算子はサポートされていません。
次の演算子で単一引用符のみがサポートされている場合、入力ウィンドウでは二重引用符が自動的に推奨されます。
- contains
- !含む
- startswith
- !startswith
- endswith
WindowsRegistry エンティティがルートの RegistryKey を返すのに失敗します。
WindowsRegistry エンティティは、64 ビットの共有レジストリ キーを返すのに失敗します。
WindowsRegistry エンティティがバイナリ ValueData を返すのに失敗します。
Windows 10で実行されているデバイスに対してクエリを実行する場合は、最小品質バージョンである必要があります。
Windows 10 21H2 を実行している場合は、バージョン 10.0.19044.3393 が実行されていることを確認します。
Windows 10 22H2 を実行している場合は、バージョン 10.0.19045.3393 が実行されていることを確認します。
マシンで複数のネットワーク カードが使用可能な場合は、最初に構成されたドメインのみが返されます。
TPM 2.0 がデバイスに存在する場合、アクティブ化され、有効になると常に TRUE として返されます。
ファイルが現在マシンで使用されている場合、FileInfo クエリはエラーを返します。
エンド ユーザーがデバイスへの管理者アクセス権を持っている場合、クエリ結果に表示されるクライアント ベースの情報を変更できる可能性があります。 たとえば、OS のバージョンとレジストリなどです。
次の手順
詳細については、次を参照してください: