Consulta do dispositivo
A consulta do dispositivo permite-lhe obter rapidamente informações a pedido sobre o estado dos seus dispositivos. Quando introduz uma consulta num dispositivo selecionado, a Consulta do dispositivo executa uma consulta em tempo real. Os dados devolvidos podem então ser utilizados para responder a ameaças de segurança, resolver problemas do dispositivo ou tomar decisões empresariais.
Pré-requisitos
Para utilizar a Consulta do dispositivo no seu inquilino, tem de ter uma licença que inclua Análise avançada do Microsoft Intune. Análise avançada funcionalidades estão disponíveis com:
- O Suplemento Intune Análise avançada
- Microsoft Intune Suite
Para utilizar a Consulta do dispositivo num dispositivo, o dispositivo tem de estar inscrito no Endpoint Analytics. Saiba como inscrever um dispositivo no Endpoint Analytics.
Não pode optar ativamente por não participar nas notificações na cloud (WNS)
Para que um utilizador utilize a Consulta do dispositivo, tem de lhes atribuir a permissãoConsulta de Dispositivos Geridos - .
Para utilizar a Consulta do dispositivo, os dispositivos têm de ser Intune geridos e pertencentes à empresa.
Plataformas compatíveis
Atualmente, a consulta do dispositivo só é suportada em dispositivos com Windows 10 e posterior.
Como utilizar a Consulta do dispositivo
Para utilizar a Consulta do dispositivo, navegue para Dispositivos e selecione o dispositivo no qual pretende utilizar a Consulta do dispositivo. Selecione Consulta do Dispositivo na secção Monitor .
As propriedades suportadas que pode consultar estão listadas na secção Propriedades . Para executar uma consulta, introduza uma consulta Linguagem de Consulta Kusto (KQL) e selecione Executar. Os resultados são apresentados na área do separador Resultados .
Para obter mais informações sobre Linguagem de Consulta Kusto, consulte Saiba mais sobre Linguagem de Consulta Kusto.
Dica
Agora, pode utilizar o Copilot no Intune (pré-visualização pública) para gerar consultas KQL para consultas de dispositivos através de pedidos de linguagem natural. Para saber mais, aceda a Consulta com o Copilot na consulta do dispositivo.
Operadores Suportados
A consulta do dispositivo suporta apenas um subconjunto dos operadores suportados no Linguagem de Consulta Kusto (KQL). Os operadores seguintes são atualmente suportados:
Operadores de tabela
Os operadores de tabela podem ser utilizados para filtrar, resumir e transformar fluxos de dados. Atualmente, são suportados os seguintes operadores:
| Operadores de tabela | Descrição |
|---|---|
| count | Devolve uma tabela com um único registo que contém o número de registos |
| distinct | Produz uma tabela com a combinação distinta das colunas fornecidas da tabela de entrada |
| participar | Intercalar as linhas de duas tabelas para formar uma nova tabela ao corresponder a linha para o mesmo dispositivo |
| ordenar por | Ordenar as linhas da tabela de entrada por uma ou mais colunas |
| projeto | Selecione as colunas a incluir, mudar o nome ou largar e inserir novas colunas calculadas |
| tomar | Regressar ao número especificado de linhas |
| top | Devolve os primeiros N registos ordenados pelas colunas especificadas |
| em que | Filtra uma tabela para o subconjunto de linhas que satisfazem um predicado |
Operadores escalares
A tabela seguinte resume os operadores:
| Operadores | Descrição | Exemplo |
|---|---|---|
| == | Igual a | 1 == 1, 'aBc' == 'AbC' |
| != | Não Igual | 1 != 2, 'abc' != 'abcd' |
| < | Menos | 1 < 2, 'abc' < 'DEF' |
| > | Maior | 2 > 1, 'xyz' > 'XYZ' |
| <= | Menor ou Igual | 1 <= 2, 'abc' <= 'abc' |
| >= | Maior ou Igual | 2 >= 1, 'abc' >= 'ABC' |
| + | Adicionar | 2 + 1, now() + 1d |
| - | Subtrair | 2 - 1, now() - 1h |
| * | Multiplicar | 2 * 2 |
| / | Dividir | 2 / 1 |
| % | Modulo | 2 % 1 |
| como | O Lado Esquerdo (LHS) contém uma correspondência para o Lado Direito (RHS) | 'abc' like '%B%' |
| contains | O RHS ocorre como uma subsecção do LHS | 'abc' contains 'b' |
| !contém | O RHS não ocorre no LHS | 'team' !contains 'i' |
| startswith | O RHS é uma subsecção inicial do LHS | 'team' startswith 'tea' |
| !começacom | O RHS não é uma subsecção inicial do LHS | 'abc' !startswith 'bc' |
| endswith | O RHS é uma subsecção de fecho do LHS | 'abc' endswith 'bc' |
| !terminacom | O RHS não é uma subsecção de fecho do LHS | 'abc' !endswith 'a' |
| e | Verdadeiro se e apenas se RHS e LHS forem verdadeiros | (1 == 1) and (2 == 2) |
| ou | Verdadeiro se e apenas se RHS ou LHS for verdadeiro | (1 == 1) or (1 == 2) |
Funções de agregação
As funções de agregação podem ser utilizadas com o operador resumir tabela para calcular valores resumidos. Atualmente, são suportadas as seguintes funções de agregação:
| Função | Descrição |
|---|---|
| avg() | Devolve a média dos valores em todo o grupo |
| count() | Devolve uma contagem dos registos por grupo de resumo |
| countif() | Devolve uma contagem de linhas para as quais Predicado é avaliado como verdadeiro |
| dcount() | Devolve o número de valores distintos no grupo |
| max() | Devolve o valor máximo em todo o grupo |
| maxif() | A partir da versão 2107, pode utilizar maxif com o operador resumir tabela.
Devolve o valor máximo em todo o grupo para o qual Predicado avalia como true. |
| min() | Devolve o valor mínimo em todo o grupo |
| minif() | A partir da versão 2107, pode utilizar minif com o operador resumir tabela.
Devolve o valor mínimo no grupo para o qual Predicado é avaliado como true. |
| percentil() | Devolve uma estimativa para o percentil de classificação mais próximo especificado da população definida por Expr |
| sum() | Devolve a soma dos valores em todo o grupo |
| sumif() | Devolve uma soma de Expr para a qual Predicado avalia como verdadeiro |
Funções escalares
As funções escalares podem ser utilizadas em expressões. Atualmente, são suportadas as seguintes funções escalares:
| Função | Descrição |
|---|---|
| ago() | Subtrai o período de tempo especificado à hora atual do relógio UTC |
| bin() | Arredonda os valores por baixo para muitos datetime múltiplos de um determinado tamanho de discretização |
| case() | Avalia uma lista de predicados e devolve a primeira expressão de resultado cujo predicado é satisfeito |
| datetime_add() | Calcula um novo datetime a partir de uma parte de data especificada multiplicada por uma quantidade especificada, adicionada a um datetime especificado |
| datetime_diff() | Calcula a diferença entre dois valores de data/hora |
| iif() | Avalia o primeiro argumento e devolve o valor do segundo ou terceiro argumentos consoante o predicado avaliado como verdadeiro (segundo) ou falso (terceiro) |
| indexof() | A função comunica o índice baseado em zero da primeira ocorrência de uma cadeia especificada na cadeia de entrada |
| isnotnull() | Avalia o seu único argumento e devolve um valor Booleano que indica se o argumento é avaliado como um valor não nulo |
| isull() | Avalia o seu único argumento e devolve um valor Booleano que indica se o argumento é avaliado como um valor nulo |
| now() | Devolve a hora atual do relógio UTC |
| strcat() | Concatena entre 1 e 64 argumentos |
| strlen() | Devolve o comprimento, em carateres, da cadeia de entrada |
| subcadeia() | Extrai uma subcadeia de uma cadeia de origem a partir de um índice para o fim da cadeia |
| tostring() | Converte a entrada numa representação de cadeia |
Propriedades Suportadas
A consulta do dispositivo suporta as seguintes entidades. Para saber mais sobre que propriedades são suportadas para cada entidade, veja Intune Esquema da Plataforma de Dados.
BiosInfo
Certificado
CPU
DiskDrive
EncryptableVolume
FileInfo
Grupo Local
LocalUserAccount
LogicalDrive
MemoryInfo
OsVersion
Processo
SystemEnclosure
SystemInfo
Tpm
WindowsAppCrashEvent
WindowsDriver
WindowsEvent
WindowsQfe
WindowsRegistry
WindowsService
Limitações conhecidas
A cadeia de resultado de qualquer consulta está limitada a 128 kb carateres. Se o resultado da consulta for superior a 128 kb carateres, o resultado será truncado. Uma mensagem de erro informa-o sobre quantas linhas estão truncadas.
Só pode enviar 15 consultas por minuto. Se encontrar um erro de limite de consulta excedido , aguarde um minuto e tente novamente.
As entradas de consulta têm um limite de comprimento de 2048 carateres. Se encontrar um erro de consulta demasiado longo , refine a consulta para ter menos carateres e tente novamente.
A função escalar now() não suporta o parâmetro offset.
O operador !like não é suportado.
A janela de entrada recomenda automaticamente aspas duplas quando apenas são suportadas plicas nos seguintes operadores:
- contains
- !contém
- startswith
- !começacom
- endswith
A entidade WindowsRegistry não consegue devolver a RegistryKey para a raiz.
A entidade WindowsRegistry não devolve chaves de registo partilhadas de 64 bits.
A entidade WindowsRegistry não consegue devolver valueData binário.
Se estiver a consultar dispositivos em execução no Windows 10, estes têm de ter uma versão de qualidade mínima.
Se estiver a executar Windows 10 21H2, certifique-se de que está a executar a versão 10.0.19044.3393.
Se estiver a executar Windows 10 22H2, certifique-se de que está a executar a versão 10.0.19045.3393.
Se existirem várias placas de rede disponíveis no computador, só é devolvido o primeiro domínio configurado.
Se o TPM 2.0 estiver presente no dispositivo, ativado e ativado é sempre devolvido como VERDADEIRO.
Se um ficheiro estiver atualmente a ser utilizado no computador, as consultas FileInfo devolvem um erro.
Se o utilizador final tiver acesso de administrador ao dispositivo, poderá conseguir alterar as informações baseadas no cliente que aparecem nos resultados da consulta. Por exemplo, versão e registo do SO.
Próximas etapas
Para obter mais informações, confira: