Запрос устройства
Запрос устройства позволяет быстро получать сведения о состоянии устройств по запросу. При вводе запроса на выбранном устройстве запрос устройства выполняет запрос в режиме реального времени. Затем возвращаемые данные можно использовать для реагирования на угрозы безопасности, устранения неполадок устройства или принятия бизнес-решений.
Предварительные условия
Чтобы использовать запрос устройства в клиенте, необходимо иметь лицензию, включающую Расширенную аналитику Microsoft Intune. Функции расширенной аналитики доступны с помощью:
- Надстройка Intune Advanced Analytics
- Microsoft Intune Suite
Чтобы использовать запрос устройства на устройстве, устройство должно быть зарегистрировано в Endpoint Analytics. Узнайте , как зарегистрировать устройство в Endpoint Analytics.
Вы не можете отказаться от облачных уведомлений (WNS)
Чтобы пользователь использовал запрос устройства, необходимо назначить ему разрешениена запросуправляемых устройств - .
Чтобы использовать запрос устройства, устройства должны быть управляемыми Intune и корпоративными.
Примечание.
Запрос к устройству в настоящее время не поддерживается в средах Облака сообщества для государственных организаций США (GCC) High или Министерства обороны США (DoD).
Поддерживаемые платформы
Запрос устройства в настоящее время поддерживается только на устройствах под управлением Windows 10 и более поздних версий.
Использование запроса устройства
Чтобы использовать запрос устройства, перейдите в раздел Устройства и выберите устройство, на котором вы хотите использовать запрос устройства. Выберите Запрос устройства в разделе Монитор .
Поддерживаемые свойства, которые можно запрашивать, перечислены в разделе Свойства . Чтобы выполнить запрос, введите запрос языка запросов Kusto (KQL) и выберите Выполнить. Результаты отображаются в области вкладки Результаты .
Дополнительные сведения о языке запросов Kusto см. в статье Дополнительные сведения о языке запросов Kusto.
Совет
Теперь вы можете использовать Copilot в Intune (общедоступная предварительная версия) для создания запросов KQL для запросов устройств с помощью запросов на естественном языке. Дополнительные сведения см. в статье Запрос с помощью Copilot в запросе устройства.
Поддерживаемые операторы
Запрос устройства поддерживает только подмножество операторов, поддерживаемых в языке запросов Kusto (KQL). В настоящее время поддерживаются следующие операторы:
Операторы таблиц
Операторы таблиц можно использовать для фильтрации, сводных данных и преобразования потоков данных. В настоящее время поддерживаются следующие операторы:
| Операторы таблиц | Описание |
|---|---|
| count | Возвращает таблицу с одной записью, содержащей количество записей. |
| ясный | Создает таблицу с отдельным сочетанием указанных столбцов входной таблицы. |
| join | Объединение строк двух таблиц для формирования новой таблицы путем сопоставления строк для одного устройства |
| order by | Сортировка строк входной таблицы по порядку по одному или нескольким столбцам |
| проект | Выбор столбцов для включения, переименования или удаления, а также вставка новых вычисляемых столбцов |
| брать | Возвращается до указанного количества строк. |
| top | Возвращает первые N записей, отсортированных по указанным столбцам |
| где | Фильтрует таблицу по подмножеству строк, удовлетворяющих предикату |
Скалярные операторы
В следующей таблице перечислены операторы:
| Операторы | Описание | Пример |
|---|---|---|
| == | Равно | 1 == 1, 'aBc' == 'AbC' |
| != | Не равно | 1 != 2, 'abc' != 'abcd' |
| < | Менее | 1 < 2, 'abc' < 'DEF' |
| > | Больше | 2 > 1, 'xyz' > 'XYZ' |
| <= | Меньше или равно | 1 <= 2, 'abc' <= 'abc' |
| >= | Больше или равно | 2 >= 1, 'abc' >= 'ABC' |
| + | Добавить | 2 + 1, now() + 1d |
| - | Subtract | 2 - 1, now() - 1h |
| * | Multiply | 2 * 2 |
| / | Divide | 2 / 1 |
| % | По модулю | 2 % 1 |
| как | Левая сторона (LHS) содержит совпадение для правой стороны (RHS) | 'abc' like '%B%' |
| contains | RHS возникает как подсезона LHS | 'abc' contains 'b' |
| !Содержит | RHS не встречается в LHS | 'team' !contains 'i' |
| startswith | RHS — это начальная подсеть LHS. | 'team' startswith 'tea' |
| !startswith | RHS не является начальной подсетью LHS | 'abc' !startswith 'bc' |
| endswith | RHS — это закрывающая подсеть LHS. | 'abc' endswith 'bc' |
| !endswith | RHS не является закрывающей частью LHS | 'abc' !endswith 'a' |
| и | Значение true, если и только если RHS и LHS имеют значение true | (1 == 1) and (2 == 2) |
| или | Значение true, если и только если RHS или LHS имеет значение true | (1 == 1) or (1 == 2) |
Агрегатные функции
Агрегатные функции можно использовать с оператором таблицы summarize для вычисления суммированных значений. В настоящее время поддерживаются следующие агрегатные функции:
| Функция | Описание |
|---|---|
| avg() | Возвращает среднее значение по группе. |
| count() | Возвращает количество записей для каждой группы сводных данных. |
| countif() | Возвращает число строк, для которых предикат имеет значение true. |
| dcount() | Возвращает количество уникальных значений в группе. |
| max() | Возвращает максимальное значение в группе. |
| maxif() | Начиная с версии 2107, можно использовать maxif с оператором таблицы summarize.
Возвращает максимальное значение в группе, для которой предикат имеет значение true. |
| min() | Возвращает минимальное значение в группе. |
| minif() | Начиная с версии 2107, можно использовать minif с оператором таблицы summarize.
Возвращает минимальное значение в группе, для которой предикат имеет значение true. |
| percentile() | Возвращает оценку для указанного процентиля ближайшего ранга для совокупности, определенной expr. |
| sum() | Возвращает сумму значений в группе. |
| sumif() | Возвращает сумму expr, для которой предикат имеет значение true. |
Скалярные функции
Скалярные функции можно использовать в выражениях. В настоящее время поддерживаются следующие скалярные функции:
| Функция | Описание |
|---|---|
| ago() | Вычитает заданный интервал времени из текущего времени в формате UTC. |
| bin() | Округляет значения до нескольких значений даты и времени, кратных заданного размера ячейки. |
| case() | Вычисляет список предикатов и возвращает первое результирующее выражение, предикату которого удовлетворяется. |
| datetime_add() | Вычисляет новое значение datetime из указанной части даты, умноженной на указанную сумму, добавляемую к указанному значению datetime. |
| datetime_diff() | Вычисляет разницу между двумя значениями даты и времени |
| iif() | Вычисляет первый аргумент и возвращает значение второго или третьего аргументов в зависимости от того, имеет ли предикат значение true (второй) или false (третий). |
| indexof() | Функция сообщает отсчитываемый от нуля индекс первого вхождения указанной строки во входной строке |
| isnotnull() | Вычисляет свой единственный аргумент и возвращает логическое значение, указывающее, имеет ли аргумент значение, отличное от NULL. |
| isnull() | Вычисляет свой единственный аргумент и возвращает логическое значение, указывающее, имеет ли аргумент значение NULL. |
| now() | Возвращает текущее время часов в формате UTC |
| strcat() | Объединение от 1 до 64 аргументов |
| strlen() | Возвращает длину входной строки в символах. |
| substring() | Извлекает подстроку из исходной строки, начиная с некоторого индекса до конца строки. |
| tostring() | Преобразует входные данные в строковое представление |
Поддерживаемые свойства
Запрос устройства поддерживает следующие сущности. Дополнительные сведения о том, какие свойства поддерживаются для каждой сущности, см. в статье Схема платформы данных Intune.
BiosInfo
Сертификат
ЦПУ
DiskDrive
EncryptableVolume
FileInfo
LocalGroup
LocalUserAccount
LogicalDrive
MemoryInfo
OsVersion
Процесс
SystemEnclosure
SystemInfo
Доверенный платформенный модуль
WindowsAppCrashEvent
WindowsDriver
WindowsEvent
WindowsQfe
WindowsRegistry
WindowsService
Известные ограничения
Строка результата любого запроса ограничена 128 кб символами. Если результат запроса превышает 128 КБ символов, результат усекается. Сообщение об ошибке сообщает о том, сколько строк усечено.
Вы можете отправлять только 15 запросов в минуту. Если ошибка превышена, подождите минуту и повторите попытку.
Длина входных данных запроса составляет 2048 символов. Если вы столкнулись с ошибкой слишком длинного запроса , уточните запрос до меньшего количества символов и повторите попытку.
Скалярная функция now() не поддерживает параметр offset.
Оператор !like не поддерживается.
Окно ввода автоматически рекомендует двойные кавычки, если для следующих операторов поддерживаются только одинарные кавычки:
- contains
- !Содержит
- startswith
- !startswith
- endswith
Сущности WindowsRegistry не удается вернуть registryKey для корневого каталога.
Сущность WindowsRegistry не возвращает 64-разрядные общие разделы реестра.
Сущность WindowsRegistry не возвращает двоичный объект ValueData.
Если вы запрашиваете устройства под управлением Windows 10, они должны иметь минимальную версию качества.
Если используется Windows 10 21H2, убедитесь, что она работает под управлением версии 10.0.19044.3393.
При использовании Windows 10 22H2 убедитесь, что она работает под управлением версии 10.0.19045.3393.
Если на компьютере доступно несколько сетевых карт, возвращается только первый настроенный домен.
Если TPM 2.0 присутствует на устройстве, активированный и включенный всегда возвращается как TRUE.
Если файл в настоящее время используется на компьютере, запросы FileInfo возвращают ошибку.
Если конечный пользователь имеет доступ администратора к устройству, он может изменить сведения на основе клиента, которые отображаются в результатах запроса. Например, версия ОС и реестр.
Дальнейшие действия
Дополнительные сведения см. в статьях: