Apparaatquery
Met apparaatquery kunt u snel on-demand informatie verkrijgen over de status van uw apparaten. Wanneer u een query invoert op een geselecteerd apparaat, wordt met apparaatquery een query in realtime uitgevoerd. De geretourneerde gegevens kunnen vervolgens worden gebruikt om te reageren op beveiligingsrisico's, problemen met het apparaat op te lossen of zakelijke beslissingen te nemen.
Vereisten
Als u apparaatquery in uw tenant wilt gebruiken, moet u beschikken over een licentie met Microsoft Intune Geavanceerde analyse. Geavanceerde analyse functies zijn beschikbaar met:
- De Intune Geavanceerde analyse-invoegtoepassing
- Microsoft Intune Suite
Als u Apparaatquery op een apparaat wilt gebruiken, moet het apparaat zijn ingeschreven bij Endpoint Analytics. Meer informatie over het inschrijven van een apparaat bij Endpoint Analytics.
U kunt zich niet afmelden voor cloudmeldingen (WNS)
Een gebruiker kan alleen apparaatquery gebruiken als u de machtigingQuery voor beheerde apparaten - aan de gebruiker toewijst.
Als u apparaatquery wilt gebruiken, moeten apparaten door Intune worden beheerd en in bedrijfseigendom zijn.
Ondersteunde platforms
Apparaatquery wordt momenteel alleen ondersteund op apparaten met Windows 10 en hoger.
Apparaatquery gebruiken
Als u apparaatquery wilt gebruiken, gaat u naar Apparaten en selecteert u het apparaat waarop u apparaatquery wilt gebruiken. Selecteer Apparaatquery in de sectie Bewaken .
De ondersteunde eigenschappen die u kunt opvragen, worden weergegeven in de sectie Eigenschappen . Als u een query wilt uitvoeren, voert u een KQL-query (Kusto-querytaal) in en selecteert u Uitvoeren. Resultaten worden weergegeven in het tabblad Resultaten .
Zie Meer informatie over Kusto-querytaal voor meer informatie over Kusto-querytaal.
Ondersteunde operators
Apparaatquery ondersteunt alleen een subset van de operators die worden ondersteund in de Kusto-querytaal (KQL). De volgende operators worden momenteel ondersteund:
Tabeloperators
Tabeloperators kunnen gegevensstromen filteren, samenvatten en transformeren. Momenteel worden de volgende operators ondersteund:
| Tabeloperators | Beschrijving |
|---|---|
| Tellen | Retourneert een tabel met één record met het aantal records |
| Verschillende | Produceert een tabel met de unieke combinatie van de opgegeven kolommen van de invoertabel |
| Join | De rijen van twee tabellen samenvoegen tot een nieuwe tabel door de rij voor hetzelfde apparaat te vergelijken |
| bestellen op | De rijen van de invoertabel sorteren op een of meer kolommen |
| Project | Selecteer de kolommen die u wilt opnemen, de naam ervan wijzigen of verwijderen en nieuwe berekende kolommen invoegen |
| Nemen | Teruggaan tot het opgegeven aantal rijen |
| Boven | Retourneert de eerste N-records gesorteerd op de opgegeven kolommen |
| Waar | Een tabel filteren op de subset van rijen die voldoen aan een predicaat |
Scalaire operators
De volgende tabel bevat een overzicht van operators:
| Exploitanten | Beschrijving | Voorbeeld |
|---|---|---|
| == | Gelijke | 1 == 1, 'aBc' == 'AbC' |
| != | Niet gelijk | 1 != 2, 'abc' != 'abcd' |
| < | Minder | 1 < 2, 'abc' < 'DEF' |
| > | Groter | 2 > 1, 'xyz' > 'XYZ' |
| <= | Kleiner of gelijk aan | 1 <= 2, 'abc' <= 'abc' |
| >= | Groter of gelijk | 2 >= 1, 'abc' >= 'ABC' |
| + | Toevoegen | 2 + 1, now() + 1d |
| - | Aftrekken | 2 - 1, now() - 1h |
| * | Vermenigvuldigen | 2 * 2 |
| / | Verdelen | 2 / 1 |
| % | Modulo | 2 % 1 |
| zoals | Left Hand Side (LHS) bevat een overeenkomst voor Right Hand Side (RHS) | 'abc' like '%B%' |
| !Als | LHS bevat geen overeenkomst voor RHS | 'abc' !like '_d_' |
| Bevat | RHS treedt op als een subsectie van LHS | 'abc' contains 'b' |
| !Bevat | RHS komt niet voor in LHS | 'team' !contains 'i' |
| startswith | RHS is een eerste subsectie van LHS | 'team' startswith 'tea' |
| !startswith | RHS is geen eerste subsectie van LHS | 'abc' !startswith 'bc' |
| endswith | RHS is een afsluitende subsectie van LHS | 'abc' endswith 'bc' |
| !endswith | RHS is geen afsluitende subsectie van LHS | 'abc' !endswith 'a' |
| en | Waar als en alleen als RHS en LHS waar zijn | (1 == 1) and (2 == 2) |
| of | Waar dan en alleen als RHS of LHS waar is | (1 == 1) or (1 == 2) |
Aggregatiefuncties
Aggregatiefuncties kunnen worden gebruikt met de operator overzichtstabel om samengevatte waarden te berekenen. Momenteel worden de volgende aggregatiefuncties ondersteund:
| Functie | Beschrijving |
|---|---|
| avg() | Retourneert het gemiddelde van de waarden in de groep |
| count() | Retourneert een telling van de records per samenvattingsgroep |
| countif() | Retourneert een aantal rijen waarvoor Predicaat waar wordt geëvalueerd |
| dcount() | Retourneert het aantal afzonderlijke waarden in de groep |
| max() | Retourneert de maximumwaarde in de groep |
| maxif() | Vanaf versie 2107 kunt u maxif gebruiken met de operator samenvattingstabel. Retourneert de maximumwaarde voor de groep waarvoor Predicaat wordt geëvalueerd.true |
| min() | Retourneert de minimumwaarde in de groep |
| minif() | Vanaf versie 2107 kunt u minif gebruiken met de operator overzichtstabel. Retourneert de minimumwaarde voor de groep waarvoor Predicaat evalueert als true. |
| percentiel() | Retourneert een schatting voor het opgegeven dichtstbijzijnde rangschikkings percentiel van de populatie die is gedefinieerd door Expr |
| sum() | Retourneert de som van de waarden in de groep |
| sumif() | Retourneert een som van Expr waarvoor Predicaat waar wordt geëvalueerd |
Scalaire functies
Scalaire functies kunnen worden gebruikt in expressies. Momenteel worden de volgende scalaire functies ondersteund:
| Functie | Beschrijving |
|---|---|
| ago() | Trekt de opgegeven periode af van de huidige UTC-kloktijd |
| bin() | Hiermee worden waarden naar beneden afgerond op veel datum/tijd veelvouden van een bepaalde bin-grootte |
| case() | Evalueert een lijst met predicaten en retourneert de eerste resultaatexpressie waarvan het predicaat is voldaan |
| datetime_add() | Berekent een nieuwe datum/tijd van een opgegeven datumdeel vermenigvuldigd met een opgegeven hoeveelheid, toegevoegd aan een opgegeven datum/tijd |
| datetime_diff() | Berekent het verschil tussen twee datum-tijdwaarden |
| iif() | Evalueert het eerste argument en retourneert de waarde van de tweede of derde argumenten, afhankelijk van of het predicaat wordt geëvalueerd als waar (tweede) of onwaar (derde) |
| indexof() | Functie rapporteert de op nul gebaseerde index van het eerste exemplaar van een opgegeven tekenreeks in invoertekenreeks |
| isnotnull() | Evalueert het enige argument en retourneert een Booleaanse waarde die aangeeft of het argument een niet-null-waarde oplevert |
| isnull() | Evalueert het enige argument en retourneert een Booleaanse waarde die aangeeft of het argument een null-waarde oplevert |
| now() | Retourneert de huidige UTC-kloktijd |
| strcat() | Voegt tussen 1 en 64 argumenten samen |
| strlen() | Retourneert de lengte, in tekens, van de invoertekenreeks |
| subtekenreeks() | Extraheert een subtekenreeks uit een brontekenreeks die begint vanaf een index tot het einde van de tekenreeks |
| tostring() | Hiermee wordt invoer geconverteerd naar een tekenreeksweergave |
Ondersteunde eigenschappen
Apparaatquery ondersteunt de volgende entiteiten. Zie Intune Data Platform Schema voor meer informatie over welke eigenschappen worden ondersteund voor elke entiteit.
BiosInfo
Certificaat
Cpu
DiskDrive
EncryptableVolume
Fileinfo
Localgroup
LocalUserAccount
LogicalDrive
MemoryInfo
OsVersion
Proces
SystemEnclosure
SystemInfo
Tpm
WindowsAppCrashEvent
WindowsDriver
WindowsEvent
WindowsQfe
WindowsRegistry
WindowsService
Bekende beperkingen
De resultaatreeks van een query is beperkt tot 128kb tekens. Als het resultaat van uw query langer is dan 128kb tekens, wordt het resultaat afgekapt. Een foutbericht laat u weten hoeveel rijen zijn afgekapt.
U kunt slechts 15 query's per minuut verzenden. Als er een fout optreedt dat de querylimiet is overschreden , wacht u een minuut en probeert u het opnieuw.
Query-invoer heeft een lengte van 2048 tekens. Als er een te lange queryfout optreedt, verfijnt u de query zodat deze minder tekens bevat en probeert u het opnieuw.
De scalaire functie now() biedt geen ondersteuning voor de offsetparameter.
In het invoervenster worden automatisch dubbele aanhalingstekens aanbevolen wanneer alleen enkele aanhalingstekens worden ondersteund op de volgende operatoren:
- Bevat
- !Bevat
- startswith
- !startswith
- endswith
De entiteit WindowsRegistry kan de RegistryKey voor de hoofdmap niet retourneren.
De entiteit WindowsRegistry retourneert geen 64-bits gedeelde registersleutels.
De entiteit WindowsRegistry retourneert binaire ValueData niet.
Als u een query uitvoert op apparaten die worden uitgevoerd op Windows 10, moeten ze een versie van minimale kwaliteit hebben.
Als Windows 10 21H2 wordt uitgevoerd, controleert u of versie 10.0.19044.3393 wordt uitgevoerd.
Als Windows 10 22H2 wordt uitgevoerd, controleert u of versie 10.0.19045.3393 wordt uitgevoerd.
Als er meerdere netwerkkaarten beschikbaar zijn op de computer, wordt alleen het eerste geconfigureerde domein geretourneerd.
Als TPM 2.0 aanwezig is op het apparaat, wordt geactiveerd en ingeschakeld altijd geretourneerd als WAAR.
Als een bestand momenteel wordt gebruikt op de computer, retourneert FileInfo-query's een fout.
Als de eindgebruiker beheerderstoegang heeft tot het apparaat, kan deze mogelijk clientgegevens wijzigen die worden weergegeven in de queryresultaten. Bijvoorbeeld de versie en het register van het besturingssysteem.
Volgende stappen
Ga voor meer informatie naar:
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor