Intune 数据平台
适用范围:Microsoft Intune
本文介绍 Intune 数据平台支持的属性。
设备查询允许你快速评估环境中设备的状态并采取措施。 在所选设备上输入查询时,设备查询会实时运行查询。 然后,可以对返回的数据进行筛选、分组和优化,以回答业务问题、解决环境中的问题或响应安全威胁。
此页中 (实体) 的每个表都列出了支持的查询类型。
BiosInfo
说明:提供基本 BIOS 信息。
支持:设备查询,单个设备按需。
| 属性 | 类型 | 说明 |
|---|---|---|
| 制造商 | 字符串 (最大长度为 256 个字符) | 此软件元素的制造商。 |
| ReleaseDateTime | DateTime (UTC) | BIOS 发布日期 |
| 序列号 | 字符串 (最大长度为 256 个字符) | 此软件元素的分配序列号。 |
| SmBiosVersion | 字符串 (最大长度为 256 个字符) | SMBIOS 报告的 BIOS 版本。 |
证书
说明:Keychains/ca-bundles 中安装的证书颁发机构。 仅返回计算机的证书。 支持:设备查询,单个设备按需。
| 属性 | 类型 | 说明 |
|---|---|---|
| SubjectName | string | 证书可分辨名称 |
| 颁发者 | string | 证书颁发者可分辨名称 |
| CommonName | string | Certificate CommonName |
| IsCa | 布尔值 | 如果 CA 为 1,则为 true (证书是颁发机构) 否则为 0 |
| 自签名 | 布尔值 | 如果自签名,则为 1,否则为 0 |
| ValidFromDateTime | datetime (UTC) | 有效日期的下限 |
| ValidToDateTime | datetime (UTC) | 证书过期数据 |
| SigningAlgorithm | 字符串 (最大长度 256 个字符) | 使用的签名算法 |
| KeyAlgorithm | 字符串 (最大长度 256 个字符) | 使用的密钥算法 |
| KeyStrength | long | 用于 RSA/DSA 或曲线名称的密钥大小 |
| KeyUsage | 字符串 (最大长度 256 个字符) | 证书密钥用法和扩展密钥使用情况 |
| 序列号 | 字符串 (最大长度 256 个字符) | 证书序列号 |
| StoreLocation | 字符串 (最大长度 256 个字符) | 证书系统存储位置 |
| StoreName | 字符串 (最大长度 256 个字符) | 证书系统存储 |
CPU
说明:检索计算机上的 CPU 硬件信息。
支持:设备查询,单个设备按需。
| 属性 | 类型 | 说明 |
|---|---|---|
| ProcessorId | 字符串 (最大长度 256 个字符) | CPU 的 DeviceID。 |
| 模型 | 字符串 (最大长度 256 个字符) | CPU 的模型。 |
| 制造商 | 字符串 (最大长度 256 个字符) | CPU 制造商。 |
| ProcessorType | string | 处理器类型,例如 Central、Math 或 Video。 |
| 体系结构 | 字符串 (最大长度为 20 个字符) | 平台使用的处理器体系结构。 |
| CpuStatus | 字符串 (最多 256 个长度 256 个字符) | CPU 的当前运行状态。 |
| CoreCount | long | CPU 的核心数。 |
| LogicalProcessorCount | long | CPU 的逻辑处理器数。 |
| AddressWidth | long | CPU 地址总线的宽度。 |
| CurrentClockSpeed | long | CPU 的当前频率。 |
| MaxClockSpeed | long | CPU 的最大可能频率。 |
| SocketDesignation | 字符串 (最大长度 256 个字符) | 板上为给定 CPU 分配的套接字。 |
| 可用性 | 字符串 (最大长度 256 个字符) | CPU 的可用性和状态。 |
DiskDrive
说明:检索有关系统物理磁盘的基本信息。
支持:设备查询,单个设备按需。
| 属性 | 类型 | 说明 |
|---|---|---|
| DriveId | 字符串 (最大长度 256 个字符) | 系统上驱动器的唯一标识符。 |
| PartitionCount | long | 磁盘上检测到的分区数。 |
| DriveIndex | long | 磁盘的物理驱动器编号。 |
| InterfaceType | 字符串 (最大长度 256 个字符) | 磁盘的接口类型。 |
| PnpDeviceId | 字符串 (最多 256 个长度 256 个字符) | 系统上驱动器的唯一标识符。 |
| SizeBytes | long | 磁盘的大小。 |
| 制造商 | 字符串 (最大长度 256 个字符) | 磁盘的制造商。 |
| 模型 | 字符串 (最大长度 256 个字符) | 硬盘驱动器型号。 |
| DiskName | 字符串 (最大长度 256 个字符) | 磁盘对象的标签。 |
| 序列号 | 字符串 (最大长度 256 个字符) | 磁盘的序列号。 |
| 说明 | 字符串 (最大长度 256 个字符) | OS 对磁盘的说明。 |
EncryptableVolume
说明:检索计算机的可加密卷状态。
支持:设备查询、单个设备按需
| 属性 | 类型 | 说明 |
|---|---|---|
| VolumeId | 字符串 (最大长度 256 个字符) | 加密卷的 ID。 |
| WindowsDriveLetter | 字符串 (最大长度 5 个字符) | 加密驱动器的驱动器号。 |
| PersistentVolumeId | 字符串 (最大长度为 38 个字符,) 这是一个 Guid | 驱动器的持久 ID。 |
| ProtectionStatus | 字符串 (最大长度 256 个字符) | 驱动器的 BitLocker 保护状态。 |
| EncryptionMethod | string (256) | 设备的加密类型。 |
| EncryptionPercentage | long (0 到 100(含) )的整数 | 已加密的驱动器的百分比。 |
| 已锁定 | 布尔值 | Windows 中驱动器的辅助功能状态。 |
FileInfo
说明:Lists传递的文件或传递的目录下的文件的所有文件信息。
支持:设备查询,单个设备按需。
注意
这是一个参数化实体,必须在其中传入要查询的文件的路径。 例如,传入 FileInfo('c:\windows\system32\drivers\etc\hosts') | take 10。 如果传递了目录,它将返回有关目录和子目录中的文件的信息。
| 属性 | 类型 | 说明 |
|---|---|---|
| Path | 字符串 (最大长度 260 个字符) | 绝对文件路径 |
| 目录 | 字符串 (最大长度 4096 个字符) | 文件 () 目录 |
| FileName | 字符串 (最大长度 260 个字符) | 文件路径的 Namxxe 部分 |
| SizeBytes | long | 文件大小(以字节为单位) |
| LastAccessDateTime | datetime (UTC) | 上次访问时间 |
| LastModifiedDateTime | datetime (UTC) | 上次修改时间 |
| LastStatusChangeDateTime | datetime (UTC) | 上次状态更改时间 |
| CreatedDateTime | datetime (UTC) | (B) irth 或 (cr) 吃时间 |
| Attributes | string | 文件属性字符串。 看到: https://ss64.com/nt/attrib.html |
| FileVersion | 字符串 (最大长度 256 个字符) | 文件版本 |
| productVersion | 字符串 (最大长度 256 个字符) | 文件产品版本 |
| ProductName | 字符串 (最大长度 256 个字符) | 文件产品名称 |
| OriginalName | 字符串 (最大长度 256 个字符) | 仅) 原始文件名 (可执行文件 |
LocalGroup
说明:Lists本地用户组。
支持:设备查询,单个设备按需。
| 属性 | 类型 | 说明 |
|---|---|---|
| GroupId | long,结果应 (>=0) | 组 ID |
| GroupName | 字符串 (最大长度为 256 个字符) | 组名称 |
| WindowsSid | 字符串 (最大长度为 256 个字符) | windows 上组的 sid |
LocalUserAccount
说明:Lists本地用户帐户。
支持:设备查询,单个设备按需。
| 属性 | 类型 | 说明 |
|---|---|---|
| UserID | long,结果应 (>=0) | 用户 ID |
| 用户名 | 字符串 (最大长度 256 个字符) | 用户名 |
| UserDescription | 字符串 (最大长度 256 个字符) | 可选用户说明 |
| HomeDirectory | 字符串 (最大长度为 4096 个字符) | 用户的主目录 |
| WindowsSid | 字符串 (最大长度 256 个字符) | Windows Sid |
LogicalDrive
说明:系统上逻辑驱动器的详细信息。 逻辑驱动器通常表示单个分区。
支持:设备查询,单个设备按需。
| 属性 | 类型 | 说明 |
|---|---|---|
| DriveIdentifier | 字符串 (最大长度 5 个字符) | 驱动器 ID,通常是驱动器名称。 例如,“C:”。 |
| DriveType | 字符串 (最大长度 100 个字符) | 驱动器类型,例如本地磁盘或删除磁盘 |
| DiskDescription | 字符串 (最大长度 256 个字符) | 驱动器的规范说明。 例如,“逻辑固定磁盘”、“CD-ROM 磁盘”。 |
| FreeSpaceBytes | long,结果应 (>=0) | 发生故障时驱动器的可用空间量(以字节为单位) (-1) 。 |
| DiskSizeBytes | long,结果应 (>=0) | 发生故障时驱动器的总空间量(以字节为单位) (-1) 。 |
| FileSystem | 字符串 (最大长度 256 个字符) | 驱动器的文件系统。 |
MemoryInfo
说明:内存信息。
支持:设备查询,单个设备按需。
| 属性 | 类型 | 说明 |
|---|---|---|
| PhysicalMemoryTotalBytes | Long,结果应为 (>=0) | 操作系统可用的物理内存总量。 此值不一定指示物理内存的真实量,但向操作系统报告的内容是可用的。 |
| PhysicalMemoryFreeBytes | LongResult 应 (>=0) | 当前未使用且可用的物理内存字节数。 |
| VirtualMemoryTotalBytes | Long,结果应为 (>=0) | 虚拟内存的字节数。 |
| VirtualMemoryFreeBytes | Long,结果应为 (>=0) | 当前未使用且可用的虚拟内存的字节数。 |
OsVersion
说明:包含操作系统名称和版本的单行。
支持:设备查询、单个设备按需、
| 属性 | 类型 | 说明 |
|---|---|---|
| OsName | 字符串 (最大长度 256 个字符) | 分发或产品名称 |
| OsVersion | 字符串 (最大长度 40 个字符) | 漂亮, 适合演示, OS 版本 |
| MajorVersion | 长型 | 主要版本 |
| MinorVersion | 长型 | 次要版本 |
| PatchVersion | long | 可选修补程序版本 |
| BuildVersion | string | 特定于内部版本的可选字符串或变体字符串 |
| 体系结构 | 字符串 (最大长度 256 个字符) | OS 体系结构 |
| InstallDateTime | datetime (UTC) | OS 的安装日期时间。 |
流程
说明:主机系统上所有正在运行的进程。
支持:设备查询,单个设备按需。
| 属性 | 类型 | 说明 |
|---|---|---|
| ProcessId | long | 进程 ID |
| ProcessName | 字符串 (最多 260 个字符) | 进程的名称 |
| Path | 字符串 (最多 4096 个字符) | 执行二进制文件的路径 |
| CommandLine | 字符串 (最多 4096 个字符) | 完成 argv |
| CurrentWorkingDirectory | 字符串 (最多 256 个字符) | 处理当前工作目录 |
| WorkingSetSizeBytes | long | 进程使用的专用内存字节数 |
| TotalSizeBytes | long | 虚拟内存总大小 |
| DiskBytesRead | long | 从磁盘读取的字节数 |
| DiskBytesWritten | long | 写入磁盘的字节数 |
| ParentProcessId | long | 进程父级的 PID |
| 优先级 | long | 处理良好级别 (-20 到 20,默认为 0) |
| UserTimeMilliseconds | long | CPU 时间(以毫秒为单位)花费的用户空间 |
| SystemTimeMilliseconds | long | 内核空间中花费的 CPU 时间(以毫秒为单位) |
| StartDateTime | Datetime (UTC) 需要将此值转换为 datetime | 以 UTC 格式处理开始日期/时间 |
| ElapsedTimeMilliseconds | long | 此过程已运行的时间(以秒为单位)。 |
| ProcessorTimePercent | long | 返回此进程的所有线程使用处理器以 100 纳秒刻度执行指令的运行时间。 |
| ThreadCount | long | 进程使用的线程数 |
| HandleCount | long | 进程已打开的句柄总数。 此数字是进程中每个线程当前打开的句柄的总和。 |
| WindowsUserAccount | string | 进程的所有者 |
| OnDisk | boolNullable<System.Boolean> | 进程路径存在 yes=1,no=0,unknown=-1 |
SystemEnclosure
说明:显示与机箱及其安全状态相关的信息。
支持:设备查询,单个设备按需。
| 属性 | 类型 | 说明 |
|---|---|---|
| 序列号 | 字符串 (最多 64 个字符) | 机箱的序列号。 |
| AudibleAlarmEquipped | 布尔值 | 如果为 TRUE,则帧将配备可听觉警报。 |
| BreachDescription | 字符串 (最多 256 个字符) | 如果提供,则提供检测到的安全漏洞的更详细说明。 |
| ChassisTypes | Array[string] | 以逗号分隔的机箱类型列表,例如台式机或笔记本电脑。 |
| ExtendedDescription | 字符串 (最多 256 个字符) | 机箱的扩展说明(如果可用)。 |
| LockEquipped | 布尔值 | 如果为 TRUE,则帧具有锁。 |
| 制造商 | 字符串 (最多 256 个字符) | 机箱的制造商。 |
| 模型 | 字符串 (最多 256 个字符) | 机箱的型号。 |
| SecurityBreach | 字符串 (最多 256 个字符) | 机箱的物理状态,例如“成功突破”、“已尝试违反”等。 |
| SmBiosAssetTag | 字符串 (最多 120 个字符) | 机箱的分配资产标记号。 |
| Sku | 字符串 (最多 64 个字符) | 库存单位编号(如果可用)。 |
| 状态 | 字符串 (256 个字符) | 如果可用,则提供各种操作状态或非操作状态,例如“正常”、“已降级”和“预失败”。 |
| VisibleAlarmEquipped | 布尔值 | 如果为 TRUE,则帧将配备视觉警报。 |
SystemInfo
说明:设备的系统信息。
支持:设备查询,单个设备按需。
| 属性 | 类型 | 说明 |
|---|---|---|
| FqdnHostname | 字符串 (最大 256) | 网络主机名(包括域) |
| Uuid | 字符串 (最多 36 个字符) | 系统提供的唯一 ID |
| ComputerName | 字符串 (最多 256 个字符) | 友好的计算机名称 (可选) |
| PhysicalProcessorCount | 长型 | 物理处理器数 |
| ProcessorArchitecture | 字符串 (40 个字符) | CPU 类型 |
| HardwareManufacturer | 字符串 (最多 256 个字符) | 硬件供应商 |
| HardwareModel | 字符串 (最多 256 个字符) | 硬件型号 |
Tpm
说明:提供设备的 TPM 相关信息。
支持:设备查询,单个设备按需。
| 属性 | 类型 | 说明 |
|---|---|---|
| Activated | 布尔值 | TPM 已激活 |
| 已启用 | 布尔值 | 已启用 TPM |
| 拥有 | 布尔值 | 拥有 TPM |
| 制造商 | 字符串 (最多 256 个字符) | TPM 制造商名称 |
| ManufacturerVersion | 字符串 (最多 256 个字符) | TPM 版本 |
| ManufacturerId | long | TPM 制造商 ID |
| ProductName | 字符串 (最多 256 个字符) | TPM 的产品名称 |
| PhysicalPresenceVersion | 字符串 (最多 256 个字符) | 物理状态接口的版本 |
| SpecVersion | 字符串 (最多 256 个字符) | TPM 支持的受信任计算组规范 |
WindowsAppCrashEvent
说明:在 Windows 事件日志文件中提供应用故障信息 应用程序在回溯时间。
支持:设备查询,单个设备按需。
| ReportId (密钥) | 字符串 (最多 256 个字符) | 应用崩溃的报告 ID |
|---|---|---|
| AppPath | 字符串 (最多 256 个字符) | 应用程序路径 |
| AppName | 字符串 (最多 256 个字符) | 应用程序文件名 |
| AppVersion | 字符串 (最多 40 个字符) | 应用程序版本 |
| LoggedDateTime | datetime (UTC) | 事件发生的系统 UTC 时间 |
| WindowsUserAccount | 字符串 (最多 256 个字符) | 与此应用关联的用户帐户崩溃 |
WindowsDriver
说明:有关正在使用的 Windows 设备驱动程序的详细信息。 这不会显示已安装但未使用的驱动程序。
支持:设备查询,单个设备按需。
| 属性 | 类型 | 说明 |
|---|---|---|
| DriverDeviceId (Key) | 字符串 (最多 256 个字符) | 设备 ID |
| FriendlyName | 字符串 (最多 256 个字符) | 例如“Microsoft 设备关联根枚举器” |
| DriverDescription | 字符串 (最多 256 个字符) | 驱动程序说明 |
| DriverVersion | 字符串 (最多 20 个字符) | 驱动程序版本 |
| InfName | 字符串 (最多 260 个字符) | 关联的 inf 文件 |
| 类 | 字符串 (最多 256 个字符) | 设备/驱动程序类名称 |
| ProviderName | 字符串 (最多 256 个字符) | 驱动程序提供程序 |
| 制造商 | 字符串 (最多 256 个字符) | 设备制造商 |
| BuildDate Win32_PnPSignedDriver 类 (Windows) |Microsoft Learn | datetime (UTC) | 驱动程序日期 |
| Signed | 布尔值 | 驱动程序是否已签名 |
WindowsEvent
说明:获取指定日志名称中的 Windows 事件日志并及时回溯。
支持:设备查询,单个设备按需。
注意
构造查询时,必须指定日志名称并回溯时间,例如: WindowsEvent(Application, 1d) | take 1。
| 属性 | 类型 | 说明 |
|---|---|---|
| LogName | 字符串 (最多 256 个字符) | 日志的名称 |
| EventId | long | 事件 ID |
| 级别 | 字符串 (最多 30 个字符) | 级别显示名称 |
| 可能的值:CRITICAL_ERROR,ERROR,WARNING,INFORMATION,VERBOSE | ||
| LoggedDateTime | datetime (UTC) | 事件发生的系统 UTC 时间 |
| 邮件 | 字符串 (最多 32766 个字符) | 事件消息 |
| ProviderName | 字符串 (最多 256 个字符) | 事件的提供程序名称 |
| WindowsUserAccount | 字符串 (最大 256) | 与此事件关联的用户帐户 |
WindowsQfe
说明:有关设备上安全修补程序的信息。 支持:设备查询,单个设备按需。
| 属性 | 类型 | 说明 |
|---|---|---|
| HotFixId (密钥) | 字符串 (最多 256 个字符) | 与特定更新关联的唯一标识符。 |
| ComputerName | 字符串 (最多 256 个字符) | 安装修补程序的计算机的名称。 |
| Caption | 字符串 (最多 256 个字符) | 对象的简短文本说明。 |
| QfeDescription | 字符串 (最多 256 个字符) | 对象的文本说明。 |
| FixComments | 字符串 (最多 256 个字符) | 有关 Qfe 的更多评论。 |
| InstalledByUserAccount | 字符串 (最多 256 个字符) | 安装更新的用户帐户。 如果此值未知,则 属性为空。 |
| InstalledDate | datetime (UTC) | 安装更新的日期。 如果此值未知,则 属性为空。 |
WindowsRegistry
说明:在传递的注册表项下Lists注册表。
支持:设备查询,单个设备按需。
注意
必须传入尝试查询的注册表项。 例如,WindowsRegistry('HKEY_LOCAL_MACHINE\\ServiceLastKnownStatus')。
| 属性 | 类型 | 说明 |
|---|---|---|
| RegistryKey | 字符串 (最多 16638 个字符) | 值的完整路径 |
| ValueName | 字符串 (最多 16383 个字符) | 注册表项的名称 |
| ValueType | 字符串 (最大 255) | 注册表值的类型;如果项是子项,则为“子项” |
| ValueData | 字符串 (最大大小 1 MB) | 注册表值的数据内容 |
WindowsService
说明:Lists所有已安装的 Windows 服务及其相关数据。
支持:设备查询,单个设备按需。
| 属性 | 类型 | 说明 |
|---|---|---|
| ServiceName | 字符串 (最多 256 个字符) | 服务名称 |
| ServiceType | string (最多 40) Win32_Service 类 - Win32 应用 |Microsoft Learn | 服务类型,例如:OWN_PROCESS、SHARE_PROCESS或交互式 |
| DisplayName | 字符串 (最多 256 个字符) | 服务显示名称 |
| 状态 | 字符串 (最多 40 个字符) | 服务当前状态,例如已停止、START_PENDING、STOP_PENDING、正在运行、CONTINUE_PENDING、PAUSE_PENDING、已暂停 |
| ProcessId | long | 服务的进程 ID |
| StartMode | 字符串 (最多 40 个字符) | 服务启动类型:BOOT_START、SYSTEM_START、AUTO_START、DEMAND_START、DISABLED |
| ExitCode | long | 服务用于报告启动或停止时发生的错误的错误代码 |
| ServiceSpecific ExitCode | long | 服务启动或停止时发生错误时,服务返回的特定于服务的错误代码 |
| Path | 字符串 (最多 4096 个字符) | 服务可执行文件的路径 |
| ModulePath | 字符串 (最多 4096 个字符) | ServiceDll 的路径 |
| ServiceDescription | 字符串 (最多 256 个字符) | 服务说明 |
| WindowsUserAccount | 字符串 (最多 256 个字符) | 服务进程在运行时登录的帐户的名称。 此名称可以是 Domain\UserName 格式 |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈