共用方式為


裝置查詢

裝置查詢可讓您快速取得裝置狀態的隨選資訊。 當您在選取的裝置上輸入查詢時,裝置查詢會即時執行查詢。 然後,傳回的數據可用來回應安全性威脅、對裝置進行疑難解答,或進行商務決策。

必要條件

  • 若要在租用戶中使用裝置查詢,您必須擁有包含 Microsoft Intune 進階分析的授權。 進階分析 功能提供:

    • Intune 進階分析 附加元件
    • Microsoft Intune Suite
  • 若要在裝置上使用裝置查詢,裝置必須在 Endpoint Analytics 中註冊。 瞭解 如何在端點分析中註冊裝置

  • 您無法退出宣告雲端通知 (WNS)

  • 若要讓使用者使用裝置查詢,您必須將受控 裝置 - 查詢 許可權指派給他們。

  • 若要使用裝置查詢,裝置必須 Intune 管理和公司擁有。

  • 若要執行遠端動作,請至少使用具有技術支援中心操作員角色的帳戶登入 Intune 系統管理中心。 如需不同角色的詳細資訊,請移至角色型訪問控制 (使用 Microsoft Intune 的 RBAC)

  • 若要接收遠端動作,裝置必須連線到因特網並開啟電源。

支援的平台

目前只有執行 Windows 10和更新版本的裝置才支援裝置查詢。

如何使用裝置查詢

若要使用裝置查詢,請流覽至 [ 裝置 ],然後選取您要使用裝置查詢的裝置。 選取 [監視] 區段下的 [裝置查詢]。

您可以查詢的支援屬性會列在 [屬性] 段中。 若要執行查詢,請輸入 Kusto 查詢語言 (KQL) 查詢,然後選取 [執行]。 結果會顯示在 [ 結果 ] 索引標籤區域中。

如需 Kusto 查詢語言 的詳細資訊,請參閱深入瞭解 Kusto 查詢語言

提示

您現在可以在 Intune (公開預覽) 中使用 Copilot,使用自然語言要求產生裝置查詢的 KQL 查詢。 若要深入瞭解,請移至 在裝置查詢中使用 Copilot 查詢

遠端裝置動作

在單一裝置查詢中使用 Intune 遠端裝置動作,協助您從遠端管理裝置。 您現在可以從裝置查詢介面,根據查詢結果執行裝置動作,以進行更快速且更有效率的疑難解答。

可用的遠端動作

可用的裝置動作取決於裝置設定。 並非所有動作都適用於所有裝置。

如需可在裝置上完成的完整清單,請在 Intune 系統管理中心選取 [所有>裝置],然後選取特定裝置。 可用的裝置動作會顯示在頂端。

下列清單包含支援的裝置動作:

動作 描述
Autopilot 重設 將裝置還原至其原始設定,並移除個人檔案、應用程式和設定。
BitLocker 金鑰輪替 變更裝置的 BitLocker 修復金鑰,並將新金鑰上傳至 Intune。
收集診斷 從裝置收集診斷記錄,並將記錄上傳至 Intune。
Delete 從 Intune 管理中移除裝置、移除任何公司數據,且裝置已淘汰。
全新開始 在裝置上重新安裝最新版本的 Windows,並移除製造商安裝的應用程式。
完整掃描 Microsoft Defender 防病毒軟體起始裝置的完整掃描。
尋找裝置 顯示地圖上裝置的近似位置。
暫停 ConfigRefresh 暫停 ConfigRefresh 以在裝置上執行補救,以進行疑難解答或維護,或進行變更。
快速掃描 Microsoft Defender 防病毒軟體來起始裝置的快速掃描。
使用 Team Viewer 進行遠端控制 可讓您使用TeamViewer從遠端控制裝置。
重新命名裝置 變更 Intune 中的裝置名稱。
Restart 重新啟動裝置。
淘汰 從裝置移除公司數據和設定,並讓個人資料保持不變。
輪替本機系統管理員密碼 變更裝置的本機系統管理員密碼,並將密碼儲存在 Intune 中。
同步裝置 將裝置與 Intune 同步,以套用最新的原則和設定。
更新 Windows Defender 安全性情報 匯報 Microsoft Defender 防病毒軟體的安全情報檔案。
Windows 10 PIN 重設 重設使用 Microsoft Entra 驗證之裝置的 PIN。
擦去 此動作會將裝置還原至其原廠設定,並移除所有數據和設定。

支援的運算子

裝置查詢僅支援 Kusto 查詢語言 (KQL) 中支援的一部分運算符。 目前支援下列運算子:

數據表運算子

純量運算子

匯總函式

純量函式

數據表運算子

數據表運算子可以用來篩選、摘要和轉換數據流。 目前支援下列運算子:

數據表運算子 描述
Count 傳回包含記錄數目的單一記錄的數據表
不同 產生具有輸入數據表所提供數據行之相異組合的數據表
加入 藉由比對相同裝置的數據列,合併兩個數據表的數據列以形成新的數據表
order by 依一或多個數據行順序排序輸入數據表的數據列
專案 選取要包含、重新命名或卸除的數據行,然後插入新的計算數據行
最多傳回指定的數據列數目
top 傳回依指定數據行排序的前 N 筆記錄
哪裡 將數據表篩選為滿足述詞的數據列子集

純量運算子

下表摘要說明運算子:

運算子 描述 範例
== 平等 1 == 1, 'aBc' == 'AbC'
!= 不等於 1 != 2, 'abc' != 'abcd'
< 1 < 2, 'abc' < 'DEF'
> 2 > 1, 'xyz' > 'XYZ'
<= 小於或等於 1 <= 2, 'abc' <= 'abc'
>= 大於或等於 2 >= 1, 'abc' >= 'ABC'
+ 新增 2 + 1, now() + 1d
- Subtract 2 - 1, now() - 1h
* 2 * 2
/ 2 / 1
% 2 % 1
按讚 左側 (LHS) 包含與右側 (RHS) 'abc' like '%B%'
包含 RHS 會以 LHS 的子序列發生 'abc' contains 'b'
!包含 RHS 不會在 LHS 中發生 'team' !contains 'i'
startswith RHS 是 LHS 的初始子序列 'team' startswith 'tea'
!startswith RHS 不是 LHS 的初始子序列 'abc' !startswith 'bc'
endswith RHS 是 LHS 的結尾子序列 'abc' endswith 'bc'
!endswith RHS 不是 LHS 的結尾子序列 'abc' !endswith 'a'
只有在 RHS 和 LHS 為 true 時才為 True (1 == 1) and (2 == 2)
只有在 RHS 或 LHS 為 true 時才為 True (1 == 1) or (1 == 2)

匯總函式

匯總函數可以與 summarize 數據表運算元搭配使用,以計算摘要值。 目前支援下列匯總函數:

函數 描述
平均 () 傳回整個群組中值的平均值
count () 傳回每個摘要群組的記錄計數
countif () 傳回述詞評估為 true 的數據列計數
dcount () 傳回群組中相異值的數目
最大 () 傳回整個群組的最大值
maxif () 從 2107 版開始,您可以使用 maxif 搭配 summarize 數據表運算符。

傳回述 評估 true為之群組的最大值。
min () 傳回整個群組的最小值
minif () 從 2107 版開始,您可以使用 minif 搭配 summarize 數據表運算符。

傳回述 評估 true為之群組的最小值。
百分位數 () 傳回 Expr 所定義母體中指定最接近排名百分位數的估計值
總和 () 傳回整個群組的值總和
sumif () 傳回述詞評估為 true 的 Expr 總和

純量函式

純量函式可用於表達式。 目前支援下列純量函式:

函數 描述
ago () 從目前的UTC時鐘時間減去指定的時間範圍
bin () 將值無條件舍去至指定間隔大小的許多日期時間倍數
案例 () 評估述詞清單,並傳回第一個符合述詞的結果表達式
datetime_add () 從指定的 datepart 計算新的日期時間乘以指定的數量,新增至指定的 datetime
datetime_diff () 計算兩個日期時間值之間的差異
iif () 評估第一個自變數,並傳回第二個或第三個自變數的值,視述詞評估為 true (秒) 或 false (第三個)
indexof () 函式會報告輸入字串內第一次出現指定字串之以零起始的索引
isotnull () 評估其唯一自變數,並傳回布爾值,指出自變數是否評估為非 Null 值
isnull () 評估其唯一自變數,並傳回布爾值,指出自變數是否評估為 Null 值
現在 () 傳回目前的UTC時鐘時間
strcat () 串連 1 到 64 個自變數
strlen () 傳回輸入字串的長度,以字元為單位
子字串 () 從某個索引到字串結尾的來源字串擷取子字串
tostring () 將輸入轉換成字串表示

支援的屬性

裝置查詢支援下列實體。 若要深入瞭解每個實體支援哪些屬性,請參閱 Intune 數據平台架構。

  • BiosInfo

  • 認證

  • 中央處理器

  • DiskDrive

  • EncryptableVolume

  • FileInfo

  • LocalGroup

  • LocalUserAccount

  • LogicalDrive

  • MemoryInfo

  • OsVersion

  • 程序

  • SystemEnclosure

  • SystemInfo

  • Tpm

  • WindowsAppCrashEvent

  • WindowsDriver

  • WindowsEvent

  • WindowsQfe

  • WindowsRegistry

  • WindowsService

已知限制

  • 任何查詢的結果字串限制為 128 kb 個字元。 如果您的查詢結果超過 128kb 個字元,則會截斷結果。 錯誤訊息會通知您有多少數據列被截斷。

  • 您一分鐘只能傳送 15 個查詢。 如果您遇到 超過查詢限制 的錯誤,請等候一分鐘,然後再試一次。

  • 查詢輸入的長度限制為 2048 個字元。 如果您遇到 查詢太長 的錯誤,請將查詢精簡為較少的字元,然後再試一次。

  • 現在 () 純量函式不支援 offset 參數。

  • 不支援 !like 運算符。

  • 當下列運算符只支援單引號時,輸入視窗會自動建議雙引號:

    • 包含
    • !包含
    • startswith
    • !startswith
    • endswith
  • WindowsRegistry 實體無法傳回根目錄的 RegistryKey。

  • WindowsRegistry 實體無法傳回 64 位共用登錄機碼。

  • WindowsRegistry 實體無法傳回二進位 ValueData。

  • 如果您要查詢在 Windows 10 上執行的裝置,它們必須是最低品質版本。

    • 如果執行 Windows 10 21H2,請確定其執行版本為 10.0.19044.3393。

    • 如果執行 Windows 10 22H2,請確定其執行的是 10.0.19045.3393 版。

  • 如果電腦上有多個可用的網路卡,則只會傳回第一個設定的網域。

  • 如果裝置上有 TPM 2.0,則啟用並啟用一律會以 TRUE 傳回。

  • 如果計算機上目前正在使用檔案,則 FileInfo 查詢會傳回錯誤。

  • 如果終端使用者具有裝置的系統管理員存取權,他們或許能夠變更查詢結果中顯示的用戶端式資訊。 例如,操作系統版本和登錄。

後續步驟

如需詳細資訊,請移至: