Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
Esta funcionalidad está disponible como un complemento de Intune. Para obtener más información, consulte Uso de funcionalidades de complemento de Intune Suite.
La consulta de dispositivos permite obtener rápidamente información a petición sobre el estado de los dispositivos Windows. Al escribir una consulta en un dispositivo seleccionado, la consulta de dispositivo ejecuta una consulta en tiempo real. Los datos devueltos se pueden usar para responder a amenazas de seguridad, solucionar problemas del dispositivo o tomar decisiones empresariales.
Antes de empezar
- Confirme que el entorno cumple todos los requisitos previos.
Requisitos previos adicionales para la consulta de dispositivos:
Requisitos de configuración del dispositivo
La consulta de dispositivos admite dispositivos Windows que son:
- Administrado por Intune y marcado como propiedad corporativa.
- Microsoft Entra unidos
- Microsoft Entra unidos a híbridos
La consulta de dispositivo se ejecuta en tiempo real: al consultar un dispositivo, Intune envía una solicitud al dispositivo y espera una respuesta inmediata. WNS es el mecanismo de transporte: Windows Push Notification Services se usa para notificar al dispositivo y devolver los resultados de la consulta. Dependencia obligatoria: dado que WNS es integral para esta comunicación, no puede deshabilitarla ni omitirla. Si WNS está bloqueado o no está disponible, se producirá un error en la consulta del dispositivo.
Requisitos de roles
Para usar la consulta de dispositivo, use una cuenta con al menos uno de los siguientes roles:
- Operador del Servicio de asistencia
- Rol personalizado que incluye:
- El permiso Dispositivos administrados o consulta
- Permisos que proporcionan visibilidad y acceso a los dispositivos administrados en Intune (por ejemplo, organización, lectura, dispositivos administrados o lectura)
Uso de la consulta de dispositivo
- En el centro de administración de Microsoft Intune, seleccione Dispositivos>Windows.
- Seleccione un dispositivo y, a continuación, seleccione Consulta de dispositivo en la sección Monitor .
Las propiedades admitidas que puede consultar se enumeran en la sección Propiedades admitidas . Para ejecutar una consulta, escriba una consulta de Lenguaje de consulta Kusto (KQL) y seleccione Ejecutar. Los resultados se muestran en el área de pestaña Resultados .
Para obtener más información sobre Lenguaje de consulta Kusto, consulte introducción a Lenguaje de consulta Kusto.
Sugerencia
Use Copilot en Intune para generar consultas KQL para consultas de dispositivos mediante solicitudes de lenguaje natural. Para obtener más información, consulte Consulta con Copilot en la consulta de dispositivos.
Procedimientos recomendados:
- Considere cómo se pueden usar las consultas de dispositivos para ayudar a los ingenieros de L1/L2 a resolver más rápidamente los vales de soporte técnico, a la vez que minimiza la interrupción de los usuarios.
- Revise los procesos de soporte técnico y las tareas que normalmente requieren una sesión de control remoto para el dispositivo del usuario final. Compruebe si se pueden completar mediante una consulta de dispositivo único(por ejemplo), comprobando un servicio en ejecución, comprobando un valor de clave del Registro para una configuración de aplicación, comprobando una versión de la aplicación o informando sobre los procesos principales por consumo de CPU.
- Cree consultas guardadas para las investigaciones periódicas en la knowledge base de ITSM, para que los ingenieros de L1/L2 accedan rápidamente.
- Actualice los procesos para usar acciones remotas para la resolución rápida de problemas. Reinicie un dispositivo o ejecute un script de corrección para resolver un problema conocido.
Acciones de dispositivo remoto
Use el Intune acciones de dispositivo remoto en consulta de dispositivo único para ayudarle a administrar los dispositivos de forma remota. Desde la interfaz de consulta del dispositivo, ahora puede ejecutar acciones del dispositivo en función de los resultados de las consultas para una solución de problemas más rápida y eficaz.
Las acciones de dispositivo disponibles dependen de la plataforma y la configuración del dispositivo. No todas las acciones están disponibles para todos los dispositivos. Para obtener una lista completa de lo que se puede hacer en los dispositivos, vea Acciones de dispositivo remoto en Microsoft Intune .
Operadores admitidos
La consulta de dispositivo solo admite un subconjunto de los operadores admitidos en el Lenguaje de consulta Kusto (KQL). Actualmente se admiten los siguientes operadores:
Operadores de tabla
Los operadores de tabla se pueden usar para filtrar, resumir y transformar flujos de datos. Actualmente se admiten los siguientes operadores:
| Operadores de tabla | Description |
|---|---|
count |
Devuelve una tabla con un único registro que contiene el número de registros. |
distinct |
Genera una tabla con la combinación distinta de las columnas proporcionadas de la tabla de entrada. |
join |
Combinar las filas de dos tablas para formar una nueva tabla mediante una fila coincidente para el mismo dispositivo |
order by |
Ordenar las filas de la tabla de entrada en orden por una o varias columnas |
project |
Seleccione las columnas que desea incluir, cambiar el nombre o quitar e insertar nuevas columnas calculadas. |
take |
Devolver hasta el número especificado de filas |
top |
Devuelve los primeros N registros ordenados por las columnas especificadas. |
where |
Filtra una tabla al subconjunto de filas que satisfacen un predicado |
Operadores escalares
En la tabla siguiente se resumen los operadores:
| Operadores | Description | Ejemplo |
|---|---|---|
== |
Igual | 1 == 1, 'aBc' == 'AbC' |
!= |
No es igual | 1 != 2, 'abc' != 'abcd' |
< |
Menos | 1 < 2, 'abc' < 'DEF' |
> |
Mayor | 2 > 1, 'xyz' > 'XYZ' |
<= |
Menor o igual | 1 <= 2, 'abc' <= 'abc' |
>= |
Mayor o igual | 2 >= 1, 'abc' >= 'ABC' |
+ |
Agregar | 2 + 1, now() + 1d |
- |
Subtract | 2 - 1, now() - 1h |
* |
Multiplicar | 2 * 2 |
/ |
Dividir | 2 / 1 |
% |
Módulo | 2 % 1 |
like |
El lado izquierdo (LHS) contiene una coincidencia para el lado derecho (RHS) | 'abc' like '%B%' |
contains |
RHS se produce como una subsecuencia de LHS | 'abc' contains 'b' |
!contains |
RHS no se produce en LHS | 'team' !contains 'i' |
startswith |
RHS es una subsecuencia inicial de LHS | 'team' startswith 'tea' |
!startswith |
RHS no es una subsecuencia inicial de LHS | 'abc' !startswith 'bc' |
endswith |
RHS es una subsecuencia de cierre de LHS | 'abc' endswith 'bc' |
!endswith |
RHS no es una subsecuencia de cierre de LHS | 'abc' !endswith 'a' |
and |
True si y solo si RHS y LHS son true | (1 == 1) and (2 == 2) |
or |
True si y solo si RHS o LHS es true | (1 == 1) or (1 == 2) |
Funciones de agregación
Las funciones de agregación se pueden usar con el summarize operador table para calcular los valores resumidos. Actualmente se admiten las siguientes funciones de agregación:
| Función | Descripción |
|---|---|
avg() |
Devuelve el promedio de los valores del grupo. |
count() |
Devuelve un recuento de los registros por grupo de resumen. |
countif() |
Devuelve un recuento de filas para las que Predicate se evalúa como true. |
dcount() |
Devuelve el número de valores distintos del grupo. |
max() |
Devuelve el valor máximo en el grupo. |
maxif() |
A partir de la versión 2107, puede usar maxif con el summarize operador table.
Devuelve el valor máximo en el grupo para el que Predicate se evalúa como true. |
min() |
Devuelve el valor mínimo en el grupo. |
minif() |
A partir de la versión 2107, puede usar minif con el summarize operador table.
Devuelve el valor mínimo en el grupo para el que Predicate se evalúa como true. |
percentile() |
Devuelve una estimación del percentil de clasificación más cercano especificado de la población definida por Expr. |
sum() |
Devuelve la suma de los valores en el grupo. |
sumif() |
Devuelve una suma de Expr para la que Predicate se evalúa como true. |
Funciones escalares
Las funciones escalares se pueden usar en expresiones. Actualmente se admiten las siguientes funciones escalares:
| Función | Descripción |
|---|---|
ago() |
Resta el intervalo de tiempo especificado de la hora utc actual |
bin() |
Redondea los valores a varios múltiplos de fecha y hora de un tamaño de contenedor determinado |
case() |
Evalúa una lista de predicados y devuelve la primera expresión de resultado cuyo predicado se cumple |
datetime_add() |
Calcula una nueva fecha y hora a partir de una parte de fecha especificada multiplicada por una cantidad especificada, agregada a una fecha y hora especificada. |
datetime_diff() |
Calcula la diferencia entre dos valores de fecha y hora |
iif() |
Evalúa el primer argumento y devuelve el valor del segundo o tercer argumento en función de si el predicado se evaluó como true (segundo) o false (tercero) |
indexof() |
La función notifica el índice de base cero de la primera aparición de una cadena especificada dentro de la cadena de entrada. |
isnotnull() |
Evalúa su único argumento y devuelve un valor booleano que indica si el argumento se evalúa como un valor que no es NULL. |
isnull() |
Evalúa su único argumento y devuelve un valor booleano que indica si el argumento se evalúa como un valor NULL. |
now() |
Devuelve la hora actual del reloj UTC. |
strcat() |
Concatena entre 1 y 64 argumentos |
strlen() |
Devuelve la longitud, en caracteres, de la cadena de entrada. |
substring() |
Extrae una subcadena de una cadena de origen desde algún índice hasta el final de la cadena. |
tostring() |
Convierte la entrada en una representación de cadena |
Propiedades admitidas
La consulta de dispositivo admite las siguientes entidades. Para obtener más información sobre qué propiedades se admiten para cada entidad, consulte Intune Esquema de la plataforma de datos.
BiosInfoCertificateCpuDiskDriveEncryptableVolumeFileInfoLocalGroupLocalUserAccountLogicalDriveMemoryInfoOsVersionProcessSystemEnclosureSystemInfoTpmWindowsAppCrashEventWindowsDriverWindowsEventWindowsQfeWindowsRegistryWindowsService
Limitaciones conocidas
- La cadena de resultado de cualquier consulta está limitada a 128 kb de caracteres. Si el resultado de la consulta tiene más de 128 kb de caracteres, el resultado se trunca. Un mensaje de error le informa sobre cuántas filas se truncan.
- Solo puede enviar 15 consultas por minuto. Si se produce un error que supera el límite de consultas , espere un minuto e inténtelo de nuevo.
- Las entradas de consulta tienen un límite de longitud de 2048 caracteres. Si encuentra un error de consulta demasiado largo , afina la consulta para que tenga menos caracteres e inténtelo de nuevo.
- La función escalar now() no admite el parámetro offset.
- No se admite el
!likeoperador . - La ventana de entrada recomienda automáticamente comillas dobles cuando solo se admiten comillas simples en los operadores siguientes:
contains!containsstartswith!startswithendswith
- La entidad WindowsRegistry no puede devolver RegistryKey para la raíz.
- La entidad WindowsRegistry no puede devolver claves del Registro compartidas de 64 bits.
- La entidad WindowsRegistry no puede devolver valueData binario.
- Si hay varias tarjetas de red disponibles en el equipo, solo se devuelve el primer dominio configurado.
- Si TPM 2.0 está presente en el dispositivo, siempre se devuelve activado y habilitado como TRUE.
- Si un archivo está actualmente en uso en la máquina, las consultas FileInfo devolverán un error.
- Si el usuario final tiene acceso de administrador al dispositivo, es posible que pueda cambiar la información basada en cliente devuelta en los resultados de la consulta. Por ejemplo, versión del sistema operativo y registro.