Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Observação
Esta capacidade está disponível como um suplemento Intune. Para obter mais informações, veja Use Intune Suite add-on capabilities (Utilizar capacidades de suplementos do Intune Suite).
A consulta do dispositivo permite-lhe obter rapidamente informações a pedido sobre o estado dos seus dispositivos Windows. Quando introduz uma consulta num dispositivo selecionado, a Consulta do dispositivo executa uma consulta em tempo real. Os dados devolvidos podem então ser utilizados para responder a ameaças de segurança, resolver problemas do dispositivo ou tomar decisões empresariais.
Antes de começar
- Confirme que o seu ambiente cumpre todos os pré-requisitos.
Pré-requisitos adicionais para a consulta do dispositivo:
Requisitos de configuração do dispositivo
A consulta do dispositivo suporta dispositivos Windows que são:
- Gerido por Intune e marcado como pertencente à empresa.
- Microsoft Entra aderido
- Microsoft Entra associado híbrido
A consulta do dispositivo é executada em tempo real: quando consulta um dispositivo, Intune envia um pedido ao dispositivo e espera uma resposta imediata. O WNS é o mecanismo de transporte: os Serviços de Notificação Push do Windows são utilizados para notificar o dispositivo e devolver os resultados da consulta. Dependência obrigatória: uma vez que o WNS é parte integrante desta comunicação, não pode desativá-la ou ignorá-la. Se o WNS estiver bloqueado ou indisponível, a consulta do dispositivo falhará.
Requisitos de funções
Para utilizar a consulta do dispositivo, utilize uma conta com, pelo menos, uma das seguintes funções:
- Operador do Suporte Técnico
- Função personalizada que inclui:
- A permissão Dispositivos Geridos/Consulta
- Permissões que fornecem visibilidade e acesso a dispositivos geridos no Intune (por exemplo, Organização/Leitura, Dispositivos geridos/Leitura)
Utilizar a consulta do dispositivo
- No centro de administração do Microsoft Intune, selecione Dispositivos>Windows.
- Selecione um dispositivo e, em seguida, selecione Consulta do Dispositivo na secção Monitor .
As propriedades suportadas que pode consultar estão listadas na secção Propriedades suportadas . Para executar uma consulta, introduza uma consulta Linguagem de Consulta Kusto (KQL) e selecione Executar. Os resultados são apresentados na área do separador Resultados .
Para obter mais informações sobre Linguagem de Consulta Kusto, consulte Descrição Geral do Linguagem de Consulta Kusto.
Dica
Utilize o Copilot no Intune para gerar consultas KQL para consultas de dispositivos através de pedidos de linguagem natural. Para saber mais, veja Consultar com o Copilot na consulta do dispositivo.
Práticas recomendadas:
- Considere como as consultas de dispositivo podem ser utilizadas para ajudar os seus engenheiros L1/L2 a resolve pedidos de suporte mais rapidamente, ao mesmo tempo que minimizam a interrupção para os utilizadores.
- Reveja os processos de suporte e as tarefas que normalmente requerem uma sessão de controlo remoto para o dispositivo do utilizador final. Verifique se estes podem ser concluídos com uma consulta de dispositivo único , por exemplo, verificar um serviço em execução, verificar um valor de chave de registo para uma configuração de aplicação, verificar uma versão da aplicação ou comunicar os principais processos por consumo de CPU.
- Crie consultas guardadas para investigações periódicas na sua base de dados de conhecimento ITSM, para que os engenheiros L1/L2 acedam rapidamente.
- Atualize os processos para utilizar ações remotas para resolução rápida de problemas. Reinicie um dispositivo ou execute um script de remediação para resolve um problema conhecido.
Ações remotas do dispositivo
Utilize o Intune ações remotas do dispositivo na Consulta de dispositivo único para o ajudar a gerir os seus dispositivos remotamente. A partir da interface de consulta do dispositivo, agora pode executar ações do dispositivo com base nos resultados da consulta para uma resolução de problemas mais rápida e eficiente.
As ações do dispositivo disponíveis dependem da configuração e da plataforma do dispositivo. Nem todas as ações estão disponíveis para todos os dispositivos. Para obter uma lista completa do que pode ser feito nos seus dispositivos, veja Remote device actions in Microsoft Intune .
Operadores Suportados
A consulta do dispositivo suporta apenas um subconjunto dos operadores suportados no Linguagem de Consulta Kusto (KQL). Os operadores seguintes são atualmente suportados:
Operadores de tabela
Os operadores de tabela podem ser utilizados para filtrar, resumir e transformar fluxos de dados. Atualmente, são suportados os seguintes operadores:
| Operadores de tabela | Descrição |
|---|---|
count |
Devolve uma tabela com um único registo que contém o número de registos |
distinct |
Produz uma tabela com a combinação distinta das colunas fornecidas da tabela de entrada |
join |
Intercalar as linhas de duas tabelas para formar uma nova tabela ao corresponder a linha para o mesmo dispositivo |
order by |
Ordenar as linhas da tabela de entrada por uma ou mais colunas |
project |
Selecione as colunas a incluir, mudar o nome ou largar e inserir novas colunas calculadas |
take |
Regressar ao número especificado de linhas |
top |
Devolve os primeiros N registos ordenados pelas colunas especificadas |
where |
Filtra uma tabela para o subconjunto de linhas que satisfazem um predicado |
Operadores escalares
A tabela seguinte resume os operadores:
| Operadores | Descrição | Exemplo |
|---|---|---|
== |
Igual a | 1 == 1, 'aBc' == 'AbC' |
!= |
Não Igual | 1 != 2, 'abc' != 'abcd' |
< |
Menos | 1 < 2, 'abc' < 'DEF' |
> |
Maior | 2 > 1, 'xyz' > 'XYZ' |
<= |
Menor ou Igual | 1 <= 2, 'abc' <= 'abc' |
>= |
Maior ou Igual | 2 >= 1, 'abc' >= 'ABC' |
+ |
Adicionar | 2 + 1, now() + 1d |
- |
Subtrair | 2 - 1, now() - 1h |
* |
Multiplicar | 2 * 2 |
/ |
Dividir | 2 / 1 |
% |
Modulo | 2 % 1 |
like |
O Lado Esquerdo (LHS) contém uma correspondência para o Lado Direito (RHS) | 'abc' like '%B%' |
contains |
O RHS ocorre como uma subsecção do LHS | 'abc' contains 'b' |
!contains |
O RHS não ocorre no LHS | 'team' !contains 'i' |
startswith |
O RHS é uma subsecção inicial do LHS | 'team' startswith 'tea' |
!startswith |
O RHS não é uma subsecção inicial do LHS | 'abc' !startswith 'bc' |
endswith |
O RHS é uma subsecção de fecho do LHS | 'abc' endswith 'bc' |
!endswith |
O RHS não é uma subsecção de fecho do LHS | 'abc' !endswith 'a' |
and |
Verdadeiro se e apenas se RHS e LHS forem verdadeiros | (1 == 1) and (2 == 2) |
or |
Verdadeiro se e apenas se RHS ou LHS for verdadeiro | (1 == 1) or (1 == 2) |
Funções de agregação
As funções de agregação podem ser utilizadas com o operador de summarize tabela para calcular valores resumidos. Atualmente, são suportadas as seguintes funções de agregação:
| Função | Descrição |
|---|---|
avg() |
Devolve a média dos valores em todo o grupo |
count() |
Devolve uma contagem dos registos por grupo de resumo |
countif() |
Devolve uma contagem de linhas para as quais Predicado é avaliado como verdadeiro |
dcount() |
Devolve o número de valores distintos no grupo |
max() |
Devolve o valor máximo em todo o grupo |
maxif() |
A partir da versão 2107, pode utilizar maxif com o operador de summarize tabela.
Devolve o valor máximo em todo o grupo para o qual Predicado avalia como true. |
min() |
Devolve o valor mínimo em todo o grupo |
minif() |
A partir da versão 2107, pode utilizar minif com o operador de summarize tabela.
Devolve o valor mínimo no grupo para o qual Predicado é avaliado como true. |
percentile() |
Devolve uma estimativa para o percentil de classificação mais próximo especificado da população definida por Expr |
sum() |
Devolve a soma dos valores em todo o grupo |
sumif() |
Devolve uma soma de Expr para a qual Predicado avalia como verdadeiro |
Funções escalares
As funções escalares podem ser utilizadas em expressões. Atualmente, são suportadas as seguintes funções escalares:
| Função | Descrição |
|---|---|
ago() |
Subtrai o período de tempo especificado à hora atual do relógio UTC |
bin() |
Arredonda os valores por baixo para muitos datetime múltiplos de um determinado tamanho de discretização |
case() |
Avalia uma lista de predicados e devolve a primeira expressão de resultado cujo predicado é satisfeito |
datetime_add() |
Calcula um novo datetime a partir de uma parte de data especificada multiplicada por uma quantidade especificada, adicionada a um datetime especificado |
datetime_diff() |
Calcula a diferença entre dois valores de data/hora |
iif() |
Avalia o primeiro argumento e devolve o valor do segundo ou terceiro argumentos consoante o predicado avaliado como verdadeiro (segundo) ou falso (terceiro) |
indexof() |
A função comunica o índice baseado em zero da primeira ocorrência de uma cadeia especificada na cadeia de entrada |
isnotnull() |
Avalia o seu único argumento e devolve um valor Booleano que indica se o argumento é avaliado como um valor não nulo |
isnull() |
Avalia o seu único argumento e devolve um valor Booleano que indica se o argumento é avaliado como um valor nulo |
now() |
Devolve a hora atual do relógio UTC |
strcat() |
Concatena entre 1 e 64 argumentos |
strlen() |
Devolve o comprimento, em carateres, da cadeia de entrada |
substring() |
Extrai uma subcadeia de uma cadeia de origem a partir de um índice para o fim da cadeia |
tostring() |
Converte a entrada numa representação de cadeia |
Propriedades Suportadas
A consulta do dispositivo suporta as seguintes entidades. Para saber mais sobre que propriedades são suportadas para cada entidade, veja Intune Esquema da Plataforma de Dados.
BiosInfoCertificateCpuDiskDriveEncryptableVolumeFileInfoLocalGroupLocalUserAccountLogicalDriveMemoryInfoOsVersionProcessSystemEnclosureSystemInfoTpmWindowsAppCrashEventWindowsDriverWindowsEventWindowsQfeWindowsRegistryWindowsService
Limitações conhecidas
- A cadeia de resultado de qualquer consulta está limitada a 128 kb carateres. Se o resultado da consulta for superior a 128 kb carateres, o resultado será truncado. Uma mensagem de erro informa-o sobre quantas linhas estão truncadas.
- Só pode enviar 15 consultas por minuto. Se encontrar um erro de limite de consulta excedido , aguarde um minuto e tente novamente.
- As entradas de consulta têm um limite de comprimento de 2048 carateres. Se encontrar um erro de consulta demasiado longo , refine a consulta para ter menos carateres e tente novamente.
- A função escalar now() não suporta o parâmetro offset.
- O
!likeoperador não é suportado. - A janela de entrada recomenda automaticamente aspas duplas quando apenas são suportadas plicas nos seguintes operadores:
contains!containsstartswith!startswithendswith
- A entidade WindowsRegistry não consegue devolver a RegistryKey para a raiz.
- A entidade WindowsRegistry não devolve chaves de registo partilhadas de 64 bits.
- A entidade WindowsRegistry não consegue devolver valueData binário.
- Se existirem várias placas de rede disponíveis no computador, só é devolvido o primeiro domínio configurado.
- Se o TPM 2.0 estiver presente no dispositivo, ativado e ativado é sempre devolvido como VERDADEIRO.
- Se um ficheiro estiver atualmente a ser utilizado no computador, as consultas FileInfo devolvem um erro.
- Se o utilizador final tiver acesso de administrador ao dispositivo, poderá conseguir alterar as informações baseadas no cliente devolvidas nos resultados da consulta. Por exemplo, versão e registo do SO.