次の方法で共有


デバイス クエリ

デバイス クエリを使用すると、デバイスの状態に関するオンデマンド情報をすばやく取得できます。 選択したデバイスでクエリを入力すると、デバイス クエリによってクエリがリアルタイムで実行されます。 返されたデータは、セキュリティ上の脅威への対応、デバイスのトラブルシューティング、またはビジネス上の意思決定に使用できます。

前提条件

  • テナントでデバイス クエリを使用するには、Microsoft Intune 高度分析を含むライセンスが必要です。 高度分析機能は次の機能で利用できます。

    • Intune 高度分析 アドオン
    • Microsoft Intune Suite
  • デバイスでデバイス クエリを使用するには、デバイスを Endpoint Analytics に登録する必要があります。 Endpoint Analytics にデバイスを登録する方法について説明します

  • クラウド通知 (WNS) をオプトアウトすることはできません

  • ユーザーがデバイス クエリを使用するには、 管理対象デバイス - Query アクセス許可を割り当てる必要があります。

  • デバイス クエリを使用するには、デバイスを管理および企業所有Intune必要があります。

  • リモート アクションを実行するには、少なくとも、ヘルプ デスクオペレーターロールを持つアカウントを使用してIntune管理センターにサインインします。 さまざまなロールの詳細については、「ロールベースのアクセス制御 (RBAC) with Microsoft Intune」を参照してください。

  • リモート アクションを受信するには、デバイスがインターネットに接続され、電源が入っている必要があります。

サポートされるプラットフォーム

デバイス クエリは現在、Windows 10 以降を実行しているデバイスでのみサポートされています。

デバイス クエリの使用方法

デバイス クエリを使用するには、[ デバイス] に移動し、デバイス クエリを使用するデバイスを選択します。 [モニター] セクションで [デバイス クエリ] を選択します。

クエリを実行できるサポートされているプロパティは、[ プロパティ ] セクションに一覧表示されます。 クエリを実行するには、Kusto 照会言語 (KQL) クエリを入力し、[実行] を選択します。 [結果] タブ領域に 結果 が表示されます。

Kusto 照会言語の詳細については、「Kusto 照会言語の詳細」を参照してください。

ヒント

Intune (パブリック プレビュー) で Copilot を使用して、自然言語要求を使用してデバイス クエリの KQL クエリを生成できるようになりました。 詳細については、「 デバイス クエリで Copilot を使用してクエリを実行する」を参照してください

リモート デバイスの操作

単一デバイス クエリの Intune リモート デバイス アクションを使用して、デバイスをリモートで管理できます。 デバイス クエリ インターフェイスから、クエリ結果に基づいてデバイス アクションを実行し、より迅速かつ効率的なトラブルシューティングを行えるようになりました。

使用可能なリモート操作

使用可能なデバイスアクションは、デバイスの構成によって異なります。 すべてのアクションをすべてのデバイスで使用できるわけではありません。

デバイスで実行できる内容の完全な一覧については、Intune管理センターで [デバイス] > [すべてのデバイス] を選択し、特定のデバイスを選択します。 使用可能なデバイスアクションが上部に表示されます。

次の一覧には、サポートされているデバイス アクションが含まれています。

アクション 説明
Autopilot リセット デバイスを元の設定に復元し、個人用ファイル、アプリ、設定を削除します。
BitLocker キーの交換 デバイスの BitLocker 回復キーを変更し、新しいキーをIntuneにアップロードします。
診断の収集 デバイスから診断ログを収集し、ログをIntuneにアップロードします。
Delete Intune管理からデバイスを削除し、会社のデータが削除され、デバイスは廃止されます。
新しいスタート デバイスに最新バージョンの Windows を再インストールし、製造元がインストールしたアプリを削除します。
フル スキャン Microsoft Defenderウイルス対策によってデバイスの完全スキャンを開始します。
デバイスの検索 マップ上のデバイスのおおよその場所を示します。
ConfigRefresh を一時停止する ConfigRefresh を一時停止して、トラブルシューティングやメンテナンスのためにデバイスで修復を実行したり、変更を加えたりします。
クイック スキャン ウイルス対策をMicrosoft Defenderして、デバイスのクイック スキャンを開始します。
チーム ビューアーを使用したリモート コントロール TeamViewer を使用してデバイスをリモートで制御できます。
デバイスの名前の変更 Intuneのデバイス名を変更します。
Restart デバイスを再起動します。
破棄 会社のデータと設定をデバイスから削除し、個人データをそのまま残します。
ローカル管理者パスワードをローテーションする デバイスのローカル管理者パスワードを変更し、パスワードをIntuneに格納します。
デバイスを同期する デバイスを Intune と同期して、最新のポリシーと構成を適用します。
Windows Defender のセキュリティ インテリジェンスの更新 Microsoft Defender ウイルス対策のセキュリティ インテリジェンス ファイルをUpdatesします。
Windows 10 PIN リセット Microsoft Entra認証を使用するデバイスの PIN をリセットします。
ワイプ このアクションは、デバイスを工場出荷時の設定に復元し、すべてのデータと設定を削除します。

サポートされている演算子

デバイス クエリでは、Kusto 照会言語 (KQL) でサポートされている演算子のサブセットのみがサポートされます。 現在、次の演算子がサポートされています。

テーブル演算子

スカラー演算子

集計関数

スカラー関数

テーブル演算子

テーブル演算子は、データ ストリームのフィルター、集計、変換を使用できます。 現在、次の演算子がサポートされています。

テーブル演算子 説明
count レコード数を含む 1 つのレコードを含むテーブルを返します
入力テーブルの指定された列の個別の組み合わせを持つテーブルを生成します
join 同じデバイスの行を照合して、2 つのテーブルの行をマージして新しいテーブルを形成する
次の順序で 入力テーブルの行を 1 つ以上の列で並べ替える
プロジェクト 含める列を選択し、名前を変更または削除し、新しい計算列を挿入します
取る 指定した行数までを返します
top 指定した列で並べ替えられた最初の N 個のレコードを返します
どこ 述語を満たす行のサブセットに対してテーブルをフィルター処理する

スカラー演算子

次の表は、演算子をまとめたものです。

演算子 説明
== 等しい 1 == 1, 'aBc' == 'AbC'
!= 等しくない 1 != 2, 'abc' != 'abcd'
< より小さい 1 < 2, 'abc' < 'DEF'
> Greater 2 > 1, 'xyz' > 'XYZ'
<= Less or Equal 1 <= 2, 'abc' <= 'abc'
>= 大きいまたは等しい 2 >= 1, 'abc' >= 'ABC'
+ 追加する 2 + 1, now() + 1d
- 減算 2 - 1, now() - 1h
* 乗算 2 * 2
/ 除算 2 / 1
% モジュロ 2 % 1
左側 (LHS) には、右側 (RHS) の一致が含まれています 'abc' like '%B%'
contains RHS は、LHS のサブシーケンスとして発生します 'abc' contains 'b'
!含む LHS で RHS が発生しない 'team' !contains 'i'
startswith RHS は LHS の初期サブシーケンスです 'team' startswith 'tea'
!startswith RHS は LHS の初期サブシーケンスではありません 'abc' !startswith 'bc'
endswith RHS は LHS の終了サブシーケンスです 'abc' endswith 'bc'
!endswith RHS は LHS の終了サブシーケンスではありません 'abc' !endswith 'a'
and TRUE の場合と、RHS と LHS が true の場合のみ (1 == 1) and (2 == 2)
または RHS または LHS が true の場合にのみ True (1 == 1) or (1 == 2)

集計関数

集計関数は、集計テーブル演算子と共に使用して、集計された値を計算できます。 現在、次の集計関数がサポートされています。

関数 説明
avg() グループ全体の値の平均を返します
count() 集計グループごとのレコード数を返します
countif() 述語が true と評価される行の数を返します
dcount() グループ内の個別の値の数を返します
max() グループ全体の最大値を返します
maxif() バージョン 2107 以降では、summarize テーブル演算子で maxif を使用できます。

Predicatetrueと評価されるグループ全体の最大値を返します。
min() グループ全体の最小値を返します
minif() バージョン 2107 以降では、summarize テーブル演算子で minif を使用できます。

Predicatetrueと評価されるグループ全体の最小値を返します。
percentile() Expr によって定義された母集団の指定された最も近いランクパーセンタイルの推定値を返します
sum() グループ全体の値の合計を返します
sumif() 述語が true と評価される Expr の合計を返します

スカラー関数

スカラー関数は、式で使用できます。 現在、次のスカラー関数がサポートされています。

関数 説明
ago() 現在の UTC クロック時刻から指定されたタイムスパンを減算します
bin() 指定されたビン サイズの多くの datetime 倍数に値を丸めます
case() 述語の一覧を評価し、述語が満たされている最初の結果式を返します
datetime_add() 指定した datepart から指定した datetime に指定した datetime を乗算し、指定した datetime に加算して、新しい datetime を計算します。
datetime_diff() 2 つの日付時刻値の差を計算します
iif() 述語が true (2 番目) または false (3 番目) に評価されたかどうかに応じて、最初の引数を評価し、2 番目または 3 番目の引数の値を返します。
indexof() 関数は、入力文字列内の指定された文字列の最初の出現の 0 から始まるインデックスを報告します
isnotnull() その唯一の引数を評価し、引数が null 以外の値に評価されるかどうかを示すブール値を返します。
isnull() その唯一の引数を評価し、引数が null 値に評価されるかどうかを示すブール値を返します
now() 現在の UTC 時刻を返します
strcat() 1 から 64 個の引数の間の連結
strlen() 入力文字列の長さを文字数で返します
substring() 一部のインデックスから文字列の末尾まで、ソース文字列から部分文字列を抽出します
tostring() 入力を文字列表現に変換します

サポートされるプロパティ

デバイス クエリでは、次のエンティティがサポートされています。 各エンティティでサポートされるプロパティの詳細については、「データ プラットフォーム スキーマのIntune」を参照してください。

  • BiosInfo

  • 証明書

  • Cpu

  • DiskDrive

  • EncryptableVolume

  • FileInfo

  • LocalGroup

  • LocalUserAccount

  • LogicalDrive

  • MemoryInfo

  • OsVersion

  • プロセス

  • SystemEnclosure

  • SystemInfo

  • Tpm

  • WindowsAppCrashEvent

  • WindowsDriver

  • WindowsEvent

  • WindowsQfe

  • WindowsRegistry

  • WindowsService

既知の制限

  • クエリの結果文字列は 128 kb 文字に制限されています。 クエリの結果が 128 kb 文字を超える場合、結果は切り捨てられます。 切り捨てられる行の数を示すエラー メッセージが表示されます。

  • 1 分間に送信できるクエリは 15 個のみです。 クエリの制限を超えたエラーが発生した場合は、1 分間待ってからやり直してください。

  • クエリ入力の長さの制限は 2048 文字です。 クエリが長すぎるエラーが発生した場合は、クエリを絞り込んで文字数を減らしてからやり直してください。

  • now() スカラー関数は offset パラメーターをサポートしていません。

  • !like 演算子はサポートされていません。

  • 次の演算子で単一引用符のみがサポートされている場合、入力ウィンドウでは二重引用符が自動的に推奨されます。

    • contains
    • !含む
    • startswith
    • !startswith
    • endswith
  • WindowsRegistry エンティティがルートの RegistryKey を返すのに失敗します。

  • WindowsRegistry エンティティは、64 ビットの共有レジストリ キーを返すのに失敗します。

  • WindowsRegistry エンティティがバイナリ ValueData を返すのに失敗します。

  • Windows 10で実行されているデバイスに対してクエリを実行する場合は、最小品質バージョンである必要があります。

    • Windows 10 21H2 を実行している場合は、バージョン 10.0.19044.3393 が実行されていることを確認します。

    • Windows 10 22H2 を実行している場合は、バージョン 10.0.19045.3393 が実行されていることを確認します。

  • マシンで複数のネットワーク カードが使用可能な場合は、最初に構成されたドメインのみが返されます。

  • TPM 2.0 がデバイスに存在する場合、アクティブ化され、有効になると常に TRUE として返されます。

  • ファイルが現在マシンで使用されている場合、FileInfo クエリはエラーを返します。

  • エンド ユーザーがデバイスへの管理者アクセス権を持っている場合、クエリ結果に表示されるクライアント ベースの情報を変更できる可能性があります。 たとえば、OS のバージョンとレジストリなどです。

次の手順

詳細については、次を参照してください: