皆さん、こんにちは。
今回は、Microsoft Intune の新機能について紹介したいと思います。
今回紹介する、新機能は、[デバイス クエリ] (Device query) という機能です。
この、デバイス クエリという機能は、既存の Microsoft Intune があまり得意としていない、インベントリ収集機能を補完する機能となります。
具体的には、各管理対象マシンに対して、クエリを送り、各管理対象マシンのインベントリを取得する機能となります。
管理対象マシンにリアルタイムにインベントリ収集を行うため、クエリを実行したタイミングで管理対象マシンがオンラインである必要があります。
1 月 29 日の週のリリースで Microsoft Intune 高度分析 (Microsoft Intune Advanced Analytics) の一機能として追加されています。
(サービス リリース 2401 の後に個別にリリースされています。)
では早速、機能面を見ていきましょう。
<前提条件>
本、デバイス クエリを用いるには、Microsoft Intune のライセンスとは別に、下記の追加ライセンスが必要となります。
- Intune 高度分析 アドオン
- Microsoft Intune Suite
※ 上記のいずれかのライセンス (Microsoft Intune Suite には、Intune 高度分析 アドオンが含まれる)
また、管理対象マシンにて、Endpoint Analytics に登録されている必要があります。
この、Endpoint Analytics に登録は忘れがちなので、お気をつけください。
具体的には、下記のような構成プロファイルの割り当てが必要になります。
<デバイス クエリを試す>
- 対象の管理対象マシンを Endpoint Analytics に登録後 ([Windows の正常性の監視] の構成プロファイルを割り当て後)、に、対象の管理対象マシンを Microsoft Intune で開きます。
[デバイス] > [Windows] で対象の管理対象のマシンのページを開きます。
- 左側に [デバイス クエリ] と表示されるので、[デバイス クエリ] を選択します。
- [デバイス クエリ] の画面が表示されます。
- [デバイス クエリ] 画面にて、右側の入力欄に、Kusto 照会言語 (Kusto Query Language : KQL) を入力し、[実行] を選択します。
WindowsEvent('System', 1d) | order by LoggedDateTime | where EventId == 1074 - 結果が下記のように管理対象のマシンから返ってきます。
今回は、System イベント ログの ID 1074 を抽出しています。このイベント ID には、シャットダウン / 再起動を始めたプロセス等の情報 (シャットダウン / 再起動の理由) を知ることが出来ます。
参考情報 : https://jpwinsup.github.io/blog/2022/09/05/Performance/Hang_BSOD/UnintentionalReboot/
<デバイス クエリで使えそうな KQL 例>
WindowsRegistry('HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion') | where ValueName == 'CurrentBuild' or ValueName == 'UBR'
FileInfo('C:\Windows\explorer.exe')
<まとめ>
今回は、Microsoft Intune のデバイス クエリという機能について紹介しました。
Microsoft Configuration Manager (Configuration Manager) を使っている方は、CMPivot の Intune 版と思っていただければ理解しやすいと思います。
現在のデバイス クエリは、各管理対象マシンに対してのみ、クエリを実行出来ますが、今後は組織全体もしくは特定の条件の管理対象マシンに対して、クエリが実行出来る機能が搭載されるはずです。(Microsoft Ignite 等のデモによると)
実際の運用では、特定の一台の管理対象マシンに対してクエリを実行するというよりは、組織全体に実行するケースの方が多いかなという印象です。
そのため、今後の機能拡張に期待したいところですね!
それでは、また次回。