Del via


AADSignInEventsBeta

Gælder for:

  • Microsoft Defender XDR

Vigtigt!

Tabellen AADSignInEventsBeta er i øjeblikket i betaversion og tilbydes på kort sigt for at give dig mulighed for at jage gennem Microsoft Entra logonhændelser. Kunder skal have en Microsoft Entra ID P2-licens for at indsamle og få vist aktiviteter for denne tabel. Alle logonskemaoplysninger flyttes til sidst til IdentityLogonEvents tabellen.

Tabellen AADSignInEventsBeta i det avancerede jagtskema indeholder oplysninger om Microsoft Entra interaktive og ikke-interaktive logons. Få mere at vide om logon i Microsoft Entra logonaktivitetsrapporter – prøveversion.

Brug denne reference til at oprette forespørgsler, der returnerer oplysninger fra tabellen. Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i referencen til avanceret jagt.



Kolonnenavn Datatype Beskrivelse
Timestamp datetime Dato og klokkeslæt for oprettelse af posten
Application string Program, der udførte den registrerede handling
ApplicationId string Entydigt id for programmet
LogonType string Type af logonsession, specifikt interaktiv, fjern interaktiv (RDP), netværk, batch og tjeneste
ErrorCode int Indeholder fejlkoden, hvis der opstår en logonfejl. Hvis du vil finde en beskrivelse af en bestemt fejlkode, skal du gå til https://aka.ms/AADsigninsErrorCodes.
CorrelationId string Entydigt id for logonhændelsen
SessionId string Entydigt nummer, der tildeles en bruger af et websteds server under besøget eller sessionen
AccountDisplayName string Det navn, der vises i posten i adressekartoteket for kontobrugeren. Dette er normalt en kombination af brugerens fornavn, mellemnavn og efternavn.
AccountObjectId string Entydigt id for kontoen i Microsoft Entra ID
AccountUpn string Brugerens hovednavn (UPN) for kontoen
IsExternalUser int Angiver, om den bruger, der er logget på, er ekstern. Mulige værdier: -1 (ikke angivet), 0 (ikke ekstern), 1 (ekstern).
IsGuestUser boolean Angiver, om den bruger, der er logget på, er gæst i lejeren
AlternateSignInName string UPN (On-Premises User Principal Name) for den bruger, der logger på Microsoft Entra ID
LastPasswordChangeTimestamp datetime Dato og klokkeslæt for seneste ændring af adgangskoden for den bruger, der loggede på
ResourceDisplayName string Vist navn på den ressource, der blev åbnet. Det viste navn kan indeholde et hvilket som helst tegn.
ResourceId string Entydigt id for den ressource, der er adgang til
ResourceTenantId string Entydigt id for lejeren for den ressource, der er adgang til
DeviceName string Fuldt domænenavn (FQDN) for enheden
AadDeviceId string Entydigt id for enheden i Microsoft Entra ID
OSPlatform string Platform for det operativsystem, der kører på enheden. Angiver specifikke operativsystemer, herunder variationer inden for den samme familie, f.eks. Windows 11, Windows 10 og Windows 7.
DeviceTrustType string Angiver tillidstypen for den enhed, der er logget på. Kun for administrerede enhedsscenarier. De mulige værdier er Workplace, AzureAd og ServerAd.
IsManaged int Angiver, om den enhed, der startede logon, er en administreret enhed (1) eller ej en administreret enhed (0)
IsCompliant int Angiver, om den enhed, der startede logon, er kompatibel (1) eller ikke-kompatibel (0)
AuthenticationProcessingDetails string Oplysninger om godkendelsesprocessoren
AuthenticationRequirement string Godkendelsestype, der kræves til logon. Mulige værdier: multiFactorAuthentication (MFA var påkrævet) og singleFactorAuthentication (der kræves ingen MFA).
TokenIssuerType int Angiver, om tokenudstederen er Microsoft Entra ID (0) eller Active Directory Federation Services (1)
RiskLevelAggregated int Samlet risikoniveau under logon. Mulige værdier: 0 (samlet risikoniveau er ikke angivet), 1 (ingen), 10 (lav), 50 (mellem) eller 100 (høj).
RiskDetails int Oplysninger om den risikable tilstand for den bruger, der er logget på
RiskState int Angiver risikable brugertilstand. Mulige værdier: 0 (ingen), 1 (bekræftet sikker), 2 (afhjælpet), 3 (afvist), 4 (i fare) eller 5 (bekræftet kompromitteret).
UserAgent string Brugeragentoplysninger fra webbrowseren eller et andet klientprogram
ClientAppUsed string Angiver den anvendte klientapp
Browser string Oplysninger om den version af browseren, der bruges til at logge på
ConditionalAccessPolicies string Oplysninger om de politikker for betinget adgang, der anvendes på logonhændelsen
ConditionalAccessStatus int Status for de politikker for betinget adgang, der er anvendt på logon. De mulige værdier er 0 (anvendte politikker), 1 (forsøg på at anvende politikker mislykkedes) eller 2 (politikkerne er ikke anvendt).
IPAddress string IP-adresse, der tildeles til enheden under kommunikation
Country string Kode på to bogstaver, der angiver det land/område, hvor klientens IP-adresse er geolokaliseret
State string Angiv, hvor logon fandt sted, hvis det er muligt
City string By, hvor kontobrugeren er placeret
Latitude string Koordinaterne nord til syd for logonplaceringen
Longitude string Koordinaterne fra øst til vest for logonplaceringen
NetworkLocationDetails string Oplysninger om netværksplacering for godkendelsesbehandleren for logonhændelsen
RequestId string Entydigt id for anmodningen
ReportId string Entydigt id for hændelsen

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.