Partager via

AADSignInEventsBeta

  • Article

S’applique à :

  • Microsoft Defender XDR

Importante

La AADSignInEventsBeta table est actuellement en version bêta et est proposée à court terme pour vous permettre de parcourir Microsoft Entra événements de connexion. Les clients doivent disposer d’une licence Microsoft Entra ID P2 pour collecter et afficher les activités de cette table. Toutes les informations de schéma de connexion seront finalement déplacées vers la IdentityLogonEvents table.

Le AADSignInEventsBeta tableau du schéma de repérage avancé contient des informations sur Microsoft Entra connexions interactives et non interactives. En savoir plus sur les connexions dans Microsoft Entra rapports d’activité de connexion - préversion.

Utilisez cette référence pour créer des requêtes qui renvoient des informations de la table. Pour plus d’informations sur les autres tables du schéma de chasse avancée, consultez la référence de chasse avancée.


Nom de colonne Type de données Description
Timestamp datetime Date et heure de génération de l’enregistrement
Application string Application qui a effectué l’action enregistrée
ApplicationId string Identificateur unique de l’application
LogonType string Type de session d’ouverture de session, en particulier interactif, rdp (Remote Interactive), réseau, lot et service
ErrorCode int Contient le code d’erreur si une erreur de connexion se produit. Pour trouver une description d’un code d’erreur spécifique, visitez https://aka.ms/AADsigninsErrorCodes.
CorrelationId string Identificateur unique de l’événement de connexion
SessionId string Numéro unique attribué à un utilisateur par le serveur d’un site web pour la durée de la visite ou de la session
AccountDisplayName string Nom affiché dans l’entrée du carnet d’adresses de l’utilisateur du compte. Il s’agit généralement d’une combinaison du prénom, de l’initiale du deuxième prénom et du nom de famille de l’utilisateur.
AccountObjectId string Identificateur unique du compte dans Microsoft Entra ID
AccountUpn string Nom d’utilisateur principal (UPN) du compte
IsExternalUser int Indique si l’utilisateur connecté est externe. Valeurs possibles : -1 (non défini), 0 (non externe), 1 (externe).
IsGuestUser boolean Indique si l’utilisateur qui s’est connecté est un invité dans le locataire
AlternateSignInName string Nom d’utilisateur principal (UPN) local de l’utilisateur qui se connecte à Microsoft Entra ID
LastPasswordChangeTimestamp datetime Date et heure de la dernière modification de son mot de passe par l’utilisateur qui s’est connecté
ResourceDisplayName string Nom complet de la ressource consultée. Le nom d’affichage peut contenir n’importe quel caractère.
ResourceId string Identificateur unique de la ressource consultée
ResourceTenantId string Identificateur unique du locataire de la ressource consultée
DeviceName string Nom de domaine complet (FQDN) de l’appareil
AadDeviceId string Identificateur unique de l’appareil dans Microsoft Entra ID
OSPlatform string Plateforme du système d’exploitation en cours d’exécution sur l’appareil. Indique des systèmes d’exploitation spécifiques, y compris les variantes au sein de la même famille, telles que Windows 11, Windows 10 et Windows 7.
DeviceTrustType string Indique le type d’approbation de l’appareil qui s’est connecté. Pour les scénarios d’appareils gérés uniquement. Les valeurs possibles sont Workplace, AzureAd et ServerAd.
IsManaged int Indique si l’appareil qui a lancé la connexion est un appareil géré (1) ou non un appareil géré (0)
IsCompliant int Indique si l’appareil qui a lancé la connexion est conforme (1) ou non conforme (0)
AuthenticationProcessingDetails string Détails sur le processeur d’authentification
AuthenticationRequirement string Type d’authentification requis pour la connexion. Valeurs possibles : multiFactorAuthentication (L’authentification multifacteur était requise) et singleFactorAuthentication (aucune authentification multifacteur n’était requise).
TokenIssuerType int Indique si l’émetteur du jeton est Microsoft Entra ID (0) ou Services ADFS (1)
RiskLevelAggregated int Niveau de risque agrégé lors de la connexion. Valeurs possibles : 0 (niveau de risque agrégé non défini), 1 (aucun), 10 (faible), 50 (moyen) ou 100 (élevé).
RiskDetails int Détails sur l’état à risque de l’utilisateur qui s’est connecté
RiskState int Indique l’état de l’utilisateur à risque. Valeurs possibles : 0 (aucun), 1 (sécurité confirmée), 2 (corrigé), 3 (ignoré), 4 (à risque) ou 5 (compromis confirmé).
UserAgent string Informations de l’agent utilisateur à partir du navigateur web ou d’une autre application cliente
ClientAppUsed string Indique l’application cliente utilisée
Browser string Détails sur la version du navigateur utilisée pour la connexion
ConditionalAccessPolicies string Détails des stratégies d’accès conditionnel appliquées à l’événement de connexion
ConditionalAccessStatus int État des stratégies d’accès conditionnel appliquées à la connexion. Les valeurs possibles sont 0 (stratégies appliquées), 1 (échec de la tentative d’application des stratégies) ou 2 (stratégies non appliquées).
IPAddress string Adresse IP affectée à l’appareil pendant la communication
Country string Code à deux lettres indiquant le pays/la région où l’adresse IP du client est géolocalisée
State string État où la connexion s’est produite, si disponible
City string Ville où se trouve l’utilisateur du compte
Latitude string Coordonnées nord à sud de l’emplacement de connexion
Longitude string Coordonnées est-ouest de l’emplacement de connexion
NetworkLocationDetails string Détails de l’emplacement réseau du processeur d’authentification de l’événement de connexion
RequestId string Identificateur unique de la demande
ReportId string Identificateur unique de l’événement

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.