AADNonInteractiveUserSignInLogs
Journaux de connexion Azure Active Directory non interactifs de l’utilisateur.
Attributs de table
| Attribut | Valeur |
|---|---|
| Types de ressource | - |
| Catégories | Audit, Sécurité |
| Solutions | LogManagement |
| Journal de base | No |
| Transformation au moment de l’ingestion | Yes |
| Exemples de requêtes | Oui |
Colonnes
| Colonne | Type | Description |
|---|---|---|
| AlternateSignInName | string | Fournit l’UPN local de l’utilisateur qui se connecte à Azure AD, par exemple. Connexion au numéro de téléphone. |
| AppDisplayName | string | Nom de l’application affiché dans le Portail Azure. |
| AppId | string | GUID unique représentant l’ID d’application dans Azure Active Directory. |
| AppliedEventListeners | dynamique | Informations détaillées sur les écouteurs d’événements appliqués ou les écouteurs qui sont déclenchés par les événements correspondants dans une activité d’authentification. Il s’appelle appliedEventListeners dans ALP et MSGraph, mais utilise des événements d’authentification pour faire correspondre le nom sur l’expérience utilisateur. |
| AuthenticationContextClassReferences | string | Contextes d’authentification de la connexion. |
| AuthenticationDetails | string | Enregistrement de chaque étape d’authentification effectuée lors de la connexion. |
| AuthenticationMethodsUsed | string | Liste des méthodes d’authentification utilisées. |
| AuthenticationProcessingDetails | string | Fournit les détails associés au processeur d’authentification. |
| AuthenticationProtocol | string | Listes le type de protocole ou le type d’octroi utilisé dans l’authentification. Les valeurs possibles sont : none, oAuth2, ropc, wsFederation, saml20, deviceCode, unknownFutureValue. Pour les authentifications qui utilisent des protocoles autres que les valeurs possibles répertoriées, le type de protocole est répertorié comme aucun. |
| AuthenticationRequirement | string | Type d’authentification requis pour la connexion. Si la valeur est multiFactorAuthentication, une étape MFA était requise. Si la valeur est singleFactorAuthentication, aucune authentification multifacteur n’était requise. |
| AuthenticationRequirementPolicies | string | Ensemble de stratégies d’autorité de certification qui s’appliquent à cette connexion, chacune en tant qu’autorité de certification : nom de la stratégie et/ou MFA : par utilisateur. |
| AutonomousSystemNumber | string | Numéro de système autonome pour le réseau. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| Category | string | Catégorie de l’événement de connexion. |
| ClientAppUsed | string | Détails décrivant l’authentification de l’application utilisée (héritée ou non héritée), par exemple : navigateur moderne, application native, synchronisation d’activité Exchange et clients plus anciens. |
| ConditionalAccessPolicies | string | Détails des stratégies d’accès conditionnel appliquées pour la connexion. |
| ConditionalAccessStatus | string | État de toutes les stratégies conditionalAccess liées à la connexion. |
| CorrelationId | string | ID pour fournir la piste de connexion. |
| CreatedDateTime | DATETIME | Datetime de l’activité de connexion. |
| CrossTenantAccessType | string | Décrit le type d’accès interlocataire utilisé par l’acteur pour accéder à la ressource. Les valeurs possibles sont : none, b2bCollaboration, b2bDirectConnect, microsoftSupport, serviceProvider, unknownFutureValue. Si la connexion n’a pas franchi les limites du locataire, la valeur est none. |
| DeviceDetail | string | Détails de l’appareil utilisé pour la connexion. |
| DurationMs | long | Durée de l’opération en millisecondes. |
| HomeTenantId | string | ID de locataire de base pour les scénarios interlocataires. |
| Id | string | ID unique représentant l’activité de connexion. |
| Identité | string | Identité extraite du jeton présenté lors de la création de la demande. Il peut s’agir d’un compte d’utilisateur, d’un compte système ou d’un principal du service. |
| IPAddress | string | Adresse IP du client utilisé pour se connecter. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Lorsque _IsBillable l’ingestion n’est false pas facturée à votre compte Azure |
| IsInteractive | bool | Indique si une connexion est interactive ou non. |
| IsRisky | bool | Indique si une connexion est considérée comme risquée ou non. |
| Level | string | Niveau de gravité de l’événement. |
| Emplacement | string | Région de la ressource qui émet l’événement. |
| LocationDetails | string | Détails de l’emplacement de connexion. |
| MfaDetail | string | Détails de l’authentification multifacteur. |
| NetworkLocationDetails | string | Fournit les détails associés au processeur d’authentification. |
| NomOpération | string | Pour les connexions, cette valeur est toujours Activité de connexion. |
| OperationVersion | string | Version d’API REST demandée par le client. |
| OriginalRequestId | string | ID de demande de la première requête dans la séquence d’authentification. |
| ProcessingTimeInMs | string | Temps de traitement des demandes en millisecondes dans AD STS. |
| ResourceDisplayName | string | Nom de la ressource à laquelle l’utilisateur s’est connecté. |
| ResourceGroup | string | Groupe de ressources pour les journaux. |
| ResourceIdentity | string | ID de la ressource à laquelle l’utilisateur s’est connecté. |
| ResourceServicePrincipalId | string | ID du principal de service de la ressource. |
| ResourceTenantId | string | ID de locataire de ressource pour les scénarios interlocataires. |
| ResultDescription | string | Fournit la description de l’erreur pour l’opération de connexion. |
| ResultSignature | string | Contient le code d’erreur éventuel de l’opération de connexion. |
| ResultType | string | Le résultat de l’opération de connexion peut être Success (Réussite) ou Failure (Échec). |
| RiskDetail | string | Détails de l’état de l’utilisateur à risque. |
| RiskEventTypes | string | Liste des types d’événements à risque associés à la connexion. |
| RiskEventTypes_V2 | string | Liste des types d’événements à risque associés à la connexion. Il s’agit de chaînes. |
| RiskLevelAggregated | string | Niveau de risque agrégé. |
| RiskLevelDuringSignIn | string | Niveau de risque pendant la connexion. |
| RiskState | string | État utilisateur à risque. |
| ServicePrincipalId | string | ID du principal de service qui a lancé la connexion. |
| SessionLifetimePolicies | string | Stratégies et paramètres appliqués à la connexion qui ont appliqué ou révoqué une durée de vie de session. |
| SignInEventTypes | string | Types associés à la connexion. Par exemple, « interactive », « refreshToken », « managedIdentity », « continuousAccessEvaluation » et bien plus encore. |
| SignInIdentifierType | string | Type d’identificateur de connexion. Les valeurs possibles sont : userPrincipalName, phoneNumber, proxyAddress, qrCode, onPremisesUserPrincipalName, unknownFutureValue. |
| SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
| État | string | Détails du status de connexion. |
| TenantId | string | ID de l’espace de travail Log Analytics |
| TimeGenerated | DATETIME | Date et heure de l’événement en UTC. |
| TokenIssuerName | string | Nom du fournisseur d’identité (par exemple, sts.microsoft.com ). |
| TokenIssuerType | string | Type d’identityProvider (Azure AD, AD Federation Services). |
| Type | string | Le nom de la table |
| UniqueTokenIdentifier | string | Identificateur de jeton unique pour la demande. |
| UserAgent | string | Agent utilisateur pour la connexion. |
| UserDisplayName | string | Nom d’affichage de l’utilisateur qui a lancé la connexion. |
| UserId | string | ID de l’utilisateur qui a lancé la connexion. |
| UserPrincipalName | string | Nom d’utilisateur principal de l’utilisateur qui a lancé la connexion. |
| UserType | string | Identifie si l’utilisateur est membre ou invité dans le locataire. Les valeurs possibles sont : member, guest, unknownFutureValue. |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour