SigninLogs
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorsa | microsoft.graph/tenants |
| Categorie | Risorse di Azure, sicurezza |
| Soluzioni | LogManagement |
| Log di base | No |
| Trasformazione in fase di inserimento | Sì |
| Query di esempio | Sì |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| AADTenantId | string | |
| AlternateSignInName | string | Identificazione fornita dall'utente per l'accesso. Può essere userPrincipalName, ma viene popolato anche quando un utente accede usando altri identificatori. |
| AppDisplayName | string | Nome dell'applicazione visualizzato nel portale di Azure. |
| AppId | string | Identificatore dell'applicazione in Azure Active Directory. |
| AppliedConditionalAccessPolicies | string | |
| AppliedEventListeners | dinamico | Informazioni dettagliate sui listener, ad esempio App per la logica di Azure e Funzioni di Azure, attivati dagli eventi corrispondenti nell'evento di accesso. |
| AuthenticationContextClassReferences | string | Contiene una raccolta di valori che rappresentano i contesti di autenticazione dell'accesso condizionale applicati all'accesso. |
| AuthenticationDetails | string | Risultato del tentativo di autenticazione e dettagli aggiuntivi sul metodo di autenticazione. |
| AuthenticationMethodsUsed | string | Metodi di autenticazione utilizzati. Valori possibili: SMS, App Authenticator, Codice di verifica app, Password, FIDO, PTA o PHS. |
| AuthenticationProcessingDetails | string | Dettagli aggiuntivi sull'elaborazione dell'autenticazione, ad esempio il nome dell'agente in caso di nome PTA/PHS o Server/farm in caso di autenticazione federata. |
| AuthenticationProtocol | string | Elenchi il tipo di protocollo o il tipo di concessione usato nell'autenticazione. I valori possibili sono: none, oAuth2, ropc, wsFederation, saml20, deviceCode. Per le autenticazioni che usano protocolli diversi dai valori possibili elencati, il tipo di protocollo è elencato come nessuno. |
| AuthenticationRequirement | string | Questo mantiene il livello di autenticazione più alto necessario tramite tutti i passaggi di accesso, per consentire l'accesso. |
| AuthenticationRequirementPolicies | string | Origini dei requisiti di autenticazione, ad esempio l'accesso condizionale, l'autenticazione a più fattori per utente, la protezione delle identità e le impostazioni predefinite per la sicurezza. |
| AutonomousSystemNumber | string | Numero di sistema autonomo (ASN) della rete usata dall'attore. |
| _BilledSize | real | Dimensioni del record in byte |
| Category | string | |
| ClientAppUsed | string | Client legacy usato per l'attività di accesso. Ad esempio: Browser, Exchange ActiveSync, Client moderni, IMAP, MAPI, SMTP o POP. |
| ConditionalAccessPolicies | dinamico | Elenco dei criteri di accesso condizionale attivati dall'attività di accesso corrispondente. |
| ConditionalAccessStatus | string | Stato del criterio di accesso condizionale attivato. Valori possibili: esito positivo, negativo o nonApplied. |
| CorrelationId | string | Identificatore inviato dal client all'avvio dell'accesso. Viene usato per la risoluzione dei problemi relativi all'attività di accesso corrispondente quando si chiama il supporto. |
| CreatedDateTime | Datetime | Data e ora di avvio dell'accesso. Il tipo Timestamp è sempre in formato UTC. Ad esempio, mezzanotte UTC il 1° gennaio 2014 è 2014-01-01T00:00:00Z. |
| CrossTenantAccessType | string | Descrive il tipo di accesso tra tenant usato dall'attore per accedere alla risorsa. |
| DeviceDetail | dinamico | Informazioni sul dispositivo da cui si è verificato l'accesso. Include informazioni quali deviceId, sistema operativo e browser. |
| DurationMs | long | |
| FlaggedForReview | bool | Durante un accesso non riuscito, un utente può fare clic su un pulsante nella portale di Azure per contrassegnare l'evento non riuscito per gli amministratori tenant. Se un utente ha fatto clic sul pulsante per contrassegnare l'accesso non riuscito, questo valore è true. |
| HomeTenantId | string | Identificatore del tenant dell'utente che avvia l'accesso. Non applicabile negli accessi dell'identità gestita o dell'entità servizio. |
| ID | string | Identificatore che rappresenta l'attività di accesso. |
| Identità | string | Nome visualizzato dell'attore identificato nell'accesso. |
| IPAddress | string | Indirizzo IP del client da cui si è verificato l'accesso. |
| IPAddressFromResourceProvider | string | Indirizzo IP usato per raggiungere un provider di risorse, usato per determinare la conformità dell'accesso condizionale per alcuni criteri. Ad esempio, quando un utente interagisce con Exchange Online, l'indirizzo IP exchange riceve dall'utente la registrazione qui. Questo valore è spesso Null. |
| _IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable false l'inserimento non viene addebitato all'account Azure |
| IsInteractive | bool | Indica se un accesso utente è interattivo. Nell'accesso interattivo, l'utente fornisce un fattore di autenticazione ad Azure AD. Questi fattori includono password, risposte alle sfide MFA, ai fattori biometrici o ai codici a matrice forniti da un utente ad Azure AD o a un'app associata. Nell'accesso non interattivo l'utente non fornisce un fattore di autenticazione. L'app client usa invece un token o un codice per autenticare o accedere a una risorsa per conto di un utente. Gli accessi non interattivi vengono comunemente usati per un client per accedere per conto di un utente in un processo trasparente all'utente. |
| IsRisky | bool | |
| Level | string | |
| Posizione | string | Codice paese di 2 lettere da cui si è verificato l'accesso. A seconda dell'indirizzo IP specificato, questo valore potrebbe non essere sempre risolto in un livello di dettaglio di città o area. |
| LocationDetails | dinamico | Fornisce la città, lo stato, il paese e latitudine e la longitudine da cui è avvenuto l'accesso. |
| MfaDetail | dinamico | Questa proprietà è deprecata. |
| NetworkLocationDetails | string | I dettagli del percorso di rete, inclusi il tipo di rete usata e i relativi nomi. |
| OperationName | string | |
| OperationVersion | string | |
| OriginalRequestId | string | Identificatore della prima richiesta nella sequenza di autenticazione. |
| ProcessingTimeInMilliseconds | string | |
| Risorsa | string | |
| ResourceDisplayName | string | Nome della risorsa a cui l'utente ha eseguito l'accesso. |
| ResourceGroup | string | |
| ResourceId | string | Identificatore della risorsa a cui l'utente ha eseguito l'accesso. |
| ResourceIdentity | string | Risorsa a cui l'utente ha eseguito l'accesso. |
| ResourceProvider | string | |
| ResourceServicePrincipalId | string | Identificatore dell'entità servizio che rappresenta la risorsa di destinazione nell'evento di accesso. |
| ResourceTenantId | string | Identificatore del tenant della risorsa a cui fa riferimento l'accesso. |
| ResultDescription | string | Fornisce il messaggio di errore o il motivo dell'errore per l'attività di accesso corrispondente. |
| ResultSignature | string | |
| ResultType | string | Fornisce il codice di errore a 5-6 cifre generato durante un evento di accesso. 0 indica l'esito positivo; altri valori sono errori. Per altre informazioni, vedere la documentazione relativa ai codici di errore di Azure AD o https://login.microsoftonline.com/error. |
| RiskDetail | string | Motivo di uno stato specifico di un utente rischioso, dell'accesso o di un evento di rischio. Valori possibili: nessuno, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, admin ConfirmSigninSafe, ai ConfirmSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser o admin ConfirmSigninCompromised. Il valore none indica che non è stata eseguita alcuna azione sull'utente o sull'accesso finora. Nota: i dettagli per questa proprietà sono disponibili solo per i clienti Azure AD Premium P2. Tutti gli altri clienti vengono restituiti nascosti. |
| RiskEventTypes | string | Questa proprietà è deprecata. |
| RiskEventTypes_V2 | string | Elenco di tipi di eventi di rischio associati all'accesso. Valori possibili: improbabileTravel, anonimizzatoIPAddress, dannosoIPAddress, non familiarerFeatures, malwareInfectedIPAddress, sospettoIPAddress, leakedCredentials, indaginiThreatIntelligence o generico. |
| RiskLevel | string | |
| RiskLevelAggregated | string | Livello di rischio aggregato. Valori possibili: nessuno, basso, medio, alto o nascosto. Il valore nascosto indica che l'utente o l'accesso non è stato abilitato per Azure AD Identity Protection. Nota: i dettagli per questa proprietà sono disponibili solo per i clienti Azure AD Premium P2. Tutti gli altri clienti vengono restituiti nascosti. |
| RiskLevelDuringSignIn | string | Livello di rischio durante l'accesso. Valori possibili: nessuno, basso, medio, alto o nascosto. Il valore nascosto indica che l'utente o l'accesso non è stato abilitato per Azure AD Identity Protection. Nota: i dettagli per questa proprietà sono disponibili solo per i clienti Azure AD Premium P2. Tutti gli altri clienti vengono restituiti nascosti. |
| RiskState | string | Stato di rischio di un utente rischioso, accesso o evento di rischio. Valori possibili: nessuno, confermatoSafe, corretto, ignorato, atRisk o confermato Compromesso. |
| ServicePrincipalId | string | Identificatore dell'applicazione usato per l'accesso. Questo campo viene popolato quando si esegue l'accesso usando un'applicazione. |
| ServicePrincipalName | string | Nome dell'applicazione usato per l'accesso. Questo campo viene popolato quando si esegue l'accesso usando un'applicazione. |
| SessionLifetimePolicies | string | Tutti i criteri di gestione della sessione di accesso condizionale applicati durante l'evento di accesso. |
| SignInIdentifier | string | Identificazione fornita dall'utente per l'accesso. Può essere userPrincipalName, ma viene popolato anche quando un utente accede usando altri identificatori. |
| SignInIdentifierType | string | Tipo di identificatore di accesso. I valori possibili sono: userPrincipalName, phoneNumber, proxyAddress, qrCode, onPremisesUserPrincipalName. |
| SourceSystem | string | Il tipo di agente è stato raccolto dall'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| Stato | dinamico | Stato di accesso. Include il codice di errore e la descrizione dell'errore (in caso di errore di accesso). |
| TimeGenerated | Datetime | |
| TokenIssuerName | string | Il nome del provider di identità. Ad esempio, sts.microsoft.com. |
| TokenIssuerType | string | Tipo di provider di identità. I valori possibili sono: AzureAD o ADFederationServices, AzureADBackupAuth, ADFederationServicesMFAAdapter, NPSExtension. |
| Type | string | Nome della tabella |
| UniqueTokenIdentifier | string | Identificatore di richiesta con codifica base64 univoco usato per tenere traccia dei token rilasciati da Azure AD quando vengono riscattati nei provider di risorse. |
| UserAgent | string | Informazioni sull'agente utente correlate all'accesso. |
| UserDisplayName | string | Nome visualizzato dell'utente. |
| UserId | string | Identificatore dell'utente. |
| UserPrincipalName | string | UPN dell'utente. |
| UserType | string | Identifica se l'utente è un membro o un guest nel tenant. I valori possibili sono: membro e guest. |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per