Condividi tramite

AADSignInEventsBeta

  • Articolo

Si applica a:

  • Microsoft Defender XDR

Importante

La AADSignInEventsBeta tabella è attualmente in versione beta e viene offerta a breve termine per consentire di eseguire la ricerca negli eventi di accesso Microsoft Entra. I clienti devono avere una licenza Microsoft Entra ID P2 per raccogliere e visualizzare le attività per questa tabella. Tutte le informazioni sullo schema di accesso verranno infine spostate nella IdentityLogonEvents tabella.

La AADSignInEventsBeta tabella nello schema di ricerca avanzata contiene informazioni su Microsoft Entra accessi interattivi e non interattivi. Altre informazioni sugli accessi in Microsoft Entra report attività di accesso - anteprima.

Utilizzare questo riferimento per creare query che forniscano informazioni dalla tabella. Per informazioni su altre tabelle nello schema di ricerca avanzato, vedere le informazioni di riferimento sulla ricerca avanzata.


Nome colonna Tipo di dati Descrizione
Timestamp datetime Data e ora in cui è stato generato il record
Application string Applicazione che ha eseguito l'azione registrata
ApplicationId string Identificatore univoco per l'applicazione
LogonType string Tipo di sessione di accesso, in particolare interattiva, interattiva remota (RDP), rete, batch e servizio
ErrorCode int Contiene il codice di errore se si verifica un errore di accesso. Per trovare una descrizione di un codice di errore specifico, visitare https://aka.ms/AADsigninsErrorCodes.
CorrelationId string Identificatore univoco dell'evento di accesso
SessionId string Numero univoco assegnato a un utente dal server di un sito Web per la durata della visita o della sessione
AccountDisplayName string Nome visualizzato nella voce della rubrica per l'utente dell'account. Si tratta in genere di una combinazione del nome specificato, dell'iniziale centrale e del cognome dell'utente.
AccountObjectId string Identificatore univoco per l'account in Microsoft Entra ID
AccountUpn string Nome dell'entità utente (UPN) dell'account
IsExternalUser int Indica se l'utente che ha eseguito l'accesso è esterno. Valori possibili: -1 (non impostato), 0 (non esterno), 1 (esterno).
IsGuestUser boolean Indica se l'utente che ha eseguito l'accesso è un guest nel tenant
AlternateSignInName string Nome dell'entità utente locale (UPN) dell'utente che accede a Microsoft Entra ID
LastPasswordChangeTimestamp datetime Data e ora dell'ultima modifica della password dell'utente che ha eseguito l'accesso
ResourceDisplayName string Nome visualizzato della risorsa a cui si accede. Il nome visualizzato può contenere qualsiasi carattere.
ResourceId string Identificatore univoco della risorsa a cui si accede
ResourceTenantId string Identificatore univoco del tenant della risorsa a cui si accede
DeviceName string Nome di dominio completo (FQDN) del dispositivo
AadDeviceId string Identificatore univoco per il dispositivo in Microsoft Entra ID
OSPlatform string Piattaforma del sistema operativo in esecuzione nel dispositivo. Indica sistemi operativi specifici, incluse varianti all'interno della stessa famiglia, ad esempio Windows 11, Windows 10 e Windows 7.
DeviceTrustType string Indica il tipo di attendibilità del dispositivo che ha eseguito l'accesso. Solo per scenari di dispositivi gestiti. I valori possibili sono Workplace, AzureAd e ServerAd.
IsManaged int Indica se il dispositivo che ha avviato l'accesso è un dispositivo gestito (1) o meno un dispositivo gestito (0)
IsCompliant int Indica se il dispositivo che ha avviato l'accesso è conforme (1) o non conforme (0)
AuthenticationProcessingDetails string Dettagli sul processore di autenticazione
AuthenticationRequirement string Tipo di autenticazione necessaria per l'accesso. Valori possibili: multiFactorAuthentication (MFA era obbligatorio) e singleFactorAuthentication (non è stata richiesta alcuna autenticazione a più fattori).
TokenIssuerType int Indica se l'emittente del token è Microsoft Entra ID (0) o Active Directory Federation Services (1)
RiskLevelAggregated int Livello di rischio aggregato durante l'accesso. Valori possibili: 0 (livello di rischio aggregato non impostato), 1 (nessuno), 10 (basso), 50 (medio) o 100 (alto).
RiskDetails int Dettagli sullo stato rischioso dell'utente che ha eseguito l'accesso
RiskState int Indica lo stato utente rischioso. Valori possibili: 0 (nessuno), 1 (sicuro confermato), 2 (correzione), 3 (ignorata), 4 (a rischio) o 5 (confermato compromesso).
UserAgent string Informazioni sull'agente utente dal Web browser o da un'altra applicazione client
ClientAppUsed string Indica l'app client usata
Browser string Dettagli sulla versione del browser usata per accedere
ConditionalAccessPolicies string Dettagli dei criteri di accesso condizionale applicati all'evento di accesso
ConditionalAccessStatus int Stato dei criteri di accesso condizionale applicati all'accesso. I valori possibili sono 0 (criteri applicati), 1 (tentativo di applicazione dei criteri non riuscito) o 2 (criteri non applicati).
IPAddress string Indirizzo IP assegnato al dispositivo durante la comunicazione
Country string Codice di due lettere che indica il paese/area geografica in cui l'indirizzo IP del client è geolocalato
State string Stato in cui si è verificato l'accesso, se disponibile
City string Città in cui si trova l'utente dell'account
Latitude string Coordinate da nord a sud della posizione di accesso
Longitude string Coordinate da est a ovest della posizione di accesso
NetworkLocationDetails string Dettagli del percorso di rete del processore di autenticazione dell'evento di accesso
RequestId string Identificatore univoco della richiesta
ReportId string Identificatore univoco per l'evento

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.