AADSignInEventsBeta
適用対象:
- Microsoft Defender XDR
重要
テーブルはAADSignInEventsBeta現在ベータ版であり、Microsoft Entraサインイン イベントを探索できるようにするために短期的に提供されています。 お客様は、この表のアクティビティを収集して表示するために、Microsoft Entra ID P2 ライセンスを持っている必要があります。 すべてのサインイン スキーマ情報は、最終的にテーブルに IdentityLogonEvents 移動します。
AADSignInEventsBeta高度なハンティング スキーマのテーブルには、対話型サインインと非対話型サインインMicrosoft Entra関する情報が含まれています。サインイン アクティビティ レポート - プレビューでのサインインMicrosoft Entra詳細を確認します。
このテーブルの情報を返すクエリを作成するには、このレファレンスを使用します。 高度なハンティング スキーマの他のテーブルについては、 高度なハンティング リファレンスを参照してください。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp |
datetime |
レコードが作成された日付と時刻 |
Application |
string |
記録されたアクションを実行したアプリケーション |
ApplicationId |
string |
アプリケーションの一意識別子 |
LogonType |
string |
ログオン セッションの種類(特に対話型、リモート 対話型 (RDP)、ネットワーク、バッチ、およびサービス |
ErrorCode |
int |
サインイン エラーが発生した場合のエラー コードを格納します。 特定のエラー コードの説明については、 を参照してください https://aka.ms/AADsigninsErrorCodes。 |
CorrelationId |
string |
サインイン イベントの一意識別子 |
SessionId |
string |
訪問またはセッションの間、Web サイトのサーバーによってユーザーに割り当てられた一意の番号 |
AccountDisplayName |
string |
アカウント ユーザーのアドレス帳エントリに表示される名前。 これは通常、ユーザーの指定された名前、中間の頭文字、姓の組み合わせです。 |
AccountObjectId |
string |
Microsoft Entra IDのアカウントの一意識別子 |
AccountUpn |
string |
アカウントのユーザー プリンシパル名 (UPN) |
IsExternalUser |
int |
サインインしたユーザーが外部であるかどうかを示します。 使用可能な値: -1 (設定されていません)、0 (外部ではない)、1 (外部)。 |
IsGuestUser |
boolean |
サインインしたユーザーがテナントのゲストであるかどうかを示します |
AlternateSignInName |
string |
Microsoft Entra IDにサインインするユーザーのオンプレミス ユーザー プリンシパル名 (UPN) |
LastPasswordChangeTimestamp |
datetime |
サインインしたユーザーが最後にパスワードを変更した日時 |
ResourceDisplayName |
string |
アクセスされたリソースの表示名。 表示名には任意の文字を含めることができます。 |
ResourceId |
string |
アクセスされたリソースの一意識別子 |
ResourceTenantId |
string |
アクセスされたリソースのテナントの一意識別子 |
DeviceName |
string |
デバイスの完全修飾ドメイン名 (FQDN) |
AadDeviceId |
string |
Microsoft Entra IDのデバイスの一意識別子 |
OSPlatform |
string |
デバイスで実行されているオペレーティング システムのプラットフォーム。 Windows 11、Windows 10、Windows 7 など、同じファミリ内のバリエーションを含む特定のオペレーティング システムを示します。 |
DeviceTrustType |
string |
サインインしたデバイスの信頼の種類を示します。 マネージド デバイスのシナリオの場合のみ。 使用可能な値は、Workplace、AzureAd、ServerAd です。 |
IsManaged |
int |
サインインを開始したデバイスがマネージド デバイス (1) であるか、マネージド デバイスではないかを示します (0) |
IsCompliant |
int |
サインインを開始したデバイスが準拠 (1) か非準拠 (0) かを示します |
AuthenticationProcessingDetails |
string |
認証プロセッサの詳細 |
AuthenticationRequirement |
string |
サインインに必要な認証の種類。 使用可能な値: multiFactorAuthentication (MFA が必要でした) と singleFactorAuthentication (MFA は必要ありませんでした)。 |
TokenIssuerType |
int |
トークン発行者が (0) またはActive Directory フェデレーション サービス (AD FS) (1) Microsoft Entra IDかどうかを示します |
RiskLevelAggregated |
int |
サインイン中のリスク レベルの集計。 使用可能な値: 0 (集計されたリスク レベルが設定されていません)、1 (なし)、10 (低)、50 (中)、または 100 (高)。 |
RiskDetails |
int |
サインインしたユーザーの危険な状態に関する詳細 |
RiskState |
int |
危険なユーザーの状態を示します。 使用可能な値: 0 (なし)、1 (安全確認済み)、2 (修復済み)、3 (無視)、4 (危険にさらされている)、または 5 (侵害が確認されました)。 |
UserAgent |
string |
Web ブラウザーまたはその他のクライアント アプリケーションからのユーザー エージェント情報 |
ClientAppUsed |
string |
使用されているクライアント アプリを示します |
Browser |
string |
サインインに使用されるブラウザーのバージョンに関する詳細 |
ConditionalAccessPolicies |
string |
サインイン イベントに適用される条件付きアクセス ポリシーの詳細 |
ConditionalAccessStatus |
int |
サインインに適用された条件付きアクセス ポリシーの状態。 使用可能な値は、0 (ポリシーが適用)、1 (ポリシーの適用が失敗しました)、または 2 (ポリシーが適用されていない) です。 |
IPAddress |
string |
通信中にデバイスに割り当てられた IP アドレス |
Country |
string |
クライアント IP アドレスが地理的に割り当てられた国/地域を示す 2 文字のコード |
State |
string |
サインインが発生した状態 (使用可能な場合) |
City |
string |
アカウント ユーザーが配置されている市区町村 |
Latitude |
string |
サインイン場所の北から南の座標 |
Longitude |
string |
サインイン場所の東から西の座標 |
NetworkLocationDetails |
string |
サインイン イベントの認証プロセッサのネットワークの場所の詳細 |
RequestId |
string |
要求の一意識別子 |
ReportId |
string |
イベントの一意識別子 |
関連記事
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。