Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważna
9 grudnia 2025 EntraIdSignInEvents r. tabela zastąpi AADSignInEventsBetaelement . Ta zmiana zostanie wprowadzona w celu usunięcia stanu wersji zapoznawczej tej ostatniej i dopasowania jej do istniejącego znakowania produktu. Obie tabele współistnieją, dopóki nie AADSignInEventsBeta zostaną wycofane po określonej dacie.
Aby zapewnić płynne przejście, należy zaktualizować zapytania, które używają AADSignInEventsBeta tabeli do użycia EntraIdSignInEvents przed wspomnianą wcześniej datą. Wykrywanie niestandardowe zostanie zaktualizowane automatycznie i nie będzie wymagać żadnych zmian.
Ważna
Klienci muszą mieć licencję Microsoft Entra ID P2, aby zbierać i wyświetlać działania dla tej tabeli.
Tabela EntraIdSignInEvents w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o Microsoft Entra interaktywnych i nieinterakcyjnych logowaniach. Dowiedz się więcej o logowaniach w Microsoft Entra raportach aktywności logowania — wersja zapoznawcza.
To odwołanie służy do konstruowania zapytań, które zwracają informacje z tabeli.
Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
| Nazwa kolumny | Typ danych | Opis |
|---|---|---|
Timestamp |
datetime |
Data i godzina wygenerowania rekordu |
Application |
string |
Aplikacja, która wykonała zarejestrowaną akcję |
ApplicationId |
string |
Unikatowy identyfikator aplikacji |
LogonType |
string |
Typ sesji logowania, w szczególności interakcyjny, zdalny interakcyjny (RDP), sieć, partia i usługa |
ErrorCode |
int |
Zawiera kod błędu w przypadku wystąpienia błędu logowania. Aby znaleźć opis określonego kodu błędu, odwiedź stronę https://aka.ms/AADsigninsErrorCodes. |
CorrelationId |
string |
Identyfikator zdarzenia logowania |
SessionId |
string |
Unikatowy numer przypisany użytkownikowi przez serwer witryny internetowej na czas trwania wizyty lub sesji |
AccountDisplayName |
string |
Nazwa wyświetlana we wpisie książki adresowej dla użytkownika konta. Zazwyczaj jest to kombinacja podanej nazwy, środkowego inicjała i nazwiska użytkownika. |
AccountObjectId |
string |
Unikatowy identyfikator konta w Microsoft Entra ID |
AccountUpn |
string |
Główna nazwa użytkownika (UPN) konta |
IsExternalUser |
int |
Wskazuje, czy zalogowany użytkownik jest zewnętrzny. Możliwe wartości: -1 (nie ustawiono), 0 (nie zewnętrzne), 1 (zewnętrzne). |
IsGuestUser |
boolean |
Wskazuje, czy zalogowany użytkownik jest gościem w dzierżawie |
AlternateSignInName |
string |
Główna nazwa użytkownika lokalnego (UPN) użytkownika logującego się do Microsoft Entra ID |
LastPasswordChangeTimestamp |
datetime |
Data i godzina ostatniej zmiany hasła przez użytkownika zalogowanego |
ResourceDisplayName |
string |
Nazwa wyświetlana zasobu, do którego uzyskano dostęp. Nazwa wyświetlana może zawierać dowolny znak. |
ResourceId |
string |
Unikatowy identyfikator zasobu, do których uzyskano dostęp |
ResourceTenantId |
string |
Unikatowy identyfikator dzierżawy zasobu, do których uzyskano dostęp |
DeviceName |
string |
W pełni kwalifikowana nazwa domeny (FQDN) urządzenia |
EntraIdDeviceId |
string |
Unikatowy identyfikator urządzenia w Microsoft Entra ID |
OSPlatform |
string |
Platforma systemu operacyjnego działającego na urządzeniu. Wskazuje określone systemy operacyjne, w tym odmiany w tej samej rodzinie, takie jak Windows 11, Windows 10 i Windows 7. |
DeviceTrustType |
string |
Wskazuje typ zaufania urządzenia, które się zalogowało. Tylko w przypadku scenariuszy urządzeń zarządzanych. Możliwe wartości to Workplace, AzureAd i ServerAd. |
IsManaged |
int |
Wskazuje, czy urządzenie, które zainicjowało logowanie, jest urządzeniem zarządzanym (1), czy nie urządzeniem zarządzanym (0) |
IsCompliant |
int |
Wskazuje, czy urządzenie, które zainicjowało logowanie, jest zgodne (1) czy niezgodne (0) |
AuthenticationProcessingDetails |
string |
Szczegóły dotyczące procesora uwierzytelniania |
AuthenticationRequirement |
string |
Typ uwierzytelniania wymagany do logowania. Możliwe wartości: multiFactorAuthentication (MFA był wymagany) i singleFactorAuthentication (nie było wymagane uwierzytelnianie wieloskładnikowe). |
TokenIssuerType |
int |
Wskazuje, czy wystawca tokenu jest Microsoft Entra ID (0) lub Active Directory Federation Services (1) |
RiskLevelAggregated |
int |
Poziom ryzyka zagregowanego podczas logowania. Możliwe wartości: 0 (nie ustawiono zagregowanego poziomu ryzyka), 1 (brak), 10 (niski), 50 (średni) lub 100 (wysoki). |
RiskDetails |
int |
Szczegóły dotyczące ryzykownego stanu zalogowanego użytkownika |
RiskState |
int |
Wskazuje ryzykowny stan użytkownika. Możliwe wartości: 0 (brak), 1 (potwierdzone bezpieczne), 2 (skorygowane), 3 (odrzucone), 4 (zagrożone) lub 5 (potwierdzone naruszone). |
UserAgent |
string |
Informacje o agentze użytkownika z przeglądarki internetowej lub innej aplikacji klienckiej |
ClientAppUsed |
string |
Wskazuje używaną aplikację kliencką |
Browser |
string |
Szczegóły dotyczące wersji przeglądarki używanej do logowania |
ConditionalAccessPolicies |
string |
Szczegóły zasad dostępu warunkowego stosowanych do zdarzenia logowania |
ConditionalAccessStatus |
int |
Stan zasad dostępu warunkowego stosowanych do logowania. Możliwe wartości to 0 (zastosowane zasady), 1 (próba zastosowania zasad nie powiodła się) lub 2 (zasady nie są stosowane). |
IPAddress |
string |
Adres IP przypisany do urządzenia podczas komunikacji |
Country |
string |
Dwuliterowy kod wskazujący kraj/region, w którym adres IP klienta jest geolokalizowany |
State |
string |
Stan, w którym nastąpiło logowanie, jeśli jest dostępny |
City |
string |
Miasto, w którym znajduje się użytkownik konta |
Latitude |
string |
Współrzędne północ-południe lokalizacji logowania |
Longitude |
string |
Współrzędne ze wschodu na zachód lokalizacji logowania |
NetworkLocationDetails |
string |
Szczegóły lokalizacji sieciowej procesora uwierzytelniania zdarzenia logowania |
RequestId |
string |
Unikatowy identyfikator żądania |
ReportId |
string |
Unikatowy identyfikator zdarzenia |
EndpointCall |
string |
Informacje o punkcie końcowym Microsoft Entra ID, do których wysłano żądanie, oraz typie żądania wysłanego podczas logowania. |
Artykuły pokrewne
- EntraIdSpnSignInEvents
- Omówienie zaawansowanego wyszukiwania zagrożeń
- Nauka języka zapytań
- Analiza schematu
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.