Тип ресурса signIn
Пространство имен: microsoft.graph
Важно!
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Предоставляет сведения о входе пользователей или входе в приложения в вашем каталоге. Для скачивания журналов входа с помощью microsoft API Graph необходимо иметь лицензию на Microsoft Entra ID P1 или P2.
Доступность журналов входа регулируется политиками хранения данных Microsoft Entra.
Примечание.
Этот API возвращает только интерактивные входы, если не задан явный фильтр. Например, фильтр для получения неинтерактивных входов — .https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=signInEventTypes/any(t: t eq 'nonInteractiveUser')
Методы
| Метод | Возвращаемый тип | Описание |
|---|---|---|
| Список | signIn | Чтение свойств и связей объектов signIn. |
| Получение | signIn | Считывание свойств и связей объекта signIn. |
| Подтвердить скомпрометированный | Нет | Пометьте событие в журналах входа Microsoft Entra как рискованное. |
| Подтверждение безопасности | Нет | пометьте событие в Microsoft Entra журналах входа как безопасное. |
Свойства
| Свойство | Тип | Описание |
|---|---|---|
| appDisplayName | String | Имя приложения, отображаемое в Центр администрирования Microsoft Entra. Поддерживает $filter (eq, startsWith). |
| appId | String | Идентификатор приложения в Microsoft Entra ID. Поддерживает $filter (eq). |
| appliedConditionalAccessPolicies | Коллекция appliedConditionalAccessPolicy | Список политик условного доступа, которые активирует соответствующее действие входа. Приложениям требуется больше привилегий, связанных с условным доступом, для чтения сведений об этом свойстве. Дополнительные сведения см. в разделе Разрешения для просмотра примененных политик условного доступа (ЦС) в входах. |
| appliedEventListeners | Коллекция appliedAuthenticationEventListener | Подробные сведения о прослушивателях, таких как Azure Logic Apps и Функции Azure, которые активировали соответствующие события в событии входа. |
| appTokenProtectionStatus | tokenProtectionStatus | Защита маркеров создает криптографически безопасную связь между маркером и устройством, на которое он выдан. Это поле указывает, привязан ли маркер приложения к устройству. |
| authenticationAppDeviceDetails | authenticationAppDeviceDetails | Содержит сведения о приложении и устройстве, используемых на этапе проверки подлинности Microsoft Entra. |
| authenticationAppPolicyEvaluationDetails | коллекция authenticationAppPolicyDetails | Содержит сведения о политиках Microsoft Entra, применяемых к пользователю и клиентскому приложению проверки подлинности на этапе проверки подлинности. |
| authenticationContextClassReferences | коллекция authenticationContext | Содержит коллекцию значений, представляющих контексты проверки подлинности условного доступа, применяемые к входу. |
| authenticationDetails | коллекция authenticationDetail | Результат попытки проверки подлинности и дополнительные сведения о методе проверки подлинности. |
| authenticationMethodsUsed | Коллекция строк | Используемые методы проверки подлинности. Возможные значения: SMS, Authenticator App, PasswordApp Verification code, FIDO, , PTAили PHS. |
| authenticationProcessingDetails | Коллекция keyValue | Дополнительные сведения об обработке проверки подлинности, например имя агента для PTA и PHS или имя сервера или фермы для федеративной проверки подлинности. |
| authenticationProtocol | protocolType | Списки тип протокола или тип предоставления, используемый при проверке подлинности. Возможные значения: , , , , , saml20, deviceCode, unknownFutureValue, authenticationTransfer, . nativeAuthwsFederationropcoAuth2none Используйте none для всех аутентификаций, не имеющих определенного значения в этом списке. Чтобы получить следующие значения в этой развиваемой перечислении, необходимо использовать Prefer: include-unknown-enum-members заголовок запроса: authenticationTransfer, nativeAuth. |
| authenticationRequirement | String | Он содержит самый высокий уровень проверки подлинности, необходимый для всех шагов входа, чтобы войти в систему. Поддерживает $filter (eq, startsWith). |
| authenticationRequirementPolicies | коллекция authenticationRequirementPolicy | Источники требований к проверке подлинности, такие как условный доступ, MFA для каждого пользователя, защита идентификации и параметры безопасности по умолчанию. |
| autonomousSystemNumber | Int32 | Номер автономной системы (ASN) сети, используемой субъектом. |
| azureResourceId | String | Содержит полный идентификатор azure Resource Manager ресурса Azure, к который был доступ во время входа. |
| clientAppUsed | String | Устаревший клиент, используемый для входа. Например, Browser, Exchange ActiveSync, Modern clients, IMAP, MAPI, SMTPили POP. Поддерживает $filter (eq). |
| clientCredentialType | clientCredentialType | Описывает тип учетных данных, предоставленных клиентом пользователя или субъектом-службой Microsoft Entra ID для проверки подлинности. Это свойство можно просмотреть, чтобы отслеживать и устранять менее безопасные типы учетных данных или watch для клиентов и субъектов-служб с помощью аномальных типов учетных данных. Возможные значения: none, clientSecret, clientAssertion, federatedIdentityCredential, managedIdentity, certificate, unknownFutureValue. |
| conditionalAccessAudiences | String | Список, указывающий аудиторию, которую условный доступ оценил во время события входа. Поддерживает $filter (eq). |
| conditionalAccessStatus | conditionalAccessStatus | Состояние активированной политики условного доступа. Возможные значения: success, failure, notAppliedили unknownFutureValue. Поддерживает $filter (eq). |
| correlationId | String | Идентификатор, который клиент отправляет при инициации входа. Это свойство используется для устранения неполадок с соответствующим действием входа при запросе в службу поддержки. Поддерживает $filter (eq). |
| createdDateTime | DateTimeOffset | Дата и время начала входа. Тип Timestamp всегда представлен в формате времени UTC. Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z. Поддерживает $orderby, $filter (eq, leи ge). |
| crossTenantAccessType | signInAccessType | Описывает тип доступа между арендаторами, используемый субъектом для доступа к ресурсу. Возможные значения: none, b2bCollaboration, b2bDirectConnect, microsoftSupport, serviceProvider, unknownFutureValue, passthrough. Кроме того, необходимо использовать Prefer: include-unknown-enum-members заголовок запроса, чтобы получить следующее значение или значения в этом развиваемом перечислении: passthrough. Если вход не пересек границы клиента, значение равно none. |
| deviceDetail | deviceDetail | Сведения об устройстве, с которого выполнен вход. Включает такие сведения, как идентификатор устройства, ОС и браузер. Поддерживает $filter свойства (eq, startsWith) в браузере и операционной системе . |
| federatedCredentialId | String | Содержит идентификатор учетных данных федеративного удостоверения приложения, если для входа использовались учетные данные федеративного удостоверения. |
| flaggedForReview | Логический | Во время неудачного входа пользователь может нажать кнопку в портал Azure, чтобы отметить событие сбоя для администраторов клиента. Если пользователь нажимает кнопку для пометки неудачного входа, это значение равно true. |
| globalSecureAccessIpAddress | String | IP-адрес глобального безопасного доступа, с помощью чего был инициирован вход. |
| homeTenantId | String | Идентификатор клиента пользователя, инициирующего вход. Неприменимо для входа в систему с управляемым удостоверением или субъектом-службой. |
| homeTenantName | String | Для входа пользователей — идентификатор клиента, членом которому является пользователь. Заполняется только в тех случаях, когда домашний клиент предоставляет утвердительное согласие на Microsoft Entra ID для отображения содержимого клиента. |
| id | String | Идентификатор, представляющий действие входа. Наследуется от сущности. Поддерживает $filter (eq). |
| incomingTokenType | incomingTokenType | Указывает типы маркеров, представленные Microsoft Entra ID для проверки подлинности субъекта при входе. Возможные значения: none, primaryRefreshToken, saml11, saml20, unknownFutureValue, remoteDesktopToken, refreshToken. ПРИМЕЧАНИЕ Microsoft Entra ID могли также использовать типы маркеров, не перечисленные в этом типе перечисления, для проверки подлинности субъекта. Не выводите об отсутствии маркера, если он не является одним из перечисленных типов. Кроме того, необходимо использовать Prefer: include-unknown-enum-members заголовок запроса, чтобы получить следующее значение или значения в этой развиваемой перечислении: remoteDesktopToken, refreshToken. |
| ipAddress | String | IP-адрес клиента, из которого был выполнен вход. Поддерживает $filter (eq, startsWith). |
| ipAddressFromResourceProvider | String | IP-адрес, используемый пользователем для обращения к поставщику ресурсов, используемый для определения соответствия условного доступа для некоторых политик. Например, когда пользователь взаимодействует с Exchange Online, IP-адрес, полученный от пользователя в Microsoft Exchange, можно записать здесь. Это значение часто nullимеет значение . |
| isInteractive | Boolean | Указывает, является ли вход пользователя интерактивным. При интерактивном входе пользователь предоставляет фактор проверки подлинности для Microsoft Entra ID. К этим факторам относятся пароли, ответы на запросы MFA, биометрические факторы или QR-коды, которые пользователь предоставляет Microsoft Entra ID или связанному приложению. При неинтерактивном входе пользователь не предоставляет фактор проверки подлинности. Вместо этого клиентское приложение использует токен или код для проверки подлинности или доступа к ресурсу от имени пользователя. Неинтерактивные входы обычно используются клиентом для входа от имени пользователя в процессе, прозрачном для пользователя. |
| isTenantRestricted | Логический | Показывает, подпадает ли для события входа политика ограничения клиента Microsoft Entra. |
| isThroughGlobalSecureAccess | Логический | Указывает, прошел ли пользователь через службу глобального безопасного доступа. |
| location | signInLocation | Город, штат и двухбуквенный код страны, откуда произошел вход. Поддерживает $filter (eq, startsWith) для свойств city, state и countryOrRegion . |
| managedServiceIdentity | managedIdentity | Содержит сведения об управляемом удостоверении, используемом для входа, включая его тип, связанный идентификатор ресурса Azure Resource Manager (ARM) и сведения о федеративном маркере. |
| networkLocationDetails | Коллекция networkLocationDetail | Сведения о сетевом расположении, включая тип используемой сети и ее имена. |
| originalRequestId | String | Идентификатор запроса первого запроса в последовательности проверки подлинности. Поддерживает $filter (eq). |
| originalTransferMethod | originalTransferMethods | Метод передачи, используемый для инициации сеанса во всех последующих запросах. Допустимые значения: none, deviceCodeFlow, authenticationTransfer, unknownFutureValue. |
| privateLinkDetails | privateLinkDetails | Содержит сведения о политике Microsoft Entra Приватный канал, связанной с событием входа. |
| processingTimeInMilliseconds | Int | Время обработки запроса в миллисекундах в службе безопасности ACTIVE. |
| resourceDisplayName | String | Имя ресурса, в который вошел пользователь. Поддерживает $filter (eq). |
| resourceId | String | Идентификатор ресурса, в который вошел пользователь. Поддерживает $filter (eq). |
| resourceServicePrincipalId | String | Идентификатор субъекта-службы, представляющего целевой ресурс в событии входа. |
| resourceTenantId | String | Идентификатор клиента ресурса, на который ссылается при входе. |
| riskDetail | riskDetail | Причина определенного состояния пользователя с риском, входа или события риска. Возможные значения: none, , adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, adminConfirmedSigninSafeuserPerformedSecuredPasswordReset, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, adminConfirmedUserCompromised, unknownFutureValue, , adminConfirmedServicePrincipalCompromised, , adminDismissedAllRiskForServicePrincipal, m365DAdminDismissedDetection, userChangedPasswordOnPremises, adminDismissedRiskForSignIn, . adminConfirmedAccountSafe Необходимо использовать Prefer: include-unknown-enum-members заголовок запроса, чтобы получить следующее значение или значения в этом изменяемом перечислении: adminConfirmedServicePrincipalCompromised, adminDismissedAllRiskForServicePrincipal, m365DAdminDismissedDetection, userChangedPasswordOnPremises, adminDismissedRiskForSignIn, . adminConfirmedAccountSafe Это значение none означает, что Microsoft Entra обнаружение риска до сих пор не помечает пользователя или входа как рискованное событие. Поддерживает $filter (eq).Заметка: Сведения об этом свойстве доступны только для клиентов Microsoft Entra ID P2. Все остальные клиенты возвращаются hidden. |
| riskEventTypes_v2 | Коллекция строк | Список типов событий риска, связанных с входом. Возможные значения: unlikelyTravel, anonymizedIPAddress, maliciousIPAddress, unfamiliarFeatures, malwareInfectedIPAddress, suspiciousIPAddress, leakedCredentials, investigationsThreatIntelligence, genericили unknownFutureValue. Поддерживает $filter (eq, startsWith). |
| riskLevelAggregated | riskLevel | Агрегированный уровень риска. Возможные значения: none, low, highmedium, , hiddenили unknownFutureValue. Значение hidden означает, что пользователь или вход не был включен для Защита Microsoft Entra ID. Поддерживает $filter (eq). Заметка: Сведения об этом свойстве доступны только для клиентов Microsoft Entra ID P2. Все остальные клиенты возвращаются hidden. |
| riskLevelDuringSignIn | riskLevel | Уровень риска во время входа. Возможные значения: none, low, highmedium, , hiddenили unknownFutureValue. Значение hidden означает, что пользователь или вход не был включен для Защита Microsoft Entra ID. Поддерживает $filter (eq). Заметка: Сведения об этом свойстве доступны только для клиентов Microsoft Entra ID P2. Все остальные клиенты возвращаются hidden. |
| riskState | riskState | Состояние риска пользователя с риском, входа или события риска. Возможные значения: none, confirmedSafe, dismissedremediated, atRisk, , confirmedCompromisedили unknownFutureValue. Поддерживает $filter (eq). |
| servicePrincipalCredentialKeyId | String | Уникальный идентификатор учетных данных ключа, используемых субъектом-службой для проверки подлинности. |
| servicePrincipalCredentialThumbprint | String | Отпечаток сертификата, используемый субъектом-службой для проверки подлинности. |
| servicePrincipalId | String | Идентификатор приложения, используемый для входа. Это поле заполняется при входе с помощью приложения. Поддерживает $filter (eq, startsWith). |
| servicePrincipalName | String | Имя приложения, используемое для входа. Это поле заполняется при входе с помощью приложения. Поддерживает $filter (eq, startsWith). |
| sessionLifetimePolicies | коллекция sessionLifetimePolicy | Все политики управления сеансами условного доступа, примененные во время входа. |
| signInEventTypes | Коллекция строк | Указывает категорию входа, которую представляет событие. Для входов пользователей категория может быть interactiveUser или nonInteractiveUser и соответствует значению свойства isInteractive ресурса signin. Для входа с управляемым удостоверением используется managedIdentityкатегория . Для входа субъектов-служб категория — servicePrincipal. Возможные значения: interactiveUser, nonInteractiveUser, servicePrincipal, managedIdentity, unknownFutureValue. Поддерживает $filter (eq, ne). |
| signInIdentifier | String | Идентификатор, предоставленный пользователем для входа. Это может быть userPrincipalName, но он также заполняется, когда пользователь входит в систему с использованием других идентификаторов. |
| signInIdentifierType | signInIdentifierType | Тип идентификатора входа. Возможные значения: userPrincipalName, phoneNumber, proxyAddress, qrCode, onPremisesUserPrincipalName, unknownFutureValue. |
| signInTokenProtectionStatus | tokenProtectionStatus | Защита маркеров создает криптографически безопасную связь между маркером и устройством, на которое он выдан. Это поле указывает, был ли маркер входа привязан к устройству. Допустимые значения: none, bound, unbound, unknownFutureValue. |
| status | signInStatus | Состояние входа. Включает код ошибки и описание ошибки (для сбоя входа). Поддерживает $filter (eq) для свойства errorCode . |
| tokenIssuerName | String | Имя поставщика удостоверений. Например, sts.microsoft.com. Поддерживает $filter (eq). |
| tokenIssuerType | tokenIssuerType | Тип поставщика удостоверений. Допустимые значения: AzureAD, ADFederationServices, UnknownFutureValue, AzureADBackupAuth, ADFederationServicesMFAAdapter, NPSExtension. Необходимо использовать Prefer: include-unknown-enum-members заголовок запроса, чтобы получить следующие значения в этой развиваемой перечислении: AzureADBackupAuth , ADFederationServicesMFAAdapter , NPSExtension. |
| uniqueTokenIdentifier | String | Уникальный идентификатор запроса в кодировке Base64, используемый для отслеживания маркеров, выданных Microsoft Entra ID по мере их активации у поставщиков ресурсов. |
| userAgent | String | Сведения об агенте пользователя, относящиеся к входу. Поддерживает $filter (eq, startsWith). |
| userDisplayName | String | Отображаемое имя пользователя. Поддерживает $filter (eq, startsWith). |
| userId | String | Идентификатор пользователя. Поддерживает $filter (eq). |
| userPrincipalName | String | Имя участника-пользователя, инициировавшем вход. Это значение всегда находится в нижнем регистре. Для гостевых пользователей, значения которых в объекте user обычно содержатся #EXT# перед доменной частью, это свойство сохраняет значение как в нижнем регистре, так и в формате true. Например, в то время как объект пользователя хранит AdeleVance_fabrikam.com#EXT#@contoso.com, журналы входа хранят adelevance@fabrikam.com.Поддерживает $filter (eq, startsWith). |
| userType | signInUserType | Определяет, является ли пользователь членом или гостем в клиенте. Возможные значения: member, guest, unknownFutureValue. |
| mfaDetail (не рекомендуется) | mfaDetail | Это свойство устарело. |
Связи
Нет
Представление JSON
В следующем представлении JSON показан тип ресурса.
{
"@odata.type": "#microsoft.graph.signIn",
"appDisplayName": "String",
"appId": "String",
"authenticationContextClassReferences": [{"@odata.type": "microsoft.graph.authenticationContext"}],
"appliedConditionalAccessPolicies": [
{
"@odata.type": "microsoft.graph.appliedConditionalAccessPolicy"
}
],
"appliedEventListeners": [
{
"@odata.type": "microsoft.graph.appliedAuthenticationEventListener"
}
],
"appTokenProtectionStatus": {
"@odata.type": "microsoft.graph.tokenProtectionStatus"
},
"authenticationAppDeviceDetails": {
"@odata.type": "microsoft.graph.authenticationAppDeviceDetails"
},
"authenticationAppPolicyEvaluationDetails": [
{
"@odata.type": "microsoft.graph.authenticationAppPolicyDetails"
}
],
"authenticationDetails": [
{
"@odata.type": "microsoft.graph.authenticationDetail"
}
],
"authenticationMethodsUsed": [
"String"
],
"authenticationProcessingDetails": [
{
"@odata.type": "microsoft.graph.keyValue"
}
],
"authenticationRequirement": "String",
"authenticationRequirementPolicies": [
{
"@odata.type": "microsoft.graph.authenticationRequirementPolicy"
}
],
"autonomousSystemNumber": "Integer",
"azureResourceId": "String",
"clientAppUsed": "String",
"conditionalAccessStatus": "String",
"correlationId": "String",
"createdDateTime": "String (timestamp)",
"crossTenantAccessType": "String",
"deviceDetail": {
"@odata.type": "microsoft.graph.deviceDetail"
},
"federatedCredentialId": "String",
"flaggedForReview": "Boolean",
"id": "String (identifier)",
"homeTenantId": "String",
"homeTenantName": "String",
"isInteractive": "Boolean",
"isTenantRestricted": "Boolean",
"ipAddress": "String",
"ipAddressFromResourceProvider": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"mfaDetail": {
"@odata.type": "microsoft.graph.mfaDetail"
},
"networkLocationDetails": [
{
"@odata.type": "microsoft.graph.networkLocationDetail"
}
],
"originalRequestId": "String",
"originalTransferMethod": "String",
"privateLinkDetails": {
"@odata.type": "microsoft.graph.privateLinkDetails"
},
"processingTimeInMilliseconds": "Integer",
"riskDetail": "String",
"riskEventTypes_v2": [
"String"
],
"riskLevelAggregated": "String",
"riskLevelDuringSignIn": "String",
"riskState": "String",
"resourceDisplayName": "String",
"resourceId": "String",
"resourceTenantId": "String",
"servicePrincipalCredentialKeyId": "String",
"servicePrincipalCredentialThumbprint": "String",
"servicePrincipalId": "String",
"servicePrincipalName": "String",
"sessionLifetimePolicies": [{"@odata.type": "microsoft.graph.sessionLifetimePolicy"}],
"signInEventTypes": [
"String"
],
"signInIdentifier": "String",
"signInIdentifierType": "String",
"signInTokenProtectionStatus": "String",
"status": {
"@odata.type": "microsoft.graph.signInStatus"
},
"tokenIssuerName": "String",
"tokenIssuerType": "String",
"userAgent": "String",
"userDisplayName": "String",
"userId": "String",
"userPrincipalName": "String",
"userType": "String"
}