AADSignInEventsBeta
Gäller för:
- Microsoft Defender XDR
Viktigt
Tabellen AADSignInEventsBeta är för närvarande i betaversion och erbjuds på kort sikt så att du kan jaga genom Microsoft Entra inloggningshändelser. Kunder måste ha en Microsoft Entra ID P2-licens för att samla in och visa aktiviteter för den här tabellen. All information om inloggningsschemat flyttas till slut till tabellen IdentityLogonEvents .
Tabellen AADSignInEventsBeta i det avancerade jaktschemat innehåller information om Microsoft Entra interaktiva och icke-interaktiva inloggningar. Läs mer om inloggningar i Microsoft Entra inloggningsaktivitetsrapporter – förhandsversion.
Använd den här referensen för att skapa frågor som returnerar information från tabellen. Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då posten genererades |
Application |
string |
Program som utförde den inspelade åtgärden |
ApplicationId |
string |
Unik identifierare för programmet |
LogonType |
string |
Typ av inloggningssession, särskilt interaktiv, fjärrinteraktiv (RDP), nätverk, batch och tjänst |
ErrorCode |
int |
Innehåller felkoden om ett inloggningsfel inträffar. Om du vill hitta en beskrivning av en specifik felkod går du till https://aka.ms/AADsigninsErrorCodes. |
CorrelationId |
string |
Unik identifierare för inloggningshändelsen |
SessionId |
string |
Unikt nummer som tilldelats en användare av en webbplatsserver under hela besöket eller sessionen |
AccountDisplayName |
string |
Namn som visas i kontoanvändarens adressbokspost. Detta är vanligtvis en kombination av användarens förnamn, mellan initial och efternamn. |
AccountObjectId |
string |
Unik identifierare för kontot i Microsoft Entra ID |
AccountUpn |
string |
Användarens huvudnamn (UPN) för kontot |
IsExternalUser |
int |
Anger om användaren som loggade in är extern. Möjliga värden: -1 (inte angivet), 0 (inte externt), 1 (extern). |
IsGuestUser |
boolean |
Anger om användaren som loggade in är en gäst i klientorganisationen |
AlternateSignInName |
string |
UPN (On-premises user principal name) för användaren som loggar in på Microsoft Entra ID |
LastPasswordChangeTimestamp |
datetime |
Datum och tid då användaren som senast loggade in ändrade sitt lösenord |
ResourceDisplayName |
string |
Visningsnamn för den använda resursen. Visningsnamnet kan innehålla valfritt tecken. |
ResourceId |
string |
Unik identifierare för den använda resursen |
ResourceTenantId |
string |
Unik identifierare för klientorganisationen för den använda resursen |
DeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för enheten |
AadDeviceId |
string |
Unik identifierare för enheten i Microsoft Entra ID |
OSPlatform |
string |
Plattform för operativsystemet som körs på enheten. Anger specifika operativsystem, inklusive variationer inom samma familj, till exempel Windows 11, Windows 10 och Windows 7. |
DeviceTrustType |
string |
Anger förtroendetypen för enheten som loggade in. Endast för scenarier med hanterade enheter. Möjliga värden är Workplace, AzureAd och ServerAd. |
IsManaged |
int |
Anger om enheten som initierade inloggningen är en hanterad enhet (1) eller inte en hanterad enhet (0) |
IsCompliant |
int |
Anger om enheten som initierade inloggningen är kompatibel (1) eller icke-kompatibel (0) |
AuthenticationProcessingDetails |
string |
Information om autentiseringsprocessorn |
AuthenticationRequirement |
string |
Typ av autentisering som krävs för inloggningen. Möjliga värden: multiFactorAuthentication (MFA krävdes) och singleFactorAuthentication (ingen MFA krävdes). |
TokenIssuerType |
int |
Anger om token utfärdaren är Microsoft Entra ID (0) eller Active Directory Federation Services (AD FS) (1) |
RiskLevelAggregated |
int |
Aggregerad risknivå under inloggningen. Möjliga värden: 0 (aggregerad risknivå har inte angetts), 1 (ingen), 10 (låg), 50 (medel) eller 100 (hög). |
RiskDetails |
int |
Information om det riskfyllda tillståndet för användaren som loggade in |
RiskState |
int |
Anger riskfyllt användartillstånd. Möjliga värden: 0 (ingen), 1 (bekräftat kassaskåp), 2 (reparerad), 3 (avvisad), 4 (i riskzonen) eller 5 (bekräftad komprometterad). |
UserAgent |
string |
Information om användaragenten från webbläsaren eller något annat klientprogram |
ClientAppUsed |
string |
Anger vilken klientapp som används |
Browser |
string |
Information om vilken version av webbläsaren som används för att logga in |
ConditionalAccessPolicies |
string |
Information om de principer för villkorlig åtkomst som tillämpas på inloggningshändelsen |
ConditionalAccessStatus |
int |
Status för de principer för villkorlig åtkomst som tillämpas på inloggningen. Möjliga värden är 0 (principer tillämpas), 1 (försök att tillämpa principer misslyckades) eller 2 (principer tillämpas inte). |
IPAddress |
string |
IP-adress tilldelad till enheten under kommunikationen |
Country |
string |
Kod med två bokstäver som anger det land/den region där klientens IP-adress är geolokaliserad |
State |
string |
Tillstånd där inloggningen inträffade, om det är tillgängligt |
City |
string |
Ort där kontoanvändaren finns |
Latitude |
string |
Koordinaterna från norr till söder för inloggningsplatsen |
Longitude |
string |
Koordinaterna öst till väst för inloggningsplatsen |
NetworkLocationDetails |
string |
Information om nätverksplats för autentiseringsprocessorn för inloggningshändelsen |
RequestId |
string |
Unik identifierare för begäran |
ReportId |
string |
Unik identifierare för händelsen |
Relaterade artiklar
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.