servicePrincipalRiskDetection 资源类型
命名空间:microsoft.graph
表示有关Microsoft Entra租户中检测到的风险服务主体的信息。 Microsoft Entra ID根据各种信号和机器学习持续评估风险。 此 API 提供对Microsoft Entra环境中所有服务主体风险检测的编程访问。
继承自 entity。
有关风险事件的详细信息,请参阅 Microsoft Entra ID 保护。
注意:必须具有 Microsoft Entra Workload ID Premium 许可证才能使用 servicePrincipalRiskDetection API。
方法
| 方法 | 返回类型 | 说明 |
|---|---|---|
| 列出 servicePrincipalRiskDetections | servicePrincipalRiskDetection 集合 | 列出服务主体风险检测及其属性。 |
| 获取 servicePrincipalRiskDetection | servicePrincipalRiskDetection | 获取特定的服务主体风险检测及其属性。 |
属性
| 属性 | 类型 | 说明 |
|---|---|---|
| 活动 | activityType | 指示检测到的风险链接到的活动类型。 可能的值为: signin、 servicePrincipal。 请注意,必须使用 Prefer: include-unknown-enum-members 请求标头来获取以下值 (在此 可演变枚举中的) : servicePrincipal。 |
| activityDateTime | DateTimeOffset | 发生风险活动的日期和时间。 DateTimeOffset 表示使用 ISO 8601 格式的日期和时间信息,并且始终处于 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z |
| additionalInfo | String | 与风险检测关联的其他信息。 此字符串值表示为 JSON 对象,引号已转义。 |
| appId | String | 关联应用程序的唯一标识符。 |
| correlationId | String | 与风险检测关联的登录活动的相关 ID。 如果风险检测未与登录活动关联,则此属性 null 为 。 |
| detectedDateTime | DateTimeOffset | 检测到风险的日期和时间。 DateTimeOffset 表示使用 ISO 8601 格式的日期和时间信息,并且始终处于 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z。 |
| detectionTimingType | riskDetectionTimingType | 检测到的风险的计时,无论是实时还是脱机。 可能的值包括 notDefined、realtime、nearRealtime、offline、unknownFutureValue。 |
| id | String | 风险检测的唯一标识符。 继承自 entity。 |
| ipAddress | String | 提供发生风险的客户端的 IP 地址。 |
| keyIds | 字符串集合 | 与风险检测关联的密钥凭据的唯一标识符。 |
| lastUpdatedDateTime | DateTimeOffset | 上次更新风险检测的日期和时间。 |
| location | signInLocation | 启动登录的位置。 |
| requestId | String | 与风险检测关联的登录活动的请求标识符。 如果风险检测未与登录活动关联,则此属性 null 为 。 支持 $filter(eq)。 |
| riskDetail | riskDetail | 检测到的风险的详细信息。 注意: 此属性的详细信息仅适用于工作负载标识高级版客户。 将返回 hidden没有此许可证的租户中的事件。 可能的值包括 none、hidden、adminConfirmedServicePrincipalCompromised、adminDismissedAllRiskForServicePrincipal。 请注意,必须使用 Prefer: include-unknown-enum-members 请求标头来获取以下值 (在此 可演变枚举中的) : adminConfirmedServicePrincipalCompromised 、 adminDismissedAllRiskForServicePrincipal。 |
| riskEventType | String | 检测到的风险事件类型。 可能的值为:investigationsThreatIntelligence、、generic、adminConfirmedServicePrincipalCompromised、suspiciousSigninsleakedCredentials、anomalousServicePrincipalActivity、maliciousApplication、 。 suspiciousApplication |
| riskLevel | riskLevel | 检测到的风险级别。 注意: 此属性的详细信息仅适用于工作负载标识高级版客户。 将返回 hidden没有此许可证的租户中的事件。 可能的值包括 low、medium、high、hidden、none。 |
| riskState | riskState | 检测到的风险服务主体或登录活动的状态。 可能的值包括 none、dismissed、atRisk、confirmedCompromised。 |
| servicePrincipalDisplayName | String | 服务主体的显示名称。 |
| servicePrincipalId | String | 服务主体的唯一标识符。 支持 $filter(eq)。 |
| source | String | 风险检测的来源。 例如,identityProtection。 |
| tokenIssuerType | tokenIssuerType | 指示检测到的登录风险的令牌颁发者类型。 可能的值为: AzureAD。 |
关系
无。
JSON 表示形式
下面是资源的 JSON 表示形式。
{
"@odata.type": "#microsoft.graph.servicePrincipalRiskDetection",
"id": "String (identifier)",
"requestId": "String",
"correlationId": "String",
"riskEventType": "String",
"riskState": "String",
"riskLevel": "String",
"riskDetail": "String",
"source": "String",
"detectionTimingType": "String",
"activity": "String",
"tokenIssuerType": "String",
"ipAddress": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"activityDateTime": "String (timestamp)",
"detectedDateTime": "String (timestamp)",
"lastUpdatedDateTime": "String (timestamp)",
"servicePrincipalId": "String",
"servicePrincipalDisplayName": "String",
"appId": "String",
"keyIds": [
"String"
],
"additionalInfo": "String"
}
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈