解譯 Azure 監視器中的 Microsoft Entra 登入記錄結構描述
本文說明 Azure 監視器中的 Microsoft Entra 登入記錄結構描述。 登入相關資訊會在 records
物件的 Properties 屬性下提供。
{
"time": "2019-03-12T16:02:15.5522137Z",
"resourceId": "/tenants/<TENANT ID>/providers/Microsoft.aadiam",
"operationName": "Sign-in activity",
"operationVersion": "1.0",
"category": "SignInLogs",
"tenantId": "<TENANT ID>",
"resultType": "50140",
"resultSignature": "None",
"resultDescription": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in.",
"durationMs": 0,
"callerIpAddress": "<CALLER IP ADDRESS>",
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"identity": "Timothy Perkins",
"Level": 4,
"location": "US",
"properties":
{
"id": "0231f922-93fa-4005-bb11-b344eca03c01",
"createdDateTime": "2019-03-12T16:02:15.5522137+00:00",
"userDisplayName": "Timothy Perkins",
"userPrincipalName": "<USER PRINCIPAL NAME>",
"userId": "<USER ID>",
"appId": "<APPLICATION ID>",
"appDisplayName": "Azure Portal",
"ipAddress": "<IP ADDRESS>",
"status": {
"errorCode": 50140,
"failureReason": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in."
},
"clientAppUsed": "Browser",
"userAgent": "<USER AGENT>",
"deviceDetail":
{
"deviceId": "8bfcb982-6856-4402-924c-ada2486321cc",
"operatingSystem": "Windows 10",
"browser": "Chrome 72.0.3626"
},
"location":
{
"city": "Bellevue",
"state": "Washington",
"countryOrRegion": "US",
"geoCoordinates":
{
"latitude": 45,
"longitude": 122
}
},
"correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee",
"conditionalAccessStatus": "notApplied",
"appliedConditionalAccessPolicies": [
{
"id": "ae11ffaa-9879-44e0-972c-7538fd5c4d1a",
"displayName": "HR app access policy",
"enforcedGrantControls": [
"Mfa"
],
"enforcedSessionControls": [],
"result": "notApplied",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "b915a70b-2eee-47b6-85b6-ff4f4a66256d",
"displayName": "MFA for all but global support access",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "830f27fa-67a8-461f-8791-635b7225caf1",
"displayName": "Header Based Application Control",
"enforcedGrantControls": [
"Mfa"
],
"enforcedSessionControls": [],
"result": "notApplied",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "8ed8d7f7-0a2e-437b-b512-9e47bed562e6",
"displayName": "MFA for everyones",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "52924e0f-798b-4afd-8c42-49055c7d6395",
"displayName": "Device compliant",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
}
],
"originalRequestId": "f2f0a254-f831-43b9-bcb0-2646fb645c00",
"isInteractive": true,
"authenticationProcessingDetails": [
{
"key": "Login Hint Present",
"value": "True"
}
],
"networkLocationDetails": [],
"processingTimeInMilliseconds": 238,
"riskDetail": "none",
"riskLevelAggregated": "none",
"riskLevelDuringSignIn": "none",
"riskState": "none",
"riskEventTypes": [],
"riskEventTypes_v2": [],
"resourceDisplayName": "Office 365 SharePoint Online",
"resourceId": "00000003-0000-0ff1-ce00-000000000000",
"resourceTenantId": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
"homeTenantId": "<USER HOME TENANT ID>",
"tokenIssuerName": "",
"tokenIssuerType": "AzureAD",
"authenticationDetails": [
{
"authenticationStepDateTime": "2019-03-12T16:02:15.5522137+00:00",
"authenticationMethod": "Previously satisfied",
"succeeded": true,
"authenticationStepResultDetail": "First factor requirement satisfied by claim in the token",
"authenticationStepRequirement": "Primary authentication",
"StatusSequence": 0,
"RequestSequence": 0
},
{
"authenticationStepDateTime": "2021-08-12T15:48:12.8677211+00:00",
"authenticationMethod": "Previously satisfied",
"succeeded": true,
"authenticationStepResultDetail": "MFA requirement satisfied by claim in the token",
"authenticationStepRequirement": "Multi-factor authentication"
}
],
"authenticationRequirementPolicies": [
{
"requirementProvider": "multiConditionalAccess",
"detail": "Conditional Access"
}
],
"authenticationRequirement": "multiFactorAuthentication",
"alternateSignInName": "<ALTERNATE SIGN IN>",
"signInIdentifier": "<SIGN IN IDENTIFIER>",
"servicePrincipalId": "",
"userType": "Member",
"flaggedForReview": false,
"isTenantRestricted": false,
"autonomousSystemNumber": 8000,
"crossTenantAccessType": "none",
"privateLinkDetails": {},
"ssoExtensionVersion": ""
}
}
欄位描述
欄位名稱 | 關鍵 | 描述 |
---|---|---|
Time | - | 日期和時間 (UTC)。 |
ResourceId | - | 此值未對應,您可以放心地略過此欄位。 |
OperationName | - | 針對登入,這個值一律是 Sign-in activity。 |
OperationVersion | - | 用戶端要求的 REST API 版本。 |
類別 | - | 針對登入,這個值一律是 SignIn。 |
TenantId | - | 和記錄相關聯的租用戶 GUID。 |
ResultType | - | 登入作業的結果可能是 0 (成功) 或錯誤碼 (失敗)。 |
ResultSignature | - | 此值一律是 None。 |
ResultDescription | N/A 或空白 | 提供登入作業的錯誤描述。 |
riskDetail | riskDetail | 提供風險性使用者、登入或風險偵測之特定狀態背後的「原因」。 可能的值為:none 、adminGeneratedTemporaryPassword 、userPerformedSecuredPasswordChange 、userPerformedSecuredPasswordReset 、adminConfirmedSigninSafe 、aiConfirmedSigninSafe 、userPassedMFADrivenByRiskBasedPolicy 、adminDismissedAllRiskForUser 、adminConfirmedSigninCompromised 、unknownFutureValue 。 值 none 表示到目前為止的使用者或登入皆未執行任何動作。 注意:此屬性的詳細資料需要 Microsoft Entra ID P2 授權。 其他授權會傳回值 hidden 。 |
riskEventTypes | riskEventTypes | 與登入相關的風險偵測類型。 可能的值為:unlikelyTravel 、anonymizedIPAddress 、maliciousIPAddress 、unfamiliarFeatures 、malwareInfectedIPAddress 、suspiciousIPAddress 、leakedCredentials 、investigationsThreatIntelligence 、generic 與 unknownFutureValue 。 |
authProcessingDetails | Azure Active Directory Authentication Library | 包含下列格式的系列、程式庫和平台資訊:"Family: Microsoft Authentication Library: ADAL.JS 1.0.0 Platform: JS" |
authProcessingDetails | IsCAEToken | 值為 True 或 False |
riskLevelAggregated | riskLevel | 彙總的風險層級。 可能的值為:none 、low 、medium 、high 、hidden 和 unknownFutureValue 。 值 hidden 表示未針對 Microsoft Entra ID Protection 啟用使用者或登入。 注意:只有 Microsoft Entra ID P2 客戶才能使用此屬性的詳細資料。 其他客戶都會收到傳回的 hidden 。 |
riskLevelDuringSignIn | riskLevel | 登入期間的風險層級。 可能的值為:none 、low 、medium 、high 、hidden 和 unknownFutureValue 。 值 hidden 表示未針對 Microsoft Entra ID Protection 啟用使用者或登入。 注意:只有 Microsoft Entra ID P2 客戶才能使用此屬性的詳細資料。 其他客戶都會收到傳回的 hidden 。 |
riskState | riskState | 回報風險性使用者、登入或風險偵測的狀態。 可能的值為:none 、confirmedSafe 、remediated 、dismissed 、atRisk 、confirmedCompromised 、unknownFutureValue 。 |
DurationMs | - | 此值未對應,您可以放心地略過此欄位。 |
CallerIpAddress | - | 發出要求之用戶端的 IP 位址。 |
CorrelationId | - | 用戶端傳遞的選擇性 GUID。 此值能協助將用戶端作業和伺服器端作業相互關聯,當您在追蹤跨服務的記錄時它會很有用。 |
身分識別 | - | 當您發出要求時,來自出示之權杖的身分識別。 它可以是使用者帳戶、系統帳戶或服務主體。 |
層級 | - | 提供訊息的類型。 針對稽核,它一律是 Informational。 |
Location | - | 提供登入活動的位置。 |
屬性 | - | 列出與登入相關的所有屬性。 |
ResultType | - | 包含登入事件的 Microsoft Entra 錯誤碼 (如果已有錯誤碼)。 |