重要事項
2025 年 12 月 9 日,該 AADSignInEventsBeta 表將被 EntraIdSignInEvents取代。 將進行此變更,以移除前者的預覽狀態,並使其與現有的產品品牌保持一致。
桌子已經 EntraIdSignInEvents 有空位了。 為確保順利過渡,請務必在先前提到的日期之前更新使用表格EntraIdSignInEvents使用的AADSignInEventsBeta查詢。
重要事項
該AADSignInEventsBeta表目前處於測試階段,並且正在短期內提供,以允許您搜尋 Microsoft Entra 登錄事件。 客戶必須擁有 Microsoft Entra ID P2 授權,才能收集和檢視此數據表的活動。
AADSignInEventsBeta進階搜捕架構中的資料表包含 Microsoft Entra 互動式和非互動式登入的相關資訊。深入瞭解 Microsoft Entra 登入活動報告 - 預覽版中的登入。
使用這個參考來建立從表格取回之資訊的查詢。
如需進階搜捕架構中其他資料表的相關資訊,請參閱 進階搜捕參考。
| 資料行名稱 | 資料類型 | 描述 |
|---|---|---|
Timestamp |
datetime |
記錄的產生日期和時間 |
Application |
string |
執行記錄動作的應用程式 |
ApplicationId |
string |
應用程式的唯一識別碼 |
LogonType |
string |
登入會話類型,特別是互動式、遠端互動式 (RDP) 、網路、批次和服務 |
ErrorCode |
int |
如果發生登入錯誤,則包含錯誤碼。 若要尋找特定錯誤代碼的說明,請造訪 https://aka.ms/AADsigninsErrorCodes。 |
CorrelationId |
string |
登入事件的識別碼 |
SessionId |
string |
網站伺服器在造訪或工作階段期間指派給使用者的唯一編號 |
AccountDisplayName |
string |
帳戶使用者的通訊錄項目中顯示的名稱。 這通常是使用者的姓名、中間名首字母和姓氏的組合。 |
AccountObjectId |
string |
Microsoft Entra ID 中帳戶的唯一識別碼 |
AccountUpn |
string |
使用者主體名稱 (帳戶的 UPN) |
IsExternalUser |
int |
指出登入的使用者是否為外部使用者。 可能的值:-1 (未設定) ,0 (未設定外部) ,1 (外部) 。 |
IsGuestUser |
boolean |
指出登入的使用者是否為租使用者中的來賓 |
AlternateSignInName |
string |
內部部署使用者主體名稱 (登入 Microsoft Entra ID 之使用者的 UPN) |
LastPasswordChangeTimestamp |
datetime |
登入的使用者上次變更密碼的日期和時間 |
ResourceDisplayName |
string |
存取資源的顯示名稱。 顯示名稱可以包含任何字元。 |
ResourceId |
string |
所存取資源的唯一識別碼 |
ResourceTenantId |
string |
所存取資源租用戶的唯一識別碼 |
DeviceName |
string |
裝置的完整網域名稱 (FQDN) |
AadDeviceId |
string |
Microsoft Entra ID 中裝置的唯一識別碼。 這是舊版裝置識別碼欄,將由 EntraIdDeviceId取代。 |
EntraIdDeviceId |
string |
Microsoft Entra ID 中裝置的唯一識別碼。 |
OSPlatform |
string |
裝置上執行的作業系統平台。 表示特定作業系統,包括同一系列內的變體,例如 Windows 11、Windows 10 和 Windows 7。 |
DeviceTrustType |
string |
指出登入之裝置的信任類型。 僅適用於受管理裝置案例。 可能的值為 Workplace、AzureAd 和 ServerAd。 |
IsManaged |
int |
指出啟動登入的裝置是否為受管理裝置 (1) ,還是受管理裝置 (0) |
IsCompliant |
int |
指出起始登入的裝置是否符合 1) (規範,還是不符合規範 (0) |
AuthenticationProcessingDetails |
string |
驗證處理器的詳細資料 |
AuthenticationRequirement |
string |
登入所需的驗證類型。 可能的值:multiFactorAuthentication () 需要 MFA,而 singleFactorAuthentication (不需要 MFA) 。 |
TokenIssuerType |
int |
指出權杖發行者是Microsoft Entra識別碼 (0) 還是Active Directory 同盟服務 (1) |
RiskLevelAggregated |
int |
登入期間的彙總風險層級。 可能的值:0 (彙總風險等級未設定) 、1 (無) 、10 (低) 、50 (中) 或 100 (高) 。 |
RiskDetails |
int |
登入之使用者風險狀態的詳細資料 |
RiskState |
int |
指出有風險的使用者狀態。 可能的值:0 (無) 、1 (確認安全) 、2 (補救) 、3 (已駁回) 、4 (有風險) ,或 5 (確認已遭入侵) 。 |
UserAgent |
string |
來自網頁瀏覽器或其他用戶端應用程式的使用者代理程式資訊 |
ClientAppUsed |
string |
指出使用的用戶端應用程式 |
Browser |
string |
用於登入的瀏覽器版本的詳細資料 |
ConditionalAccessPolicies |
string |
套用至登入事件之條件式存取原則的詳細資料 |
ConditionalAccessStatus |
int |
套用至登入的條件式存取原則狀態。 可能的值為 0 個 (套用) 原則、1 個嘗試套用原則失敗) (或 2 個未套用原則) (。 |
IPAddress |
string |
通訊期間指派給裝置的 IP 位址 |
Country |
string |
兩個字母的代碼,指出用戶端 IP 位址地理位置所在的國家/地區 |
State |
string |
狀態登錄發生的位置 (如果有的話) |
City |
string |
帳戶使用者所在的城市 |
Latitude |
string |
簽到位置的北向南座標 |
Longitude |
string |
登入位置的東向西座標 |
NetworkLocationDetails |
string |
登入事件驗證處理器的網路位置詳細資料 |
RequestId |
string |
要求的唯一識別碼 |
ReportId |
string |
事件的唯一識別碼 |
EndpointCall |
string |
要求傳送至之 Microsoft Entra ID 端點,以及登入期間傳送的要求類型的相關資訊。 |
相關文章
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。