Freigeben über

AADSignInEventsBeta

  • Artikel

Gilt für:

  • Microsoft Defender XDR

Wichtig

Die AADSignInEventsBeta Tabelle befindet sich derzeit in der Betaphase und wird kurzfristig angeboten, damit Sie Microsoft Entra Anmeldeereignisse durchsuchen können. Kunden benötigen eine Microsoft Entra ID P2-Lizenz, um Aktivitäten für diese Tabelle zu sammeln und anzuzeigen. Alle Anmeldeschemainformationen werden schließlich in die IdentityLogonEvents Tabelle verschoben.

Die AADSignInEventsBeta Tabelle im Schema für die erweiterte Suche enthält Informationen zu Microsoft Entra interaktiven und nicht interaktiven Anmeldungen. Erfahren Sie mehr über Anmeldungen in Microsoft Entra Anmeldeaktivitätsberichten – Vorschau.

Verwenden Sie diese Referenz, um Abfragen zu erstellen, die Informationen aus der Tabelle zurückgeben. Informationen zu anderen Tabellen im Schema für die erweiterte Suche finden Sie in der Referenz zur erweiterten Suche.


Spaltenname Datentyp Beschreibung
Timestamp datetime Datum und Uhrzeit, wann der Datensatz generiert wurde
Application string Anwendung, die die aufgezeichnete Aktion ausgeführt hat
ApplicationId string Eindeutiger Bezeichner für die Anwendung
LogonType string Typ der Anmeldesitzung, insbesondere interaktiv, Remote Interactive (RDP), Netzwerk, Batch und Dienst
ErrorCode int Enthält den Fehlercode, wenn ein Anmeldefehler auftritt. Eine Beschreibung eines bestimmten Fehlercodes finden Sie unter https://aka.ms/AADsigninsErrorCodes.
CorrelationId string Eindeutiger Bezeichner des Anmeldeereignisses
SessionId string Eindeutige Nummer, die einem Benutzer vom Server einer Website für die Dauer des Besuchs oder der Sitzung zugewiesen wird
AccountDisplayName string Name, der im Adressbucheintrag für den Kontobenutzer angezeigt wird. Dies ist in der Regel eine Kombination aus dem angegebenen Namen, dem mittleren Anfangs- und dem Nachnamen des Benutzers.
AccountObjectId string Eindeutiger Bezeichner für das Konto in Microsoft Entra ID
AccountUpn string Benutzerprinzipalname (UPN) des Kontos
IsExternalUser int Gibt an, ob der angemeldete Benutzer extern ist. Mögliche Werte: -1 (nicht festgelegt), 0 (nicht extern), 1 (extern).
IsGuestUser boolean Gibt an, ob der angemeldete Benutzer ein Gast im Mandanten ist.
AlternateSignInName string Lokaler Benutzerprinzipalname (UPN) des Benutzers, der sich bei Microsoft Entra ID anmeldet
LastPasswordChangeTimestamp datetime Datum und Uhrzeit, zu dem der Benutzer, der sich zuletzt angemeldet hat, sein Kennwort geändert hat
ResourceDisplayName string Anzeigename der Ressource, auf die zugegriffen wird. Der Anzeigename kann ein beliebiges Zeichen enthalten.
ResourceId string Eindeutiger Bezeichner der Ressource, auf die zugegriffen wird
ResourceTenantId string Eindeutiger Bezeichner des Mandanten der Ressource, auf die zugegriffen wird
DeviceName string Vollqualifizierter Domänenname (FQDN) des Geräts
AadDeviceId string Eindeutiger Bezeichner für das Gerät in Microsoft Entra ID
OSPlatform string Plattform des Betriebssystems, das auf dem Gerät ausgeführt wird. Gibt bestimmte Betriebssysteme an, einschließlich Variationen innerhalb derselben Familie, z. B. Windows 11, Windows 10 und Windows 7.
DeviceTrustType string Gibt den Vertrauenstyp des Geräts an, das angemeldet ist. Nur für Szenarien mit verwalteten Geräten. Mögliche Werte sind Workplace, AzureAd und ServerAd.
IsManaged int Gibt an, ob es sich bei dem Gerät, das die Anmeldung initiiert hat, um ein verwaltetes Gerät handelt (1) oder nicht um ein verwaltetes Gerät (0).
IsCompliant int Gibt an, ob das Gerät, das die Anmeldung initiiert hat, konform (1) oder nicht konform (0) ist.
AuthenticationProcessingDetails string Details zum Authentifizierungsprozessor
AuthenticationRequirement string Typ der für die Anmeldung erforderlichen Authentifizierung. Mögliche Werte: multiFactorAuthentication (MFA war erforderlich) und singleFactorAuthentication (keine MFA erforderlich).
TokenIssuerType int Gibt an, ob der Tokenaussteller Microsoft Entra ID (0) oder Active Directory-Verbunddienste (AD FS) (1) ist.
RiskLevelAggregated int Aggregierte Risikostufe während der Anmeldung. Mögliche Werte: 0 (aggregierte Risikostufe nicht festgelegt), 1 (keine), 10 (niedrig), 50 (mittel) oder 100 (hoch).
RiskDetails int Details zum risikobehafteten Zustand des Benutzers, der sich angemeldet hat
RiskState int Gibt den risikobehafteten Benutzerstatus an. Mögliche Werte: 0 (keine), 1 (als sicher bestätigt), 2 (behoben), 3 (verworfen), 4 (gefährdet) oder 5 (bestätigt kompromittiert).
UserAgent string Benutzer-Agent-Informationen aus dem Webbrowser oder einer anderen Clientanwendung
ClientAppUsed string Gibt die verwendete Client-App an.
Browser string Details zur Version des Browsers, der für die Anmeldung verwendet wird
ConditionalAccessPolicies string Details zu den Richtlinien für bedingten Zugriff, die auf das Anmeldeereignis angewendet werden
ConditionalAccessStatus int Status der Richtlinien für bedingten Zugriff, die auf die Anmeldung angewendet werden. Mögliche Werte sind 0 (angewendete Richtlinien), 1 (Fehler beim Anwenden von Richtlinien) oder 2 (Richtlinien nicht angewendet).
IPAddress string Dem Gerät während der Kommunikation zugewiesene IP-Adresse
Country string Aus zwei Buchstaben bestehender Code, der das Land/die Region angibt, in dem/der die Client-IP-Adresse geolokalisiert ist
State string Status, in dem die Anmeldung erfolgt ist, falls verfügbar
City string Ort, in dem sich der Kontobenutzer befindet
Latitude string Die Nord-Süd-Koordinaten des Anmeldestandorts
Longitude string Die Ost-West-Koordinaten des Anmeldestandorts
NetworkLocationDetails string Netzwerkadressendetails des Authentifizierungsprozessors des Anmeldeereignisses
RequestId string Eindeutiger Bezeichner der Anforderung
ReportId string Eindeutiger Bezeichner für das Ereignis

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.