Share via

AADSignInEventsBeta

  • Artículo

Se aplica a:

  • Microsoft Defender XDR

Importante

La AADSignInEventsBeta tabla está actualmente en versión beta y se ofrece a corto plazo para permitirle buscar Microsoft Entra eventos de inicio de sesión. Los clientes deben tener una licencia Microsoft Entra ID P2 para recopilar y ver las actividades de esta tabla. Toda la información del esquema de inicio de sesión se moverá finalmente a la IdentityLogonEvents tabla.

La AADSignInEventsBeta tabla del esquema de búsqueda avanzada contiene información sobre Microsoft Entra inicios de sesión interactivos y no interactivos. Obtenga más información sobre los inicios de sesión en Microsoft Entra informes de actividad de inicio de sesión: versión preliminar.

Use esta referencia para crear consultas que devuelvan información de la tabla. Para obtener información sobre otras tablas del esquema de búsqueda avanzada, consulte la referencia de búsqueda avanzada.


Nombre de columna Tipo de datos Descripción
Timestamp datetime Fecha y hora en que se generó el registro
Application string Aplicación que realizó la acción registrada
ApplicationId string Identificador único de la aplicación
LogonType string Tipo de sesión de inicio de sesión, específicamente interactiva, remota interactiva (RDP), red, lote y servicio
ErrorCode int Contiene el código de error si se produce un error de inicio de sesión. Para encontrar una descripción de un código de error específico, visite https://aka.ms/AADsigninsErrorCodes.
CorrelationId string Identificador único del evento de inicio de sesión
SessionId string Número único asignado a un usuario por el servidor de un sitio web durante la visita o sesión
AccountDisplayName string Nombre que se muestra en la entrada de la libreta de direcciones del usuario de la cuenta. Por lo general, se trata de una combinación del nombre, la inicial intermedia y el apellido del usuario.
AccountObjectId string Identificador único de la cuenta en Microsoft Entra ID
AccountUpn string Nombre principal de usuario (UPN) de la cuenta
IsExternalUser int Indica si el usuario que inició sesión es externo. Valores posibles: -1 (no establecido), 0 (no externo), 1 (externo).
IsGuestUser boolean Indica si el usuario que inició sesión es un invitado en el inquilino.
AlternateSignInName string Nombre principal de usuario local (UPN) del usuario que inicia sesión en Microsoft Entra ID
LastPasswordChangeTimestamp datetime Fecha y hora en que el usuario que inició sesión cambió por última vez su contraseña
ResourceDisplayName string Nombre para mostrar del recurso al que se accede. El nombre para mostrar puede contener cualquier carácter.
ResourceId string Identificador único del recurso al que se accede
ResourceTenantId string Identificador único del inquilino del recurso al que se accede
DeviceName string Nombre de dominio completo (FQDN) del dispositivo
AadDeviceId string Identificador único del dispositivo en Microsoft Entra ID
OSPlatform string Plataforma del sistema operativo que se ejecuta en el dispositivo. Indica sistemas operativos específicos, incluidas las variaciones dentro de la misma familia, como Windows 11, Windows 10 y Windows 7.
DeviceTrustType string Indica el tipo de confianza del dispositivo que inició sesión. Solo para escenarios de dispositivos administrados. Los valores posibles son Workplace, AzureAd y ServerAd.
IsManaged int Indica si el dispositivo que inició el inicio de sesión es un dispositivo administrado (1) o no un dispositivo administrado (0)
IsCompliant int Indica si el dispositivo que inició el inicio de sesión es compatible (1) o no compatible (0)
AuthenticationProcessingDetails string Detalles sobre el procesador de autenticación
AuthenticationRequirement string Tipo de autenticación necesaria para el inicio de sesión. Valores posibles: multiFactorAuthentication (se requiere MFA) y singleFactorAuthentication (no se requiere MFA).
TokenIssuerType int Indica si el emisor del token es Microsoft Entra ID (0) o Servicios de federación de Active Directory (AD FS) (1)
RiskLevelAggregated int Nivel de riesgo agregado durante el inicio de sesión. Valores posibles: 0 (nivel de riesgo agregado no establecido), 1 (ninguno), 10 (bajo), 50 (medio) o 100 (alto).
RiskDetails int Detalles sobre el estado de riesgo del usuario que inició sesión
RiskState int Indica el estado de usuario de riesgo. Valores posibles: 0 (ninguno), 1 (seguro confirmado), 2 (corregido), 3 (descartado), 4 (en riesgo) o 5 (confirmado en peligro).
UserAgent string Información del agente de usuario desde el explorador web u otra aplicación cliente
ClientAppUsed string Indica la aplicación cliente usada
Browser string Detalles sobre la versión del explorador que se usa para iniciar sesión
ConditionalAccessPolicies string Detalles de las directivas de acceso condicional aplicadas al evento de inicio de sesión
ConditionalAccessStatus int Estado de las directivas de acceso condicional aplicadas al inicio de sesión. Los valores posibles son 0 (directivas aplicadas), 1 (error al intentar aplicar directivas) o 2 (directivas no aplicadas).
IPAddress string Dirección IP asignada al dispositivo durante la comunicación
Country string Código de dos letras que indica el país o región donde la dirección IP del cliente está geolocalizada
State string Estado en el que se produjo el inicio de sesión, si está disponible
City string Ciudad donde se encuentra el usuario de la cuenta
Latitude string Coordenadas de norte a sur de la ubicación de inicio de sesión
Longitude string Coordenadas de este a oeste de la ubicación de inicio de sesión
NetworkLocationDetails string Detalles de la ubicación de red del procesador de autenticación del evento de inicio de sesión
RequestId string Identificador único de la solicitud
ReportId string Identificador único del evento

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.