SigninLogs
Attributs de table
Attribut | Valeur |
---|---|
Types de ressource | microsoft.graph/tenants |
Catégories | Ressources Azure, Sécurité |
Solutions | LogManagement |
Journal de base | No |
Transformation au moment de l’ingestion | Yes |
Exemples de requêtes | Oui |
Colonnes
Colonne | Type | Description |
---|---|---|
AADTenantId | string | |
AlternateSignInName | string | Identification que l’utilisateur a fournie pour se connecter. Il peut s’agir de userPrincipalName, mais il est également renseigné lorsqu’un utilisateur se connecte à l’aide d’autres identificateurs. |
AppDisplayName | string | Nom de l’application affiché dans le portail Azure. |
AppId | string | Identificateur de l’application dans Azure Active Directory. |
AppliedConditionalAccessPolicies | string | |
AppliedEventListeners | dynamique | Informations détaillées sur les écouteurs, tels qu’Azure Logic Apps et Azure Functions, qui ont été déclenchés par les événements correspondants dans l’événement de connexion. |
AuthenticationContextClassReferences | string | Contient une collection de valeurs qui représentent les contextes d’authentification d’accès conditionnel appliqués à la connexion. |
AuthenticationDetails | string | Résultat de la tentative d’authentification et détails supplémentaires sur la méthode d’authentification. |
AuthenticationMethodsUsed | string | Méthodes d’authentification utilisées. Valeurs possibles : SMS, Application d’authentification, Code de vérification de l’application, Mot de passe, FIDO, PTA ou PHS. |
AuthenticationProcessingDetails | string | Détails supplémentaires du traitement de l’authentification, tels que le nom de l’agent en cas d’authentification PTA/PHS ou le nom du serveur/de la batterie de serveurs en cas d’authentification fédérée. |
AuthenticationProtocol | string | Listes le type de protocole ou le type d’octroi utilisé dans l’authentification. Les valeurs possibles sont : none, oAuth2, ropc, wsFederation, saml20, deviceCode. Pour les authentifications qui utilisent des protocoles autres que les valeurs possibles répertoriées, le type de protocole est répertorié comme aucun. |
AuthenticationRequirement | string | Cela contient le niveau d’authentification le plus élevé nécessaire à toutes les étapes de connexion, pour que la connexion réussisse. |
AuthenticationRequirementPolicies | string | Sources d’exigence d’authentification, telles que l’accès conditionnel, l’authentification multifacteur par utilisateur, la protection des identités et les paramètres de sécurité par défaut. |
AutonomousSystemNumber | string | Numéro de système autonome (ASN) du réseau utilisé par l’acteur. |
_BilledSize | real | Taille de l’enregistrement en octets |
Category | string | |
ClientAppUsed | string | Client hérité utilisé pour l’activité de connexion. Par exemple : Navigateur, Exchange ActiveSync, Clients modernes, IMAP, MAPI, SMTP ou POP. |
ConditionalAccessPolicies | dynamique | Liste des stratégies d’accès conditionnel déclenchées par l’activité de connexion correspondante. |
ConditionalAccessStatus | string | Status de la stratégie d’accès conditionnel déclenchée. Valeurs possibles : success, failure, or notApplied. |
CorrelationId | string | Identificateur envoyé à partir du client lors du lancement de la connexion. Cela permet de résoudre les problèmes liés à l’activité de connexion correspondante lors de l’appel au support technique. |
CreatedDateTime | DATETIME | Date et heure de lancement de la connexion. Le type d’horodatage est toujours en heure UTC. Par exemple, minuit UTC le 1er janvier 2014 est 2014-01-01T00 :00 :00Z. |
CrossTenantAccessType | string | Décrit le type d’accès interlocataire utilisé par l’acteur pour accéder à la ressource. |
DeviceDetail | dynamique | Informations sur l’appareil à partir de laquelle la connexion s’est produite. Inclut des informations telles que deviceId, système d’exploitation et navigateur. |
DurationMs | long | |
IndicateurForReview | bool | Lors d’une connexion ayant échoué, un utilisateur peut cliquer sur un bouton dans le Portail Azure pour marquer l’événement ayant échoué pour les administrateurs de locataire. Si un utilisateur a cliqué sur le bouton pour marquer l’échec de la connexion, cette valeur est true. |
HomeTenantId | string | Identificateur de locataire de l’utilisateur qui lance la connexion. Non applicable dans l’identité managée ou les connexions de principal de service. |
Id | string | Identificateur représentant l’activité de connexion. |
Identité | string | Nom d’affichage de l’acteur identifié dans la connexion. |
IPAddress | string | Adresse IP du client à partir duquel la connexion s’est produite. |
IPAddressFromResourceProvider | string | Adresse IP utilisée par un utilisateur pour atteindre un fournisseur de ressources, utilisée pour déterminer la conformité de l’accès conditionnel pour certaines stratégies. Par exemple, lorsqu’un utilisateur interagit avec Exchange Online, l’adresse IP qu’Exchange reçoit de l’utilisateur peut être enregistrée ici. Cette valeur est souvent null. |
_IsBillable | string | Spécifie si l’ingestion des données est facturable. Lorsque _IsBillable l’ingestion n’est false pas facturée à votre compte Azure |
IsInteractive | bool | Indique si une connexion utilisateur est interactive. Dans la connexion interactive, l’utilisateur fournit un facteur d’authentification à Azure AD. Ces facteurs incluent les mots de passe, les réponses aux défis de l’authentification multifacteur, les facteurs biométriques ou les codes QR qu’un utilisateur fournit à Azure AD ou à une application associée. Dans la connexion non interactive, l’utilisateur ne fournit pas de facteur d’authentification. Au lieu de cela, l’application cliente utilise un jeton ou un code pour authentifier ou accéder à une ressource au nom d’un utilisateur. Les connexions non interactives sont couramment utilisées pour qu’un client se connecte pour le compte d’un utilisateur dans un processus transparent pour l’utilisateur. |
IsRisky | bool | |
Level | string | |
Emplacement | string | Code de pays à 2 lettres à partir duquel la connexion s’est produite. Selon l’adresse IP fournie, cette valeur peut ne pas toujours être résolue au niveau de détail de la ville ou de la région. |
LocationDetails | dynamique | Fournit la ville, l’état, le pays/la région, ainsi que la latitude et la longitude à partir de laquelle la connexion s’est produite. |
MfaDetail | dynamique | Cette propriété est déconseillée. |
NetworkLocationDetails | string | Les détails de l’emplacement réseau, y compris le type de réseau utilisé et ses noms. |
NomOpération | string | |
OperationVersion | string | |
OriginalRequestId | string | Identificateur de demande de la première requête dans la séquence d’authentification. |
ProcessingTimeInMillisecondes | string | |
Ressource | string | |
ResourceDisplayName | string | Nom de la ressource à laquelle l’utilisateur s’est connecté. |
ResourceGroup | string | |
ResourceId | string | Identificateur de la ressource à laquelle l’utilisateur s’est connecté. |
ResourceIdentity | string | Ressource à laquelle l’utilisateur s’est connecté. |
ResourceProvider | string | |
ResourceServicePrincipalId | string | Identificateur du principal de service représentant la ressource cible dans l’événement de connexion. |
ResourceTenantId | string | Identificateur de locataire de la ressource référencée dans la connexion. |
ResultDescription | string | Fournit le message d’erreur ou la raison de l’échec de l’activité de connexion correspondante. |
ResultSignature | string | |
ResultType | string | Fournit le code d’erreur à 5 à 6 chiffres généré lors d’un événement de connexion. 0 indique la réussite ; d’autres valeurs sont des échecs. Pour plus d’informations, consultez la documentation relative aux codes d’erreur Azure AD ou https://login.microsoftonline.com/error. |
RiskDetail | string | Raison d’un état spécifique d’un utilisateur à risque, d’une connexion ou d’un événement à risque. Valeurs possibles : none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser ou adminConfirmedSigninCompromised. La valeur none signifie qu’aucune action n’a été effectuée sur l’utilisateur ou la connexion jusqu’à présent. Remarque : Les détails de cette propriété sont uniquement disponibles pour les clients Azure AD Premium P2. Tous les autres clients sont retournés masqués. |
RiskEventTypes | string | Cette propriété est déconseillée. |
RiskEventTypes_V2 | string | Liste des types d’événements à risque associés à la connexion. Valeurs possibles : unlikelyTravel, anonymisedIPAddress, maliciousIPAddress, familiarFeatures, malwareInfectedIPAddress, suspiciousIPAddress, leakedCredentials, investigationsThreatIntelligence ou generic. |
RiskLevel | string | |
RiskLevelAggregated | string | Niveau de risque agrégé. Valeurs possibles : aucune, faible, moyenne, élevée ou masquée. La valeur masquée signifie que l’utilisateur ou la connexion n’a pas été activée pour Azure AD Identity Protection. Remarque : Les détails de cette propriété sont uniquement disponibles pour les clients Azure AD Premium P2. Tous les autres clients sont retournés masqués. |
RiskLevelDuringSignIn | string | Niveau de risque pendant la connexion. Valeurs possibles : aucune, faible, moyenne, élevée ou masquée. La valeur masquée signifie que l’utilisateur ou la connexion n’a pas été activée pour Azure AD Identity Protection. Remarque : Les détails de cette propriété sont uniquement disponibles pour les clients Azure AD Premium P2. Tous les autres clients sont retournés masqués. |
RiskState | string | État de risque d’un utilisateur à risque, d’une connexion ou d’un événement à risque. Valeurs possibles : none, confirmedSafe, corrigé, ignoré, atRisk ou confirmCompromated. |
ServicePrincipalId | string | Identificateur d’application utilisé pour la connexion. Ce champ est renseigné lorsque vous vous connectez à l’aide d’une application. |
ServicePrincipalName | string | Nom de l’application utilisé pour la connexion. Ce champ est renseigné lorsque vous vous connectez à l’aide d’une application. |
SessionLifetimePolicies | string | Toutes les stratégies de gestion de session d’accès conditionnel qui ont été appliquées pendant l’événement de connexion. |
SignInIdentifier | string | Identification fournie par l’utilisateur pour se connecter. Il peut s’agir de userPrincipalName, mais il est également renseigné lorsqu’un utilisateur se connecte à l’aide d’autres identificateurs. |
SignInIdentifierType | string | Type d’identificateur de connexion. Les valeurs possibles sont : userPrincipalName, phoneNumber, proxyAddress, qrCode, onPremisesUserPrincipalName. |
SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
Statut | dynamique | Status de connexion. Inclut le code d’erreur et la description de l’erreur (en cas d’échec de connexion). |
TimeGenerated | DATETIME | |
TokenIssuerName | string | Nom du fournisseur d'identité. Par exemple, sts.microsoft.com. |
TokenIssuerType | string | Type de fournisseur d’identité. Les valeurs possibles sont : AzureAD, ou ADFederationServices, AzureADBackupAuth, ADFederationServicesMFAAdapter, NPSExtension. |
Type | string | Le nom de la table |
UniqueTokenIdentifier | string | Identificateur de requête encodé en base64 unique utilisé pour suivre les jetons émis par Azure AD à mesure qu’ils sont échangés auprès des fournisseurs de ressources. |
UserAgent | string | Informations de l’agent utilisateur relatives à la connexion. |
UserDisplayName | string | Nom complet de l'utilisateur. |
UserId | string | Identificateur de l’utilisateur. |
UserPrincipalName | string | UPN de l’utilisateur. |
UserType | string | Identifie si l’utilisateur est membre ou invité dans le locataire. Les valeurs possibles sont : membre et invité. |
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour