Interpréter le schéma des journaux de connexion de Microsoft Entra dans Azure Monitor

Cet article décrit le schéma de journal de connexion Microsoft Entra dans Azure Monitor. Les informations liées aux connexions sont fournies sous l’attribut Propriétés de l’objet records.

{
  "time": "2019-03-12T16:02:15.5522137Z",
  "resourceId": "/tenants/<TENANT ID>/providers/Microsoft.aadiam",
  "operationName": "Sign-in activity",
  "operationVersion": "1.0",
  "category": "SignInLogs",
  "tenantId": "<TENANT ID>",
  "resultType": "50140",
  "resultSignature": "None",
  "resultDescription": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in.",
  "durationMs": 0,
  "callerIpAddress": "<CALLER IP ADDRESS>",
  "correlationId": "a75a10bd-c126-486b-9742-c03110d36262",
  "identity": "Timothy Perkins",
  "Level": 4,
  "location": "US",
  "properties": 
       {
    "id": "0231f922-93fa-4005-bb11-b344eca03c01",
    "createdDateTime": "2019-03-12T16:02:15.5522137+00:00",
    "userDisplayName": "Timothy Perkins",
    "userPrincipalName": "<USER PRINCIPAL NAME>",
    "userId": "<USER ID>",
    "appId": "<APPLICATION ID>",
    "appDisplayName": "Azure Portal",
    "ipAddress": "<IP ADDRESS>",
    "status": {
      "errorCode": 50140,
      "failureReason": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in."
    },
    "clientAppUsed": "Browser",
    "userAgent": "<USER AGENT>",
    "deviceDetail":
   {
     "deviceId": "8bfcb982-6856-4402-924c-ada2486321cc",
     "operatingSystem": "Windows 10",
     "browser": "Chrome 72.0.3626"
     },
    "location":
    {
      "city": "Bellevue",
      "state": "Washington",
      "countryOrRegion": "US",
      "geoCoordinates": 
     {
        "latitude": 45,
        "longitude": 122
      }
    },
    "correlationId": "a75a10bd-c126-486b-9742-c03110d36262",
    "conditionalAccessStatus": "notApplied",
    "appliedConditionalAccessPolicies": [
      {
        "id": "ae11ffaa-9879-44e0-972c-7538fd5c4d1a",
        "displayName": "HR app access policy",
        "enforcedGrantControls": [
          "Mfa"
        ],
        "enforcedSessionControls": [],
        "result": "notApplied",
        "conditionsSatisfied": 0,
        "conditionsNotSatisfied": 0
      },
      {
        "id": "b915a70b-2eee-47b6-85b6-ff4f4a66256d",
        "displayName": "MFA for all but global support access",
        "enforcedGrantControls": [],
        "enforcedSessionControls": [],
        "result": "notEnabled",
        "conditionsSatisfied": 0,
        "conditionsNotSatisfied": 0
      },
      {
        "id": "830f27fa-67a8-461f-8791-635b7225caf1",
        "displayName": "Header Based Application Control",
        "enforcedGrantControls": [
          "Mfa"
        ],
        "enforcedSessionControls": [],
        "result": "notApplied",
        "conditionsSatisfied": 0,
        "conditionsNotSatisfied": 0
      },
      {
        "id": "8ed8d7f7-0a2e-437b-b512-9e47bed562e6",
        "displayName": "MFA for everyones",
        "enforcedGrantControls": [],
        "enforcedSessionControls": [],
        "result": "notEnabled",
        "conditionsSatisfied": 0,
        "conditionsNotSatisfied": 0
      },
      {
        "id": "52924e0f-798b-4afd-8c42-49055c7d6395",
        "displayName": "Device compliant",
        "enforcedGrantControls": [],
        "enforcedSessionControls": [],
        "result": "notEnabled",
        "conditionsSatisfied": 0,
        "conditionsNotSatisfied": 0
      }
    ],
    "originalRequestId": "f2f0a254-f831-43b9-bcb0-2646fb645c00",
    "isInteractive": true,
    "authenticationProcessingDetails": [
      {
        "key": "Login Hint Present",
        "value": "True"
      }
    ],
    "networkLocationDetails": [],
    "processingTimeInMilliseconds": 238,
    "riskDetail": "none",
    "riskLevelAggregated": "none",
    "riskLevelDuringSignIn": "none",
    "riskState": "none",
    "riskEventTypes": [],
    "riskEventTypes_v2": [],
    "resourceDisplayName": "Office 365 SharePoint Online",
    "resourceId": "00000003-0000-0ff1-ce00-000000000000",
    "resourceTenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
    "homeTenantId": "<USER HOME TENANT ID>",
    "tokenIssuerName": "",
    "tokenIssuerType": "AzureAD",
    "authenticationDetails": [
      {
        "authenticationStepDateTime": "2019-03-12T16:02:15.5522137+00:00",
        "authenticationMethod": "Previously satisfied",
        "succeeded": true,
        "authenticationStepResultDetail": "First factor requirement satisfied by claim in the token",
        "authenticationStepRequirement": "Primary authentication",
        "StatusSequence": 0,
        "RequestSequence": 0
      },
      {
        "authenticationStepDateTime": "2021-08-12T15:48:12.8677211+00:00",
        "authenticationMethod": "Previously satisfied",
        "succeeded": true,
        "authenticationStepResultDetail": "MFA requirement satisfied by claim in the token",
        "authenticationStepRequirement": "Multi-factor authentication"
      }
    ],
    "authenticationRequirementPolicies": [
      {
        "requirementProvider": "multiConditionalAccess",
        "detail": "Conditional Access"
      }
    ],
    "authenticationRequirement": "multiFactorAuthentication",
    "alternateSignInName": "<ALTERNATE SIGN IN>",
    "signInIdentifier": "<SIGN IN IDENTIFIER>",
    "servicePrincipalId": "",
    "userType": "Member",
    "flaggedForReview": false,
    "isTenantRestricted": false,
    "autonomousSystemNumber": 8000,
    "crossTenantAccessType": "none",
    "privateLinkDetails": {},
    "ssoExtensionVersion": ""
    }
}

Descriptions de champs

Nom du champ	Clé	Description
Temps	-	Date et heure UTC.
ResourceId	-	Valeur non mappée, vous pouvez ignorer ce champ.
NomOpération	-	Pour les connexions, cette valeur est toujours Activité de connexion.
OperationVersion	-	Version d’API REST demandée par le client.
Category	-	Pour les connexions, cette valeur est toujours SignIn.
TenantId	-	GUID de locataire associé aux journaux d’activité.
ResultType	-	Le résultat de l’opération de connexion peut être 0 en cas de réussite ou un code d’erreur en cas d’échec.
ResultSignature	-	Cette valeur est toujours None.
ResultDescription	Non applicable ou vide	Fournit la description de l’erreur pour l’opération de connexion.
riskDetail	riskDetail	Fournit le motif de l’état spécifique d’un utilisateur à risque, d’une connexion ou d’une détection d’événement à risque. Les valeurs possibles sont : none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, unknownFutureValue. La valeur none signifie qu’aucune action n’a été effectuée sur l’utilisateur ou la connexion jusqu’à présent. Note : Les détails de cette propriété nécessitent une licence Microsoft Entra ID P2. Les autres licences retournent la valeur hidden.
riskEventTypes	riskEventTypes	Types de détections d’événements à risque associés à la connexion. Les valeurs possibles sont : unlikelyTravel, anonymizedIPAddress, maliciousIPAddress, unfamiliarFeatures, malwareInfectedIPAddress, suspiciousIPAddress, leakedCredentials, investigationsThreatIntelligence, generic et unknownFutureValue.
authProcessingDetails	Bibliothèque d’authentification Azure Active Directory	Contient des informations sur les familles, les bibliothèques et les plateformes au format suivant : « Famille : Microsoft Authentication Library : ADAL.JS 1.0.0 Plateforme : JS »
authProcessingDetails	IsCAEToken	Les valeurs sont True ou False.
riskLevelAggregated	riskLevel	Niveau de risque agrégé. Les valeurs possibles sont : none, low, medium, high, hidden et unknownFutureValue. La valeur hidden indique que l’utilisateur ou la connexion n’a pas été activé pour Microsoft Entra ID Protection. Remarque : Les détails de cette propriété sont uniquement disponibles pour les clients Microsoft Entra ID P2. Tous les autres clients se verront retourner hidden.
riskLevelDuringSignIn	riskLevel	Niveau de risque pendant la connexion. Les valeurs possibles sont : none, low, medium, high, hidden et unknownFutureValue. La valeur hidden indique que l’utilisateur ou la connexion n’a pas été activé pour Microsoft Entra ID Protection. Remarque : Les détails de cette propriété sont uniquement disponibles pour les clients Microsoft Entra ID P2. Tous les autres clients se verront retourner hidden.
riskState	riskState	Signale l’état de l’utilisateur à risque, de la connexion ou d’une détection d’événement à risque. Les valeurs possibles sont : none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue.
DurationMs	-	Valeur non mappée, vous pouvez ignorer ce champ.
callerIpAddress	-	Adresse IP du client à l’origine de la demande.
CorrelationId	-	GUID facultatif transmis par le client. Cette valeur peut aider à corréler des opérations côté client avec des opérations côté serveur, et est utile lors du suivi de journaux d’activité couvrant plusieurs services.
Identité	-	Identité extraite du jeton présenté lors de la création de la demande. Il peut s’agir d’un compte d’utilisateur, d’un compte système ou d’un principal du service.
Level	-	Fournit le type de message. Pour l’audit, il s’agit toujours d’Information.
Emplacement	-	Indique l’emplacement de l’activité de connexion.
Propriétés	-	Répertorie toutes les propriétés associées aux connexions.
ResultType	-	Contient le code d’erreur Microsoft Entra pour l’événement de connexion (si un code d’erreur était présent).

Étapes suivantes

• Interpréter le schéma des journaux d’audit dans Azure Monitor
• En savoir plus sur les journaux de la plateforme Azure