Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorse | microsoft.graph/tenants |
| Categorie | Risorse di Azure, sicurezza |
| Soluzioni | Gestione dei Log |
| Log di base | Sì |
| Trasformazione in fase di inserimento | Sì |
| Query di esempio | Sì |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| AADTenantId | corda | |
| Agente | dinamico | Proprietà del soggetto per i registri di accesso. Include agentType e parentAppId quando il tipo è AgenticInstance. |
| NomeAlternativoDiAccesso | corda | Identificazione fornita dall'utente per l'accesso. Può essere userPrincipalName, ma viene popolato anche quando un utente accede usando altri identificatori. |
| AppDisplayName | corda | Nome dell'applicazione visualizzato nel portale di Azure. |
| AppId | corda | Identificatore dell'applicazione in Azure Active Directory. |
| Politiche di Accesso Condizionale Applicate | corda | |
| AppliedEventListeners | dinamico | Informazioni dettagliate sui listener, ad esempio App per la logica di Azure e Funzioni di Azure, attivati dagli eventi corrispondenti nell'evento di accesso. |
| AppOwnerTenantId | corda | Identificatore del tenant del proprietario dell'applicazione in Azure Active Directory. |
| DettagliDispositivoAppAutenticazione | corda | Dettagli dell'app e dello stato del dispositivo usati durante il passaggio di autenticazione più recente usando un'app di autenticazione. |
| DettagliValutazionePoliticaAppAutenticazione | corda | I dettagli dei criteri applicati e fatte rispettare in relazione all'app di autenticazione durante l'ultimo passaggio di accesso. |
| AuthenticationContextClassReferences | corda | Contiene una raccolta di valori che rappresentano i contesti di autenticazione dell'accesso condizionale applicati all'accesso. |
| Dettagli di Autenticazione | corda | Risultato del tentativo di autenticazione e dettagli aggiuntivi sul metodo di autenticazione. |
| MetodiDiAutenticazioneUtilizzati | corda | Metodi di autenticazione utilizzati. Valori possibili: SMS, App Authenticator, Codice di verifica app, Password, FIDO, PTA o PHS. |
| Dettagli dell'elaborazione dell'autenticazione | corda | Dettagli aggiuntivi sull'elaborazione dell'autenticazione, come il nome dell'agente in caso di PTA/PHS o il nome del server/della farm in caso di autenticazione federata. |
| Protocollo di Autenticazione | corda | Elenca il tipo di protocollo o il tipo di concessione usato nell'autenticazione. I valori possibili sono: none, oAuth2, ropc, wsFederation, saml20, deviceCode. Per le autenticazioni che usano protocolli diversi dai valori possibili elencati, il tipo di protocollo è elencato come nessuno. |
| Requisito di Autenticazione | corda | In questo modo è disponibile il livello di autenticazione più elevato necessario tramite tutti i passaggi di accesso, in modo che l'accesso abbia esito positivo. |
| Politiche_di_Requisiti_di_Autenticazione | corda | Origini dei requisiti di autenticazione, ad esempio l'accesso condizionale, l'autenticazione a più fattori per utente, la protezione delle identità e le impostazioni predefinite per la sicurezza. |
| Numero di Sistema Autonomo | corda | Numero di sistema autonomo (ASN) della rete usata dall'attore. |
| _BilledSize | autentico | Dimensioni del record in byte |
| Categoria | corda | |
| ClientAppUsed | corda | Client legacy usato per l'attività di accesso. Ad esempio: Browser, Exchange ActiveSync, Client moderni, IMAP, MAPI, SMTP o POP. |
| Tipo di Credenziali Cliente | corda | Tipo di credenziale client utilizzata. Ad esempio, asserzione client, segreto client e così via. |
| Politiche di Accesso Condizionale | dinamico | Elenco dei criteri di accesso condizionale attivati dall'attività di accesso corrispondente. |
| StatoDiAccessoCondizionale | corda | Stato dei criteri di accesso condizionale attivati. Valori possibili: esito positivo, negativo o nonApplicato. |
| IdentificatoreDiCorrelazione | corda | Identificatore inviato dal client all'avvio dell'accesso. Viene usato per la risoluzione dei problemi relativi all'attività di accesso corrispondente quando si chiama il supporto. |
| CreatedDateTime | data e ora | Data e ora di avvio dell'accesso. Il tipo Timestamp è sempre nell'ora UTC. Ad esempio, mezzanotte UTC il 1 gennaio 2014 è 2014-01-01T00:00:00Z. |
| TipoDiAccessoTraTenant | corda | Descrive il tipo di accesso tra tenant usato dall'attore per accedere alla risorsa. |
| Dettagli del Dispositivo | dinamico | Informazioni sul dispositivo da cui si è verificato l'accesso. Include informazioni quali deviceId, sistema operativo e browser. |
| Durata in Millisecondi | lungo | |
| FederatedCredentialId | corda | ID credenziali federate. |
| FlaggedForReview | booleano | Durante un accesso non riuscito, un utente può fare clic su un pulsante nella portale di Azure per contrassegnare l'evento non riuscito per gli amministratori tenant. Se un utente ha fatto clic sul pulsante per contrassegnare l'accesso non riuscito, questo valore è true. |
| IndirizzoIPAccessoSicuroGlobale | corda | Indirizzo IP sicuro globale da cui l'utente ha eseguito l'accesso. |
| HomeTenantId | corda | Identificatore del tenant dell'utente che avvia l'accesso. Non applicabile negli accessi dell'identità gestita o dell'entità servizio. |
| HomeTenantName | corda | Nome del tenant esterno che ospita le entità che eseguono azioni nel tenant del cliente. |
| ID | corda | Identificatore che rappresenta l'attività di accesso. |
| Identità | corda | Nome visualizzato dell'attore identificato nell'accesso. |
| IncomingTokenType | corda | Tipo di token utilizzato per l'accesso (esempi: token di aggiornamento primario, asserzione saml). |
| Indirizzo IP | corda | Indirizzo IP del client da cui si è verificato l'accesso. |
| IndirizzoIPDalFornitoreDiRisorse | corda | L'indirizzo IP utilizzato da un utente per raggiungere un provider di risorse, utilizzato per determinare la conformità dell'accesso condizionale per alcune policy. Ad esempio, quando un utente interagisce con Exchange Online, l'indirizzo IP che Exchange riceve dall'utente potrebbe essere registrato qui. Questo valore è spesso Null. |
| _ÈFatturabile | corda | Specifica se l'acquisizione dei dati è fatturabile. Quando _IsBillable è false, l'inserimento dati non viene fatturato all'account Azure |
| IsInteractive | booleano | Indica se l'accesso di un utente è interattivo. Nell'accesso interattivo, l'utente fornisce un fattore di autenticazione ad Azure AD. Questi fattori includono password, risposte a sfide di MFA, fattori biometrici o codici QR forniti da un utente ad Azure AD o a un'app associata. Nell'accesso non interattivo, l'utente non fornisce un fattore di autenticazione. L'app client usa invece un token o un codice per autenticare o accedere a una risorsa per conto di un utente. Gli accessi non interattivi vengono comunemente usati per consentire a un client di accedere per conto di un utente in un processo trasparente per l'utente. |
| IsRisky | booleano | |
| ÈLimitatoPerInquilini | booleano | Indica se un elemento signIn è in base a un criterio di restrizioni del tenant o meno. |
| IsThroughGlobalSecureAccess | booleano | Visualizza se un utente ha eseguito o meno o meno il servizio accesso sicuro globale. |
| Livello | corda | |
| Posizione | corda | Codice paese di 2 lettere da cui si è verificato l'accesso. A seconda dell'indirizzo IP specificato, questo valore potrebbe non essere sempre risolto in un livello di dettaglio di città o area geografica. |
| DettagliPosizione | dinamico | Fornisce città, stato, paese/area geografica e latitudine e longitudine da cui si è verificato l'accesso. |
| MfaDetail | dinamico | Questa proprietà è deprecata. |
| DettagliDellaPosizioneDiRete | corda | Dettagli del percorso di rete, inclusi il tipo di rete usato e i relativi nomi. |
| Nome Operazione | corda | |
| Versione di Operazione | corda | |
| IdRichiestaOriginale | corda | Identificatore della prima richiesta nella sequenza di autenticazione. |
| Metodo di Trasferimento Originale | corda | Metodo di trasferimento usato per avviare una sessione in tutte le richieste successive. |
| ProcessingTimeInMilliseconds | corda | |
| Risorsa | corda | |
| ResourceDisplayName | corda | Nome della risorsa a cui l'utente ha eseguito l'accesso. |
| ResourceGroup | corda | |
| ResourceId | corda | Identificatore della risorsa a cui l'utente ha eseguito l'accesso. |
| ResourceIdentity | corda | Risorsa a cui l'utente ha eseguito l'accesso. |
| ResourceOwnerTenantId | corda | Identificatore del tenant del proprietario della risorsa a cui si fa riferimento nell'accesso. |
| Fornitore di Risorse | corda | |
| ResourceServicePrincipalId | corda | Identificatore dell'entità servizio che rappresenta la risorsa di destinazione nell'evento di accesso. |
| ResourceTenantId | corda | Identificatore del tenant della risorsa a cui si fa riferimento nell'accesso. |
| Descrizione del risultato | corda | Fornisce il messaggio di errore o il motivo dell'errore per l'attività di accesso corrispondente. |
| RisultatoFirma | corda | |
| TipoDiRisultato | corda | Fornisce il codice di errore di 5-6 cifre generato durante un evento di accesso. 0 indica l'esito positivo; altri valori sono errori. Per altre informazioni, vedere la documentazione relativa ai codici di errore di Azure AD o https://login.microsoftonline.com/error. |
| Dettaglio del Rischio | corda | Motivo di uno stato specifico di un utente rischioso, dell'accesso o di un evento di rischio. Valori possibili: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser o adminConfirmedSigninCompromised. Il valore none indica che finora non è stata eseguita alcuna azione sull'utente o sull'accesso. Nota: i dettagli per questa proprietà sono disponibili solo per i clienti di Azure AD Premium P2. Tutti gli altri clienti vengono restituiti nascosti. |
| RiskEventTypes | corda | Questa proprietà è deprecata. |
| RiskEventTypes_V2 | corda | Elenco dei tipi di eventi di rischio associati all'accesso. Valori possibili: unlikelyDevice, anonymizedIPAddress, maliciousIPAddress, unfamiliarFeatures, malwareInfectedIPAddress, suspiciousIPAddress, leakedCredentials, investigationsThreatIntelligence o generico. |
| Livello di Rischio | corda | |
| LivelloDiRischioAggregato | corda | Livello di rischio aggregato. Valori possibili: nessuno, basso, medio, alto o nascosto. Il valore nascosto indica che l'utente o l'accesso non è stato abilitato per Azure AD Identity Protection. Nota: i dettagli per questa proprietà sono disponibili solo per i clienti di Azure AD Premium P2. Tutti gli altri clienti vengono restituiti nascosti. |
| LivelloDiRischioDuranteL'Accesso | corda | Livello di rischio durante l'accesso. Valori possibili: nessuno, basso, medio, alto o nascosto. Il valore nascosto indica che l'utente o l'accesso non è stato abilitato per Azure AD Identity Protection. Nota: i dettagli per questa proprietà sono disponibili solo per i clienti di Azure AD Premium P2. Tutti gli altri clienti vengono restituiti nascosti. |
| RiskState | corda | Stato di rischio di un utente rischioso, accesso o evento di rischio. Valori possibili: none, confirmedSafe, remediated, dismissed, atRisk, o confirmedCompromised. |
| ID del Principale del Servizio | corda | Identificatore dell'applicazione usato per l'accesso. Questo campo viene popolato quando si esegue l'accesso tramite un'applicazione. |
| NomePrincipaleDelServizio | corda | Nome dell'applicazione usato per l'accesso. Questo campo viene popolato quando si esegue l'accesso tramite un'applicazione. |
| ID della sessione | corda | ID della sessione generata durante l'accesso. |
| Politiche di durata della sessione | corda | Tutti i criteri di gestione delle sessioni di accesso condizionale applicati durante l'evento di accesso. |
| SignInIdentifier | corda | Identificazione fornita dall'utente per l'accesso. Può essere userPrincipalName, ma viene popolato anche quando un utente accede usando altri identificatori. |
| TipoIdentificatoreAccesso | corda | Tipo di identificatore di accesso. I valori possibili sono: userPrincipalName, phoneNumber, proxyAddress, qrCode, onPremisesUserPrincipalName. |
| SourceSystem | corda | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| Stato | dinamico | Stato dell'accesso. Include il codice di errore e la descrizione dell'errore (in caso di errore di accesso). |
| TimeGenerated | data e ora | |
| TokenIssuerName | corda | Il nome del provider di identità. Ad esempio, sts.microsoft.com. |
| TokenIssuerType | corda | Tipo di provider di identità. I valori possibili sono: AzureAD o ADFederationServices, AzureADBackupAuth, ADFederationServicesMFAAdapter, NPSExtension. |
| Dettagli sullo stato di protezione del token | dinamico | La protezione dei token crea un legame crittograficamente sicuro tra il token e il dispositivo a cui viene emesso. Questo campo indica se il token di accesso è stato associato al dispositivo o meno. |
| Tipo | corda | Nome della tabella |
| IdentificatoreUnicoDelToken | corda | Identificatore di richiesta con codifica Base64 univoco usato per tenere traccia dei token rilasciati da Azure AD quando vengono riscattati nei provider di risorse. |
| "UserAgent" | corda | Informazioni sull'agente utente correlate all'accesso. |
| UserDisplayName | corda | Nome dell'utente visualizzato. |
| ID utente | corda | Identificatore dell'utente. |
| NomePrincipaleUtente | corda | UPN dell'utente. |
| TipoUtente | corda | Identifica se l'utente è membro o guest nel tenant. I valori possibili sono: membro e ospite. |