| AADTenantId |
string |
|
| AlternateSignInName |
string |
Identification fournie par l’utilisateur pour se connecter. Il peut s’agir de userPrincipalName, mais il est également renseigné lorsqu’un utilisateur se connecte à l’aide d’autres identificateurs. |
| AppDisplayName |
string |
Nom de l’application affiché dans le portail Azure. |
| AppId |
string |
Identificateur d’application dans Azure Active Directory. |
| AppliedConditionalAccessPolicies |
string |
|
| AppliedEventListeners |
dynamic |
Informations détaillées sur les écouteurs, tels qu’Azure Logic Apps et Azure Functions, qui ont été déclenchés par les événements correspondants dans l’événement de connexion. |
| AuthenticationContextClassReferences |
string |
Contient une collection de valeurs qui représentent les contextes d’authentification d’accès conditionnel appliqués à la connexion. |
| AuthenticationDetails |
string |
Résultat de la tentative d’authentification et détails supplémentaires sur la méthode d’authentification. |
| AuthenticationMethodsUsed |
string |
Méthodes d’authentification utilisées. Valeurs possibles : SMS, Application Authenticator, Code de vérification d’application, Mot de passe, FIDO, PTA ou PHS. |
| AuthenticationProcessingDetails |
string |
Détails supplémentaires du traitement de l’authentification, tels que le nom de l’agent en cas de PTA/PHS ou de nom de serveur/batterie de serveurs en cas d’authentification fédérée. |
| AuthenticationProtocol |
string |
Répertorie le type de protocole ou le type d’octroi utilisé dans l’authentification. Les valeurs possibles sont : none, oAuth2, ropc, wsFederation, saml20, deviceCode. Pour les authentifications qui utilisent des protocoles autres que les valeurs possibles répertoriées, le type de protocole est répertorié comme aucun. |
| AuthenticationRequirement |
string |
Cela contient le niveau d’authentification le plus élevé nécessaire via toutes les étapes de connexion, pour que la connexion réussisse. |
| AuthenticationRequirementPolicies |
string |
Sources d’authentification requises, telles que l’accès conditionnel, l’authentification multifacteur par utilisateur, la protection des identités et les paramètres de sécurité par défaut. |
| AutonomousSystemNumber |
string |
Numéro de système autonome (ASN) du réseau utilisé par l’acteur. |
| _BilledSize |
real |
Taille de l’enregistrement en octets |
| Catégorie |
string |
|
| ClientAppUsed |
string |
Client hérité utilisé pour l’activité de connexion. Par exemple : Navigateur, Exchange ActiveSync, clients modernes, IMAP, MAPI, SMTP ou POP. |
| ConditionalAccessPolicies |
dynamic |
Liste des stratégies d’accès conditionnel déclenchées par l’activité de connexion correspondante. |
| ConditionalAccessStatus |
string |
État de la stratégie d’accès conditionnel déclenchée. Valeurs possibles : réussite, échec ou notApplied. |
| CorrelationId |
string |
Identificateur envoyé par le client lorsque la connexion est lancée. Cela est utilisé pour résoudre les problèmes liés à l’activité de connexion correspondante lors de l’appel à la prise en charge. |
| CreatedDateTime |
DATETIME |
Date et heure de lancement de la connexion. Le type d’horodatage est toujours en heure UTC. Par exemple, minuit UTC le 1er janvier 2014 est 2014-01-01T00:00:00Z. |
| CrossTenantAccessType |
string |
Décrit le type d’accès interlocataire utilisé par l’acteur pour accéder à la ressource. |
| DeviceDetail |
dynamic |
Informations sur l’appareil à partir de laquelle la connexion s’est produite. Inclut des informations telles que deviceId, système d’exploitation et navigateur. |
| DurationMs |
long |
|
| IndicateurForReview |
bool |
Lors d’une connexion ayant échoué, un utilisateur peut cliquer sur un bouton dans le Portail Azure pour marquer l’événement ayant échoué pour les administrateurs de locataires. Si un utilisateur a cliqué sur le bouton pour marquer l’échec de la connexion, cette valeur est true. |
| HomeTenantId |
string |
Identificateur de locataire de l’utilisateur qui lance la connexion. Non applicable dans les connexions d’identité managée ou de principal de service. |
| Id |
string |
Identificateur représentant l’activité de connexion. |
| Identité |
string |
Nom complet de l’acteur identifié dans la connexion. |
| IPAddress |
string |
Adresse IP du client à partir de laquelle la connexion s’est produite. |
| IPAddressFromResourceProvider |
string |
Adresse IP utilisée par un utilisateur pour atteindre un fournisseur de ressources, utilisée pour déterminer la conformité de l’accès conditionnel pour certaines stratégies. Par exemple, lorsqu’un utilisateur interagit avec Exchange Online, l’adresse IP qu’Exchange reçoit de l’utilisateur peut être enregistrée ici. Cette valeur est souvent null. |
| _IsBillable |
string |
Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| IsInteractive |
bool |
Indique si la connexion d’un utilisateur est interactive. Dans la connexion interactive, l’utilisateur fournit un facteur d’authentification à Azure AD. Ces facteurs incluent les mots de passe, les réponses aux défis de l’authentification multifacteur, les facteurs biométriques ou les codes QR qu’un utilisateur fournit à Azure AD ou à une application associée. Dans la connexion non interactive, l’utilisateur ne fournit pas de facteur d’authentification. Au lieu de cela, l’application cliente utilise un jeton ou un code pour authentifier ou accéder à une ressource pour le compte d’un utilisateur. Les connexions non interactives sont couramment utilisées pour qu’un client se connecte au nom d’un utilisateur dans un processus transparent pour l’utilisateur. |
| IsRisky |
bool |
|
| Niveau |
string |
|
| Emplacement |
string |
Code de pays de 2 lettres à partir duquel la connexion s’est produite. En fonction de l’adresse IP fournie, cette valeur peut ne pas toujours être résolue en un niveau de détail de ville ou de région. |
| LocationDetails |
dynamic |
Fournit la ville, l’état, le pays/la région et la latitude et la longitude à partir de l’endroit où la connexion s’est produite. |
| MfaDetail |
dynamic |
Cette propriété est déconseillée. |
| NetworkLocationDetails |
string |
Détails de l’emplacement réseau, y compris le type de réseau utilisé et ses noms. |
| NomOpération |
string |
|
| OperationVersion |
string |
|
| OriginalRequestId |
string |
Identificateur de demande de la première demande dans la séquence d’authentification. |
| ProcessingTimeInMilliseconds |
string |
|
| Ressource |
string |
|
| ResourceDisplayName |
string |
Nom de la ressource à laquelle l’utilisateur s’est connecté. |
| ResourceGroup |
string |
|
| ResourceId |
string |
Identificateur de la ressource à laquelle l’utilisateur s’est connecté. |
| ResourceIdentity |
string |
Ressource à laquelle l’utilisateur s’est connecté. |
| ResourceProvider |
string |
|
| ResourceServicePrincipalId |
string |
Identificateur du principal de service représentant la ressource cible dans l’événement de connexion. |
| ResourceTenantId |
string |
Identificateur de locataire de la ressource référencée dans la connexion. |
| ResultDescription |
string |
Fournit le message d’erreur ou la raison de l’échec de l’activité de connexion correspondante. |
| ResultSignature |
string |
|
| ResultType |
string |
Fournit le code d’erreur à 5 à 6 chiffres généré lors d’un événement de connexion. 0 indique la réussite ; d’autres valeurs sont des échecs. Vous trouverez plus d’informations à l’aide de la documentation sur les codes d’erreur Azure AD ou https://login.microsoftonline.com/error. |
| RiskDetail |
string |
Raison d’un état spécifique d’un utilisateur à risque, d’une connexion ou d’un événement à risque. Valeurs possibles : none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser ou adminConfirmedSigninCompromization. La valeur aucune signifie qu’aucune action n’a été effectuée sur l’utilisateur ou la connexion jusqu’à présent. Remarque : Les détails de cette propriété sont uniquement disponibles pour les clients Azure AD Premium P2. Tous les autres clients sont retournés masqués. |
| RiskEventTypes |
string |
Cette propriété est déconseillée. |
| RiskEventTypes_V2 |
string |
Liste des types d’événements à risque associés à la connexion. Valeurs possibles : peu probable : unlikely Travel, anonymisedIPAddress, maliciousIPAddress, familiarFeatures, malwareInfectedIPAddress, suspectIPAddress, leakedCredentials, investigationsThreatIntelligence ou générique. |
| RiskLevel |
string |
|
| RiskLevelAggregated |
string |
Niveau de risque agrégé. Valeurs possibles : aucune, faible, moyenne, élevée ou masquée. La valeur masquée signifie que l’utilisateur ou la connexion n’a pas été activée pour Azure AD Identity Protection. Remarque : Les détails de cette propriété sont uniquement disponibles pour les clients Azure AD Premium P2. Tous les autres clients sont retournés masqués. |
| RiskLevelDuringSignIn |
string |
Niveau de risque pendant la connexion. Valeurs possibles : aucune, faible, moyenne, élevée ou masquée. La valeur masquée signifie que l’utilisateur ou la connexion n’a pas été activée pour Azure AD Identity Protection. Remarque : Les détails de cette propriété sont uniquement disponibles pour les clients Azure AD Premium P2. Tous les autres clients sont retournés masqués. |
| RiskState |
string |
État de risque d’un utilisateur à risque, d’une connexion ou d’un événement à risque. Valeurs possibles : aucun, confirmSafe, corrigé, ignoré, atRisk ou confirmCompromed. |
| ServicePrincipalId |
string |
Identificateur d’application utilisé pour la connexion. Ce champ est renseigné lorsque vous vous connectez à l’aide d’une application. |
| ServicePrincipalName |
string |
Nom de l’application utilisé pour la connexion. Ce champ est renseigné lorsque vous vous connectez à l’aide d’une application. |
| SessionLifetimePolicies |
string |
Toutes les stratégies de gestion de session d’accès conditionnel qui ont été appliquées pendant l’événement de connexion. |
| SignInIdentifier |
string |
Identification fournie par l’utilisateur pour se connecter. Il peut s’agir de userPrincipalName, mais il est également renseigné lorsqu’un utilisateur se connecte à l’aide d’autres identificateurs. |
| SignInIdentifierType |
string |
Type d’identificateur de connexion. Les valeurs possibles sont : userPrincipalName, phoneNumber, proxyAddress, qrCode, onPremisesUserPrincipalName. |
| SourceSystem |
string |
Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| État |
dynamic |
État de connexion. Inclut le code d’erreur et la description de l’erreur (en cas d’échec de connexion). |
| TimeGenerated |
DATETIME |
|
| TokenIssuerName |
string |
Nom du fournisseur d’identité. Par exemple, sts.microsoft.com. |
| TokenIssuerType |
string |
Type de fournisseur d’identité. Les valeurs possibles sont : AzureAD ou ADFederationServices, AzureADBackupAuth, ADFederationServicesMFAAdapter, NPSExtension. |
| Type |
string |
Le nom de la table |
| UniqueTokenIdentifier |
string |
Identificateur de requête encodé en base64 unique utilisé pour suivre les jetons émis par Azure AD, car ils sont échangés auprès des fournisseurs de ressources. |
| UserAgent |
string |
Informations de l’agent utilisateur relatives à la connexion. |
| UserDisplayName |
string |
Nom complet de l'utilisateur. |
| ID utilisateur |
chaîne |
Identificateur de l’utilisateur. |
| UserPrincipalName |
string |
UPN de l’utilisateur. |
| UserType |
string |
Identifie si l’utilisateur est membre ou invité dans le locataire. Les valeurs possibles sont les suivantes : membre et invité. |