Partager via


Type de ressource signIn

Espace de noms: microsoft.graph

Importante

Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .

Détaille l’activité de connexion des utilisateurs ou des applications dans votre répertoire. Vous devez disposer d’une licence Microsoft Entra ID P1 ou P2 pour télécharger les journaux de connexion à l’aide du API Graph Microsoft.

Les stratégies de conservation des données Microsoft Entra régissent la disponibilité des journaux de connexion.

Remarque

Cette API retourne uniquement les connexions interactives, sauf si vous définissez un filtre explicite. Par exemple, le filtre pour obtenir des connexions non interactives est https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=signInEventTypes/any(t: t eq 'nonInteractiveUser').

Méthodes

Méthode Type renvoyé Description
List signIn Lit les propriétés et les relations des objets signIn.
Obtenir signIn Lit les propriétés et les relations d’un objet signIn.
Confirmer la compromission Aucun Marquez un événement dans les journaux de connexion Microsoft Entra comme risqué.
Confirmer la sécurité Aucun marquer un événement dans Microsoft Entra journaux de connexion comme étant sécurisé.

Propriétés

Propriété Type Description
appDisplayName String Nom de l’application affiché dans le centre d’administration Microsoft Entra.

Prend en charge $filter (eq, startsWith).
appId String Identificateur d’application dans Microsoft Entra ID.

Prend en charge $filter (eq).
appliedConditionalAccessPolicies collection appliedConditionalAccessPolicy Liste des stratégies d’accès conditionnel déclenchées par l’activité de connexion correspondante. Les applications ont besoin de plus de privilèges liés à l’accès conditionnel pour lire les détails de cette propriété. Pour plus d’informations, consultez Autorisations d’affichage des stratégies d’accès conditionnel appliquées dans les connexions.
appliedEventListeners collection appliedAuthenticationEventListener Informations détaillées sur les écouteurs, tels qu’Azure Logic Apps et Azure Functions, sur lesquels les événements correspondants dans l’événement de connexion ont déclenché.
appTokenProtectionStatus tokenProtectionStatus La protection des jetons crée une liaison sécurisée du point de vue du chiffrement entre le jeton et l’appareil pour lequel il est émis. Ce champ indique si le jeton d’application était lié à l’appareil.
authenticationAppDeviceDetails authenticationAppDeviceDetails Fournit des détails sur l’application et l’appareil utilisés lors d’une étape d’authentification Microsoft Entra.
authenticationAppPolicyEvaluationDetails collection authenticationAppPolicyDetails Fournit des détails sur les stratégies Microsoft Entra appliquées à une application d’authentification utilisateur et cliente pendant une étape d’authentification.
authenticationContextClassReferences collection authenticationContext Contient une collection de valeurs qui représentent les contextes d’authentification d’accès conditionnel appliqués à la connexion.
authenticationDetails collection authenticationDetail Résultat de la tentative d’authentification et plus de détails sur la méthode d’authentification.
authenticationMethodsUsed String collection Méthodes d’authentification utilisées. Valeurs possibles : SMS, Authenticator App, App Verification code, PasswordFIDO, PTA, ou PHS.
authenticationProcessingDetails Collection keyValue Plus de détails de traitement de l’authentification, tels que le nom de l’agent pour PTA et PHS, ou un nom de serveur ou de batterie pour l’authentification fédérée.
authenticationProtocol protocolType Listes le type de protocole ou le type d’octroi utilisé dans l’authentification. Les valeurs possibles sont , none, oAuth2, ropcwsFederation, saml20, deviceCode, unknownFutureValue, , authenticationTransfer, , nativeAuth. Utilisez none pour toutes les authentifications qui n’ont pas de valeur spécifique dans cette liste. Vous devez utiliser l’en-tête Prefer: include-unknown-enum-members de requête pour obtenir les valeurs suivantes dans cette énumération évolutive : authenticationTransfer, nativeAuth.
authenticationRequirement String Cela permet d’obtenir le niveau d’authentification le plus élevé nécessaire à toutes les étapes de connexion, pour que la connexion réussisse.

Prend en charge $filter (eq, startsWith).
authenticationRequirementPolicies collection authenticationRequirementPolicy Sources d’exigence d’authentification, telles que l’accès conditionnel, l’authentification multifacteur par utilisateur, la protection des identités et les paramètres de sécurité par défaut.
autonomousSystemNumber Int32 Numéro de système autonome (ASN) du réseau utilisé par l’acteur.
azureResourceId String Contient un ID de Resource Manager Azure complet d’une ressource Azure accessible pendant la connexion.
clientAppUsed String Client hérité utilisé pour l’activité de connexion. Par exemple : Browser, , Modern clientsExchange ActiveSync, IMAP, MAPI, SMTPou POP.

Prend en charge $filter (eq).
clientCredentialType clientCredentialType Décrit le type d’informations d’identification qu’un client utilisateur ou un principal de service a fourni à Microsoft Entra ID pour s’authentifier. Vous pouvez examiner cette propriété pour suivre et éliminer les types d’informations d’identification moins sécurisés ou pour watch pour les clients et les principaux de service à l’aide de types d’informations d’identification anormaux. Les valeurs possibles sont none, clientSecret, clientAssertion, federatedIdentityCredential, managedIdentity, certificate, unknownFutureValue.
conditionalAccessAudiences String Liste qui indique l’audience évaluée par l’accès conditionnel lors d’un événement de connexion.

Prend en charge $filter (eq).
conditionalAccessStatus conditionalAccessStatus Status de la stratégie d’accès conditionnel déclenchée. Valeurs possibles : success, failure, notAppliedou unknownFutureValue.

Prend en charge $filter (eq).
correlationId String Identificateur que le client envoie quand la connexion est lancée. Cette propriété est utilisée pour résoudre les problèmes liés à l’activité de connexion correspondante lors de l’appel au support technique.

Prend en charge $filter (eq).
createdDateTime DateTimeOffset Date et heure de démarrage de la connexion. Le type d’horodatage est toujours au format UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z.

Prend en charge $orderby, $filter (eq, leet ge).
crossTenantAccessType signInAccessType Décrit le type d’accès interlocataire utilisé par l’acteur pour accéder à la ressource. Les valeurs possibles sont les suivantes : none, b2bCollaboration, b2bDirectConnect, microsoftSupport, serviceProvider, unknownFutureValue et passthrough. En outre, vous devez utiliser l’en-tête Prefer: include-unknown-enum-members de requête pour obtenir la ou les valeurs suivantes dans cette énumération évolutive : passthrough. Si la connexion n’a pas franchi les limites du locataire, la valeur est none.
deviceDetail deviceDetail Informations sur l’appareil à partir de laquelle la connexion s’est produite. Inclut des informations telles que deviceId, système d’exploitation et navigateur.

Prend en charge $filter (eq, startsWith) sur les propriétés browser et operatingSystem .
federatedCredentialId String Contient l’identificateur des informations d’identification d’identité fédérée d’une application, si des informations d’identification d’identité fédérée ont été utilisées pour la connexion.
indicateurForReview Boolean Lors d’une connexion ayant échoué, un utilisateur peut sélectionner un bouton dans le Portail Azure pour marquer l’événement ayant échoué pour les administrateurs de locataire. Si un utilisateur sélectionne le bouton pour marquer l’échec de la connexion, cette valeur est true.
globalSecureAccessIpAddress String Adresse IP globale d’accès sécurisé à partir de laquelle la connexion a été lancée.
homeTenantId String Identificateur de locataire de l’utilisateur qui lance la connexion. Non applicable dans identité managée ou connexions de principal de service.
homeTenantName String Pour les connexions utilisateur, identificateur du locataire dont l’utilisateur est membre. Renseigné uniquement dans les cas où le locataire d’origine fournit un consentement positif pour Microsoft Entra ID d’afficher le contenu du locataire.
id String Identificateur représentant l’activité de connexion. Hérité de l’entité.

Prend en charge $filter (eq).
incomingTokenType incomingTokenType Indique les types de jetons qui ont été présentés à Microsoft Entra ID pour authentifier l’acteur dans la connexion. Les valeurs possibles sont none, primaryRefreshToken, saml11, saml20, unknownFutureValue, remoteDesktopToken, refreshToken.

REMARQUE Microsoft Entra ID avez peut-être également utilisé des types de jetons non répertoriés dans ce type d’énumération pour authentifier l’acteur. Ne déduitz pas l’absence d’un jeton s’il ne s’agit pas de l’un des types répertoriés. En outre, vous devez utiliser l’en-tête Prefer: include-unknown-enum-members de requête pour obtenir la ou les valeurs suivantes dans cette énumération évolutive : remoteDesktopToken, refreshToken.
ipAddress String Adresse IP du client à partir duquel la connexion s’est produite.

Prend en charge $filter (eq, startsWith).
ipAddressFromResourceProvider String Adresse IP utilisée par un utilisateur pour atteindre un fournisseur de ressources, utilisée pour déterminer la conformité de l’accès conditionnel pour certaines stratégies. Par exemple, lorsqu’un utilisateur interagit avec Exchange Online, l’adresse IP que Microsoft Exchange reçoit de l’utilisateur peut être enregistrée ici. Cette valeur est souvent null.
isInteractive Boolean Indique si une connexion utilisateur est interactive. Dans la connexion interactive, l’utilisateur fournit un facteur d’authentification pour Microsoft Entra ID. Ces facteurs incluent les mots de passe, les réponses aux défis de l’authentification multifacteur, les facteurs biométriques ou les codes QR qu’un utilisateur fournit à Microsoft Entra ID ou à une application associée. Dans la connexion non interactive, l’utilisateur ne fournit pas de facteur d’authentification. Au lieu de cela, l’application cliente utilise un jeton ou un code pour authentifier ou accéder à une ressource pour le compte d’un utilisateur. Les connexions non interactives sont couramment utilisées pour qu’un client se connecte pour le compte d’un utilisateur dans un processus transparent pour l’utilisateur.
isTenantRestricted Boolean Indique si l’événement de connexion a été soumis à une stratégie de restriction de locataire Microsoft Entra.
isThroughGlobalSecureAccess Boolean Indique si un utilisateur est passé par le service Global Secure Access.
location signInLocation Code de la ville, de l’État et du pays à deux lettres à partir duquel la connexion s’est produite.

Prend en charge $filter (eq, startsWith) sur les propriétés city, state et countryOrRegion .
managedServiceIdentity managedIdentity Contient des informations sur l’identité managée utilisée pour la connexion, notamment son type, l’ID de ressource Azure Resource Manager (ARM) associé et les informations de jeton fédéré.
networkLocationDetails Collection networkLocationDetail Détails de l’emplacement réseau, y compris le type de réseau utilisé et ses noms.
originalRequestId String Identificateur de la première requête dans la séquence d’authentification.

Prend en charge $filter (eq).
originalTransferMethod originalTransferMethods Méthode de transfert utilisée pour lancer une session dans toutes les requêtes suivantes. Les valeurs possibles sont : none, deviceCodeFlow, authenticationTransfer, unknownFutureValue.
privateLinkDetails privateLinkDetails Contient des informations sur la stratégie Microsoft Entra Private Link associée à l’événement de connexion.
processingTimeInMilliseconds Int Temps de traitement de la demande en millisecondes dans AD STS.
resourceDisplayName String Nom de la ressource à laquelle l’utilisateur s’est connecté.

Prend en charge $filter (eq).
resourceId String Identificateur de la ressource à laquelle l’utilisateur s’est connecté.

Prend en charge $filter (eq).
resourceServicePrincipalId String Identificateur du principal de service représentant la ressource cible dans l'événement de connexion.
resourceTenantId String Identificateur de locataire de la ressource référencée dans la connexion.
riskDetail riskDetail Raison d’un état spécifique d’un utilisateur à risque, d’une connexion ou d’un événement à risque. Les valeurs possibles sont none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafeuserPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, adminConfirmedUserCompromised, m365DAdminDismissedDetectionadminConfirmedServicePrincipalCompromisedunknownFutureValueadminDismissedAllRiskForServicePrincipal, userChangedPasswordOnPremises, , . adminConfirmedAccountSafeadminDismissedRiskForSignIn Vous devez utiliser l’en-tête Prefer: include-unknown-enum-members de requête pour obtenir la ou les valeurs suivantes dans cette énumération évolutive : adminConfirmedServicePrincipalCompromised, adminDismissedAllRiskForServicePrincipal, m365DAdminDismissedDetection, adminConfirmedAccountSafeuserChangedPasswordOnPremisesadminDismissedRiskForSignIn. La valeur none signifie que Microsoft Entra détection des risques n’a pas marqué l’utilisateur ou la connexion comme un événement à risque jusqu’à présent.

Prend en charge $filter (eq).
Note: Les détails de cette propriété sont disponibles uniquement pour les clients Microsoft Entra ID P2. Tous les autres clients sont retournés hidden.
riskEventTypes_v2 String collection Liste des types d’événements à risque associés à la connexion. Valeurs possibles : unlikelyTravel, anonymizedIPAddress, maliciousIPAddress, unfamiliarFeatures, malwareInfectedIPAddress, suspiciousIPAddressleakedCredentials, investigationsThreatIntelligencegeneric, ou unknownFutureValue.

Prend en charge $filter (eq, startsWith).
riskLevelAggregated riskLevel Niveau de risque agrégé. Valeurs possibles : none, low, medium, highhidden, ou unknownFutureValue. La valeur hidden signifie que l’utilisateur ou la connexion n’a pas été activé pour Protection Microsoft Entra ID.

Prend en charge $filter (eq).
Note: Les détails de cette propriété sont disponibles uniquement pour les clients Microsoft Entra ID P2. Tous les autres clients sont retournés hidden.
riskLevelDuringSignIn riskLevel Niveau de risque pendant la connexion. Valeurs possibles : none, low, medium, highhidden, ou unknownFutureValue. La valeur hidden signifie que l’utilisateur ou la connexion n’a pas été activé pour Protection Microsoft Entra ID.

Prend en charge $filter (eq).
Note: Les détails de cette propriété sont disponibles uniquement pour les clients Microsoft Entra ID P2. Tous les autres clients sont retournés hidden.
riskState riskState État de risque d’un utilisateur à risque, d’une connexion ou d’un événement à risque. Valeurs possibles : none, confirmedSafe, remediated, dismissedatRisk, confirmedCompromised, ou unknownFutureValue.

Prend en charge $filter (eq).
servicePrincipalCredentialKeyId String Identificateur unique des informations d’identification de clé utilisées par le principal de service pour l’authentification.
servicePrincipalCredentialThumbprint String Empreinte numérique du certificat utilisé par le principal de service pour l’authentification.
servicePrincipalId String Identificateur d’application utilisé pour la connexion. Ce champ est rempli lorsque vous vous connectez à l’aide d’une application.

Prend en charge $filter (eq, startsWith).
servicePrincipalName String Nom de l’application utilisé pour la connexion. Ce champ est rempli lorsque vous vous connectez à l’aide d’une application.

Prend en charge $filter (eq, startsWith).
sessionLifetimePolicies collection sessionLifetimePolicy Toutes les stratégies de gestion de session d’accès conditionnel qui ont été appliquées pendant l’événement de connexion.
signInEventTypes String collection Indique la catégorie de connexion que l’événement représente. Pour les connexions utilisateur, la catégorie peut être interactiveUser ou nonInteractiveUser et correspond à la valeur de la propriété isInteractive sur la ressource signin. Pour les connexions d’identité managée, la catégorie est managedIdentity. Pour les connexions du principal de service, la catégorie est servicePrincipal. Les valeurs possibles sont les suivantes : interactiveUser, nonInteractiveUser, servicePrincipal, managedIdentity, unknownFutureValue.

Prend en charge $filter (eq, ne).
sessionId String Identificateur de la session qui a été générée pendant la connexion.
signInIdentifier String Identification fournie par l’utilisateur pour se connecter. Il peut s’agir de userPrincipalName, mais est également renseigné lorsqu’un utilisateur se connecte à l’aide d’autres identificateurs.
signInIdentifierType signInIdentifierType Type d’identificateur de connexion. Les valeurs possibles sont userPrincipalName, phoneNumber, proxyAddress, qrCode, onPremisesUserPrincipalName, unknownFutureValue.
signInTokenProtectionStatus tokenProtectionStatus La protection des jetons crée une liaison sécurisée du point de vue du chiffrement entre le jeton et l’appareil pour lequel il est émis. Ce champ indique si le jeton de connexion était lié à l’appareil ou non. Les valeurs possibles sont : none, bound, unbound, unknownFutureValue.
statut signInStatus La connexion status. Inclut le code d’erreur et la description de l’erreur (en cas d’échec de connexion).

Prend en charge $filter (eq) sur la propriété errorCode .
tokenIssuerName String Nom du fournisseur d’identité. Par exemple : sts.microsoft.com.

Prend en charge $filter (eq).
tokenIssuerType tokenIssuerType Type de fournisseur d’identité. Les valeurs possibles sont AzureAD, ADFederationServices, UnknownFutureValue, AzureADBackupAuth, ADFederationServicesMFAAdapter, NPSExtension. Vous devez utiliser l’en-tête Prefer: include-unknown-enum-members de requête pour obtenir les valeurs suivantes dans cette énumération évolutive : AzureADBackupAuth , ADFederationServicesMFAAdapter , NPSExtension.
uniqueTokenIdentifier String Identificateur de requête encodé en base64 unique utilisé pour suivre les jetons émis par Microsoft Entra ID à mesure qu’ils sont échangés auprès des fournisseurs de ressources.
userAgent String Informations de l’agent utilisateur relatives à la connexion.

Prend en charge $filter (eq, startsWith).
userDisplayName String Nom d’affichage de l’utilisateur.

Prend en charge $filter (eq, startsWith).
userId String Identificateur de l’utilisateur.

Prend en charge $filter (eq).
userPrincipalName String Nom d’utilisateur principal de l’utilisateur qui a lancé la connexion. Cette valeur est toujours en minuscules. Pour les utilisateurs invités dont les valeurs dans l’objet utilisateur contiennent #EXT# généralement avant la partie de domaine, cette propriété stocke la valeur en minuscules et au format « true ». Par exemple, pendant que l’objet utilisateur stocke AdeleVance_fabrikam.com#EXT#@contoso.com, les journaux de connexion stockent adelevance@fabrikam.com.

Prend en charge $filter (eq, startsWith).
userType signInUserType Identifie si l’utilisateur est membre ou invité dans le locataire. Les valeurs possibles sont member, guest et unknownFutureValue.
mfaDetail (déconseillé) mfaDetail Cette propriété est déconseillée.

Relations

Aucun

Représentation JSON

La représentation JSON suivante montre le type de ressource.

{
  "@odata.type": "#microsoft.graph.signIn",
  "appDisplayName": "String",
  "appId": "String",
  "authenticationContextClassReferences": [{"@odata.type": "microsoft.graph.authenticationContext"}],
  "appliedConditionalAccessPolicies": [
    {
      "@odata.type": "microsoft.graph.appliedConditionalAccessPolicy"
    }
  ],
  "appliedEventListeners": [
    {
      "@odata.type": "microsoft.graph.appliedAuthenticationEventListener"
    }
  ],
  "appTokenProtectionStatus": {
      "@odata.type": "microsoft.graph.tokenProtectionStatus"
  },
  "authenticationAppDeviceDetails": {
      "@odata.type": "microsoft.graph.authenticationAppDeviceDetails"
  },
  "authenticationAppPolicyEvaluationDetails": [
    {
      "@odata.type": "microsoft.graph.authenticationAppPolicyDetails"
    }
  ],
  "authenticationDetails": [
    {
      "@odata.type": "microsoft.graph.authenticationDetail"
    }
  ],
  "authenticationMethodsUsed": [
    "String"
  ],
  "authenticationProcessingDetails": [
    {
      "@odata.type": "microsoft.graph.keyValue"
    }
  ],
  "authenticationRequirement": "String",
  "authenticationRequirementPolicies": [
    {
      "@odata.type": "microsoft.graph.authenticationRequirementPolicy"
    }
  ],
  "autonomousSystemNumber": "Integer",
  "azureResourceId": "String",
  "clientAppUsed": "String",
  "conditionalAccessStatus": "String",
  "correlationId": "String",
  "createdDateTime": "String (timestamp)",
  "crossTenantAccessType": "String",
  "deviceDetail": {
    "@odata.type": "microsoft.graph.deviceDetail"
  },
  "federatedCredentialId": "String",
  "flaggedForReview": "Boolean",
  "id": "String (identifier)",
  "homeTenantId": "String",
  "homeTenantName": "String",
  "isInteractive": "Boolean",
  "isTenantRestricted": "Boolean",
  "ipAddress": "String",
  "ipAddressFromResourceProvider": "String",
  "location": {
    "@odata.type": "microsoft.graph.signInLocation"
  },
  "mfaDetail": {
    "@odata.type": "microsoft.graph.mfaDetail"
  },
  "networkLocationDetails": [
    {
      "@odata.type": "microsoft.graph.networkLocationDetail"
    }
  ],
  "originalRequestId": "String",
  "originalTransferMethod": "String",
  "privateLinkDetails": {
    "@odata.type": "microsoft.graph.privateLinkDetails"
  },
  "processingTimeInMilliseconds": "Integer",
  "riskDetail": "String",
  "riskEventTypes_v2": [
    "String"
  ],
  "riskLevelAggregated": "String",
  "riskLevelDuringSignIn": "String",
  "riskState": "String",
  "resourceDisplayName": "String",
  "resourceId": "String",
  "resourceTenantId": "String",
  "servicePrincipalCredentialKeyId": "String",
  "servicePrincipalCredentialThumbprint": "String",
  "servicePrincipalId": "String",
  "servicePrincipalName": "String",
  "sessionId": "String",
  "sessionLifetimePolicies": [{"@odata.type": "microsoft.graph.sessionLifetimePolicy"}],
  "signInEventTypes": [
    "String"
  ],
  "signInIdentifier": "String",
  "signInIdentifierType": "String",
  "signInTokenProtectionStatus": "String",
  "status": {
    "@odata.type": "microsoft.graph.signInStatus"
  },
  "tokenIssuerName": "String",
  "tokenIssuerType": "String",
  "userAgent": "String",
  "userDisplayName": "String",
  "userId": "String",
  "userPrincipalName": "String",
  "userType": "String"
}