| AADTenantId |
字串 |
|
| AlternateSignInName |
字串 |
使用者提供登入的標識碼。 這可能是userPrincipalName,但是當使用者使用其他標識碼登入時,也會填入該名稱。 |
| AppDisplayName |
字串 |
Azure 入口網站中顯示的應用程式名稱。 |
| AppId |
字串 |
Azure Active Directory 中的應用程式識別碼。 |
| AppliedConditionalAccessPolicies |
字串 |
|
| AppliedEventListeners |
dynamic |
登入事件中對應事件所觸發之接聽程式的詳細資訊,例如 Azure Logic Apps 和 Azure Functions。 |
| AuthenticationContextClassReferences |
字串 |
包含值集合,這些值表示套用至登入的條件式存取驗證內容。 |
| AuthenticationDetails |
字串 |
驗證嘗試的結果,以及驗證方法的其他詳細數據。 |
| AuthenticationMethodsUsed |
字串 |
所使用的驗證方法。 可能的值:SMS、Authenticator 應用程式、應用程式驗證碼、密碼、FIDO、PTA 或 PHS。 |
| AuthenticationProcessingDetails |
字串 |
其他驗證處理詳細數據,例如 PTA/PHS 或伺服器/伺服器數位名稱的代理程式名稱,以防同盟驗證。 |
| AuthenticationProtocol |
字串 |
列出驗證中使用的通訊協議類型或授與類型。 可能的值為:none、oAuth2、ropc、wsFederation、saml20、deviceCode。 對於使用所列可能值以外的通訊協定的驗證,通訊協定類型會列為無。 |
| AuthenticationRequirement |
字串 |
這會保存透過所有登入步驟所需的最高層級驗證,讓登入成功。 |
| AuthenticationRequirementPolicies |
字串 |
驗證需求的來源,例如條件式存取、每個使用者 MFA、身分識別保護和安全性預設值。 |
| AutonomousSystemNumber |
字串 |
動作專案所用網路的自發系統號碼(ASN)。 |
| _BilledSize |
real |
以位元組為單位的記錄大小 |
| 類別 |
字串 |
|
| ClientAppUsed |
字串 |
用於登入活動的舊版用戶端。 例如:Browser、Exchange ActiveSync、Modern 用戶端、IMAP、MAPI、SMTP 或 POP。 |
| ConditionalAccessPolicies |
dynamic |
對應登入活動所觸發的條件式存取原則清單。 |
| ConditionalAccessPolicies |
字串 |
觸發條件式存取原則的狀態。 可能的值:成功、失敗或未套用。 |
| CorrelationId |
字串 |
起始登入時從用戶端傳送的標識碼。 這會用於針對呼叫 支援時對應的登入活動進行疑難解答。 |
| CreatedDateTime |
Datetime |
登入的起始日期和時間。 時間戳類型一律為UTC時間。 例如,2014 年 1 月 1 日午夜 UTC 是 2014-01-01T00:00:00Z。 |
| CrossTenantAccessType |
字串 |
描述動作專案用來存取資源的跨租使用者存取類型。 |
| DeviceDetail |
dynamic |
登入發生位置的裝置資訊。 包含 deviceId、OS 和瀏覽器等資訊。 |
| DurationMs |
long |
|
| FlaggedForReview |
bool |
在登入失敗期間,使用者可以按兩下 Azure 入口網站中的按鈕,以標記租用戶系統管理員的失敗事件。 如果使用者按鍵來標幟失敗的登入,此值為 true。 |
| HomeTenantId |
字串 |
起始登入之使用者的租用戶標識碼。 不適用於受控識別或服務主體登入。 |
| Id |
字串 |
表示登入活動的標識碼。 |
| 身分識別 |
字串 |
登入中識別之動作項目的顯示名稱。 |
| IPAddress |
字串 |
登入發生所在之用戶端的IP位址。 |
| IPAddressFromResourceProvider |
字串 |
用戶用來連線到資源提供者的IP位址,用來判斷某些原則的條件式存取合規性。 例如,當使用者與 Exchange Online 互動時,可能會在這裡記錄來自使用者的 IP 位址 Exchange。 此值通常為 Null。 |
| _IsBillable |
字串 |
指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| IsInteractive |
bool |
指出使用者登入是否為互動式。 在互動式登入中,使用者會將驗證因素提供給 Azure AD。 這些因素包括密碼、MFA 挑戰的回應、生物特徵辨識因素,或使用者提供給 Azure AD 或相關聯應用程式的 QR 代碼。 在非互動式登入中,使用者不會提供驗證因素。 相反地,用戶端應用程式會使用令牌或程式代碼來代表使用者驗證或存取資源。 非互動式登入通常供用戶端代表使用者登入,而程式對使用者而言是透明的。 |
| IsRisky |
bool |
|
| 層級 |
字串 |
|
| Location |
字串 |
登入發生位置的 2 個字母國家/地區代碼。 根據提供的IP位址,此值不一定會解析為城市或區域層級的詳細數據。 |
| LocationDetails |
dynamic |
提供登入發生所在的城市、州、國家/地區和緯度和經度。 |
| MfaDetail |
dynamic |
這個屬性已被取代。 |
| NetworkLocationDetails |
字串 |
網路位置詳細數據,包括所使用的網路類型及其名稱。 |
| OperationName |
字串 |
|
| OperationVersion |
字串 |
|
| OriginalRequestId |
字串 |
驗證順序中第一個要求的要求標識碼。 |
| ProcessingTimeInMilliseconds |
字串 |
|
| 資源 |
字串 |
|
| ResourceDisplayName |
字串 |
使用者登入的資源名稱。 |
| ResourceGroup |
字串 |
|
| ResourceId |
字串 |
使用者登入之資源的標識碼。 |
| ResourceIdentity |
字串 |
使用者登入的資源。 |
| ResourceProvider |
字串 |
|
| ResourceServicePrincipalId |
字串 |
服務主體的標識碼,表示登入事件中的目標資源。 |
| ResourceTenantId |
字串 |
登入中所參考資源的租用戶標識碼。 |
| ResultDescription |
字串 |
提供錯誤訊息或對應登入活動失敗的原因。 |
| ResultSignature |
字串 |
|
| ResultType |
字串 |
提供登入事件期間產生的5-6位數錯誤碼。 0 表示成功;其他值是失敗。 您可以使用 Azure AD 錯誤碼檔或 https://login.microsoftonline.com/error來找到詳細資訊。 |
| RiskDetail |
字串 |
風險使用者、登入或風險事件的特定狀態背後的原因。 可能的值:none、adminGeneratedTemporaryPassword、userPerformedSecuredPasswordChange、userPerformedSecuredPasswordReset、adminConfirmedSigninSafe、aiConfirmedSigninSafe、userPassedMFADrivenByRiskBasedPolicy、adminDismissedAllRiskForUser 或 adminConfirmedSigninCompromised。 無值表示到目前為止,使用者或登入上未執行任何動作。 注意:此屬性的詳細數據僅適用於 Azure AD Premium P2 客戶。 所有其他客戶都會被隱藏。 |
| RiskEventTypes |
字串 |
這個屬性已被取代。 |
| RiskEventTypes_V2 |
字串 |
與登入相關聯的風險事件類型清單。 可能的值:不太可能的Travel、匿名IPAddress、malwareIPAddress、unfliarFeatures、malwareInfectedIPAddress、suspiciousIPAddress、leakedCredentials、investigationsThreatIntelligence 或 generic。 |
| RiskLevel |
字串 |
|
| RiskLevelAggregated |
字串 |
匯總的風險層級。 可能的值:無、低、中、高或隱藏。 隱藏值表示 Azure AD Identity Protection 未啟用使用者或登入。 注意:此屬性的詳細數據僅適用於 Azure AD Premium P2 客戶。 所有其他客戶都會被隱藏。 |
| RiskLevelDuringSignIn |
字串 |
登入期間的風險層級。 可能的值:無、低、中、高或隱藏。 隱藏值表示 Azure AD Identity Protection 未啟用使用者或登入。 注意:此屬性的詳細數據僅適用於 Azure AD Premium P2 客戶。 所有其他客戶都會被隱藏。 |
| RiskState |
字串 |
具風險的使用者、登入或風險事件的風險狀態。 可能的值:none、confirmedSafe、補救、已關閉、atRisk 或 confirmedCompromised。 |
| ServicePrincipalId |
字串 |
用於登入的應用程式識別碼。 當您使用應用程式登入時,會填入此欄位。 |
| ServicePrincipalName |
字串 |
用於登入的應用程式名稱。 當您使用應用程式登入時,會填入此欄位。 |
| SessionLifetimePolicies |
字串 |
在登入事件期間套用的任何條件式存取會話管理原則。 |
| SignInIdentifier |
字串 |
使用者提供登入的標識碼。 這可能是userPrincipalName,但是當使用者使用其他標識碼登入時,也會填入該名稱。 |
| SignInIdentifierType |
字串 |
登入標識碼的類型。 可能的值為:userPrincipalName、phoneNumber、proxyAddress、qrCode、onPremisesUserPrincipalName。 |
| SourceSystem |
字串 |
收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager、直接連線或 Operations Manager、適用於 Linux 的所有 Linux 代理程式,或適用於 Azure 的 Azure 診斷 |
| 狀態 |
dynamic |
登入狀態。 包含錯誤碼和錯誤的描述(發生登入失敗時)。 |
| TimeGenerated |
Datetime |
|
| TokenIssuerName |
字串 |
識別提供者的名稱。 例如,sts.microsoft.com。 |
| TokenIssuerType |
字串 |
識別提供者的類型。 可能的值為:AzureAD 或 ADFederationServices、AzureADBackupAuth、ADFederationServicesMFAAdapter、NPSExtension。 |
| 型別 |
string |
資料表的名稱 |
| UniqueTokenIdentifier |
字串 |
唯一的base64編碼要求標識碼,用來追蹤 Azure AD 發行的令牌,因為它們會在資源提供者兌換時進行兌換。 |
| UserAgent |
字串 |
與登入相關的使用者代理程序資訊。 |
| UserDisplayName |
字串 |
使用者的顯示名稱。 |
| UserId |
字串 |
用戶的識別碼。 |
| UserPrincipalName |
字串 |
使用者的UPN。 |
| UserType |
字串 |
識別使用者是租使用者中的成員或來賓。 可能的值為:成員和來賓。 |