名前空間: microsoft.graph
重要
Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。
ディレクトリでのユーザーやアプリケーションのサインイン アクティビティについて詳しく説明します。 Microsoft Graph APIを使用してサインイン ログをダウンロードするには、Microsoft Entra ID P1 または P2 ライセンスが必要です。
Microsoft Entra データ保持ポリシーは、サインイン ログの可用性を制御します。
メソッド
| メソッド | 戻り値の型 | 説明 |
|---|---|---|
| List | サインイン | サインイン オブジェクトのプロパティとリレーションシップを読み取ります。 |
| Get | サインイン | サインイン オブジェクトのプロパティとリレーションシップを読み取ります。 |
| 侵害ありと確認する | なし | Microsoft Entraサインイン ログのイベントを危険としてマークします。 |
| 安全を確認する | なし | サインイン ログのイベントMicrosoft Entra安全としてマークします。 |
| Dismiss | なし | Microsoft Entraサインイン イベントによる Dimiss サインイン リスク |
プロパティ
| プロパティ | 型 | 説明 |
|---|---|---|
| agent | microsoft.graph.agentic.agentSignIn | エージェント サインインに関する詳細を表します。 場合によっては、エージェントの種類と parentAppID が含まれます |
| appDisplayName | String | Microsoft Entra 管理センターに表示されるアプリケーション名。 $filter (eq、startsWith) をサポートします。 |
| appId | String | Microsoft Entra IDのアプリケーション識別子。 $filter (eq)をサポートしています。 |
| appliedConditionalAccessPolicies | appliedConditionalAccessPolicy コレクション | 対応するサインイン アクティビティによってトリガーされる条件付きアクセス ポリシーの一覧。 アプリでは、このプロパティの詳細を読み取るために、より多くの条件付きアクセス関連の特権が必要です。 詳細については、「 サインインで適用された条件付きアクセス (CA) ポリシーを表示するためのアクセス許可」を参照してください。 |
| appOwnerTenantId | 文字列 | クライアント アプリケーションを所有するテナントの識別子。 $filter (eq)をサポートしています。 |
| appliedEventListeners | appliedAuthenticationEventListener コレクション | Azure Logic Apps やAzure Functionsなど、リスナーに関する詳細情報。サインイン イベントの対応するイベントがトリガーされます。 |
| appTokenProtectionStatus | tokenProtectionStatus | トークン保護により、トークンと発行先のデバイスとの間に暗号化されたセキュリティで保護された結び付きが作成されます。 このフィールドは、アプリ トークンがデバイスにバインドされたかどうかを示します。 |
| authenticationAppDeviceDetails | authenticationAppDeviceDetails | Microsoft Entra認証手順で使用されるアプリとデバイスの詳細を提供します。 |
| authenticationAppPolicyEvaluationDetails | authenticationAppPolicyDetails コレクション | 認証手順中にユーザーとクライアントの認証アプリに適用されるMicrosoft Entra ポリシーの詳細を提供します。 |
| authenticationContextClassReferences | authenticationContext コレクション | サインインに適用される条件付きアクセス認証コンテキストを表す値のコレクションを格納します。 |
| authenticationDetails | authenticationDetail コレクション | 認証試行の結果と、認証方法の詳細。 |
| authenticationMethodsUsed | String collection | 使用される認証方法。 使用可能な値: SMS、 Authenticator App、 App Verification code、 Password、 FIDO、 PTA、または PHS。 |
| authenticationProcessingDetails | keyvalue コレクション | PTA と PHS のエージェント名、フェデレーション認証のサーバーまたはファーム名など、認証処理の詳細。 |
| authenticationProtocol | protocolType | 認証で使用されるプロトコルの種類または許可の種類を一覧表示します。 使用できる値は、 none、 oAuth2、 ropc、 wsFederation、 saml20、 deviceCode、 unknownFutureValue、 authenticationTransfer、 nativeAuth、 implicitAccessTokenAndGetResponseMode、 implicitIdTokenAndGetResponseMode、 implicitAccessTokenAndPostResponseMode、 implicitIdTokenAndPostResponseMode、 authorizationCodeWithoutPkceauthorizationCodeWithPkce、 clientCredentials、 refreshTokenGrant、 encryptedAuthorizeResponse、 directUserGrant、 kerberosprtGrant、 seamlessSso、 prtBrokerBased、 prtNonBrokerBased、 onBehalfOf、 samlOnBehalfOf。
Prefer: include-unknown-enum-members要求ヘッダーを使用して、この進化可能な列挙型から次の値を取得します。authenticationTransfer、nativeAuth、implicitAccessTokenAndGetResponseMode、implicitIdTokenAndGetResponseMode、implicitAccessTokenAndPostResponseMode、implicitIdTokenAndPostResponseMode、authorizationCodeWithoutPkce、authorizationCodeWithPkceclientCredentials、refreshTokenGrant、encryptedAuthorizeResponse、directUserGrant、kerberos、prtGrant、seamlessSso、prtBrokerBased、prtNonBrokerBased、onBehalfOf、samlOnBehalfOf。 |
| authenticationRequirement | 文字列 | サインイン中に認証ステージに達しました。 以前に満たされた要求は考慮されません。 プライマリ認証が失敗した場合、サインイン試行は条件付きアクセスによって評価されないため、結果の値は singleFactorAuthentication。 $filter (eq、startsWith) をサポートします。 |
| authenticationRequirementPolicies | authenticationRequirementPolicy コレクション | 条件付きアクセス、ユーザーごとの MFA、ID 保護、セキュリティの既定値など、認証要件のソース。 |
| autonomousSystemNumber | Int32 | アクターによって使用されるネットワークの自律システム番号 (ASN)。 |
| azureResourceId | 文字列 | サインイン中にアクセスされたAzure リソースの完全修飾Azure Resource Manager ID が含まれます。 |
| clientAppUsed | String | サインイン アクティビティに使用されるレガシ クライアント。 たとえば、 Browser、 Exchange ActiveSync、 Modern clients、 IMAP、 MAPI、 SMTP、 POPなどです。 $filter (eq)をサポートしています。 |
| clientCredentialType | clientCredentialType | ユーザー クライアントまたはサービス プリンシパルが自身を認証するためにMicrosoft Entra IDするために指定した資格情報の種類について説明します。 このプロパティを確認して、安全性の低い資格情報の種類を追跡して排除したり、異常な資格情報の種類を使用してクライアントとサービス プリンシパルを監視したりできます。 使用可能な値: none、clientSecret、clientAssertion、federatedIdentityCredential、managedIdentity、certificate、unknownFutureValue。 |
| conditionalAccessAudiences | 文字列 | サインイン イベント中に条件付きアクセスが評価された対象ユーザーを示すリスト。 $filter (eq)をサポートしています。 |
| conditionalAccessStatus | conditionalAccessStatus | トリガーされた条件付きアクセス ポリシーの状態。 使用可能な値: success、 failure、 notApplied、または unknownFutureValue。 $filter (eq)をサポートしています。 |
| correlationId | String | サインインが開始されたときにクライアントが送信する識別子。 このプロパティは、サポートを呼び出すときに対応するサインイン アクティビティのトラブルシューティングに使用されます。 $filter (eq)をサポートしています。 |
| createdDateTime | DateTimeOffset | サインインが開始された日時。 Timestamp 型は、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。 $orderby、$filter (eq、le、ge) をサポートします。 |
| crossTenantAccessType | signInAccessType | アクターがリソースにアクセスするために使用するテナント間アクセスの種類について説明します。 使用可能な値: none、b2bCollaboration、b2bDirectConnect、microsoftSupport、serviceProvider、unknownFutureValue、passthrough。
Prefer: include-unknown-enum-members要求ヘッダーを使用して、この進化可能な列挙型で次の値を取得します:passthrough。 サインインがテナントの境界を越えていなかった場合、値は none。 |
| deviceDetail | deviceDetail | サインインが発生した場所のデバイス情報。 deviceId、OS、ブラウザーなどの情報が含まれます。 ブラウザーおよび operatingSystem プロパティで $filter (eq、startsWith) をサポートします。 |
| federatedCredentialId | 文字列 | フェデレーション ID 資格情報がサインインに使用された場合は、アプリケーションのフェデレーション ID 資格情報の識別子が含まれます。 |
| flaggedForReview | ブール型 | サインインに失敗した場合、ユーザーはAzure portalのボタンを選択して、テナント管理者の失敗したイベントをマークできます。 ユーザーがボタンを選択して、失敗したサインインにフラグを設定した場合、この値は true。 |
| globalSecureAccessIpAddress | 文字列 | サインインが開始されたグローバル セキュリティで保護されたアクセス IP アドレス。 |
| homeTenantId | 文字列 | サインインを開始するユーザーのテナント識別子。 マネージド ID またはサービス プリンシパルのサインインでは適用されません。 |
| homeTenantName | 文字列 | ユーザー サインインの場合、ユーザーがメンバーであるテナントの識別子。 ホーム テナントがテナントのコンテンツを表示するためにMicrosoft Entra IDに肯定的な同意を提供する場合にのみ設定されます。 |
| id | 文字列 | サインイン アクティビティを表す識別子。
エンティティから継承 されます。 $filter (eq)をサポートしています。 |
| incomingTokenType | incomingTokenType | サインインでアクターを認証するためにMicrosoft Entra IDに提示されたトークンの種類を示します。 使用可能な値: none、primaryRefreshToken、saml11、saml20、unknownFutureValue、remoteDesktopToken、refreshToken。 注 Microsoft Entra IDでは、アクターを認証するために、この列挙型に記載されていないトークン型も使用されている可能性があります。 一覧表示されている型の 1 つでない場合は、トークンの不足を推測しないでください。 Prefer: include-unknown-enum-members要求ヘッダーを使用して、この進化可能な列挙型の値 (remoteDesktopToken、refreshToken) を取得します。 |
| ipAddress | String | サインインが発生したクライアントの IP アドレス。 $filter (eq、startsWith) をサポートします。 |
| ipAddressFromResourceProvider | 文字列 | 一部のポリシーの条件付きアクセスコンプライアンスを決定するために使用される、リソース プロバイダーに到達するために使用されるユーザーの IP アドレス。 たとえば、ユーザーがExchange Onlineと対話するときに、Microsoft Exchange がユーザーから受け取る IP アドレスをここに記録できます。 多くの場合、この値は nullされます。 |
| isInteractive | Boolean | ユーザーのサインインが対話型かどうかを示します。 対話型サインインでは、ユーザーはMicrosoft Entra IDする認証要素を提供します。 これらの要因には、パスワード、MFA チャレンジへの応答、生体認証要素、またはユーザーがMicrosoft Entra IDまたは関連するアプリに提供する QR コードが含まれます。 非対話型サインインでは、ユーザーは認証要素を提供しません。 代わりに、クライアント アプリはトークンまたはコードを使用して、ユーザーの代わりにリソースを認証またはアクセスします。 非対話型サインインは、通常、クライアントがユーザーに対して透過的なプロセスでユーザーの代わりにサインインするために使用されます。 |
| isTenantRestricted | ブール型 | サインイン イベントがテナント制限ポリシー Microsoft Entra適用されたかどうかを示します。 |
| isThroughGlobalSecureAccess | ブール型 | ユーザーがグローバル セキュリティで保護されたアクセス サービスを使用したかどうかを示します。 |
| location | signInLocation | サインインが行われた場所の市区町村、州、2 文字の国番号。 都市、州、および countryOrRegion プロパティの $filter (eq、startsWith) をサポートします。 |
| managedServiceIdentity | managedIdentity | サインインに使用されるマネージド ID に関する情報 (その種類、関連付けられたAzure Resource Manager (ARM) リソース ID、フェデレーション トークン情報など) が含まれます。 |
| networkLocationDetails | networkLocationDetail コレクション | 使用されるネットワークの種類とその名前など、ネットワークの場所の詳細。 |
| originalRequestId | String | 認証シーケンス内の最初の要求の要求識別子。 $filter (eq)をサポートしています。 |
| originalTransferMethod | originalTransferMethods | 後続のすべての要求を通じてセッションを開始するために使用される転送メソッド。 使用可能な値: none、deviceCodeFlow、authenticationTransfer、unknownFutureValue。 |
| privateLinkDetails | privateLinkDetails | サインイン イベントに関連付けられているMicrosoft Entra Private Link ポリシーに関する情報が含まれます。 |
| processingTimeInMilliseconds | Int | AD STS の要求処理時間 (ミリ秒単位)。 |
| resourceDisplayName | String | ユーザーがサインインしたリソースの名前。 $filter (eq)をサポートしています。 |
| resourceId | String | ユーザーがサインインしたリソースの識別子。 $filter (eq)をサポートしています。 |
| resourceOwnerTenantId | 文字列 | リソースの所有者の識別子。 $filter (eq)をサポートしています。 |
| resourceServicePrincipalId | 文字列 | サインイン イベントで対象リソースを表すサービス プリンシパルの識別子。 |
| resourceTenantId | 文字列 | サインインで参照されるリソースのテナント識別子。 |
| riskDetail | riskDetail | 危険なユーザー、サインイン、またはリスク イベントの特定の状態の背後にある理由。
none値は、Microsoft Entraリスク検出によって、ユーザーまたはサインインに危険なイベントとしてフラグが設定されていないことを意味します。 $filter (eq)をサポートしています。手記:このプロパティの詳細は、Microsoft Entra ID P2 のお客様のみが使用できます。 他のすべての顧客は hidden返されます。 |
| riskEventTypes_v2 | String collection | サインインに関連付けられているリスク イベントの種類の一覧。 使用可能な値: unlikelyTravel、 anonymizedIPAddress、 maliciousIPAddress、 unfamiliarFeatures、 malwareInfectedIPAddress、 suspiciousIPAddress、 leakedCredentials、 investigationsThreatIntelligence、 generic、または unknownFutureValue。 $filter (eq、startsWith) をサポートします。 |
| riskLevelAggregated | riskLevel | 集計されたリスク レベル。 使用可能な値: none、 low、 medium、 high、 hidden、または unknownFutureValue。
hidden値は、ユーザーまたはサインインが Microsoft Entra ID Protection に対して有効になっていないことを意味します。 $filter (eq)をサポートしています。 手記:このプロパティの詳細は、Microsoft Entra ID P2 のお客様のみが使用できます。 他のすべての顧客は hidden返されます。 |
| riskLevelDuringSignIn | riskLevel | サインイン中のリスク レベル。 使用可能な値: none、 low、 medium、 high、 hidden、または unknownFutureValue。
hidden値は、ユーザーまたはサインインが Microsoft Entra ID Protection に対して有効になっていないことを意味します。 $filter (eq)をサポートしています。 手記:このプロパティの詳細は、Microsoft Entra ID P2 のお客様のみが使用できます。 他のすべての顧客は hidden返されます。 |
| riskState | riskState | 危険なユーザー、サインイン、またはリスク イベントのリスク状態。 使用可能な値: none、 confirmedSafe、 remediated、 dismissed、 atRisk、 confirmedCompromised、または unknownFutureValue。 $filter (eq)をサポートしています。 |
| servicePrincipalCredentialKeyId | 文字列 | 認証にサービス プリンシパルによって使用されるキー資格情報の一意識別子。 |
| servicePrincipalCredentialThumbprint | 文字列 | サービス プリンシパルが認証に使用する証明書の証明書拇印。 |
| servicePrincipalId | 文字列 | サインインに使用されるアプリケーション識別子。 このフィールドは、アプリケーションを使用してサインインするときに設定されます。 $filter (eq、startsWith) をサポートします。 |
| servicePrincipalName | 文字列 | サインインに使用されるアプリケーション名。 このフィールドは、アプリケーションを使用してサインインするときに設定されます。 $filter (eq、startsWith) をサポートします。 |
| sessionLifetimePolicies | sessionLifetimePolicy コレクション | サインイン イベント中に適用された条件付きアクセス セッション管理ポリシー。 |
| signInEventTypes | String collection | イベントが表すサインインのカテゴリを示します。 ユーザー サインインの場合、カテゴリは interactiveUser または nonInteractiveUser でき、サインイン リソースの isInteractive プロパティの値に対応します。 マネージド ID サインインの場合、カテゴリは managedIdentity。 サービス プリンシパル サインインの場合、カテゴリは servicePrincipal です。 使用可能な値: interactiveUser、nonInteractiveUser、servicePrincipal、managedIdentity、unknownFutureValue。 $filter (eq、ne) をサポートします。 手記: 明示的なフィルターを設定しない限り、対話型サインインのみが返されます。 たとえば、非対話型サインインを取得するためのフィルターは https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=signInEventTypes/any(t: t eq 'nonInteractiveUser')。 |
| sessionId | 文字列 | サインイン中に生成されたセッションの識別子。 |
| signInIdentifier | 文字列 | ユーザーがサインインするために指定した識別。 userPrincipalName を指定できますが、ユーザーが他の識別子を使用してサインインするときにも設定されます。 |
| signInIdentifierType | signInIdentifierType | サインイン識別子の種類。 使用可能な値: userPrincipalName、phoneNumber、proxyAddress、qrCode、onPremisesUserPrincipalName、unknownFutureValue。 |
| signInTokenProtectionStatus | tokenProtectionStatus | トークン保護により、トークンと発行先のデバイスとの間に暗号化されたセキュリティで保護された結び付きが作成されます。 このフィールドは、サインイン トークンがデバイスにバインドされたかどうかを示します。 使用可能な値: none、bound、unbound、unknownFutureValue。 |
| status | signInStatus | サインインの状態。 エラー コードとエラーの説明が含まれます (サインインエラーの場合)。 errorCode プロパティの $filter (eq) をサポートします。 |
| tokenIssuerName | String | ID プロバイダーの名前。 たとえば、「 sts.microsoft.com 」のように入力します。 $filter (eq)をサポートしています。 |
| tokenIssuerType | tokenIssuerType | ID プロバイダーの種類。 使用可能な値: AzureAD、ADFederationServices、UnknownFutureValue、AzureADBackupAuth、ADFederationServicesMFAAdapter、NPSExtension。
Prefer: include-unknown-enum-members要求ヘッダーを使用して、この進化可能な列挙型で次の値を取得します。AzureADBackupAuth、ADFederationServicesMFAAdapter、NPSExtension。 |
| uniqueTokenIdentifier | 文字列 | リソース プロバイダーで引き換えられたMicrosoft Entra IDによって発行されたトークンを追跡するために使用される、一意の base64 でエンコードされた要求識別子。 |
| userAgent | 文字列 | サインインに関連するユーザー エージェント情報。 $filter (eq、startsWith) をサポートします。 |
| userDisplayName | String | ユーザーの表示名。 $filter (eq、startsWith) をサポートします。 |
| userId | String | ユーザーの識別子。 $filter (eq)をサポートしています。 |
| userPrincipalName | String | サインインを開始したユーザーのユーザー プリンシパル名。 この値は常に小文字です。 通常、ユーザー オブジェクトの値にドメイン 部分の前に #EXT# が含まれるゲスト ユーザーの場合、このプロパティは値を小文字と "true" の両方の形式で格納します。 たとえば、ユーザー オブジェクトは AdeleVance_fabrikam.com#EXT#@contoso.comを格納しますが、サインイン ログには adelevance@fabrikam.comが格納されます。$filter (eq、startsWith) をサポートします。 |
| userType | signInUserType | ユーザーがテナントのメンバーかゲストかを識別します。 使用可能な値: member、guest、unknownFutureValue。 |
| mfaDetail (非推奨) | mfaDetail | このプロパティは推奨されていません。 |
リレーションシップ
なし
JSON 表記
次の JSON 表現は、リソースの種類を示しています。
{
"@odata.type": "#microsoft.graph.signIn",
"agent": {
"@odata.type": "microsoft.graph.agentic.agentSignIn"
},
"appDisplayName": "String",
"appId": "String",
"authenticationContextClassReferences": [{"@odata.type": "microsoft.graph.authenticationContext"}],
"appliedConditionalAccessPolicies": [
{
"@odata.type": "microsoft.graph.appliedConditionalAccessPolicy"
}
],
"appliedEventListeners": [
{
"@odata.type": "microsoft.graph.appliedAuthenticationEventListener"
}
],
"appTokenProtectionStatus": {
"@odata.type": "microsoft.graph.tokenProtectionStatus"
},
"authenticationAppDeviceDetails": {
"@odata.type": "microsoft.graph.authenticationAppDeviceDetails"
},
"authenticationAppPolicyEvaluationDetails": [
{
"@odata.type": "microsoft.graph.authenticationAppPolicyDetails"
}
],
"authenticationDetails": [
{
"@odata.type": "microsoft.graph.authenticationDetail"
}
],
"authenticationMethodsUsed": [
"String"
],
"authenticationProcessingDetails": [
{
"@odata.type": "microsoft.graph.keyValue"
}
],
"authenticationProtocol": "String",
"authenticationRequirement": "String",
"authenticationRequirementPolicies": [
{
"@odata.type": "microsoft.graph.authenticationRequirementPolicy"
}
],
"autonomousSystemNumber": "Integer",
"azureResourceId": "String",
"clientAppUsed": "String",
"conditionalAccessStatus": "String",
"correlationId": "String",
"createdDateTime": "String (timestamp)",
"crossTenantAccessType": "String",
"deviceDetail": {
"@odata.type": "microsoft.graph.deviceDetail"
},
"federatedCredentialId": "String",
"flaggedForReview": "Boolean",
"id": "String (identifier)",
"homeTenantId": "String",
"homeTenantName": "String",
"isInteractive": "Boolean",
"isTenantRestricted": "Boolean",
"ipAddress": "String",
"ipAddressFromResourceProvider": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"mfaDetail": {
"@odata.type": "microsoft.graph.mfaDetail"
},
"networkLocationDetails": [
{
"@odata.type": "microsoft.graph.networkLocationDetail"
}
],
"originalRequestId": "String",
"originalTransferMethod": "String",
"privateLinkDetails": {
"@odata.type": "microsoft.graph.privateLinkDetails"
},
"processingTimeInMilliseconds": "Integer",
"riskDetail": "String",
"riskEventTypes_v2": [
"String"
],
"riskLevelAggregated": "String",
"riskLevelDuringSignIn": "String",
"riskState": "String",
"resourceDisplayName": "String",
"resourceId": "String",
"resourceTenantId": "String",
"servicePrincipalCredentialKeyId": "String",
"servicePrincipalCredentialThumbprint": "String",
"servicePrincipalId": "String",
"servicePrincipalName": "String",
"sessionId": "String",
"sessionLifetimePolicies": [{"@odata.type": "microsoft.graph.sessionLifetimePolicy"}],
"signInEventTypes": [
"String"
],
"signInIdentifier": "String",
"signInIdentifierType": "String",
"signInTokenProtectionStatus": "String",
"status": {
"@odata.type": "microsoft.graph.signInStatus"
},
"tokenIssuerName": "String",
"tokenIssuerType": "String",
"userAgent": "String",
"userDisplayName": "String",
"userId": "String",
"userPrincipalName": "String",
"userType": "String"
}