| AADTenantId |
字符串 |
|
| 代理人 |
动态 |
登录日志的 agentic 属性。 当类型为 AgenticInstance 时,包括 agentType 和 parentAppId。 |
| 备用登录名 |
字符串 |
用户登录时提供的标识。 它可能是 userPrincipalName,但当用户使用其他标识符登录时,它也会被填入。 |
| 应用显示名称 |
字符串 |
Azure 门户中显示的应用程序名称。 |
| AppId |
字符串 |
Azure Active Directory 中的应用程序标识符。 |
| 已应用的条件访问策略 |
字符串 |
|
| 应用事件侦听器 |
动态 |
有关登录事件中的相应事件触发的侦听器(例如 Azure 逻辑应用和 Azure Functions)的详细信息。 |
| AppOwnerTenantId (应用所有者租户ID) |
字符串 |
Azure Active Directory 中应用程序所有者的租户标识符。 |
| 身份验证应用设备详细信息 |
字符串 |
使用身份验证应用的最新身份验证步骤中使用的应用和设备状态的详细信息。 |
| 身份验证应用程序策略评估详细信息 |
字符串 |
在最新的登录步骤中应用并强制执行与身份验证应用程序相关的策略的详细信息。 |
| 认证上下文类引用 |
字符串 |
包含一组表示应用于登录的条件访问身份验证上下文的值。 |
| 认证详情 |
字符串 |
身份验证尝试的结果以及有关身份验证方法的其他详细信息。 |
| 使用的认证方法 |
字符串 |
使用的身份验证方法。 可能的值:SMS、Authenticator App、App Verification code、Password、FIDO、PTA 或 PHS。 |
| 认证处理详情 |
字符串 |
其他身份验证处理详细信息,例如 PTA/PHS 中的代理名称或联合身份验证中的服务器/场名称。 |
| 认证协议 |
字符串 |
列出身份验证中使用的协议类型或授权类型。 可能的值包括:none、oAuth2、ropc、wsFederation、saml20、deviceCode。 对于使用所列可能值以外协议的身份验证,协议类型会被列为无。 |
| 身份验证要求 |
字符串 |
此属性包含登录成功的所有登录步骤所需的最高级别的身份验证。 |
| 认证要求策略 |
字符串 |
身份验证需求的来源,例如条件访问、按用户的多重身份验证 (MFA)、身份保护和安全默认值。 |
| 自治系统编号 |
字符串 |
参与者使用的网络的自治系统编号 (ASN)。 |
| _BilledSize(账单大小) |
实数 |
记录大小(字节) |
| 类别 |
字符串 |
|
| 使用的客户端应用程序 |
字符串 |
用于登录活动的旧式客户端。 例如:浏览器、Exchange ActiveSync、新式客户端、IMAP、MAPI、SMTP 或 POP。 |
| ClientCredentialType |
字符串 |
使用的客户端凭据的类型。 示例包括客户端断言、客户端密码等。 |
| 条件访问策略 |
动态 |
由相应登录活动触发的条件访问策略列表。 |
| 条件访问状态 |
字符串 |
触发的条件访问策略的状态。 可能的值:成功、失败或未应用。 |
| CorrelationId |
字符串 |
客户端在启动登录时发送的标识符。 这用于在调用支持时排除相应登录活动的故障。 |
| CreatedDateTime |
日期/时间 |
发起登录的日期和时间。 时间戳类型始终采用 UTC 时间。 例如,2014 年 1 月 1 日午夜的 UTC 时间为 2014-01-01T00:00:00Z。 |
| 跨租户访问类型 |
字符串 |
描述参与者用于访问资源的跨租户访问的类型。 |
| 设备详情 |
动态 |
从中登录的设备的信息。 包括 deviceId、OS 和浏览器等信息。 |
| 持续时间(ms) |
长整型 |
|
| FederatedCredentialId |
字符串 |
联合凭据 ID。 |
| 标记为待审核 |
布尔 |
在登录失败期间,用户可以单击 Azure 门户中的按钮,为租户管理员标记失败事件。 如果用户单击按钮标记失败的登录,则此值为 true。 |
| 全球安全访问IP地址 |
字符串 |
用户从中登录的全局安全 IP 地址。 |
| 家租户ID |
字符串 |
发起登录的用户的租户标识符。 在托管标识或服务主体登录中不适用。 |
| 家庭租户名称 |
字符串 |
在客户租户中执行操作的实体所属的外部租户的租户名称。 |
| ID |
字符串 |
代表登录活动的标识符。 |
| 身份 |
字符串 |
在登录中识别到的参与者的显示名称。 |
| IncomingTokenType |
字符串 |
用于登录的令牌类型(示例:主刷新令牌、saml 断言)。 |
| IP地址 |
字符串 |
从中登录的客户端的 IP 地址。 |
| 来自资源提供者的IP地址 |
字符串 |
用户访问资源提供程序时使用的 IP 地址,用于确定某些策略是否符合条件访问。 例如,当用户与 Exchange Online 交互时,Exchange 从用户接收到的 IP 地址可能会记录在此。 此值通常为 null。 |
| _IsBillable |
字符串 |
指定引入数据是否需要付费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| IsInteractive |
布尔 |
指明用户登录是否为交互式的。 在交互式登录中,用户会向 Azure AD 提供一个身份验证因素。 这些因素包括密码、对 MFA 质询的响应、生物识别因素或用户向 Azure AD 或相关应用程序提供的二维码。 在非交互式登录中,用户不提供身份验证因素。 而是由客户端应用使用令牌或代码代表用户对资源进行身份验证或访问。 非交互式登录通常用于客户端在对用户透明的过程中代表用户登录。 |
| IsRisky |
布尔 |
|
| IsTenantRestricted |
布尔 |
指示登录是否符合租户限制策略。 |
| IsThroughGlobalSecureAccess |
布尔 |
显示用户是否是通过全局安全访问服务而来的。 |
| 级别 |
字符串 |
|
| 位置 |
字符串 |
登录所在地由 2 个字母组成的国家/地区代码。 根据所提供的 IP 地址,此值不一定能解析到城市或地区级别的详细信息。 |
| 位置详情 |
动态 |
提供登录发生地的城市、州、国家/地区和经纬度。 |
| MfaDetail |
动态 |
此属性已弃用。 |
| 网络位置详细信息 |
字符串 |
网络位置详细信息,包括使用的网络类型及其名称。 |
| 操作名称 |
字符串 |
|
| 操作版本 |
字符串 |
|
| 原始请求ID |
字符串 |
身份验证序列中第一个请求的请求标识符。 |
| 原始转账方法 |
字符串 |
用于在所有后续请求中启动会话的传输方法。 |
| ProcessingTimeInMilliseconds |
字符串 |
|
| 资源 |
字符串 |
|
| 资源显示名称 |
字符串 |
用户登录的资源的名称。 |
| ResourceGroup |
字符串 |
|
| ResourceId |
字符串 |
用户登录的资源的标识符。 |
| ResourceIdentity |
字符串 |
用户登录的资源。 |
| ResourceOwnerTenantId (资源所有者租户ID) |
字符串 |
登录中引用的资源的所有者的租户标识符。 |
| 资源提供者 |
字符串 |
|
| 资源服务主体ID |
字符串 |
登录事件中代表目标资源的服务主体的标识符。 |
| 资源租户 ID (ResourceTenantId) |
字符串 |
登录中引用的资源的租户标识符。 |
| 结果描述 |
字符串 |
提供相应登录活动的错误信息或失败原因。 |
| ResultSignature |
字符串 |
|
| 结果类型 |
字符串 |
提供在登录事件中生成的 5-6 位错误代码。 0 表示成功;其他值表示失败。 可以使用 Azure AD 错误代码文档或 https://login.microsoftonline.com/error 来查找详细信息。 |
| 风险详情 |
字符串 |
风险用户、登录或风险事件特定状态背后的原因。 可能的值:none、adminGeneratedTemporaryPassword、userPerformedSecuredPasswordChange、userPerformedSecuredPasswordReset、adminConfirmedSigninSafe、aiConfirmedSigninSafe、userPassedMFADrivenByRiskBasedPolicy、adminDismissedAllRiskForUser 或 adminConfirmedSigninCompromised。 值 none 表示到目前为止尚未对用户或登录执行任何操作。 注意: 此属性的详细信息仅适用于 Azure AD Premium P2 客户。 所有其他客户在返回时均会隐藏。 |
| 风险事件类型 |
字符串 |
此属性已弃用。 |
| 风险事件类型_V2 |
字符串 |
与登录相关的风险事件类型的列表。 可能的值:unlikelyTravel、anonymizedIPAddress、maliciousIPAddress、unfamiliarFeatures、malwareInfectedIPAddress、suspiciousIPAddress、leakedCredentials、investigationsThreatIntelligence 或 generic。 |
| 风险等级 |
字符串 |
|
| 风险等级汇总 |
字符串 |
综合风险水平。 可能的值:“无”、“低”、“中”、“高”或“隐藏”。 值“已隐藏”表示用户或登录未启用 Azure AD 身份保护。 注意: 此属性的详细信息仅适用于 Azure AD Premium P2 客户。 所有其他客户在返回时均会隐藏。 |
| 登录期间的风险等级 |
字符串 |
登录时的风险级别。 可能的值:“无”、“低”、“中”、“高”或“隐藏”。 值“已隐藏”表示用户或登录未启用 Azure AD 身份保护。 注意: 此属性的详细信息仅适用于 Azure AD Premium P2 客户。 所有其他客户在返回时均会隐藏。 |
| RiskState |
字符串 |
风险用户、登录或风险事件的风险状态。 可能的值:none、confirmedSafe、remediated、dismissed、atRisk 或 confirmedCompromised。 |
| ServicePrincipalId |
字符串 |
用于登录的应用程序标识符。 此字段会在使用应用程序登录时填充。 |
| 服务主体名称 (ServicePrincipalName) |
字符串 |
用于登录的应用程序名称。 此字段会在使用应用程序登录时填充。 |
| 会话ID |
字符串 |
在登录期间生成的会话的 ID。 |
| 会话生命周期策略 |
字符串 |
登录事件中应用的任何条件访问会话管理策略。 |
| 登录标识符 |
字符串 |
用户登录时提供的标识。 它可能是 userPrincipalName,但当用户使用其他标识符登录时,它也会被填入。 |
| 登录标识符类型 |
字符串 |
登录标识符的类型。 可能的值包括:userPrincipalName、phoneNumber、proxyAddress、qrCode、onPremisesUserPrincipalName。 |
| SourceAppClientId |
字符串 |
目标标识的源应用客户端 ID。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,对于 Windows 代理(直接连接或 Operations Manager),值为 OpsManager;对于所有 Linux 代理,值为 Linux;对于 Azure 诊断,值为 Azure |
| 状态 |
动态 |
登录状态。 包括错误代码和错误说明(登录失败时)。 |
| TimeGenerated |
日期/时间 |
|
| 令牌发行者名称 |
字符串 |
标识提供者的名称。 例如,sts.microsoft.com。 |
| 令牌发行者类型 |
字符串 |
身份提供者的类型。 可能的值包括:AzureAD 或 ADFederationServices、AzureADBackupAuth、ADFederationServicesMFAAdapter、NPSExtension。 |
| 令牌保护状态详细信息 |
动态 |
令牌保护在令牌与颁发令牌的设备之间创建加密安全绑定。 此字段指示登录令牌是否已绑定到设备。 |
| 类型 |
字符串 |
表的名称 |
| UniqueTokenIdentifier |
字符串 |
唯一的 base64 编码的请求标识符,用于跟踪 Azure AD 颁发的令牌在资源提供者处兑换的情况。 |
| 用户代理 (UserAgent) |
字符串 |
与登录相关的用户代理信息。 |
| UserDisplayName |
字符串 |
用户的显示名称。 |
| UserID |
字符串 |
用户的标识符。 |
| 用户主体名称 (UserPrincipalName) |
字符串 |
用户的 UPN。 |
| 用户类型 |
字符串 |
标识用户是租户的成员还是来宾。 可能的值为:member 和 guest。 |