重要
某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
OAuthAppInfo高级搜寻架构中的表包含组织中Microsoft 365 个连接的 OAuth 应用程序的信息,这些应用程序已注册到 Microsoft Entra ID,并在 Microsoft Defender for Cloud Apps 应用管理功能中可用。
该 OAuthAppInfo 表可能不包括 Entra ID 上可用的所有与应用或服务主体相关的属性。 它还不包括与未经任何 OAuth 同意Microsoft第一方应用或应用相关的数据。 表的覆盖范围基于应用治理涵盖的Microsoft 365 个连接应用的现有范围。
先决条件
此高级搜寻表由Microsoft Defender for Cloud Apps中的应用治理记录填充。
需要启用应用治理才能在高级搜寻中查看 OAuthAppInfo 表。 若要启用应用治理,请按照 启用应用治理中的步骤作。
架构
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
ReportId |
string |
记录的唯一标识符 |
Timestamp |
datetime |
创建记录的日期和时间 |
OAuthAppId |
string |
由 Microsoft Entra ID 分配的应用的唯一标识符 |
ServicePrincipalId |
string |
租户中应用程序的服务主体实例的唯一标识符 |
AppName |
string |
由关联的服务主体公开的应用程序显示名称 |
AddedOnTime |
datetime |
注册应用程序的日期和时间 |
LastModifiedTime |
datetime |
上次修改应用的时间戳 |
AppStatus |
string |
应用的状态;可以是:Enabled、DisabledByMicrosoft、DisabledByAppGovernancePolicy、DisabledByUser、Deleted (“已删除”状态的应用的信息仅在应用被删除后的 30 天内可用) |
VerifiedPublisher |
dynamic |
指定有关此服务主体所表示的应用程序的已验证发布者的详细信息。 它包括如下信息:DisplayName、VerifiedPublisherId、AddedDateTime |
PrivilegeLevel |
string |
基于授予应用的最高分类权限的应用特权级别 |
Permissions |
dynamic |
包含权限对象的数组;每个权限对象包括 PermissionName、TargetAppId、TargetAppDisplayName、PermissionType、PrivilegeLevel、UsageStatus |
ConsentedUsersCount |
integer |
已同意应用的用户计数;仅当应用未经管理员同意时,此信息才可用 |
IsAdminConsented |
boolean |
如果用户代表组织中的所有用户向应用提供管理员同意,则值为 True,否则值为 False |
AppOrigin |
string |
指定应用是组织内部应用还是在外部租户中注册 |
LastUsedTime |
datetime |
应用上次登录的日期和时间。 跟踪此数据可追溯到 2022 年 6 月 |
AppOwnerTenantId |
string |
指定注册应用的租户的 ID |
该OAuthAppInfo表每小时更新一次信息,以根据来自Defender for Cloud Apps应用治理的数据记录 OAuth 应用的元数据或见解的任何更改。
此外,为了确保OAuthAppInfo表保留所涵盖应用的数据,每月发送两次所有 OAuth 应用的完整快照。
相关主题
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。