命名空间:microsoft.graph
重要
Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。
表示有关Microsoft Entra租户中检测到的风险的信息。
Microsoft Entra ID保护会根据各种信号和机器学习持续评估用户风险以及应用或用户登录风险。 此 API 提供对Microsoft Entra环境中所有风险检测的编程访问。
有关风险检测的详细信息,请参阅Microsoft Entra ID保护和什么是风险检测?
注意
风险检测数据的可用性由Microsoft Entra数据保留策略控制。
方法
| 方法 | 返回类型 | Description |
|---|---|---|
| List | riskDetection 集合 | 列出风险检测及其属性。 |
| Get | riskDetection | 获取特定的风险检测及其属性。 |
属性
| 属性 | 类型 | 说明 |
|---|---|---|
| 活动 | activityType | 指示检测到的风险链接到的活动类型。 |
| activityDateTime | DateTimeOffset | 风险活动的发生日期和时间。 DateTimeOffset 表示使用 ISO 8601 格式的日期和时间信息,并且始终处于 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z |
| additionalInfo | string | 与 JSON 格式的风险检测关联的其他信息。 |
| correlationId | string | 与风险检测关联的登录的相关 ID。 如果风险检测未与登录相关联,则此属性为 null。 |
| detectedDateTime | DateTimeOffset | 检测到风险的日期和时间。 DateTimeOffset 表示使用 ISO 8601 格式的日期和时间信息,并且始终处于 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z |
| detectionTimingType | riskDetectionTimingType | 检测到的风险的计时 (实时/脱机) 。 可能的值为 notDefined、、unknownFutureValuerealtimenearRealtimeoffline。 |
| id | string | 风险检测的唯一 ID。 |
| ipAddress | string | 提供发生风险的客户端的 IP 地址。 |
| lastUpdatedDateTime | DateTimeOffset | 上次更新风险检测的日期和时间。 |
| location | signInLocation | 登录的位置。 |
| requestId | string | 与风险检测关联的登录的请求 ID。 如果风险检测未与登录相关联,则此属性为 null。 |
| riskEventType | String | 检测到的风险事件类型。 可能的值为 、、、、mcasSuspiciousInboxManipulationRulesattemptedPRTAccessattackerinTheMiddleanonymizedIPAddressgenericinvestigationsThreatIntelligenceSigninLinkedpasswordSpraynationStateIPmcasFinSuspiciousFileAccessmalwareInfectedIPAddressmcasImpossibleTravelanomalousTokenmaliciousIPAddressValidCredentialsBlockedIPnewCountrymaliciousIPAddressinvestigationsThreatIntelligenceleakedCredentials、suspiciousBrowsersuspiciousAPITrafficsuspiciousIPAddresssuspiciousSendingPatternssuspiciousInboxForwardingriskyIPAddress、tokenIssuerAnomaly、unfamiliarFeatures、unlikelyTravel、 。 userReportedSuspiciousActivityanomalousUserActivityadminConfirmedUserCompromised 有关每个值的详细信息,请参阅 风险类型和检测。 |
| riskDetail | riskDetail | 检测到的风险的详细信息。 注意:此属性的详细信息仅适用于Microsoft Entra ID P2 客户。 P1 客户将返回 hidden。 |
| riskLevel | riskLevel | 检测到的风险级别。 可能的值为 low、、medium、high、hiddennone、 unknownFutureValue。 注意:此属性的详细信息仅适用于Microsoft Entra ID P2 客户。 P1 客户将返回 hidden。 |
| riskState | riskState | 检测到有风险的用户或登录的状态。 可能的值为 none、、confirmedSafe、remediated、dismissedatRisk、 confirmedCompromised和 unknownFutureValue。 |
| source | string | 风险检测的来源。 例如,activeDirectory。 |
| tokenIssuerType | tokenIssuerType | 指示检测到的登录风险的令牌颁发者类型。 可取值为:AzureAD、ADFederationServices 和 unknownFutureValue。 |
| userId | string | 用户的唯一 ID。 DateTimeOffset 表示使用 ISO 8601 格式的日期和时间信息,并且始终处于 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z |
| userDisplayName | string | 用户名。 |
| userPrincipalName | string | 用户的用户主体名称 (UPN)。 |
| riskType (已弃用) | riskEventType | 风险事件类型的列表。 注意: 此属性已弃用。 请改用 riskEventType 。 |
关系
无。
JSON 表示形式
以下 JSON 表示形式显示了资源类型。
{
"id": "string",
"requestId": "string",
"correlationId": "string",
"riskType": {"@odata.type": "microsoft.graph.riskEventType"},
"riskState": {"@odata.type": "microsoft.graph.riskState"},
"riskLevel": {"@odata.type": "microsoft.graph.riskLevel"},
"riskDetail": {"@odata.type": "microsoft.graph.riskDetail"},
"source": "string",
"detectionTimingType": {"@odata.type": "microsoft.graph.riskDetectionTimingType"},
"activity": {"@odata.type": "microsoft.graph.riskUserActivity"},
"tokenIssuerType": {"@odata.type": "microsoft.graph.tokenIssuerType"},
"ipAddress": "string",
"location": {"@odata.type": "microsoft.graph.signInLocation"},
"activityDateTime": "string (timestamp)",
"detectedDateTime": "string (timestamp)",
"lastUpdatedDateTime": "string (timestamp)",
"userId": "string",
"userDisplayName": "string",
"userPrincipalName": "string",
"additionalInfo": "string"
}