命名空间:microsoft.graph
详细说明租户 (目录) 的用户和应用程序登录活动。 必须具有 Microsoft Entra ID P1 或 P2 许可证才能使用 Microsoft 图形 API下载登录日志。
Microsoft Entra数据保留策略控制登录日志的可用性。
方法
| 方法 | 返回类型 | Description |
|---|---|---|
| List | signIn | 读取 signIn 对象的属性和关系。 |
| Get | signIn | 读取 signIn 对象的属性和关系。 |
| 确认已被盗用 | 无 | 将Microsoft Entra登录日志中的事件标记为有风险。 |
| 确认安全 | 无 | 将Microsoft Entra登录日志中的事件标记为安全。 |
| Dismiss | 无 | Microsoft Entra登录事件引发的登录风险 |
属性
| 属性 | 类型 | 说明 |
|---|---|---|
| appDisplayName | String | Microsoft Entra 管理中心中显示的应用名称。 支持 $filter(eq、startsWith)。 |
| appId | String | 表示Microsoft Entra ID中的应用 ID 的唯一 GUID。 支持 $filter(eq)。 |
| appliedConditionalAccessPolicies | appliedConditionalAccessPolicy 集合 | 提供相应的登录活动触发的条件访问策略列表。 应用需要更多条件访问相关权限才能读取此属性的详细信息。 有关详细信息,请参阅 在登录中查看应用的条件访问 (CA) 策略的权限。 |
| clientAppUsed | String | 标识用于登录活动的客户端。 新式身份验证客户端包括 Browser、 modern clients。 旧式身份验证客户端包括 Exchange ActiveSync、、IMAP、MAPISMTP、 POP和 other clients。 支持 $filter(eq)。 |
| conditionalAccessStatus | conditionalAccessStatus | 报告已激活的条件访问策略的状态。 可能的值为: success、 failure、 notApplied和 unknownFutureValue。 支持 $filter(eq)。 |
| correlationId | String | 启动登录时从客户端发送的请求 ID。 用于排查登录活动问题。 支持 $filter(eq)。 |
| createdDateTime | DateTimeOffset | 启动登录) UTC (日期和时间。 示例:2014 年 1 月 1 日午夜报告为 2014-01-01T00:00:00Z。 支持 $orderby、 $filter (eq、 le和 ge) 。 |
| deviceDetail | deviceDetail | 登录发生位置的设备信息;包括设备 ID、作系统和浏览器。 支持 $filter对eq浏览器和 operatingSytem 属性 (、 startsWith) 。 |
| id | String | 表示登录活动的唯一 ID。 支持 $filter(eq)。 |
| ipAddress | String | 用于登录的客户端的 IP 地址。 支持 $filter(eq、startsWith)。 |
| isInteractive | Boolean | 指示登录是否为交互式登录。 |
| location | signInLocation | 提供登录的来源城市、州/地区和国家/地区代码。 支持 $filter (eq、 startsWith) 城市、 州和国家 /地区OrRegion 属性。 |
| resourceDisplayName | String | 用户登录的资源的名称。 支持 $filter(eq)。 |
| resourceId | String | 用户登录的资源的 ID。 支持 $filter(eq)。 |
| riskDetail | riskDetail | 风险用户、登录或风险事件的特定状态背后的原因。 该值none表示Microsoft Entra风险检测尚未将用户或登录标记为风险事件。 支持 $filter(eq)。注意:此属性的详细信息仅适用于Microsoft Entra ID P2 客户。 将返回 hidden所有其他客户。 |
| riskEventTypes_v2 | 字符串集合 | 与登录关联的风险事件类型列表。 可能的值:unlikelyTravel、、anonymizedIPAddress、maliciousIPAddress、unfamiliarFeaturesleakedCredentialssuspiciousIPAddressinvestigationsThreatIntelligencemalwareInfectedIPAddress、、 generic或 。unknownFutureValue 支持 $filter(eq、startsWith)。 |
| riskLevelAggregated | riskLevel | 聚合风险级别。 可取值为:none、low、medium、high、hidden 和 unknownFutureValue。 该值hidden表示未为Microsoft Entra ID保护启用用户或登录。 支持 $filter(eq)。 注意:此属性的详细信息仅适用于Microsoft Entra ID P2 客户。 将返回 hidden所有其他客户。 |
| riskLevelDuringSignIn | riskLevel | 登录期间的风险级别。 可取值为:none、low、medium、high、hidden 和 unknownFutureValue。 该值hidden表示未为Microsoft Entra ID保护启用用户或登录。 支持 $filter(eq)。 注意:此属性的详细信息仅适用于Microsoft Entra ID P2 客户。 将返回 hidden所有其他客户。 |
| riskState | riskState | 报告风险用户、登录或风险事件的状态。 可取值包括:none、confirmedSafe、remediated、dismissed、atRisk、confirmedCompromised、unknownFutureValue。 支持 $filter(eq)。 |
| status | signInStatus | 登录状态。 包括错误代码和错误说明, (如果) 登录失败。 支持 $filter 对 eqerrorCode 属性 () 。 |
| userDisplayName | String | 启动登录的用户的显示名称。 支持 $filter(eq、startsWith)。 |
| userId | String | 启动登录的用户的 ID。 支持 $filter(eq)。 |
| userPrincipalName | String | 发起登录的用户的用户主体名称。 此值始终为小写。 对于用户对象中的值通常在域部分之前包含 #EXT# 的来宾用户,此属性以小写格式和“true”格式存储值。 例如,虽然用户对象存储 AdeleVance_fabrikam.com#EXT#@contoso.com,但登录日志存储 adelevance@fabrikam.com。支持 $filter(eq、startsWith)。 |
关系
无。
JSON 表示形式
以下 JSON 表示形式显示了资源类型。
{
"id": "String (identifier)",
"createdDateTime": "String (timestamp)",
"appDisplayName": "String",
"appId": "String",
"ipAddress": "String",
"clientAppUsed": "String",
"correlationId": "String",
"conditionalAccessStatus": "string",
"appliedConditionalAccessPolicies": [{"@odata.type": "microsoft.graph.appliedConditionalAccessPolicy"}],
"isInteractive": true,
"deviceDetail": {"@odata.type": "microsoft.graph.deviceDetail"},
"location": {"@odata.type": "microsoft.graph.signInLocation"},
"riskDetail": "string",
"riskLevelAggregated": "string",
"riskLevelDuringSignIn": "string",
"riskState": "string",
"riskEventTypes": ["string"],
"riskEventTypes_v2": ["String"],
"resourceDisplayName": "string",
"resourceId": "string",
"status": {"@odata.type": "microsoft.graph.signInStatus"},
"userDisplayName": "string",
"userId": "string",
"userPrincipalName": "string"
}