命名空间:microsoft.graph
重要
Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。
提供有关目录中用户或应用程序登录活动的详细信息。 必须具有Microsoft Entra ID P1 或 P2 许可证才能使用 Microsoft 图形 API下载登录日志。
Microsoft Entra数据保留策略控制登录日志的可用性。
方法
| 方法 | 返回类型 | Description |
|---|---|---|
| List | signIn | 读取 signIn 对象的属性和关系。 |
| Get | signIn | 读取 signIn 对象的属性和关系。 |
| 确认已被盗用 | 无 | 将Microsoft Entra登录日志中的事件标记为有风险。 |
| 确认安全 | 无 | 将Microsoft Entra登录日志中的事件标记为安全。 |
| Dismiss | 无 | Microsoft Entra登录事件引发的登录风险 |
属性
| 属性 | 类型 | 说明 |
|---|---|---|
| agent | microsoft.graph.agentic.agentSignIn | 表示有关代理登录的详细信息。 在某些情况下,包括代理的类型以及 parentAppID |
| appDisplayName | String | Microsoft Entra 管理中心中显示的应用程序名称。 支持 $filter(eq、startsWith)。 |
| appId | String | Microsoft Entra ID 中的应用程序标识符。 支持 $filter(eq)。 |
| appliedConditionalAccessPolicies | appliedConditionalAccessPolicy 集合 | 相应的登录活动触发的条件访问策略列表。 应用需要更多条件访问相关权限才能读取此属性的详细信息。 有关详细信息,请参阅 在登录中查看应用的条件访问 (CA) 策略的权限。 |
| appOwnerTenantId | String | 拥有客户端应用程序的租户的标识符。 支持 $filter(eq)。 |
| appliedEventListeners | appliedAuthenticationEventListener 集合 | 有关侦听器的详细信息,例如Azure逻辑应用和Azure Functions,登录事件中的相应事件触发了这些侦听器。 |
| appTokenProtectionStatus | tokenProtectionStatus | 令牌保护在令牌与颁发令牌的设备之间创建加密安全绑定。 此字段指示应用令牌是否已绑定到设备。 |
| authenticationAppDeviceDetails | authenticationAppDeviceDetails | 提供有关在Microsoft Entra身份验证步骤中使用的应用和设备的详细信息。 |
| authenticationAppPolicyEvaluationDetails | authenticationAppPolicyDetails 集合 | 提供身份验证步骤期间应用于用户和客户端身份验证应用的Microsoft Entra策略的详细信息。 |
| authenticationContextClassReferences | authenticationContext 集合 | 包含一个值集合,这些值表示应用于登录的条件访问身份验证上下文。 |
| authenticationDetails | authenticationDetail 集合 | 身份验证尝试的结果以及有关身份验证方法的更多详细信息。 |
| authenticationMethodsUsed | 字符串集合 | 使用的身份验证方法。 可能的值:SMS、、Authenticator App、App Verification codePassword、FIDO、 PTA或 PHS。 |
| authenticationProcessingDetails | keyValue 集合 | 更多身份验证处理详细信息,例如 PTA 和 PHS 的代理名称,或者用于联合身份验证的服务器或场名称。 |
| authenticationProtocol | protocolType | 列出身份验证中使用的协议类型或授权类型。 可能的值为:、、、、、ropcimplicitIdTokenAndPostResponseModerefreshTokenGrantauthorizationCodeWithoutPkceclientCredentialsauthorizationCodeWithPkceimplicitAccessTokenAndPostResponseModeimplicitAccessTokenAndGetResponseModeimplicitIdTokenAndGetResponseModesaml20wsFederationunknownFutureValuenativeAuthdeviceCodeauthenticationTransfer、encryptedAuthorizeResponsedirectUserGrant、prtBrokerBasedseamlessSsoprtNonBrokerBasedkerberosprtGrant、onBehalfOf、 。 samlOnBehalfOfoAuth2none
Prefer: include-unknown-enum-members使用请求标头从此可演变枚举中获取以下值: authenticationTransfer 、、 nativeAuth 、 implicitAccessTokenAndGetResponseMode 、 kerberosauthorizationCodeWithoutPkceimplicitIdTokenAndPostResponseModeimplicitAccessTokenAndPostResponseModeauthorizationCodeWithPkceclientCredentialsrefreshTokenGrantdirectUserGrantprtGrantimplicitIdTokenAndGetResponseModeencryptedAuthorizeResponseseamlessSso 、 prtBrokerBased 、 prtNonBrokerBased 、 。 samlOnBehalfOfonBehalfOf |
| authenticationRequirement | String | 登录期间到达的身份验证阶段。 它不考虑以前满足的声明。 如果主身份验证失败,则条件访问不会评估登录尝试,因此生成的值为 singleFactorAuthentication。 支持 $filter(eq、startsWith)。 |
| authenticationRequirementPolicies | authenticationRequirementPolicy 集合 | 身份验证要求的来源,例如条件访问、每用户 MFA、标识保护和安全默认值。 |
| autonomousSystemNumber | Int32 | 自治系统编号 (参与者使用的网络的 ASN) 。 |
| azureResourceId | String | 包含登录期间访问的Azure资源的完全限定Azure 资源管理器 ID。 |
| clientAppUsed | String | 用于登录活动的旧客户端。 例如:Browser、、Exchange ActiveSyncModern clients、IMAP、MAPI、 SMTP或 POP。 支持 $filter(eq)。 |
| clientCredentialType | clientCredentialType | 描述用户客户端或服务主体提供给Microsoft Entra ID进行身份验证的凭据类型。 可以查看此属性以跟踪和消除不太安全的凭据类型,或使用异常凭据类型监视客户端和服务主体。 可取值包括:none、clientSecret、clientAssertion、federatedIdentityCredential、managedIdentity、certificate、unknownFutureValue。 |
| conditionalAccessAudiences | String | 一个列表,指示条件访问在登录事件期间评估的受众。 支持 $filter(eq)。 |
| conditionalAccessStatus | conditionalAccessStatus | 触发的条件访问策略的状态。 可能的值: success、 failure、 notApplied或 unknownFutureValue。 支持 $filter(eq)。 |
| correlationId | String | 启动登录时客户端发送的标识符。 此属性用于在调用支持时对相应的登录活动进行故障排除。 支持 $filter(eq)。 |
| createdDateTime | DateTimeOffset | 启动登录的日期和时间。 时间戳类型始终为 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z。 支持 $orderby、 $filter (eq、 le和 ge) 。 |
| crossTenantAccessType | signInAccessType | 描述执行组件用于访问资源的跨租户访问类型。 可取值包括:none、b2bCollaboration、b2bDirectConnect、microsoftSupport、serviceProvider、unknownFutureValue、passthrough。 使用 Prefer: include-unknown-enum-members 请求标头获取此 可演变枚举中的以下值: passthrough。 如果登录未跨越租户边界,则值为 none。 |
| deviceDetail | deviceDetail | 登录发生位置的设备信息。 包括 deviceId、OS 和浏览器等信息。 支持 $filter对eq浏览器和 operatingSystem 属性 (、 startsWith) 。 |
| federatedCredentialId | String | 如果已使用联合标识凭据登录,则包含应用程序的联合标识凭据的标识符。 |
| flaggedForReview | 布尔值 | 在登录失败期间,用户可以选择Azure 门户中的按钮,为租户管理员标记失败事件。 如果用户选择用于标记失败登录的按钮,则此值为 true。 |
| globalSecureAccessIpAddress | String | 从中启动登录的全局安全访问 IP 地址。 |
| homeTenantId | String | 启动登录的用户的租户标识符。 不适用于托管标识或服务主体登录。 |
| homeTenantName | String | 对于用户登录,为用户所属的租户的标识符。 仅在主租户向Microsoft Entra ID显示租户内容提供肯定同意的情况下填充。 |
| id | String | 表示登录活动的标识符。 继承自 entity。 支持 $filter(eq)。 |
| incomingTokenType | incomingTokenType | 指示提供给Microsoft Entra ID以在登录中对执行组件进行身份验证的令牌类型。 可取值包括:none、primaryRefreshToken、saml11、saml20、unknownFutureValue、remoteDesktopToken、refreshToken。 注意 Microsoft Entra ID可能还使用了此枚举类型中未列出的令牌类型来对执行组件进行身份验证。 如果令牌不是列出的类型之一,请不要推断缺少令牌。 使用 Prefer: include-unknown-enum-members 请求标头获取此 可演变枚举中的以下值: remoteDesktopToken、 refreshToken。 |
| ipAddress | String | 发生登录的客户端的 IP 地址。 支持 $filter(eq、startsWith)。 |
| ipAddressFromResourceProvider | String | 用户用于访问资源提供程序的 IP 地址,用于确定某些策略的条件访问符合性。 例如,当用户与Exchange Online交互时,可在此处记录Microsoft Exchange 从用户收到的 IP 地址。 此值通常是 null。 |
| isInteractive | Boolean | 指示用户登录是否为交互式登录。 在交互式登录中,用户为Microsoft Entra ID提供身份验证因素。 这些因素包括密码、对 MFA 质询的响应、生物识别因素或用户提供给Microsoft Entra ID或关联应用的 QR 码。 在非交互式登录中,用户不提供身份验证因素。 客户端应用使用令牌或代码来代表用户对资源进行身份验证或访问。 非交互式登录通常用于客户端在对用户透明的进程中代表用户登录。 |
| isTenantRestricted | 布尔值 | 显示登录事件是否受Microsoft Entra租户限制策略的约束。 |
| isThroughGlobalSecureAccess | 布尔值 | 指示用户是否通过全局安全访问服务。 |
| location | signInLocation | 登录所在的城市、州和两个字母国家/地区代码。 支持 $filter (eq、 startsWith) 城市、 州和国家 /地区OrRegion 属性。 |
| managedServiceIdentity | managedIdentity | 包含有关用于登录的托管标识的信息,包括其类型、关联的AZURE 资源管理器 (ARM) 资源 ID 以及联合令牌信息。 |
| networkLocationDetails | networkLocationDetail 集合 | 网络位置详细信息,包括所使用的网络类型及其名称。 |
| originalRequestId | String | 身份验证序列中第一个请求的请求标识符。 支持 $filter(eq)。 |
| originalTransferMethod | originalTransferMethods | 用于在整个后续请求中启动会话的传输方法。 可能的值包括 none、deviceCodeFlow、authenticationTransfer、unknownFutureValue。 |
| privateLinkDetails | privateLinkDetails | 包含有关与登录事件关联的Microsoft Entra 专用链接策略的信息。 |
| processingTimeInMilliseconds | Int | 请求处理时间(以毫秒为单位),以 AD STS 为单位。 |
| resourceDisplayName | String | 用户登录的资源的名称。 支持 $filter(eq)。 |
| resourceId | String | 用户登录的资源的标识符。 支持 $filter(eq)。 |
| resourceOwnerTenantId | String | 资源所有者的标识符。 支持 $filter(eq)。 |
| resourceServicePrincipalId | String | 在登录事件中代表目标资源的服务主体标识符。 |
| resourceTenantId | String | 登录中引用的资源的租户标识符。 |
| riskDetail | riskDetail | 风险用户、登录或风险事件的特定状态背后的原因。 该值none表示Microsoft Entra风险检测尚未将用户或登录标记为风险事件。 支持 $filter(eq)。注意:此属性的详细信息仅适用于Microsoft Entra ID P2 客户。 将返回 hidden所有其他客户。 |
| riskEventTypes_v2 | 字符串集合 | 与登录关联的风险事件类型列表。 可能的值:unlikelyTravel、、anonymizedIPAddress、maliciousIPAddress、unfamiliarFeaturesleakedCredentialssuspiciousIPAddressinvestigationsThreatIntelligencemalwareInfectedIPAddress、、 generic或 。unknownFutureValue 支持 $filter(eq、startsWith)。 |
| riskLevelAggregated | riskLevel | 聚合风险级别。 可能的值:none、、lowmedium、high、 hidden或 unknownFutureValue。 该值hidden表示未为Microsoft Entra ID保护启用用户或登录。 支持 $filter(eq)。 注意:此属性的详细信息仅适用于Microsoft Entra ID P2 客户。 将返回 hidden所有其他客户。 |
| riskLevelDuringSignIn | riskLevel | 登录期间的风险级别。 可能的值:none、、lowmedium、high、 hidden或 unknownFutureValue。 该值hidden表示未为Microsoft Entra ID保护启用用户或登录。 支持 $filter(eq)。 注意:此属性的详细信息仅适用于Microsoft Entra ID P2 客户。 将返回 hidden所有其他客户。 |
| riskState | riskState | 风险用户、登录或风险事件的风险状态。 可能的值:none、、confirmedSafe、remediateddismissed、atRisk、 confirmedCompromised或 unknownFutureValue。 支持 $filter(eq)。 |
| servicePrincipalCredentialKeyId | String | 服务主体用于进行身份验证的密钥凭据的唯一标识符。 |
| servicePrincipalCredentialThumbprint | String | 服务主体用于进行身份验证的证书的证书指纹。 |
| servicePrincipalId | String | 用于登录的应用程序标识符。 使用应用程序登录时会填充此字段。 支持 $filter(eq、startsWith)。 |
| servicePrincipalName | String | 用于登录的应用程序名称。 使用应用程序登录时会填充此字段。 支持 $filter(eq、startsWith)。 |
| sessionLifetimePolicies | sessionLifetimePolicy 集合 | 在登录事件期间应用的任何条件访问会话管理策略。 |
| signInEventTypes | 字符串集合 | 指示事件表示的登录类别。 对于用户登录,类别可以是 interactiveUser 或 nonInteractiveUser ,对应于登录资源上的 isInteractive 属性的值。 对于托管标识登录,类别为 managedIdentity。 对于服务主体登录,类别为 servicePrincipal。 可能的值包括 interactiveUser、nonInteractiveUser、servicePrincipal、managedIdentity、unknownFutureValue。 支持 $filter(eq、ne)。 注意: 除非设置了显式筛选器,否则仅返回交互式登录。 例如,用于获取非交互式登录的筛选器是 https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=signInEventTypes/any(t: t eq 'nonInteractiveUser')。 |
| sessionId | String | 登录期间生成的会话的标识符。 |
| signInIdentifier | String | 用户提供的用于登录的标识。 它可以是 userPrincipalName,但在用户使用其他标识符登录时也会填充。 |
| signInIdentifierType | signInIdentifierType | 登录标识符的类型。 可能的值包括 userPrincipalName、phoneNumber、proxyAddress、qrCode、onPremisesUserPrincipalName、unknownFutureValue。 |
| signInTokenProtectionStatus | tokenProtectionStatus | 令牌保护在令牌与颁发令牌的设备之间创建加密安全绑定。 此字段指示登录令牌是否已绑定到设备。 可能的值包括 none、bound、unbound、unknownFutureValue。 |
| status | signInStatus | 登录状态。 包括登录失败) 的错误 (的错误代码和说明。 支持 $filter 对 eqerrorCode 属性 () 。 |
| tokenIssuerName | String | 标识提供者的名称。 例如,sts.microsoft.com。 支持 $filter(eq)。 |
| tokenIssuerType | tokenIssuerType | 标识提供者的类型。 可能的值包括 AzureAD、ADFederationServices、UnknownFutureValue、AzureADBackupAuth、ADFederationServicesMFAAdapter、NPSExtension。 使用 Prefer: include-unknown-enum-members 请求标头获取此 可演变枚举中的以下值: AzureADBackupAuth 、 ADFederationServicesMFAAdapter 、 NPSExtension。 |
| uniqueTokenIdentifier | String | 唯一的 base64 编码请求标识符,用于跟踪Microsoft Entra ID在资源提供程序处兑换令牌时颁发的令牌。 |
| userAgent | String | 与登录相关的用户代理信息。 支持 $filter(eq、startsWith)。 |
| userDisplayName | String | 用户的显示名称。 支持 $filter(eq、startsWith)。 |
| userId | String | 用户的标识符。 支持 $filter(eq)。 |
| userPrincipalName | String | 发起登录的用户的用户主体名称。 此值始终为小写。 对于用户对象中的值通常在域部分之前包含 #EXT# 的来宾用户,此属性以小写格式和“true”格式存储值。 例如,虽然用户对象存储 AdeleVance_fabrikam.com#EXT#@contoso.com,但登录日志存储 adelevance@fabrikam.com。支持 $filter(eq、startsWith)。 |
| userType | signInUserType | 标识用户是租户中的成员还是来宾。 可能的值包括 member、guest、unknownFutureValue。 |
| mfaDetail (已弃用) | mfaDetail | 此属性已弃用。 |
关系
无
JSON 表示形式
以下 JSON 表示形式显示了资源类型。
{
"@odata.type": "#microsoft.graph.signIn",
"agent": {
"@odata.type": "microsoft.graph.agentic.agentSignIn"
},
"appDisplayName": "String",
"appId": "String",
"authenticationContextClassReferences": [{"@odata.type": "microsoft.graph.authenticationContext"}],
"appliedConditionalAccessPolicies": [
{
"@odata.type": "microsoft.graph.appliedConditionalAccessPolicy"
}
],
"appliedEventListeners": [
{
"@odata.type": "microsoft.graph.appliedAuthenticationEventListener"
}
],
"appTokenProtectionStatus": {
"@odata.type": "microsoft.graph.tokenProtectionStatus"
},
"authenticationAppDeviceDetails": {
"@odata.type": "microsoft.graph.authenticationAppDeviceDetails"
},
"authenticationAppPolicyEvaluationDetails": [
{
"@odata.type": "microsoft.graph.authenticationAppPolicyDetails"
}
],
"authenticationDetails": [
{
"@odata.type": "microsoft.graph.authenticationDetail"
}
],
"authenticationMethodsUsed": [
"String"
],
"authenticationProcessingDetails": [
{
"@odata.type": "microsoft.graph.keyValue"
}
],
"authenticationProtocol": "String",
"authenticationRequirement": "String",
"authenticationRequirementPolicies": [
{
"@odata.type": "microsoft.graph.authenticationRequirementPolicy"
}
],
"autonomousSystemNumber": "Integer",
"azureResourceId": "String",
"clientAppUsed": "String",
"conditionalAccessStatus": "String",
"correlationId": "String",
"createdDateTime": "String (timestamp)",
"crossTenantAccessType": "String",
"deviceDetail": {
"@odata.type": "microsoft.graph.deviceDetail"
},
"federatedCredentialId": "String",
"flaggedForReview": "Boolean",
"id": "String (identifier)",
"homeTenantId": "String",
"homeTenantName": "String",
"isInteractive": "Boolean",
"isTenantRestricted": "Boolean",
"ipAddress": "String",
"ipAddressFromResourceProvider": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"mfaDetail": {
"@odata.type": "microsoft.graph.mfaDetail"
},
"networkLocationDetails": [
{
"@odata.type": "microsoft.graph.networkLocationDetail"
}
],
"originalRequestId": "String",
"originalTransferMethod": "String",
"privateLinkDetails": {
"@odata.type": "microsoft.graph.privateLinkDetails"
},
"processingTimeInMilliseconds": "Integer",
"riskDetail": "String",
"riskEventTypes_v2": [
"String"
],
"riskLevelAggregated": "String",
"riskLevelDuringSignIn": "String",
"riskState": "String",
"resourceDisplayName": "String",
"resourceId": "String",
"resourceTenantId": "String",
"servicePrincipalCredentialKeyId": "String",
"servicePrincipalCredentialThumbprint": "String",
"servicePrincipalId": "String",
"servicePrincipalName": "String",
"sessionId": "String",
"sessionLifetimePolicies": [{"@odata.type": "microsoft.graph.sessionLifetimePolicy"}],
"signInEventTypes": [
"String"
],
"signInIdentifier": "String",
"signInIdentifierType": "String",
"signInTokenProtectionStatus": "String",
"status": {
"@odata.type": "microsoft.graph.signInStatus"
},
"tokenIssuerName": "String",
"tokenIssuerType": "String",
"userAgent": "String",
"userDisplayName": "String",
"userId": "String",
"userPrincipalName": "String",
"userType": "String"
}