Anmeldungen auflisten
Namespace: microsoft.graph
Rufen Sie die Microsoft Entra-Benutzeranmeldungen für Ihren Mandanten ab. Anmeldungen, die interaktiv sind (wobei ein Benutzername/Kennwort als Teil des Authentifizierungstokens übergeben wird) und erfolgreiche Verbundanmeldungen sind derzeit in den Anmeldeprotokollen enthalten.
Die maximale und standardmäßige Seitengröße beträgt 1.000 Objekte, und standardmäßig werden die letzten Anmeldungen zuerst zurückgegeben. Es sind nur Anmeldeereignisse verfügbar, die innerhalb des Standardaufbewahrungszeitraums der Microsoft Entra-ID aufgetreten sind.
Hinweis
In diesem Artikel wird beschrieben, wie Sie personenbezogene Daten von einem Gerät oder Dienst exportieren. Diese Schritte können verwendet werden, um Ihre Verpflichtungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) zu unterstützen. Autorisierte Mandantenadministratoren können Microsoft Graph verwenden, um identifizierbare Informationen über Endbenutzer zu korrigieren, zu aktualisieren oder zu löschen, einschließlich Benutzerprofilen von Kunden und Mitarbeitern oder personenbezogene Daten wie Name, Arbeitstitel, Adresse oder Telefonnummer eines Benutzers in Ihrer Microsoft Entra ID-Umgebung .
Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.
| Globaler Dienst | US Government L4 | US Government L5 (DOD) | China, betrieben von 21Vianet |
|---|---|---|---|
| ✅ | ❌ | ❌ | ❌ |
Berechtigungen
Wählen Sie für diese API die Als am wenigsten privilegierten Berechtigungen gekennzeichneten Berechtigungen aus. Verwenden Sie nur dann eine Berechtigung mit höheren Berechtigungen , wenn dies für Ihre App erforderlich ist. Ausführliche Informationen zu delegierten Berechtigungen und Anwendungsberechtigungen finden Sie unter Berechtigungstypen. Weitere Informationen zu diesen Berechtigungen finden Sie in der Berechtigungsreferenz.
| Berechtigungstyp | Berechtigungen mit den geringsten Berechtigungen | Berechtigungen mit höheren Berechtigungen |
|---|---|---|
| Delegiert (Geschäfts-, Schul- oder Unikonto) | AuditLog.Read.All und Directory.Read.All | Nicht verfügbar. |
| Delegiert (persönliches Microsoft-Konto) | Nicht unterstützt | Nicht unterstützt |
| Anwendung | AuditLog.Read.All und Directory.Read.All | Nicht verfügbar. |
Apps müssen ordnungsgemäß für die Microsoft Entra-ID registriert werden.
Zusätzlich zu den delegierten Berechtigungen muss der angemeldete Benutzer mindestens einer der folgenden Microsoft Entra-Rollen angehören:
- Globaler Leser
- Berichteleser
- Sicherheitsadministrator
- Sicherheitsoperator
- Sicherheitsleseberechtigter
Anzeigen angewendeter Richtlinien für bedingten Zugriff (Ca) in Anmeldungen
Die in der eigenschaft appliedConditionalAccessPolicies aufgeführten angewendeten Zertifizierungsstellenrichtlinien sind nur für Benutzer und Apps mit Rollen verfügbar, die es ihnen ermöglichen, Daten für bedingten Zugriff zu lesen. Wenn ein Benutzer oder eine App über Berechtigungen zum Lesen von Anmeldeprotokollen verfügt, aber nicht über die Berechtigung zum Lesen von Daten für bedingten Zugriff, wird die eigenschaft appliedConditionalAccessPolicies in der Antwort weggelassen. Die folgenden Microsoft Entra-Rollen gewähren Benutzern Berechtigungen zum Anzeigen von Daten für bedingten Zugriff:
- Globaler Leseberechtigter
- Sicherheitsadministrator
- Sicherheitsleseberechtigter
- Administrator für bedingten Zugriff
Anwendungen müssen mindestens über eine der folgenden Berechtigungen verfügen, um appliedConditionalAccessPolicy-Objekte in den Anmeldeprotokollen anzuzeigen:
- Policy.Read.All
- Policy.ReadWrite.ConditionalAccess
- Policy.Read.ConditionalAccess
Anmerkung: Microsoft Entra-Benutzer mit beliebigen Berechtigungen können Anmeldeprotokolle lesen, in denen ihr Benutzer der Akteur ist, der sich anmeldet. Dieses Feature hilft Benutzern, unerwartete Aktivitäten in ihren Konten zu erkennen. Benutzer können ZS-Daten aus ihren eigenen Protokollen nur lesen, wenn sie über eine der oben angegebenen Zertifizierungsstellenberechtigungen verfügen.
HTTP-Anforderung
GET /auditLogs/signIns
Optionale Abfrageparameter
Diese Methode unterstützt die $topOData-Abfrageparameter , $skiptokenund $filter zum Anpassen der Antwort. Allgemeine Informationen finden Sie unter OData-Abfrageparameter.
Um ein Timeout für die Anforderung zu vermeiden, wenden Sie den $filter Parameter mit einem Zeitbereich an, für den alle Anmeldungen abgerufen werden sollen, wie in Beispiel 1 gezeigt.
Anforderungsheader
| Name | Beschreibung |
|---|---|
| Authorization | Bearer {token}. Erforderlich. Erfahren Sie mehr über die Authentifizierung und Autorisierung. |
Antwort
Wenn die Methode erfolgreich verläuft, werden der Antwortcode 200 OK und eine Sammlung von signIn-Objekten im Antworttext zurückgegeben. Die Auflistung von -Objekten wird basierend auf createdDateTime in absteigender Reihenfolge aufgelistet.
Beispiele
Beispiel 1: Auflisten aller Anmeldungen während eines bestimmten Zeitraums
Anforderung
Das folgende Beispiel zeigt eine Anforderung zum Auflisten aller Anmeldungen während eines bestimmten Zeitraums.
GET https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=createdDateTime ge 2024-07-01T00:00:00Z and createdDateTime le 2024-07-14T23:59:59Z
Antwort
Das folgende Beispiel zeigt die Antwort.
Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#auditLogs/signIns",
"@odata.nextLink": "https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=1&$skiptoken=9177f2e3532fcd4c4d225f68f7b9bdf7_1",
"value": [
{
"id": "66ea54eb-6301-4ee5-be62-ff5a759b0100",
"createdDateTime": "2023-12-01T16:03:35Z",
"userDisplayName": "Test Contoso",
"userPrincipalName": "testaccount1@contoso.com",
"userId": "26be570a-ae82-4189-b4e2-a37c6808512d",
"appId": "de8bc8b5-d9f9-48b1-a8ad-b748da725064",
"appDisplayName": "Graph explorer",
"ipAddress": "131.107.159.37",
"clientAppUsed": "Browser",
"correlationId": "d79f5bee-5860-4832-928f-3133e22ae912",
"conditionalAccessStatus": "notApplied",
"isInteractive": true,
"riskDetail": "none",
"riskLevelAggregated": "none",
"riskLevelDuringSignIn": "none",
"riskState": "none",
"riskEventTypes": [],
"resourceDisplayName": "Microsoft Graph",
"resourceId": "00000003-0000-0000-c000-000000000000",
"status": {
"errorCode": 0,
"failureReason": null,
"additionalDetails": null
},
"deviceDetail": {
"deviceId": "",
"displayName": null,
"operatingSystem": "Windows 10",
"browser": "Edge 80.0.361",
"isCompliant": null,
"isManaged": null,
"trustType": null
},
"location": {
"city": "Redmond",
"state": "Washington",
"countryOrRegion": "US",
"geoCoordinates": {
"altitude": null,
"latitude": 47.68050003051758,
"longitude": -122.12094116210938
}
},
"appliedConditionalAccessPolicies": [
{
"id": "de7e60eb-ed89-4d73-8205-2227def6b7c9",
"displayName": "SharePoint limited access for guest workers",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled"
},
{
"id": "6701123a-b4c6-48af-8565-565c8bf7cabc",
"displayName": "Medium signin risk block",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled"
},
]
}
]
}
Beispiel 2: Abrufen der ersten 10 Anmeldungen bei Apps mit appDisplayName, der mit "Graph" beginnt
Anforderung
Das folgende Beispiel zeigt eine Anfrage.
GET https://graph.microsoft.com/v1.0/auditLogs/signIns?&$filter=startsWith(appDisplayName,'Graph')&$top=10
Antwort
Das folgende Beispiel zeigt die Antwort. Die Antwort enthält eine @odata.nextLink Eigenschaft, die eine URL enthält, die zum Abrufen der nächsten 10 Ergebnisse verwendet werden kann.
Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#auditLogs/signIns",
"@odata.nextLink": "https://graph.microsoft.com/v1.0/auditLogs/signins?$filter=startsWith(appDisplayName%2c%27Graph%27)&$top=10&$skiptoken=70f66c0893886b49370ffdb44cd8d137b1a12b9ba02f34a16f33c5e0f7c42fc7",
"value": [
{
"id": "66ea54eb-6301-4ee5-be62-ff5a759b0100",
"createdDateTime": "2023-12-01T16:03:32Z",
"userDisplayName": "Test Contoso",
"userPrincipalName": "testaccount1@contoso.com",
"userId": "26be570a-ae82-4189-b4e2-a37c6808512d",
"appId": "de8bc8b5-d9f9-48b1-a8ad-b748da725064",
"appDisplayName": "Graph explorer",
"ipAddress": "131.107.159.37",
"clientAppUsed": "Browser",
"correlationId": "d79f5bee-5860-4832-928f-3133e22ae912",
"conditionalAccessStatus": "notApplied",
"isInteractive": true,
"riskDetail": "none",
"riskLevelAggregated": "none",
"riskLevelDuringSignIn": "none",
"riskState": "none",
"riskEventTypes": [],
"resourceDisplayName": "Microsoft Graph",
"resourceId": "00000003-0000-0000-c000-000000000000",
"status": {
"errorCode": 0,
"failureReason": null,
"additionalDetails": null
},
"deviceDetail": {
"deviceId": "",
"displayName": null,
"operatingSystem": "Windows 10",
"browser": "Edge 80.0.361",
"isCompliant": null,
"isManaged": null,
"trustType": null
},
"location": {
"city": "Redmond",
"state": "Washington",
"countryOrRegion": "US",
"geoCoordinates": {
"altitude": null,
"latitude": 47.68050003051758,
"longitude": -122.12094116210938
}
},
"appliedConditionalAccessPolicies": [
{
"id": "de7e60eb-ed89-4d73-8205-2227def6b7c9",
"displayName": "SharePoint limited access for guest workers",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled"
},
{
"id": "6701123a-b4c6-48af-8565-565c8bf7cabc",
"displayName": "Medium signin risk block",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled"
},
]
}
]
}