Microsoft Entra 活動記錄結構描述

本文說明 Microsoft Entra 活動記錄中包含的資訊，以及其他服務如何使用該架構描述。 本文涵蓋來自 Microsoft Entra 系統管理中心和 Microsoft Graph 的架構描述。 提供一些主要欄位的描述。

必要條件

• 如需授權和角色需求，請參閱 Microsoft Entra 監視和健康情況授權。
• 所有版本的 Microsoft Entra ID 均提供下載記錄的選項。
• 使用 Microsoft Graph 以程式設計方式下載記錄需要進階授權。
• 報告讀取者是檢視 Microsoft Entra 活動記錄所需權限最低的角色。
• 稽核記錄適用於您已授權的功能。
• 如果您沒有必要的授權，下載的記錄結果可能會針對某些屬性顯示 hidden。

什麼是記錄架構描述？

Microsoft Entra 監視和健康情況提供記錄、報告以及可與 Azure 監視器、Microsoft Sentinel 和其他服務整合的監視工具。 這些服務必須將記錄的屬性對應至其服務的組態。 架構描述是屬性的對應、可能的值以及服務如何使用它們。 瞭解記錄架構描述對於有效的疑難解答和資料解譯很有幫助。

Microsoft Graph 是以程式設計方式存取 Microsoft Entra 記錄的主要方式。 Microsoft Graph 呼叫的回應為 JSON 格式，並包含記錄的屬性和值。 記錄的架構描述定義於 Microsoft Graph 文件中。

Microsoft Graph API 有兩個端點。 V1.0 端點最穩定，通常用於實際執行環境。 搶鮮版 (Beta) 通常包含更多屬性，但是可能會有所變更。 基於這個原因，我們不建議在實際執行環境中使用架構描述的搶鮮版 (Beta)。

Microsoft Entra 客戶可以設定要傳送至 Azure 監視器儲存帳戶的活動記錄串流。 這項整合可啟用安全性資訊與事件管理 (SIEM) 連線能力、長期儲存體，以及使用記錄分析改善查詢功能。 Azure 監視器的記錄架構可能與 Microsoft Graph 架構描述不同。

如需這些架構描述的完整詳細資訊，請參閱下列文章：

• Azure 監視器稽核記錄
• Azure 監視器登入記錄
• Azure 監視器佈建記錄
• Microsoft Entra 稽核記錄
• Microsoft Graph 登入記錄
• Microsoft Graphh 佈建記錄

如何解譯架構描述

查詢值的定義時，請注意您所使用的版本。 V1.0 和搶鮮版 (Beta)的架構描述之間可能會有差異。

在所有記錄架構描述中找到的值

某些值在所有記錄架構描述中都是共同的。

• correlationId：此唯一 ID 有助於將跨越各種服務的活動相互關聯，並用於疑難解答。 此值存在於多個記錄中，並不表示能夠跨服務加入記錄。
• status 或 result：這個重要值表示活動的結果。 可能的值為：success、failure、timeout、unknownFutureValue。
• 日期和時間：活動進行的日期和時間是國際標準時間 (UTC)。
• 某些報告功能需要 Microsoft Entra ID P2 授權。 如果您沒有正確的授權，則會傳回值 hidden。

稽核記錄

• activityDisplayName：指出活動名稱或作業名稱（範例：「建立使用者」和「新增成員至群組」）。 如需詳細資訊，請參閱稽核記錄活動。
• category：指出活動的目標資源類別。 例如：UserManagement、GroupManagement、ApplicationManagement、RoleManagement。 如需詳細資訊，請參閱稽核記錄活動。
• initiatedBy：指出開始活動的使用者或應用程式的相關資訊。
• targetResources：提供已變更資源的相關資訊。 可能的值包括 User、Device、Directory、App、Role、Group、Policy 或 Other。

登入記錄

• ID 值：使用者、租用戶、應用程式和資源都有唯一識別碼。 範例包括：
  • resourceId：使用者登入的資源。
  • resourceTenantId：擁有所存取資源的租用戶。 可能與 homeTenantId 相同。
  • homeTenantId：擁有正在登入之使用者帳戶的租用戶。
• 提供風險性使用者、登入或風險偵測之特定狀態背後原因的風險詳細資料。
  • riskState：報告風險性使用者、登入或風險事件的狀態。
  • riskDetail：提供風險性使用者、登入或風險偵測之特定狀態背後的「原因」。 值 none 表示到目前為止的使用者或登入皆未執行任何動作。
  • riskEventTypes_v2：與登入相關的風險偵測類型。
  • riskLevelAggregated：彙總的風險層級。 值 hidden 表示未啟用 Microsoft Entra ID Protection 的使用者或登入。
• crossTenantAccessType：描述用來存取資源的跨租用戶存取類型。 例如，此處會擷取 B2B、Microsoft 支援服務 和傳遞登入。
• status：包含錯誤碼和錯誤描述的登入狀態（如果發生登入失敗）。

已套用的條件式存取原則

appliedConditionalAccessPolicies 子區段會列出與該登入事件相關的條件式存取原則。 區段稱為已套用的條件式存取原則；然而未套用的原則也會出現在本區段中。 系統會為每個原則建立個別項目。 如需詳細資訊，請參閱 conditionalAccessPolicy 資源類型。