Table of contents

Rapports et événements (version préliminaire) | Concepts de l’API Graph

Bryan Lamos|Dernière mise à jour: 05/10/2016
|
1 Contributeur

S’applique à : API Graph | Azure Active Directory (AD)

Vue d’ensemble et conditions préalables

La version préliminaire de l’API REST Rapports et événements d’Azure AD permet d’accéder en lecture seule aux données de rapport relatives à l’accès et à l’utilisation conservées à l’intérieur d’un client Azure AD. Pour une vue d’ensemble des types de rapports disponibles et des informations sur l’accès aux fonctionnalités de génération de rapports via l’interface utilisateur du portail de gestion Azure approprié, consultez l’article Affichage de vos rapports d’accès et d’utilisation.

Important

La fonctionnalité d’API Azure AD Graph est également disponible au moyen de Microsoft Graph, une API unifiée qui intègre aussi des API d’autres services Microsoft tels que Outlook, OneDrive, OneNote, Planner et Office Graph, tous accessibles par le biais d’un seul point de terminaison à l’aide d’un seul jeton d’accès. Il est important de noter que les rapports et les événements ne sont pas actuellement pris en charge dans Microsoft Graph ; vous devrez utiliser l’API Azure AD Graph pour ces fonctionnalités.

Avant d’utiliser la version préliminaire de l’API Rapports et événements, une connaissance de la configuration d’application et de l’authentification Azure AD est également nécessaire. Si vous connaissez mal les concepts associés à l’authentification Azure AD ou à la possibilité d’accorder des autorisations à une application pour autoriser l’accès à votre locataire, consultez l’article Scénarios d’authentification pour Azure AD, et en particulier la section intitulée Bases de l’inscription d’une application dans Azure AD. Lorsque vous êtes prêt à configurer l’accès pour votre application, la dernière section contient également un lien vers un article plus détaillé, Intégration d’applications à Azure Active Directory, contenant des autorisations spécifiques pour accéder à l’API Graph.

Enfin, lorsque vous êtes prêt à configurer l’accès pour votre application, vous devez accéder à un locataire Azure AD. Vous trouverez un exemple d’application ASP.NET complément appelé WebApp-GraphAPI-Reporting sur Github avec des instructions pas à pas dans readme.md, ainsi qu’une vue d’ensemble de tous les exemples qui illustrent l’utilisation de la bibliothèque d’authentification Active Directory (ADAL) et de l’API Graph à partir de plusieurs plateformes sur la page principale Exemples de Code Azure AD.

Adressage

Une fois votre client configuré, lorsque vous êtes prêt à accéder à l’API Rapports et événements, consultez l’article Démarrage rapide pour l’API Graph Azure AD pour plus de détails sur les principes fondamentaux de la construction d’une URL de service, d’un en-tête de requête HTTP et d’un jeton d’accès OData associé, ainsi que des informations sur l’utilisation des outils de test (à savoir, Graph Explorer et Fiddler) pour exécuter des demandes de test sur votre locataire.

N’oubliez pas que toutes les opérations relatives aux rapports et événements sont effectuées à l’aide du format d’URL compatible OData suivant, où tenant-name est le nom de votre locataire Azure AD, et reports/<service-operation> le chemin d’accès à la ressource de rapport spécifique que vous souhaitez appeler : https://graph.windows.net/<tenant-name>/reports/<service-operation>?api-version=beta.

Par ailleurs, l’API Rapports et événements prend en charge un sous-ensemble d’options de requête OData prises en charge par l’API Graph principale (voir la section suivante).

Options de requête prise en charge

$filter

Les restrictions suivantes s’appliquent aux expressions de filtre :

  • Par défaut, tous les rapports portent sur les 30 derniers jours d’historique.

  • Certaines propriétés des entités prises en charge ne peuvent pas être utilisées dans une expression de filtre. Pour plus d’informations sur chacune des entités de Rapports et événements ci-dessous, consultez les détails de propriété ci-après dans cette rubrique.

  • Opérateurs logiques : and (et) est pris en charge. Exemple : https://graph.windows.net/<tenant-name>/reports/accountProvisioningEvents?api-version=beta&$filter=(eventTime gt 2014-03-01 and eventTime lt 2015-04-23) or eventTime lt 2015-02-01

  • Opérateurs de comparaison : eq (égal à), gt (supérieur à), ge (supérieur ou égal à), lt (inférieur à) et le (inférieur ou égal à) sont pris en charge.

  • startswith : non pris en charge.

  • any : non pris en charge.

  • Opérateurs arithmétiques : non pris en charge.

  • Fonctions : non prises en charge.

  • Les valeurs null ne sont pas prises en charge comme opérande dans les expressions de filtre.

Remarque : avant l’envoi d’une demande, les espaces dans la chaîne de requête doivent être codés URL. Par exemple, la chaîne de requête https://graph.windows.net/<tenant-name>/reports/accountProvisioningEvents?api-version=beta&$filter=eventTime gt 2014-03-01 and eventTime lt 2015-04-23 doit être codée URL comme suit : https://graph.windows.net/<tenant-name>/reports/accountProvisioningEvents?api-version=beta&$filter=eventTime%20gt%202014-03-01%20and%20eventTime%20lt%202015-04-23.

Exemples de demandes utilisant l’option de requête $filter :

DemandeDescription
https://graph.windows.net/<tenant-name>/reports/accountProvisioningEvents?api-version=beta&$filter=eventTime%20eq%202015-03-12T22:01:18.4385955ZRenvoie une liste d’événements de rapport de configuration de compte qui se sont produits à une date et une heure spécifiques.
https://graph.windows.net/<tenant-name>/reports/accountProvisioningEvents?api-version=beta&$filter=eventTime%20gt%202014-03-01%20and%20eventTime%20lt%202015-04-23Renvoie une liste d’événements de rapport de configuration de compte qui se sont produits dans la plage spécifiée.

$top

L’option $top renvoie un sous-ensemble d’entrées pour le rapport spécifié, comprenant les N premières entrées, où N est un entier positif. Exemples de demandes utilisant l’option de requête $top :

DemandeDescription
https://graph.windows.net/<tenant-name>/reports/accountProvisioningEvents?api-version=beta&$top=5Renvoie les 5 derniers événements de rapport de configuration de compte.

$skip

L’option $skip renvoie pour le rapport donné un sous-ensemble d’entrées obtenu en recherchant N entrées dans la collection de rapports et en sélectionnant uniquement les entrées restantes (à partir de l’entrée N+1). Exemples de demandes utilisant l’option de requête $skip :

DemandeDescription
https://graph.windows.net/<tenant-name>/reports/accountProvisioningEvents?api-version=beta&$skip=17Renvoie les entrées restantes de la collection d’événements de rapport de configuration de compte, à partir de l’entrée 18.

Métadonnées, entités, propriétés et opérations de service

Toutes les entités et propriétés prises en charge par les ressources OData de rapports et événements sont spécifiées dans le document de métadonnées du service, qui définit l’EDM (Entity Data Model) du service à l’aide du langage CSDL (Conceptual Schema Definition Language) OData standard. Vous pouvez récupérer les métadonnées CSDL en ajoutant le segment $metadata au chemin d’accès à la ressource /reports dans l’URL : https://graph.windows.net/<tenant-name>/reports/$metadata?api-version=beta. L’exclusion du segment $metadata renvoie la liste des ressources de rapport disponibles sous la forme de données JSON dans le corps de la réponse. Les opérations du service OData utilisables dans le chemin d’accès de ressource pour accéder aux collections de données d’événement sont définies par l’attribut « Name » de l’élément &ltEntitySet&gt près du bas du CSDL. Par exemple, pour accéder à la collection de données d’événements, vous utilisez une URL semblable à la suivante : https://graph.windows.net/<tenant-name>/reports/accountProvisioningEvents?api-version=beta.

Remarque : l’espace de noms qui définit les entités OData prises en charge par l’API Rapports et événements est Microsoft.ActiveDirectory.DataService.PublicApi.Model.Reporting. Il diffère de celui qui définit les entités dans l’API Graph principale, à savoir Microsoft.DirectoryServices. En outre, l’API Rapports et événements diffère sensiblement de l’API Graph principale sur les plans suivants :

  • Les entités de dérivent pas d’un type de base et ne prennent en charge aucun propriété de navigation.
  • Le service ne prend pas en charge de fonctions ou types complexes supplémentaires.
  • Le service prend en charge uniquement les opérations de lecture HTTP.

Cette rubrique fournit des détails supplémentaires sur les collections offertes par chaque entité et les propriétés associées, qui sont prises en charge uniquement dans les opérations de lecture (HTTP GET). Pour plus d’informations sur chacune d’elles, consultez l’article Affichage de vos rapports d’accès et d’utilisation.

AllUsersWithAnomalousSignInActivityEvent

NomTypeRead(GET)Description
eventTimeEdm.DateTimeOffsetFiltrableDate et heure de détection de l’activité anormale.
détailEdm.StringDétails de l’activité.
reasonEdm.StringActivité anormale pour laquelle l’utilisateur figure dans le rapport.
idEdm.GuidIdentificateur unique de l’événement.
displayNameEdm.StringNom d’affichage de l’utilisateur.
userNameEdm.StringNom de l’utilisateur.

AccountProvisioningEvent

NomTypeRead(GET)Description
idEdm.StringIdentificateur unique de l’événement.
eventTimeEdm.DateTimeOffsetFiltrableDate et heure auxquelles l’événement s’est produit.
applicationEdm.StringNom de l’application à l’origine de l’événement de configuration.
instanceNameEdm.StringNom de l’instance d’application à l’origine de l’événement de configuration.
opérationEdm.StringNom de l’opération.
sourceTypeEdm.StringType de la source de l’activité.
targetTypeEdm.StringType de la cible de l’activité.
joiningPropertyEdm.StringPropriété utilisée pour joindre.
addedPropertiesEdm.StringNoms des propriétés ajoutées.
removedPropertiesEdm.StringNoms des propriétés supprimées.
resultEdm.StringRésultat de l’opération.

ApplicationUsageSummaryEvent

Important

La fonctionnalité de rapport des activités de connexion est disponible via l’API de rapport des activités de connexion Azure Active Directory.

NomTypeRead(GET)Description
idEdm.StringIdentificateur unique de l’événement.
eventTimeEdm.DateTimeOffsetFiltrableDate et heure auxquelles l’événement s’est produit.
applicationNameEdm.StringNom d’affichage de l’application avec l’activité de connexion.
uniqueUsersEdm.Int32Nombre d’utilisateurs uniques qui se sont connectés à l’application.
signInsEdm.Int32Nombre de connexions à l’application.

AuditEvent

Important

Utilisez l’API Audit référencée dans cet article.

NomTypeRead(GET)Description
idEdm.StringIdentificateur unique de l’événement.
eventTimeEdm.DateTimeOffsetFiltrableDate et heure auxquelles l’événement s’est produit.
actorEdm.StringNom d’utilisateur principal (UPN) de l’utilisateur intervenant.
actionEdm.StringMesure spécifique prise par l’intervenant. Pour plus d’informations sur les valeurs d’action possibles, consultez l’article Événements de rapport d’audit Azure AD.
targetEdm.StringNom d’utilisateur principal (UPN) de l’utilisateur cible.
actorDetailEdm.StringDétails de propriété supplémentaires pour l’utilisateur intervenant, tels que l’UPN et le PUID.
targetDetailEdm.StringDétails de propriété supplémentaires pour l’utilisateur cible, tels que l’UPN et le PUID.
updatedPropertiesEdm.StringPropriétés actualisées dans un événement de mise à jour, comme indiqué par la propriété d’action.

CompromisedCredentialsEvent

NomTypeRead(GET)Description
eventTimeEdm.DateTimeOffsetFiltrableDate et heure auxquelles l’événement s’est produit.
CredentialTypeEdm.StringType d’informations d’identification.
reasonEdm.StringRaison pour laquelle le compte a été marqué comme compromis.
idEdm.GuidIdentificateur unique de l’utilisateur.
displayNameEdm.StringNom d’affichage de l’utilisateur.
userNameEdm.StringNom de l’utilisateur.

IrregularSignInActivityEvent

NomTypeRead(GET)Description
eventTimeEdm.DateTimeOffsetFiltrableDate et heure de détection de l’activité anormale.
ipAddressEdm.StringAdresse IP d’origine de la connexion.
eventClassificationEdm.StringIndique si la connexion est classée comme anormale ou suspecte.
deviceEdm.StringInformations sur l’appareil à partir duquel l’utilisateur s’est connecté.
reasonEdm.StringRaison pour laquelle la connexion a été signalée comme suspecte.
emplacementEdm.StringEmplacement géographique approximatif de la connexion.
idEdm.GuidIdentificateur unique de l’événement.
displayNameEdm.StringNom d’affichage de l’utilisateur.
userNameEdm.StringNom de l’utilisateur.

MimSsgmGroupActivityEvent

NomTypeRead(GET)Description
idEdm.StringIdentificateur unique de l’événement.
eventTimeEdm.DateTimeOffsetFiltrableDate et heure auxquelles l’événement s’est produit.
groupEdm.StringLe groupe sur lequel l’action de libre-service a été effectuée.
actionEdm.StringAction de groupe en libre-service effectuée.

MimSsprActivityEvent

NomTypeRead(GET)Description
eventTimeEdm.DateTimeOffsetFiltrableDate et heure auxquelles l’événement s’est produit.
roleEdm.StringRôle de l’utilisateur.
methodsUsedEdm.StringMéthode utilisée pour la réinitialisation du mot de passe de l’utilisateur.
resultEdm.StringRésultat de la tentative de réinitialisation du mot de passe réalisée par l’utilisateur.
détailsEdm.StringDétails supplémentaires sur la tentative de réinitialisation du mot de passe réalisée par l’utilisateur.
idEdm.StringIdentificateur unique de l’événement.
displayNameEdm.StringNom d’affichage de l’utilisateur.
userNameEdm.StringNom de l’utilisateur.

MimSsprRegistrationActivityEvent

NomTypeRead(GET)Description
eventTimeEdm.DateTimeOffsetFiltrableDate et heure auxquelles l’événement s’est produit.
roleEdm.StringRôle de l’utilisateur.
registrationActivityEdm.StringActivité d’inscription effectuée par l’utilisateur.
idEdm.StringIdentificateur unique de l’événement.
displayNameEdm.StringNom d’affichage de l’utilisateur.
userNameEdm.StringNom de l’utilisateur.

SignInsAfterMultipleFailuresEvent

NomTypeRead(GET)Description
firstSuccessfulSignInEdm.DateTimeOffsetFiltrableDate et heure de la première connexion réussie, après plusieurs tentatives.
failedAttemptsToSignInEdm.Int32Nombre d’échecs de connexion avant l’établissement de la connexion.
idEdm.GuidIdentificateur unique de l’événement.
displayNameEdm.StringNom d’affichage de l’utilisateur.
userNameEdm.StringNom de l’utilisateur.

SignInsFromIPAddressesWithSuspiciousActivityEvent

NomTypeRead(GET)Description
eventTimeEdm.DateTimeOffsetFiltrableDernières date et heure de survenance de ce type d’événement.
ipAddressEdm.StringAdresse IP d’origine de la connexion.
idEdm.GuidIdentificateur unique de l’événement.
displayNameEdm.StringNom d’affichage de l’utilisateur.
userNameEdm.StringNom de l’utilisateur.

SignInsFromMultipleGeographiesEvent

NomTypeRead(GET)Description
firstSigninFromEdm.StringEmplacement approximatif de la première connexion.
secondSigninFromEdm.StringEmplacement approximatif de la deuxième connexion.
timeOfSecondSignInEdm.DateTimeOffsetFiltrableDate et heure de la deuxième connexion.
timeBetweenSignInsEdm.StringDifférence approximative entre les deux emplacements de connexion.
estimatedTravelHoursEdm.Int32Durée de trajet estimée entre les deux emplacements de connexion.
idEdm.GuidIdentificateur unique de l’événement.
displayNameEdm.StringNom d’affichage de l’utilisateur.
userNameEdm.StringNom de l’utilisateur.

SignInsFromPossiblyInfectedDevicesEvent

NomTypeRead(GET)Description
deviceIPAddressEdm.StringAdresse IP de l’emplacement où la connexion a eu lieu.
lastSignInTimeEdm.DateTimeOffsetFiltrableDate et heure de la dernière connexion.
deviceLocationEdm.StringEmplacement géographique approximatif de la connexion.
clientEdm.StringInformations sur l’appareil potentiellement infecté.
suspectedInfectionEdm.StringToutes les informations sur l’infection potentielle.
latestPotentiallySuspiciousActivityEdm.DateTimeOffsetFiltrableDate et heure de l’infection.
idEdm.GuidIdentificateur unique de l’événement.
displayNameEdm.StringNom d’affichage de l’utilisateur.
userNameEdm.StringNom de l’utilisateur.

SignInsFromUnknownSourcesEvent

NomTypeRead(GET)Description
numberOfSigninsEdm.Int32Nombre total de connexions.
ipAddressEdm.StringAdresse IP d’origine de la connexion.
timeOfLastSuccessfulSignInEdm.DateTimeOffsetFiltrableDernières date et heure de survenance de ce type d’événement.
idEdm.GuidIdentificateur unique de l’événement.
displayNameEdm.StringNom d’affichage de l’utilisateur.
userNameEdm.StringNom de l’utilisateur.

SsgmGroupActivityEvent

NomTypeRead(GET)Description
idEdm.StringIdentificateur unique de l’événement.
eventTimeEdm.DateTimeOffsetFiltrableDate et heure auxquelles l’événement s’est produit.
groupEdm.StringLe groupe sur lequel l’action de libre-service a été effectuée.
actionEdm.StringAction de groupe en libre-service effectuée.

SsprActivityEvent

NomTypeRead(GET)Description
eventTimeEdm.DateTimeOffsetFiltrableDate et heure auxquelles l’événement s’est produit.
roleEdm.StringRôle de l’utilisateur.
methodsUsedEdm.StringMéthode utilisée pour la réinitialisation du mot de passe de l’utilisateur.
resultEdm.StringRésultat de la tentative de réinitialisation du mot de passe réalisée par l’utilisateur.
détailsEdm.StringDétails supplémentaires sur la tentative de réinitialisation du mot de passe réalisée par l’utilisateur.
idEdm.StringIdentificateur unique de l’événement.
displayNameEdm.StringNom d’affichage de l’utilisateur.
userNameEdm.StringNom de l’utilisateur.

SsprRegistrationActivityEvent

NomTypeRead(GET)Description
eventTimeEdm.DateTimeOffsetFiltrableDate et heure auxquelles l’événement s’est produit.
roleEdm.StringRôle de l’utilisateur.
registrationActivityEdm.StringActivité d’inscription effectuée par l’utilisateur.
idEdm.StringIdentificateur unique de l’événement.
displayNameEdm.StringNom d’affichage de l’utilisateur.
userNameEdm.StringNom de l’utilisateur.

Ressources supplémentaires

© 2017 Microsoft