重要
某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
OAuthAppInfo高级搜寻架构中的表包含组织中Microsoft 365 个连接的 OAuth 应用程序的信息,这些应用程序已注册到 Microsoft Entra ID,并在 Microsoft Defender for Cloud Apps 应用管理功能中可用。
该OAuthAppInfo表可能不包括Entra ID上可用的所有与应用或服务主体相关的属性。 它还不包括与未经任何 OAuth 同意Microsoft第一方应用或应用相关的数据。 表的覆盖范围基于应用治理涵盖的Microsoft 365 个连接应用的现有范围。
先决条件
此高级搜寻表由Microsoft Defender for Cloud Apps中的应用治理记录填充。
需要启用应用治理才能在高级搜寻中查看 OAuthAppInfo 表。 若要启用应用治理,请按照 启用应用治理中的步骤作。
架构
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
ReportId |
string |
记录的唯一标识符 |
Timestamp |
string |
创建记录的日期和时间 |
OAuthAppId |
string |
由 Microsoft Entra ID 分配的应用的唯一标识符 |
ServicePrincipalId |
string |
租户中应用程序的服务主体实例的唯一标识符 |
AppName |
string |
由关联的服务主体公开的应用程序显示名称 |
AddedOnTime |
datetime |
注册应用程序的日期和时间 |
LastModifiedTime |
datetime |
上次修改应用的时间戳 |
AppStatus |
string |
应用的状态;可以是:Enabled、DisabledByMicrosoft、DisabledByAppGovernancePolicy、DisabledByUser、Deleted (“已删除”状态的应用的信息仅在应用被删除后的 30 天内可用) |
VerifiedPublisher |
dynamic |
指定有关此服务主体所表示的应用程序的已验证发布者的详细信息。 它包括如下信息:DisplayName、VerifiedPublisherId、AddedDateTime |
PrivilegeLevel |
string |
基于授予应用的最高分类权限的应用特权级别 |
Permissions |
dynamic |
包含权限对象的数组;每个权限对象包括 PermissionName、TargetAppId、TargetAppDisplayName、PermissionType、PrivilegeLevel、UsageStatus |
ConsentedUsersCount |
integer |
已同意应用的用户计数;仅当应用未经管理员同意时,此信息才可用 |
IsAdminConsented |
boolean |
如果用户代表组织中的所有用户向应用提供管理员同意,则值为 True,否则值为 False |
AppOrigin |
string |
指定应用是组织内部应用还是在外部租户中注册 |
LastUsedTime |
datetime |
上次使用应用的日期和时间 |
AppOwnerTenantId |
string |
指定注册应用的租户的 ID |
该OAuthAppInfo表每小时更新一次信息,以根据来自Defender for Cloud Apps应用治理的数据记录 OAuth 应用的元数据或见解的任何更改。
此外,为了确保OAuthAppInfo表保留所涵盖应用的数据,每月发送两次所有 OAuth 应用的完整快照。
相关主题
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。