| Message Content |
Updated May 19, 2025: We have updated the content. Thank you for your patience.
Coming soon: We will unify the Microsoft Defender for Identity (MDI) and Microsoft Sentinel IdentityInfo tables in Advanced Hunting into a single table.
With this unification, we are adding new identity attributes from the Sentinel UEBA service while also adjusting to support third-party Identity Providers (IDPs). Some of these updates include breaking changes, which may require you to update your existing queries.
[When this will happen:]
General Availability (Worldwide, GCC, GCC High, DoD): We will begin rolling out early May 2025 and expect to complete by late May 2025.
[How this will affect your organization:]
After this rollout, identity-related insights will be enriched with these new columns:
| Column name |
Type |
Description |
Comment |
|
OnPremObjectId
|
String |
Active Directory object ID of the user |
New column |
|
TenantMembershipType
|
String |
User type in Microsoft Entra ID. Possible values: Guest, Member
|
New column |
|
RiskStatus
|
String |
Status of the user’s risk. Possible values: None, ConfirmedSafe, Remediated, Dismissed, AtRisk, ConfirmedCompromised, UnknownFutureValue
|
New column |
|
UserAccountControlSettings
|
Dynamic |
Security attributes of the user account in Active Directory |
New column |
To help you adjust existing queries, this table shows how Sentinel UEBA fields map to the new unified IdentityInfo table’s schema:
| Sentinel UEBA Column |
Unified IdentityInfo Column |
Comments |
|
AccountCloudSID
|
CloudSid
|
|
|
AccountSID
|
OnPremSid
|
|
|
AccountCreationTime
|
CreatedDateTime
|
|
|
AccountDisplayName
|
AccountDisplayName
|
|
|
AccountDomain
|
AccountDomain
|
Values might be different |
|
AccountName
|
AccountName
|
Values might be different |
|
AccountTenantId
|
TenantId
|
|
AccountUPN
|
AccountUpn
|
|
|
AdditionalMailAddresses
|
OtherMailAddresses
|
|
|
MailAddress
|
EmailAddress
|
|
|
OnPremisesDistinguishedName
|
DistinguishedName
|
|
|
SAMAccountName
|
AccountName
|
|
|
StreetAddress
|
Address
|
|
|
UserType
|
TenantMembershipType
|
|
Breaking Changes
Changes to support third-party identity providers (IDPs):
- To accommodate third-party IDPs, we are modifying these existing columns:
| Column Name |
Type |
Change |
|
IdentityEnvironment
|
String |
Replaces the SourceProvider column. Specifies now the environment where the identity is used. Possible values: CloudOnly, Hybrid, On-premises
|
|
SourceProviders
|
Dynamic |
New column listing identity sources. Possible values: ActiveDirectory, EntraID, Okta
|
[What you need to do to prepare:]
To ensure a smooth transition, we recommend you:
- Review the new columns and their impact on your security workflows.
- Prepare to update and adjust any queries, custom alert rules, playbooks, workbooks, watchlists or automations that reference the
IdentityInfo table and would be impacted by the changes.
- You may also want to update any relevant internal documentation you might have.
This rollout will happen automatically by the specified dates with no admin action required before the rollout.
Learn more:
|
| Machine Translation |
2025年5月19日更新:コンテンツを更新しました。ご理解いただきありがとうございます。
近日公開予定: Advanced Hunting の Microsoft Defender for Identity (MDI) テーブルと Microsoft Sentinel IdentityInfo テーブルを 1 つのテーブルに統合します。
この統合により、Sentinel UEBAサービスから新しいID属性を追加すると同時に、サードパーティのIDプロバイダー(IDP)をサポートするように調整しています。これらの更新の一部には破壊的変更が含まれており、既存のクエリの更新が必要になる場合があります。
[これがいつ起こるか:]
一般提供 (全世界、GCC、GCC High、DoD): 2025 年 5 月初旬にロールアウトを開始し、2025 年 5 月下旬までに完了する予定です。
[これがあなたの組織にどのように影響しますか:]
このロールアウト後、ID 関連の分析情報は、次の新しい列で強化されます。
| 列名、 |
タイプ |
、説明 |
、コメント |
|
OnPremObjectId
|
糸 |
ユーザーの Active Directory オブジェクト ID |
新しい列 |
|
TenantMembershipType
|
糸 |
Microsoft Entra ID のユーザー入力。可能な値: Guest、 Member
|
新しい列 |
|
RiskStatus
|
糸 |
ユーザーのリスクのステータス。可能な値: None、 ConfirmedSafe、 Remediated、 Dismissed、 AtRisk、 ConfirmedCompromised、 UnknownFutureValue
|
新しい列 |
|
UserAccountControlSettings
|
動的 |
Active Directory のユーザー アカウントのセキュリティ属性 |
新しい列 |
既存のクエリを調整するために、次の表は、Sentinel UEBAフィールドが新しい統合IdentityInfoテーブルのスキーマにどのようにマップされるかを示しています。
| Sentinel UEBAコラム |
統合 IdentityInfo コラム |
コメント |
|
AccountCloudSID
|
CloudSid
|
|
|
AccountSID
|
OnPremSid
|
|
|
AccountCreationTime
|
CreatedDateTime
|
|
|
AccountDisplayName
|
AccountDisplayName
|
|
|
AccountDomain
|
AccountDomain
|
値が異なる場合があります |
|
AccountName
|
AccountName
|
値が異なる場合があります |
|
AccountTenantId
|
TenantId
|
|
AccountUPN
|
AccountUpn
|
|
|
AdditionalMailAddresses
|
OtherMailAddresses
|
|
|
MailAddress
|
EmailAddress
|
|
|
OnPremisesDistinguishedName
|
DistinguishedName
|
|
|
SAMAccountName
|
AccountName
|
|
|
StreetAddress
|
Address
|
|
|
UserType
|
TenantMembershipType
|
|
破壊的変更
サードパーティの ID プロバイダー (IDP) をサポートするための変更:
- サードパーティの IDP に対応するため、次の既存の列を変更しています。
| 列名 |
の種類 |
の変更 |
|
IdentityEnvironment
|
糸 |
SourceProvider列を置き換えます。ここで、ID が使用される環境を指定します。可能な値: CloudOnly、Hybrid、On-premises
|
|
SourceProviders
|
動的 |
ID ソースを一覧表示する新しい列。可能な値: ActiveDirectory、 EntraID、 Okta
|
【準備に必要なこと】
スムーズな移行を確実にするために、次のことをお勧めします。
- 新しい列と、それらがセキュリティ ワークフローに与える影響を確認します。
IdentityInfo テーブルを参照し、変更の影響を受けるクエリ、カスタム アラート ルール、プレイブック、ワークブック、ウォッチリスト、またはオートメーションを更新および調整する準備をします。- また、関連する内部ドキュメントを更新することもできます。
このロールアウトは、ロールアウト前に管理者のアクションを必要とせずに、指定された日付までに自動的に行われます。
詳細情報:
|