クレームタイプの監視

クレームタイプの監視

このトピックは IT プロフェッショナル向けに、高度なセキュリティ監査オプションを使用している場合に、動的アクセス制御に関連するクレームタイプの変更を監視する方法について説明します。

クレームタイプは、動的アクセス制御の基本的な構成要素の一つです。クレームタイプには、組織内の部門やユーザーのクラスに適用されるセキュリティクリアランスのレベルなどの属性を含めることができます。セキュリティ監査を使用して、クレームが追加、変更、有効化、無効化、または削除されたかどうかを追跡できます。

AD DS でクレームタイプの変更を監視する設定を構成するには、次の手順を使用します。これらの手順は、ネットワークに動的アクセス制御（中央アクセス ポリシー、クレーム、およびその他のコンポーネントを含む）を構成および展開したことを前提としています。まだネットワークに動的アクセス制御を展開していない場合は、中央アクセス ポリシーの展開 (デモンストレーション手順) を参照してください。

注: サーバーの動作は、インストールされているオペレーティングシステムのバージョンとエディション、アカウントの権限、およびメニュー設定によって異なる場合があります。

クレームタイプの変更を監視する設定を構成するには

1. ドメイン管理者の資格情報を使用してドメイン コントローラーにサインインします。
2. サーバー マネージャーで、ツール をポイントし、グループ ポリシー管理 をクリックします。
3. コンソール ツリーで、既定のドメイン コントローラー グループ ポリシー オブジェクトを右クリックし、編集 をクリックします。
4. コンピューターの構成 をダブルクリックし、セキュリティ設定 をクリックし、高度な監査ポリシー構成 を展開し、システム監査ポリシー を展開し、DS アクセス をクリックし、ディレクトリ サービスの変更を監査する をダブルクリックします。
5. 次の監査イベントを構成する チェック ボックスを選択し、成功 チェック ボックス（必要に応じて 失敗 チェック ボックスも）を選択し、OK をクリックします。

設定を構成して AD DS のクレーム タイプの変更を監視した後、変更が監視されていることを確認します。

クレーム タイプの変更が監視されていることを確認するには

1. ドメイン管理者の資格情報を使用してドメイン コントローラーにサインインします。

2. Active Directory 管理センターを開きます。

3. 動的アクセス制御 の下で、クレーム タイプ を右クリックし、プロパティ をクリックします。

4. セキュリティ タブをクリックし、詳細設定 をクリックして 詳細セキュリティ設定 ダイアログ ボックスを開き、監査 タブをクリックします。

5. 追加 をクリックし、コンテナーのセキュリティ監査設定を追加して、すべてのセキュリティ プロパティ ダイアログ ボックスを閉じます。

6. クレーム タイプ コンテナーで、新しいクレーム タイプを追加するか、既存のクレーム タイプを選択します。タスク ペインで プロパティ をクリックし、1 つ以上の属性を変更します。

   OK をクリックし、Active Directory 管理センターを閉じます。

7. このドメイン コントローラーでイベント ビューアーを開き、Windows ログ を展開し、セキュリティ ログを選択します。

   イベント 5137 を探します。探すべき重要な情報には、追加された新しい属性の名前、作成されたクレームのタイプ、およびクレームを作成したユーザーが含まれます。

関連リソース

• 動的アクセス制御オブジェクトを監視するための高度なセキュリティ監査オプションの使用