サインイン時のユーザーおよびデバイス クレームの監視
サインイン時のユーザーおよびデバイス クレームの監視
このトピックは IT プロフェッショナル向けに、動的アクセス制御オブジェクトを監視するための高度なセキュリティ監査オプションを使用している場合に、ユーザーのセキュリティ トークンに関連付けられているユーザーおよびデバイス クレームを監視する方法について説明します。
デバイス クレームは、動的アクセス制御で保護されたリソースにアクセスするために使用されるシステムに関連付けられています。ユーザー クレームは、ユーザーに関連付けられている属性です。ユーザー クレームとデバイス クレームは、サインイン段階で使用されるユーザーのセキュリティ トークンに含まれます。たとえば、部門、会社、プロジェクト、またはセキュリティクリアランスに関する情報がトークンに含まれることがあります。
次の手順を使用して、ユーザーのサインイントークン内のユーザー クレームおよびデバイス クレームの変更を監視し、変更を確認します。これらの手順は、中央アクセス ポリシー、クレーム、およびその他のコンポーネントを含む動的アクセス制御をネットワークに構成および展開していることを前提としています。まだネットワークに動的アクセス制御を展開していない場合は、中央アクセス ポリシーの展開 (デモンストレーション手順) を参照してください。
注: サーバーの動作は、インストールされているオペレーティング システムのバージョンとエディション、アカウントの権限、およびメニュー設定によって異なる場合があります。
ユーザーのログオン トークン内のユーザーおよびデバイス クレームを監視するには
- ドメイン管理者の資格情報を使用してドメイン コントローラーにサインインします。
- サーバー マネージャーで、ツール をポイントし、グループ ポリシーの管理 をクリックします。
- コンソール ツリーで、柔軟なアクセス グループ ポリシー オブジェクトを右クリックし、編集 をクリックします。
- コンピューターの構成 をダブルクリックし、セキュリティの設定 をクリックし、高度な監査ポリシーの構成 を展開し、システム監査ポリシー を展開し、ログオン/ログオフ をクリックし、ユーザー/デバイス クレームの監査 をダブルクリックします。
- 次の監査イベントを構成する チェック ボックスをオンにし、成功 チェック ボックス (必要に応じて 失敗 チェック ボックスも) をオンにし、OK をクリックします。
- グループ ポリシー管理エディターを閉じます。
設定を構成してユーザーおよびデバイスのクレームを監視するようにした後、変更が監視されていることを確認します。
ユーザーのログオン トークン内のユーザーおよびデバイスのクレームが監視されていることを確認する方法
ローカル管理者の資格情報を使用して、柔軟なアクセス グループ ポリシー オブジェクトの対象となるファイル サーバーにサインインします。
昇格したコマンド プロンプトを開き、次のコマンドを実行します:
gpupdate forceクライアント コンピューターから、ファイル サーバー上のファイル共有にアクセス権を持つユーザーとして接続します。
ファイル サーバーで、イベント ビューアーを開き、Windows ログを展開し、セキュリティログを選択します。イベント 4626 を探し、それがユーザー クレームおよびデバイス クレームに関する情報を含んでいることを確認します。