Windows Server 2016 での AD FS の監査機能の強化

現在、Windows Server 2012 R2 の AD FS では、1 つの要求に対して多数の監査イベントが生成されているため、ログインまたはトークン発行アクティビティに関する関連情報が存在しない (AD FS の一部のバージョンの場合) か、複数の監査イベントに分散しています。 既定で、AD FS 監査イベントは冗長な性質のために無効になっています。

Windows Server 2016 の AD FS のリリースにより、監査が効率化され、冗長性が低くなりました。

Windows Server 2016 の AD FS の監査レベル

既定では、Windows Server 2016 の AD FS で、基本レベルの監査が有効になっています。 基本的な監査では、1 つの要求に対して最大 5 件のイベントが管理者に表示されます。 これにより、1 つの要求を調べるために管理者が確認する必要があるイベントの数が大幅に減少します。 監査レベルは、PowerShell の Set-AdfsProperties-AuditLevel コマンドレットを使用して上げたり、下げたりすることができます。 次の表では、使用可能な監査レベルについて説明します。

監査レベル	PowerShell 構文	説明
なし	Set-AdfsProperties - AuditLevel None	監査が無効になり、イベントがログに記録されません。
基本 (既定)	Set-AdfsProperties - AuditLevel Basic	1 つの要求に対してログされるイベントは 5 つ以下です
"詳細"	Set-AdfsProperties - AuditLevel Verbose	すべてのイベントがログされます。 これにより、要求ごとに大量の情報がログされます。

現在の監査レベルを表示するには、PowerShell の Get-AdfsProperties コマンドレットを使用します。

監査レベルは、PowerShell の Set-AdfsProperties-AuditLevel コマンドレットを使用して上げたり、下げたりすることができます。

監査イベントの種類

AD FS によって処理されるさまざまな種類の要求に基づいて、AD FS イベントには、さまざまな種類があります。 各種類の監査イベントには、特定のデータが関連付けられています。 監査イベントの種類は、ログイン要求 (つまり、トークン要求) とシステム要求 (構成情報のフェッチを含むサーバー間呼び出し) に区別されます。

次の表は、基本的なイベントの種類を示しています。

監査イベントの種類	イベント ID	説明
新しい資格情報の検証の成功	1202	新しい資格情報がフェデレーション サービスによって正常に検証される要求。 これには、WS-Trust、WS-Federation、SAML-P (SSO を生成するためのファースト レグ) と OAuth認可エンドポイントが含まれます。
新しい資格情報の検証エラー	1203	フェデレーション サービスで新しい資格情報の検証が失敗した要求。 これには、WS-Trust、WS-Fed、SAML-P (SSO を生成するためのファースト レグ) と OAuth 認可エンドポイントが含まれます。
アプリケーション トークンの成功	1200	セキュリティ トークンがフェデレーション サービスによって正常に発行される要求。 WS-Federation の場合、SSO 成果物を使用して要求が処理された場合、SAML-P がログに記録されます。 (SSO Cookie など)。
アプリケーション トークンの失敗	1201	フェデレーション サービスでセキュリティ トークンの発行に失敗した要求。 WS-Federation の場合、SSO 成果物を使用して要求が処理されると SAML-P がログに記録されます。 (SSO Cookie など)。
パスワード変更リクエストの成功	1204	フェデレーション サービスによりパスワード変更要求が正常に処理されたトランザクション。
パスワード変更リクエストのエラー	1205	フェデレーション サービスによりパスワード変更要求の処理に失敗したトランザクション。
サインアウト成功	1206	サインアウト要求の成功について説明します。
サインアウトの失敗	1207	失敗したサインアウト要求について説明します。