4801 ワークステーションのロック解除

ワークステーション（画面）のロックが解除されたときに記録される。ロック 4800 と対で、在席/離席の流れを把握する。

概要

サブカテゴリは Audit Other Logon/Logoff Events。ロックされた画面が解除（再認証）されると生成される。ロック解除はログオンタイプ 7（Unlock）の 4624 とも関連する。

発生契機・方法

ロック画面でのパスワード/PIN/生体認証によるロック解除。

セキュリティ上の確認事項

ロック 4800 → 解除 4801 の対応を見れば、その端末の前に人が戻った時刻が分かる。解除の直後に始まる操作（プロセス起動・アクセス）と併せ、対話操作の起点として読む。
想定外の時間帯・頻度での解除は、共有端末の不正利用や物理アクセスの観点で確認する。

ログレビュー時の注意観点

日常的に発生する。ロック 4800・ログオン 4624（Type 7）と併せて在席タイムラインを構成する。
単体では優先度が低い。物理セキュリティや勤務時間の検証の補助として使う。

主なフィールド

フィールド	意味
`Target Account\Account Name`	ロックを解除したアカウント
`Session ID`	対象セッション

参考

Microsoft Learn: 4801(S) The workstation was unlocked.