6421 デバイス有効化の要求

デバイスを有効化する要求が行われたときに記録される。デバイス有効化操作の開始を捉える。

概要

サブカテゴリは Audit PNP Activity。無効だったデバイスを有効化する要求が出されると生成される。実際の有効化は 6422。

発生契機・方法

デバイスマネージャや API、ポリシーによるデバイス有効化の要求。

セキュリティ上の確認事項

一度禁止/無効化されたデバイスの有効化要求は、デバイス制御の回避（USB 制限の解除等）に関わりうる。対象デバイスと要求主体を確認する。
禁止デバイスの有効化（6424）や、無効化 6420 からの再有効化に注目する。

ログレビュー時の注意観点

正規の運用でも発生する。対象デバイス・主体の正常パターンと照合する。
セキュリティ上制限していたデバイスの有効化要求を高優先で確認する。

主なフィールド

フィールド	意味
`Device ID`	対象デバイス
`Subject\Account Name`	要求を行った主体

参考

Microsoft Learn: 6421(S) A request was made to enable a device.