6422 デバイスの有効化

デバイスが有効化されたときに記録される。要求 6421 と対で、デバイス有効化の完了を捉える。

概要

サブカテゴリは Audit PNP Activity。デバイスが実際に有効化されると生成される。

発生契機・方法

デバイス有効化要求 6421 が処理され、デバイスが有効になったとき。

セキュリティ上の確認事項

制限していたデバイスの有効化は、デバイス制御の回避につながりうる。対象デバイスと主体を確認する。
禁止デバイスの許可 6424 や、無効化 6420 からの再有効化と併せて、デバイス状態の変遷を追う。

ログレビュー時の注意観点

正規の運用でも発生する。対象デバイス・主体の正常パターンと照合する。
制限対象デバイスの有効化を高優先で確認する。

主なフィールド

フィールド	意味
`Device ID`	有効化されたデバイス
`Subject\Account Name`	操作を行った主体

参考

Microsoft Learn: 6422(S) A device was enabled.