弊社では、ほとんどのユーザーにスマート カードと Yubikey を展開しています。これらの MFA デバイスの使用状況に関するメトリックを収集する必要があります。現在、クライアントで実行されるカスタム コードがあり、このデータの収集は適切に行われていますが、データ収集をサーバー側に移行したいと考えています。この情報はドメイン コントローラー上にある必要があり、一部の情報を取得できるイベントをいくつか見つけましたが、すべてではありません。
このページは役に立ちました:https://docs.citrix.com/en-us/federated-authentication-service/config-manage/troubleshoot-logon.html#vda-security-log
以下の情報をどのように収集すればよいでしょうか。
- ログインしたユーザー
- どのマシンにログインしたか
- 使用したデバイス/使用した証明書
答え1
Active Directory を使用しているようです。信頼チェーンとは、Yubikey が一意の秘密キー (抽出不可) と、AD 管理者が信頼する CA によって発行された、一致する公開キーを持つ証明書を持っていることです。その後、AD 管理者は、ユーザーが使用できる証明書のマッピングとともに、証明書を AD に入力します。Windows は、クライアントと DC の間で PKINIT Kerberos プロトコルを使用します。DC は、証明書、ユーザー、およびクライアント マシンをログに記録できます。どの Yubikey が使用されたかがわかります。さらに、Yubikey と PIN が共有または盗難されていないことも前提となります。
同じロジックが Web サーバーのスマート カード認証にも適用されます。