Language:
Microsoft は、証明書をアカウントまたはグループに関連付けるセキュリティ ID マッピングという機能を提供しています。特定のシナリオでは、これをリソースで行う認証の代替資格情報として使用できます。
特権アカウントに設定された証明書があると、関連付けられた証明書が保護されていない場合に、この機密性の高いアカウントと同様、危険が生じる可能性があります。攻撃者が前もって設定した永続的メカニズムである可能性もあります。
Active Directory の特権アカウントに代替セキュリティ ID が設定されている場合は、必ず評価して、権限昇格のリスクを許容するかどうか判断する必要があります。判断がつかない場合は、安全に削除できます。
注意: この機能はスマートカードの使用とは関係ありません。スマートカードは、適切に設定されている限り、認証の強力なセキュリティオプションです。
Mapping a client certificate to an AD domain account using clientCertificateMappingAuthentication