Compatibilidad con varios bosques de Microsoft defender for IdentityMicrosoft Defender for Identity multi-forest support

Configuración de la compatibilidad con varios bosquesMulti-forest support set up

Microsoft Defender for IdentityMicrosoft Defender for Identity admite organizaciones con varios bosques, lo que le ofrece la posibilidad de supervisar fácilmente la actividad y los perfiles de los usuarios entre bosques.Microsoft Defender for IdentityMicrosoft Defender for Identity supports organizations with multiple forests, giving you the ability to easily monitor activity and profile users across forests.

Las organizaciones suelen tener varios bosques de Active Directory, que suelen utilizarse para diferentes finalidades, incluida la infraestructura heredada de fusiones y adquisiciones corporativas, la distribución geográfica y los límites de seguridad (bosques rojos).Enterprise organizations typically have several Active Directory forests - often used for different purposes, including legacy infrastructure from corporate mergers and acquisitions, geographical distribution, and security boundaries (red-forests). Puede proteger varios bosques con, lo que Defender for IdentityDefender for Identity le proporciona la capacidad de supervisar e investigar toda la red a través de un único panel de cristal.You can protect multiple forests using Defender for IdentityDefender for Identity, providing you with the ability to monitor and investigate your entire network through a single pane of glass.

La capacidad de admitir varios bosques de Active Directory permite lo siguiente:The ability to support multiple Active Directory forests enables the following:

  • Ver e investigar las actividades que realizan los usuarios en varios bosques desde un solo panel.View and investigate activities performed by users across multiple forests, from a single pane of glass.
  • Detección mejorada falsos positivos reducidos gracias a la resolución de cuentas e integración con Active Directory.Improved detection and reduced false positives by providing advanced Active Directory integration and account resolution.
  • Mayor control y una implementación más sencilla.Greater control and easier deployment. Se han mejorado las alertas de estado y los informes de cobertura entre organizaciones cuando los controladores de dominio se supervisan desde una sola Defender for IdentityDefender for Identity consola.Improved health alerts and reporting for cross-org coverage when your domain controllers are all monitored from a single Defender for IdentityDefender for Identity console.

Defender para la actividad de detección de identidades en varios bosquesDefender for Identity detection activity across multiple forests

Para detectar actividades entre bosques, Defender for IdentityDefender for Identity los sensores consultan los controladores de dominio en bosques remotos para crear perfiles para todas las entidades implicadas (incluidos usuarios y equipos de bosques remotos).To detect cross-forest activities, Defender for IdentityDefender for Identity sensors query domain controllers in remote forests to create profiles for all entities involved, (including users and computers from remote forests).

  • Defender for IdentityDefender for Identity los sensores se pueden instalar en controladores de dominio en todos los bosques, incluso en bosques sin confianza.Defender for IdentityDefender for Identity sensors can be installed on domain controllers in all forests, even forests with no trust.
  • Agregue credenciales adicionales en la página servicios de directorio para admitir los bosques que no son de confianza en su entorno.Add additional credentials on the Directory services page to support any untrusted forests in your environment.
    • Solo se necesita una credencial para admitir todos los bosques con una confianza bidireccional.Only one credential is required to support all forests with a two-way trust.
    • Solo se requieren credenciales adicionales para cada bosque con confianza distinta de Kerberos o sin confianza.Additional credentials are only required for each forest with non-Kerberos trust or no trust.
    • Hay un límite predeterminado de 10 bosques que no son de confianza por Defender for IdentityDefender for Identity instancia.There is a default limit of 10 untrusted forests per Defender for IdentityDefender for Identity instance. Si su organización tiene más de 10 bosques, póngase en contacto con el servicio de soporte técnico.Contact support if your organization has more than 10 forests.

Fase 1 de bienvenida de Defender for IdentityDefender for Identity

RequisitosRequirements

  • El usuario que configure en la Defender for IdentityDefender for Identity consola de en servicios de directorio debe ser de confianza en todos los demás bosques y debe tener al menos permiso de solo lectura para realizar consultas LDAP en los controladores de dominio.The user you configure in the Defender for IdentityDefender for Identity console under Directory services must be trusted in all the other forests and must have at least read-only permission to perform LDAP queries on the domain controllers.

  • Si Defender for IdentityDefender for Identity los sensores independientes se instalan en equipos independientes, en lugar de hacerlo directamente en los controladores de dominio, asegúrese de que las máquinas tengan permiso para comunicarse con todos los controladores de dominio del bosque remoto mediante LDAP.If Defender for IdentityDefender for Identity standalone sensors are installed on standalone machines, rather than directly on the domain controllers, make sure the machines are allowed to communicate with all of remote forest domain controllers using LDAP.

  • Para Defender for IdentityDefender for Identity que pueda comunicarse con los Defender for IdentityDefender for Identity sensores y Defender for IdentityDefender for Identity sensores independientes, abra los siguientes puertos en cada equipo en el que Defender for IdentityDefender for Identity esté instalado el sensor:In order for Defender for IdentityDefender for Identity to communicate with the Defender for IdentityDefender for Identity sensors and Defender for IdentityDefender for Identity standalone sensors, open the following ports on each machine on which the Defender for IdentityDefender for Identity sensor is installed:

    ProtocoloProtocol TransporteTransport PuertoPort Hacia/DesdeTo/From DirectionDirection
    Puertos de InternetInternet ports
    SSL (*.atp.azure.com)SSL (*.atp.azure.com) TCPTCP 443443 Servicio en la nube de Defender for IdentityDefender for IdentityDefender for IdentityDefender for Identity cloud service SalienteOutbound
    Puertos internosInternal ports
    LDAPLDAP TCP y UDPTCP and UDP 389389 Controladores de dominiosDomain controllers SalienteOutbound
    LDAP seguro (LDAPS)Secure LDAP (LDAPS) TCPTCP 636636 Controladores de dominiosDomain controllers SalienteOutbound
    LDAP para Catálogo globalLDAP to Global Catalog TCPTCP 32683268 Controladores de dominiosDomain controllers SalienteOutbound
    LDAPS para Catálogo globalLDAPS to Global Catalog TCPTCP 32693269 Controladores de dominiosDomain controllers SalienteOutbound

Impacto del tráfico de red en la compatibilidad con varios bosquesMulti-forest support network traffic impact

Cuando Defender for IdentityDefender for Identity asigna los bosques, usa un proceso que afecta a lo siguiente:When Defender for IdentityDefender for Identity maps your forests, it uses a process that impacts the following:

  • Una vez Defender for IdentityDefender for Identity que se está ejecutando el sensor, consulta los bosques del Active Directory remoto y recupera una lista de usuarios y datos del equipo para la creación del perfil.After the Defender for IdentityDefender for Identity sensor is running, it queries the remote Active Directory forests and retrieves a list of users and machine data for profile creation.
  • Cada 5 minutos, cada Defender for IdentityDefender for Identity sensor consulta un controlador de dominio de cada dominio, de cada bosque, para asignar todos los bosques de la red.Every 5 minutes, each Defender for IdentityDefender for Identity sensor queries one domain controller from each domain, from each forest, to map all the forests in the network.
  • Cada Defender for IdentityDefender for Identity sensor asigna los bosques mediante el objeto "trustedDomain" en Active Directory, iniciando sesión y comprobando el tipo de confianza.Each Defender for IdentityDefender for Identity sensor maps the forests using the "trustedDomain" object in Active Directory, by logging in and checking the trust type.
  • También puede ver el tráfico ad hoc cuando el Defender for IdentityDefender for Identity sensor detecta actividad entre bosques.You may also see ad-hoc traffic when the Defender for IdentityDefender for Identity sensor detects cross forest activity. Cuando esto ocurre, los Defender for IdentityDefender for Identity sensores enviarán una consulta LDAP a los controladores de dominio correspondientes para recuperar la información de la entidad.When this occurs, the Defender for IdentityDefender for Identity sensors will send an LDAP query to the relevant domain controllers in order to retrieve entity information.

Restricciones conocidasKnown limitations

  • Los inicios de sesión interactivos realizados por los usuarios de un bosque para tener acceso a los recursos de otro bosque no se muestran en el Defender for IdentityDefender for Identity panel.Interactive logons performed by users in one forest to access resources in another forest are not displayed in the Defender for IdentityDefender for Identity dashboard.

Consulte tambiénSee Also