Microsoft Defender per identità supporto per più foreste
Microsoft Defender per identità supporta le organizzazioni con più foreste di Active Directory, offrendo la possibilità di monitorare facilmente le attività e profilare gli utenti tra foreste.
Le organizzazioni aziendali hanno in genere diverse foreste di Active Directory, spesso usate per scopi diversi, tra cui l'infrastruttura legacy da fusioni e acquisizioni aziendali, distribuzione geografica e limiti di sicurezza (foreste rosse).
La protezione di più foreste di Active Directory con Defender per identità offre i vantaggi seguenti:
- Visualizzare e analizzare le attività eseguite dagli utenti in più foreste da una singola posizione
- Ottenere un rilevamento migliorato e ridurre i falsi positivi con l'integrazione avanzata di Active Directory e la risoluzione degli account
- Ottenere un maggiore controllo e una distribuzione più semplice, con un set migliorato di problemi di integrità e report per la copertura tra organizzazioni quando i controller di dominio vengono tutti monitorati da un singolo server Defender per identità
Nota
Ogni sensore defender per identità può segnalare solo a un'area di lavoro di Defender per identità.
Attività di rilevamento in più foreste
Per rilevare le attività tra foreste, i sensori defender per identità eseguono query sui controller di dominio nelle foreste remote per creare profili per tutte le entità coinvolte, inclusi utenti e computer da foreste remote.
I sensori defender per identità possono essere installati nei controller di dominio in tutte le foreste, anche nelle foreste senza attendibilità.
Aggiungere credenziali aggiuntive nella pagina Account del servizio directory per supportare eventuali foreste non attendibili nell'ambiente in uso.
È necessaria una sola credenziale per supportare tutte le foreste con un trust bidirezionale.
Le credenziali aggiuntive sono necessarie solo per ogni foresta con attendibilità non Kerberos o senza attendibilità.
Esiste un limite predefinito di 30 foreste non attendibili per ogni area di lavoro di Defender per identità. Contattare il supporto tecnico se l'organizzazione ha più di 30 foreste.
Gli accessi interattivi eseguiti dagli utenti in una foresta per accedere alle risorse in un'altra foresta non sono elencati da Defender per identità.
Per altre informazioni, vedere Microsoft Defender per identità raccomandazioni relative all'account del servizio directory.
Impatto del traffico di rete per il supporto di più foreste
Quando Defender per identità esegue il mapping delle foreste, usa il processo seguente:
Dopo l'avvio dell'esecuzione del sensore Defender per identità, il sensore esegue una query sulle foreste di Active Directory remote e recupera un elenco di utenti e dati del computer per la creazione del profilo.
Ogni 5 minuti, ogni sensore defender per identità esegue una query su un controller di dominio da ogni dominio, da ogni foresta, per eseguire il mapping di tutte le foreste nella rete.
I sensori defender per identità eseguono il mapping delle foreste usando l'oggetto
trustedDomainActive Directory accedendo e controllando il tipo di attendibilità.
È possibile che venga visualizzato traffico ad hoc quando il sensore Defender per identità rileva l'attività tra foreste. In questo caso, i sensori defender per identità invieranno una query LDAP ai controller di dominio pertinenti per recuperare le informazioni sull'entità.