Stöd för flera skogar i Microsoft Defender for Identity
Microsoft Defender for Identity stöder organisationer med flera Active Directory-skogar, vilket ger dig möjlighet att enkelt övervaka aktivitets- och profilanvändare i skogar.
Företagsorganisationer har vanligtvis flera Active Directory-skogar – som ofta används för olika ändamål, inklusive äldre infrastruktur från företagssammanslagningar och förvärv, geografisk distribution och säkerhetsgränser (röda skogar).
Att skydda flera Active Directory-skogar med Defender for Identity ger följande fördelar:
- Visa och undersöka aktiviteter som utförs av användare i flera skogar från en enda plats
- Få bättre identifiering och minska falska positiva identifieringar med avancerad Active Directory-integrering och kontomatchning
- Få större kontroll och enklare distribution, med en förbättrad uppsättning hälsoproblem och rapportering för täckning mellan organisationer när alla domänkontrollanter övervakas från en enda Defender for Identity-server
Kommentar
Varje Defender för identitetssensor kan bara rapportera till en enda Defender för identitetsarbetsyta.
Identifieringsaktivitet i flera skogar
För att identifiera aktiviteter mellan skogar frågar Defender för identitetssensorer domänkontrollanter i fjärranslutna skogar för att skapa profiler för alla berörda entiteter, inklusive användare och datorer från fjärranslutna skogar.
Defender for Identity-sensorer kan installeras på domänkontrollanter i alla skogar, även skogar utan förtroende.
Lägg till ytterligare autentiseringsuppgifter på sidan Katalogtjänstkonton för att stödja obetrodda skogar i din miljö.
Endast en autentiseringsuppgift krävs för att stödja alla skogar med dubbelriktat förtroende.
Ytterligare autentiseringsuppgifter krävs endast för varje skog med icke-Kerberos-förtroende eller inget förtroende.
Det finns en standardgräns på 30 ej betrodda skogar per Defender för identitetsarbetsyta. Kontakta supporten om din organisation har fler än 30 skogar.
Interaktiva inloggningar som utförs av användare i en skog för att komma åt resurser i en annan skog visas inte av Defender för identitet.
Mer information finns i Microsoft Defender för Identity Directory Service-kontorekommendationer.
Nätverkstrafikpåverkan för stöd för flera skogar
När Defender for Identity mappar dina skogar använder den följande process:
När Defender for Identity-sensorn börjar köras frågar sensorn de fjärranslutna Active Directory-skogarna och hämtar en lista över användare och datordata för att skapa profiler.
Var 5:e minut frågar varje Defender for Identity-sensor en domänkontrollant från varje domän, från varje skog, för att mappa alla skogar i nätverket.
Defender for Identity-sensorerna mappar skogarna med hjälp
trustedDomain
av Active Directory-objektet genom att logga in och kontrollera förtroendetypen.
Du kan se ad hoc-trafik när Defender for Identity-sensorn identifierar aktivitet mellan skogar. När detta inträffar skickar Defender for Identity-sensorerna en LDAP-fråga till relevanta domänkontrollanter för att hämta entitetsinformation.