Stöd för flera skogar i Microsoft Defender for Identity

Microsoft Defender for Identity stöder organisationer med flera Active Directory-skogar, vilket ger dig möjlighet att enkelt övervaka aktivitets- och profilanvändare i skogar.

Företagsorganisationer har vanligtvis flera Active Directory-skogar – som ofta används för olika ändamål, inklusive äldre infrastruktur från företagssammanslagningar och förvärv, geografisk distribution och säkerhetsgränser (röda skogar).

Att skydda flera Active Directory-skogar med Defender for Identity ger följande fördelar:

• Visa och undersöka aktiviteter som utförs av användare i flera skogar från en enda plats
• Få bättre identifiering och minska falska positiva identifieringar med avancerad Active Directory-integrering och kontomatchning
• Få större kontroll och enklare distribution, med en förbättrad uppsättning hälsoproblem och rapportering för täckning mellan organisationer när alla domänkontrollanter övervakas från en enda Defender for Identity-server

Kommentar

Varje Defender för identitetssensor kan bara rapportera till en enda Defender för identitetsarbetsyta.

Identifieringsaktivitet i flera skogar

För att identifiera aktiviteter mellan skogar frågar Defender för identitetssensorer domänkontrollanter i fjärranslutna skogar för att skapa profiler för alla berörda entiteter, inklusive användare och datorer från fjärranslutna skogar.

• Defender for Identity-sensorer kan installeras på domänkontrollanter i alla skogar, även skogar utan förtroende.

• Lägg till ytterligare autentiseringsuppgifter på sidan Katalogtjänstkonton för att stödja obetrodda skogar i din miljö.

  • Endast en autentiseringsuppgift krävs för att stödja alla skogar med dubbelriktat förtroende.

  • Ytterligare autentiseringsuppgifter krävs endast för varje skog med icke-Kerberos-förtroende eller inget förtroende.

  • Det finns en standardgräns på 30 ej betrodda skogar per Defender för identitetsarbetsyta. Kontakta supporten om din organisation har fler än 30 skogar.

  • Interaktiva inloggningar som utförs av användare i en skog för att komma åt resurser i en annan skog visas inte av Defender för identitet.

Mer information finns i Microsoft Defender för Identity Directory Service-kontorekommendationer.

Nätverkstrafikpåverkan för stöd för flera skogar

När Defender for Identity mappar dina skogar använder den följande process:

1. När Defender for Identity-sensorn börjar köras frågar sensorn de fjärranslutna Active Directory-skogarna och hämtar en lista över användare och datordata för att skapa profiler.

2. Var 5:e minut frågar varje Defender for Identity-sensor en domänkontrollant från varje domän, från varje skog, för att mappa alla skogar i nätverket.

   Defender for Identity-sensorerna mappar skogarna med hjälp trustedDomain av Active Directory-objektet genom att logga in och kontrollera förtroendetypen.

Du kan se ad hoc-trafik när Defender for Identity-sensorn identifierar aktivitet mellan skogar. När detta inträffar skickar Defender for Identity-sensorerna en LDAP-fråga till relevanta domänkontrollanter för att hämta entitetsinformation.

Relaterat innehåll

• Distribuera Microsoft Defender för identitet med Microsoft Defender XDR
• Krav för Microsoft Defender för identitet
• Katalogtjänstkonton för Microsoft Defender för identitet