Microsoft Defender for Identity 多林支持

Microsoft Defender for Identity 支持具有多个 Active Directory 林的组织，使你能够轻松地监视林中的活动并对用户进行分析。

企业组织通常有几个 Active Directory 林，通常用于不同的目的，包含企业合并和收购、地理分布和安全边界（红色林）带来的旧的基础结构。

使用 Defender for Identity 保护你的多个 Active Directory 林具有以下优势：

• 从一个位置查看和调查用户在多个林中执行的活动
• 通过高级 Active Directory 集成和帐户解析提高检测能力并减少误报
• 当你的域控制器全部由单个 Defender for Identity 服务器监视时，通过改进的一组运行状况问题和跨组织覆盖报告，获得更大的控制和更容易的部署，

注意

每个 Defender for Identity 传感器只能向单个 Defender for Identity 工作区报告。

跨多个林的检测活动

为了检测跨林活动，Defender for Identity 传感器会查询远程林中的域控制器，以创建所有相关实体配置文件，包含来自远程林的用户和计算机。

• Defender for Identity 传感器可以安装在所有林中的域控制器上，即使是不受信任的林。

• 在目录服务帐户页面上添加其他凭证，以支持环境中任何不受信任的林。

  • 只需要一个凭证即可支持具有双向信任的所有林。

  • 只有具有非 Kerberos 信任或无信任的每个林才需要其他凭证。

  • 每个 Defender for Identity 工作区默认限制为 30 个不受信任的林。 如果你的组织有超过 30 个林，请联系支持人员。

  • Defender for Identity 未列出一个林中的用户为访问另一个林的资源而执行的交互式登录。

有关更多信息，请参阅 Microsoft Defender for Identity 目录服务帐户建议。

多林支持的网络流量影响

当 Defender for Identity 映射林时，它会使用以下流程：

1. 在 Defender for Identity 传感器开始运行后，该传感器会查询远程 Active Directory 林，并检索用于创建配置文件的用户和计算机数据列表。

2. 每 5 分钟，每个 Defender for Identity 传感器会从每个域、每个林中查询一个域控制器，以映射网络中的所有林。

   Defender for Identity 传感器通过登录并检查信任类型，使用 trustedDomain Active Directory 对象映射林。

当 Defender for Identity 传感器检测到跨林活动时，你可能会看到特定流量。 发生这种情况时，Defender for Identity 传感器将向相关域控制器发送 LDAP 查询，以检索实体信息。

相关内容

• 使用 Microsoft Defender XDR 部署 Microsoft Defender for Identity
• Microsoft Defender for Identity 先决条件
• Microsoft Defender for Identity 目录服务帐户