Microsoft Defender for Identity多林支持

设置多林支持

Microsoft Defender for Identity 支持具有多个林的组织,让你能够轻松监视活动并跨林分析用户。

企业组织通常具有多个 Active Directory 林 - 通常用于不同目的,包括来自公司合并和收购、地理分布和安全边界(红色林)的传统基础结构。 可以使用 保护多个林,让你能够通过单一管理窗格监视和调查整个 Defender for Identity 网络。

支持多个 Active Directory 林的功能可实现以下功能:

  • 从单一管理平台查看和调查用户跨多个林执行的活动。
  • 通过提供高级 Active Directory 集成和帐户解析来改进检测并减少误报。
  • 更出色的控制和更轻松的部署。 改进了从单个控制台监视域控制器时跨组织覆盖范围的运行状况警报 Defender for Identity 和报告。

跨多个林的 Defender for Identity 检测活动

为了检测跨林活动,传感器会查询远程林中的域控制器,为涉及的所有实体(包括远程林中的用户和计算机 (创建配置文件 Defender for Identity) 。

  • Defender for Identity 传感器可以安装在所有林中的域控制器上,甚至是没有信任的林。
  • 在"目录服务"页上添加其他凭据,以支持环境中任何不受信任的林。
    • 支持具有双向信任的所有林只需要一个凭据。
    • 只有具有非 Kerberos 信任或无信任的每个林才需要其他凭据。
    • 每个实例的默认限制为 30 个不受信任的 Defender for Identity 林。 如果组织有 30 多个林,请联系支持人员。

[!INCLUDE [Product short.] (包括/product-short.md) ] 欢迎阶段 1

要求

  • 在控制台中"目录服务"下配置的用户必须在所有其他林中受信任,并且必须至少具有只读权限才能在域控制器上执行 Defender for Identity LDAP 查询。

  • 如果独立传感器安装在独立计算机上,而不是直接安装在域控制器上,请确保允许计算机使用 LDAP 与所有 Defender for Identity 远程林域控制器通信。

  • 若要与传感器和独立传感器通信,请打开安装了传感器的每台计算机中的 Defender for Identity Defender for Identity Defender for Identity Defender for Identity 以下端口:

    协议 Transport Port 到/从 Direction
    Internet 端口
    SSL (*.atp.azure.com) TCP 443 Defender for Identity 云服务 出站
    内部端口
    LDAP TCP 和 UDP 389 域控制器 出站
    安全 LDAP (LDAPS) TCP 636 域控制器 出站
    LDAP 到全局编录 TCP 3268 域控制器 出站
    LDAPS 到全局编录 TCP 3269 域控制器 出站

多林支持网络流量影响

映射 Defender for Identity 林时,它使用影响以下内容的进程:

  • 传感器运行后,它会查询远程 Active Directory 林,并检索用户和计算机数据列表 Defender for Identity 以创建配置文件。
  • 每 5 分钟,每个传感器从每个域(每个林)查询一个域控制器,以映射网络 Defender for Identity 的所有林。
  • 每个传感器都通过登录并检查信任类型,使用 Defender for Identity Active Directory 中的"trustedDomain"对象映射林。
  • 传感器检测到跨林活动时, Defender for Identity 还可能会看到临时流量。 发生这种情况时,传感器将向相关域控制器发送 LDAP 查询, Defender for Identity 以便检索实体信息。

已知的限制

  • 仪表板中不显示一个林中的用户为访问另一个林中的资源而执行的交互式 Defender for Identity 登录。

另请参阅