適用於身分識別的 Microsoft Defender 多樹系支援

適用於身分識別的 Microsoft Defender 支援具有多個 Active Directory 樹系的組織，讓您能夠輕鬆地監視跨樹系的活動和分析使用者。

企業組織通常有數個 Active Directory 樹系-通常用於不同的用途，包括來自公司合併和收購的舊版基礎結構、地理分佈和安全性界限（紅色樹系）。

使用適用於身分識別的 Defender 保護您的多個 Active Directory 樹系提供下列優點：

從單一位置檢視和調查 使用者跨多個樹系執行的活動
透過進階 Active Directory 整合和帳戶解析來改善偵測 並減少誤判
透過改善的一組健康情況問題和報告跨組織涵蓋範圍時，獲得更大的控制和更輕鬆的部署，當您的域控制器全都受到來自單一適用於身分識別的 Defender 伺服器的監視時，改善的健康情況問題和報告

注意

每個適用於身分識別的 Defender 感測器只能向單一適用於身分識別的 Defender 工作區報告。

跨多個樹系的偵測活動

若要偵測跨樹系活動，適用於身分識別的 Defender 感測器會查詢遠端樹系中的域控制器，以建立所有相關實體的配置檔，包括來自遠端樹系的用戶和計算機。

適用於身分識別的 Defender 感測器可以安裝在所有樹系中的域控制器上，即使是不信任的樹系。
在 [目錄服務帳戶] 頁面上新增其他認證，以支援您環境中任何不受信任的樹系。
- 只有一個認證才能支援具有雙向信任的所有樹系。
- 只有具有非 Kerberos 信任或不信任的每個樹系才需要額外的認證。
- 每個適用於身分識別的 Defender 工作區的預設限制為 30 個不受信任的樹系。如果您的組織有超過 30 個樹系，請連絡支持人員。
- 適用於身分識別的 Defender 不會列出某個樹系中使用者用來存取另一個樹系中資源的互動式登入。

當適用於身分識別的 Defender 對應您的樹系時，它會使用下列程式：

在適用於身分識別的 Defender 感測器開始執行之後，感測器會查詢遠端 Active Directory 樹系，並擷取使用者和計算機數據的清單，以建立配置檔。
每 5 分鐘，每個適用於身分識別的 Defender 感測器會從每個網域、每個樹系查詢一個域控制器，以對應網路中的所有樹系。

適用於身分識別的 trustedDomain Defender 感測器會使用 Active Directory 對象來對應樹系，方法是登入並檢查信任類型。

當適用於身分識別的 Defender 感測器偵測到跨樹系活動時，您可能會看到臨機操作流量。發生這種情況時，適用於身分識別的Defender感測器會將LDAP查詢傳送至相關的域控制器，以擷取實體資訊。