Partager via


prise en charge de plusieurs forêts Microsoft Defender pour Identity

Microsoft Defender pour Identity prend en charge les organisations avec plusieurs forêts Active Directory, ce qui vous permet de surveiller facilement l’activité et de profiler les utilisateurs dans les forêts.

Les organisations d’entreprise ont généralement plusieurs forêts Active Directory, souvent utilisées à des fins différentes, notamment pour l’infrastructure héritée des fusions et acquisitions d’entreprise, la distribution géographique et les limites de sécurité (forêts rouges).

La sécurisation de vos multiples forêts Active Directory avec Defender pour Identity offre les avantages suivants :

  • Afficher et examiner les activités effectuées par les utilisateurs sur plusieurs forêts à partir d’un emplacement unique
  • Obtenir une détection améliorée et réduire les faux positifs grâce à l’intégration avancée d’Active Directory et à la résolution des comptes
  • Bénéficier d’un meilleur contrôle et d’un déploiement plus facile, grâce à un ensemble amélioré de problèmes d’intégrité et de création de rapports pour la couverture inter-organisation lorsque vos contrôleurs de domaine sont tous surveillés à partir d’un serveur Defender pour Identity unique

Remarque

Chaque capteur Defender pour Identity ne peut signaler qu’un seul espace de travail Defender pour Identity.

Activité de détection sur plusieurs forêts

Pour détecter les activités inter-forêts, les capteurs Defender pour Identity interrogent les contrôleurs de domaine dans les forêts distantes pour créer des profils pour toutes les entités impliquées, y compris les utilisateurs et les ordinateurs des forêts distantes.

  • Les capteurs Defender pour Identity peuvent être installés sur des contrôleurs de domaine dans toutes les forêts, même les forêts sans approbation.

  • Ajoutez des informations d'identification supplémentaires sur la page Comptes de services d'annuaire pour prendre en charge les forêts non approuvées de votre environnement.

    • Une seule information d’identification est requise pour prendre en charge toutes les forêts avec une approbation bidirectionnelle.

    • Des informations d'identification supplémentaires sont requises pour chaque forêt avec une confiance non-Kerberos ou sans confiance.

    • La limite par défaut est de 30 informations d'identification par espace de travail Defender for Identity. Contactez l'assistance si vous avez besoin d'ajouter plus de 30 informations d'identification.

Pour plus d’informations, consultez Recommandations relatives au compte de service d’annuaire Microsoft Defender pour Identity.

Impact du trafic réseau pour la prise en charge de plusieurs forêts

Lorsque Defender pour Identity mappe vos forêts, il utilise le processus suivant :

  1. Une fois le capteur Defender pour Identity en cours d’exécution, le capteur interroge les forêts Active Directory distantes et récupère une liste d’utilisateurs et de données d’ordinateur pour la création de profil.

  2. Toutes les 5 minutes, chaque capteur Defender pour Identity interroge un contrôleur de domaine de chaque domaine, de chaque forêt, pour mapper toutes les forêts du réseau.

    Les capteurs Defender pour Identity mappent les forêts à l’aide de l’objet Active Directory trustedDomain en se connectant et en vérifiant le type d’approbation.

Le trafic ad hoc peut s’afficher lorsque le capteur Defender pour Identity détecte une activité entre forêts. Lorsque cela se produit, les capteurs Defender pour Identity envoient une requête LDAP aux contrôleurs de domaine appropriés pour récupérer les informations d’entité.