Dela via


Microsoft Defender for Identity stöd för flera skogar

Microsoft Defender for Identity stöder organisationer med flera Active Directory-skogar, vilket ger dig möjlighet att enkelt övervaka aktivitets- och profilanvändare över skogar.

Företagsorganisationer har vanligtvis flera Active Directory-skogar – används ofta för olika syften, inklusive äldre infrastruktur från företagssammanslagningar och förvärv, geografisk distribution och säkerhetsgränser (röda skogar).

Att skydda flera Active Directory-skogar med Defender for Identity ger följande fördelar:

  • Visa och undersöka aktiviteter som utförs av användare i flera skogar från en enda plats
  • Få bättre identifiering och minska falska positiva identifieringar med avancerad Active Directory-integrering och kontomatchning
  • Få större kontroll och enklare distribution, med en förbättrad uppsättning hälsoproblem och rapportering för täckning mellan organisationer när alla domänkontrollanter övervakas från en enda Defender for Identity-server

Obs!

Varje Defender för identitetssensor kan bara rapportera till en enda Defender för identitet-arbetsyta.

Identifieringsaktivitet i flera skogar

För att identifiera aktiviteter mellan skogar frågar Defender for Identity Sensors domänkontrollanter i fjärranslutna skogar för att skapa profiler för alla berörda entiteter, inklusive användare och datorer från fjärrskogar.

  • Defender for Identity-sensorer kan installeras på domänkontrollanter i alla skogar, även skogar utan förtroende.

  • Lägg till ytterligare autentiseringsuppgifter på sidan Katalogtjänstkonton för att stödja obetrodda skogar i din miljö.

    • Endast en autentiseringsuppgift krävs för att stödja alla skogar med ett dubbelriktat förtroende.

    • Ytterligare autentiseringsuppgifter krävs för varje skog med icke-Kerberos-förtroende eller inget förtroende.

    • Det finns en standardgräns på 30 autentiseringsuppgifter per Defender för identitetsarbetsyta. Kontakta supporten om du behöver lägga till fler än 30 autentiseringsuppgifter.

Mer information finns i rekommendationer för Microsoft Defender for Identity Directory Service-konto.

Nätverkstrafikpåverkan för stöd för flera skogar

När Defender for Identity mappar dina skogar används följande process:

  1. När Defender for Identity-sensorn börjar köras frågar sensorn de fjärranslutna Active Directory-skogarna och hämtar en lista över användare och datordata för att skapa profilen.

  2. Var femte minut frågar varje Defender for Identity-sensor en domänkontrollant från varje domän, från varje skog, för att mappa alla skogar i nätverket.

    Defender for Identity-sensorerna mappar skogarna med hjälp trustedDomain av Active Directory-objektet genom att logga in och kontrollera förtroendetypen.

Du kan se ad hoc-trafik när Defender for Identity-sensorn identifierar aktivitet mellan skogar. När detta inträffar skickar Defender for Identity-sensorerna en LDAP-fråga till relevanta domänkontrollanter för att hämta entitetsinformation.