Microsoft Defender for Identity stöd för flera skogar
Microsoft Defender for Identity stöder organisationer med flera Active Directory-skogar, vilket ger dig möjlighet att enkelt övervaka aktivitets- och profilanvändare över skogar.
Företagsorganisationer har vanligtvis flera Active Directory-skogar – används ofta för olika syften, inklusive äldre infrastruktur från företagssammanslagningar och förvärv, geografisk distribution och säkerhetsgränser (röda skogar).
Att skydda flera Active Directory-skogar med Defender for Identity ger följande fördelar:
- Visa och undersöka aktiviteter som utförs av användare i flera skogar från en enda plats
- Få bättre identifiering och minska falska positiva identifieringar med avancerad Active Directory-integrering och kontomatchning
- Få större kontroll och enklare distribution, med en förbättrad uppsättning hälsoproblem och rapportering för täckning mellan organisationer när alla domänkontrollanter övervakas från en enda Defender for Identity-server
Obs!
Varje Defender för identitetssensor kan bara rapportera till en enda Defender för identitet-arbetsyta.
Identifieringsaktivitet i flera skogar
För att identifiera aktiviteter mellan skogar frågar Defender for Identity Sensors domänkontrollanter i fjärranslutna skogar för att skapa profiler för alla berörda entiteter, inklusive användare och datorer från fjärrskogar.
Defender for Identity-sensorer kan installeras på domänkontrollanter i alla skogar, även skogar utan förtroende.
Lägg till ytterligare autentiseringsuppgifter på sidan Katalogtjänstkonton för att stödja obetrodda skogar i din miljö.
Endast en autentiseringsuppgift krävs för att stödja alla skogar med ett dubbelriktat förtroende.
Ytterligare autentiseringsuppgifter krävs för varje skog med icke-Kerberos-förtroende eller inget förtroende.
Det finns en standardgräns på 30 autentiseringsuppgifter per Defender för identitetsarbetsyta. Kontakta supporten om du behöver lägga till fler än 30 autentiseringsuppgifter.
Mer information finns i rekommendationer för Microsoft Defender for Identity Directory Service-konto.
Nätverkstrafikpåverkan för stöd för flera skogar
När Defender for Identity mappar dina skogar används följande process:
När Defender for Identity-sensorn börjar köras frågar sensorn de fjärranslutna Active Directory-skogarna och hämtar en lista över användare och datordata för att skapa profilen.
Var femte minut frågar varje Defender for Identity-sensor en domänkontrollant från varje domän, från varje skog, för att mappa alla skogar i nätverket.
Defender for Identity-sensorerna mappar skogarna med hjälp
trustedDomain
av Active Directory-objektet genom att logga in och kontrollera förtroendetypen.
Du kan se ad hoc-trafik när Defender for Identity-sensorn identifierar aktivitet mellan skogar. När detta inträffar skickar Defender for Identity-sensorerna en LDAP-fråga till relevanta domänkontrollanter för att hämta entitetsinformation.