Microsoft Defender for Identity多林支持

Microsoft Defender for Identity支持具有多个 Active Directory 林的组织，使你能够跨林轻松监视活动和分析用户。

企业组织通常有多个 Active Directory 林 - 通常用于不同的用途，包括公司合并和收购中的旧基础结构、地理分布以及红色林) (安全边界。

使用 Defender for Identity 保护多个 Active Directory 林具有以下优势：

• 查看和调查 用户在单个位置跨多个林执行的活动
• 通过高级 Active Directory 集成和帐户解析改进检测并减少误报
• 当域控制器全部从单个 Defender for Identity 服务器进行监视时，通过改进的运行状况问题和跨组织覆盖报告，获得更好的控制和更轻松的部署

跨多个林的检测活动

为了检测跨林活动，Defender for Identity 传感器会查询远程林中的域控制器，为涉及的所有实体（包括远程林中的用户和计算机）创建配置文件。

• Defender for Identity 传感器可以安装在所有林的域控制器上，即使是不信任的林。

• 在“目录服务帐户”页上添加其他凭据，以支持环境中任何不受信任的林。

  • 只需一个凭据即可支持具有双向信任的所有林。

  • 对于具有非 Kerberos 信任或无信任的每个林，都需要其他凭据。

  • 每个 Defender for Identity 工作区的默认限制为 30 个凭据。 如果需要添加 30 个以上的凭据，请联系支持人员。

有关详细信息，请参阅Microsoft Defender for Identity目录服务帐户建议。

多林支持的网络流量影响

当 Defender for Identity 映射林时，它会使用以下过程：

1. Defender for Identity 传感器开始运行后，传感器会查询远程 Active Directory 林，并检索用户和计算机数据的列表，以便创建配置文件。

2. 每 5 分钟，每个 Defender for Identity 传感器从每个域、每个林中查询一个域控制器，以映射网络中的所有林。

   Defender for Identity 传感器使用 trustedDomain Active Directory 对象通过登录并检查信任类型来映射林。

当 Defender for Identity 传感器检测到跨林活动时，可能会看到临时流量。 发生这种情况时，Defender for Identity 传感器将向相关域控制器发送 LDAP 查询，以检索实体信息。

相关内容

• 使用 Microsoft Defender XDR 部署Microsoft Defender for Identity
• Microsoft Defender for Identity 先决条件
• Microsoft Defender for Identity的目录服务帐户