prise en charge de plusieurs forêts Microsoft Defender pour Identity
Microsoft Defender pour Identity prend en charge les organisations avec plusieurs forêts Active Directory, ce qui vous permet de surveiller facilement les utilisateurs d’activité et de profiler les utilisateurs dans les forêts.
Les organisations d’entreprise ont généralement plusieurs forêts Active Directory , souvent utilisées à des fins différentes, notamment l’infrastructure héritée des fusions et acquisitions d’entreprise, la distribution géographique et les limites de sécurité (forêts rouges).
La sécurisation de vos forêts Active Directory multiples avec Defender pour Identity offre les avantages suivants :
- Afficher et examiner les activités effectuées par les utilisateurs sur plusieurs forêts à partir d’un emplacement unique
- Obtenir une détection améliorée et réduire les faux positifs avec l’intégration active Directory avancée et la résolution de compte
- Bénéficiez d’un meilleur contrôle et d’un déploiement plus facile, avec un ensemble amélioré de problèmes d’intégrité et de création de rapports pour la couverture inter-organisation lorsque vos contrôleurs de domaine sont tous surveillés à partir d’un serveur Defender pour Identity unique
Remarque
Chaque capteur Defender pour Identity ne peut signaler qu’un seul espace de travail Defender pour Identity.
Activité de détection sur plusieurs forêts
Pour détecter les activités inter-forêts, les capteurs Defender pour Identity interrogent les contrôleurs de domaine dans les forêts distantes pour créer des profils pour toutes les entités impliquées, y compris les utilisateurs et les ordinateurs des forêts distantes.
Les capteurs Defender pour Identity peuvent être installés sur des contrôleurs de domaine dans toutes les forêts, même les forêts sans confiance.
Ajoutez des informations d’identification supplémentaires sur la page comptes du service d’annuaire pour prendre en charge les forêts non approuvées dans votre environnement.
Une seule information d’identification est requise pour prendre en charge toutes les forêts avec une approbation bidirectionnelle.
Les informations d’identification supplémentaires sont requises uniquement pour chaque forêt avec une approbation non Kerberos ou aucune approbation.
Il existe une limite par défaut de 30 forêts non approuvées par espace de travail Defender pour Identity. Contactez le support technique si votre organisation a plus de 30 forêts.
Les connexions interactives effectuées par les utilisateurs d’une forêt pour accéder aux ressources d’une autre forêt ne sont pas répertoriées par Defender pour Identity.
Pour plus d’informations, consultez Recommandations relatives au compte de service d’annuaire Microsoft Defender pour Identity.
Impact du trafic réseau pour la prise en charge de plusieurs forêts
Lorsque Defender pour Identity mappe vos forêts, il utilise le processus suivant :
Une fois le capteur Defender pour Identity en cours d’exécution, le capteur interroge les forêts Active Directory distantes et récupère une liste d’utilisateurs et de données de machine pour la création de profil.
Toutes les 5 minutes, chaque capteur Defender pour Identity interroge un contrôleur de domaine à partir de chaque domaine, de chaque forêt, pour mapper toutes les forêts du réseau.
Les capteurs Defender pour Identity mappent les forêts à l’aide de l’objet
trustedDomainActive Directory, en vous connectant et en case activée le type d’approbation.
Le trafic ad hoc peut s’afficher lorsque le capteur Defender pour Identity détecte l’activité entre forêts. Lorsque cela se produit, les capteurs Defender pour Identity envoient une requête LDAP aux contrôleurs de domaine appropriés pour récupérer les informations d’entité.