Microsoft Defender for Identity マルチフォレストのサポート
Microsoft Defender for Identity は、複数の Active Directory を持つ組織をサポートしており、フォレスト全体のアクティビティを簡単に監視したり、ユーザーをプロファイルしたりできます。
エンタープライズ組織には、通常、複数の Active Directory フォレストがあります。企業の合併と買収からのレガシ インフラストラクチャ、地理的分散、セキュリティ境界 (赤フォレスト) など、さまざまな目的でよく使用されます。
Defender for Identity を使用して複数の Active Directory フォレストをセキュリティで保護すると、次の利点があります。
- 1 つの場所から、複数のフォレストにわたってユーザーによって実行されたアクティビティを表示および調査します。
- 高度な Active Directory 統合とアカウント解決を提供することで、検出を改善し、誤検知を減らしました。
- 制御が強化され、デプロイが容易になります。ドメイン コントローラーはすべて 1 つの Defender for Identity サーバーから監視されるため、正常性の問題が改善され、組織間のカバレッジがレポートされます。
Note
各 Defender for Identity センサーは、1 つの Defender for Identity ワークスペースにのみレポートできます。
複数のフォレストにわたる検出アクティビティ
フォレスト間アクティビティを検出するために、Defender for Identity センサーはリモート フォレスト内のドメイン コントローラーをクエリして、関連するすべてのエンティティ (リモート フォレストのユーザーとコンピューターを含む) のプロファイルを作成します。
Defender for Identity センサーは、信頼されていないフォレストであってもすべてのフォレストのドメイン コントローラーにインストールできます。
ディレクトリ サービス アカウント ページに資格情報を追加して、環境内の信頼されていないフォレストをサポートします。
双方向の信頼を持つすべてのフォレストをサポートするために必要な資格情報は 1 つだけです。
追加の資格情報は、Kerberos 以外の信頼を持つフォレストまたは信頼されていないフォレストごとにのみ必要です。
デフォルトの制限数は、Defender for Identity ワークスペースごとに 30 個の信頼されていないフォレストです。 組織に 30 個を超えるフォレストがある場合は、サポートにお問い合わせください。
あるフォレストのユーザーが別のフォレスト内のリソースにアクセスするために実行した対話型サインインは、Defender for Identity には表示されません。
詳細については、「Microsoft Defender for Identity ディレクトリ サービス アカウントの推奨事項」を参照してください。
複数フォレストのサポートによるネットワーク トラフィックへの影響
Defender for Identity は、フォレストをマップするときに、次のようなプロセスを使用します。
Defender for Identity センサーは、実行後、リモート Active Directory フォレストに対してクエリを実行し、プロファイル作成用のユーザーとマシン データの一覧を取得します。
5 分ごとに、各 Defender for Identity センサーは、各ドメイン、各フォレストからの 1 つのドメイン コントローラにネットワークのすべてのフォレストをアップするようにクエリを実行します。
Defender for Identity センサーは、ログインして信頼の種類を確認することにより、Active Directory の
trustedDomain
オブジェクトを使用してフォレストをマップします。
Defender for Identity センサーがフォレスト間アクティビティを検出すると、アドホック トラフィックが表示される場合があります。 これが発生すると、Defender for Identity センサーは、エンティティ情報を取得するために、関連するドメイン コントローラーに LDAP クエリを送信します。