Suporte a várias florestas do Microsoft Defender para Identidade

O Microsoft Defender para Identidade oferece suporte a organizações com várias florestas do Active Directory, oferecendo a capacidade de monitorar facilmente a atividade e o perfil dos usuários entre florestas.

As organizações corporativas geralmente têm várias florestas do Active Directory, muitas vezes usadas para diferentes finalidades, incluindo infraestrutura herdada de fusões e aquisições corporativas, distribuição geográfica e delimitações de segurança (florestas vermelhas).

Proteger suas várias florestas do Active Directory com o Defender para Identidade oferece as seguintes vantagens:

• Exibir e investigar atividades executadas por usuários em várias florestas em um único local
• Obter detecção aprimorada e reduzir falsos positivos com integração avançada do Active Directory e resolução de conta
• Obter maior controle e implantação mais fácil com um conjunto aprimorado de problemas de integridade e relatórios para cobertura entre organizações quando seus controladores de domínio são monitorados em um único servidor do Defender para Identidade

Observação

Cada sensor do Defender para Identidade só pode se reportar a um único espaço de trabalho do Defender para Identidade.

Atividade de detecção em várias florestas

Para detectar atividades entre florestas, os sensores do Defender para Identidade consultam controladores de domínio em florestas remotas para criar perfis de todas as entidades envolvidas, incluindo usuários e computadores de florestas remotas.

• Os sensores do Defender para Identidade podem ser instalados em controladores de domínio em todas as florestas, mesmo florestas sem confiança.

• Adicione mais credenciais na página Contas de serviços de diretório para dar suporte a florestas não confiáveis em seu ambiente.

  • Apenas uma credencial é necessária para oferecer suporte a todas as florestas com uma relação de confiança bidirecional.

  • Credenciais adicionais são necessárias para cada floresta com confiança não Kerberos ou nenhuma confiança.

  • Há um limite padrão de 30 credenciais por workspace do Defender para Identidade. Entre em contato com o suporte se precisar adicionar mais de 30 credenciais.

Para obter mais informações, confira Recomendações para contas de Serviço de Diretório do Microsoft Defender para Identidade.

Impacto do tráfego de rede no suporte a várias florestas

Quando o Defender para Identidade mapeia suas florestas, ele usa o seguinte processo:

1. Depois que o sensor do Defender para Identidade começa a ser executado, o sensor consulta as florestas remotas do Active Directory e recupera uma lista de usuários e dados de computadores para a criação de perfil.

2. A cada 5 minutos, cada sensor do Defender para Identidade consulta um controlador de domínio de cada domínio, de cada floresta, para mapear todas as florestas na rede.

   Os sensores do Defender para Identidade mapeiam as florestas usando o objeto do Active Directory trustedDomain fazendo logon e verificando o tipo de confiança.

Você pode ver tráfego ad-hoc quando o sensor do Defender para Identidade detecta atividade entre florestas. Quando isso ocorrer, os sensores do Defender para Identidade enviarão uma consulta LDAP aos controladores de domínio relevantes para recuperar informações da entidade.

Conteúdo relacionado

• Implantar o Microsoft Defender para Identidade com o Microsoft Defender XDR
• Pré-requisitos do Microsoft Defender para Identidade
• Contas de Serviço de Diretório para o Microsoft Defender para Identidade