Suporte a várias florestas do Microsoft Defender para Identidade
O Microsoft Defender para Identidade oferece suporte a organizações com várias florestas do Active Directory, oferecendo a capacidade de monitorar facilmente a atividade e o perfil dos usuários entre florestas.
As organizações corporativas geralmente têm várias florestas do Active Directory, muitas vezes usadas para diferentes finalidades, incluindo infraestrutura herdada de fusões e aquisições corporativas, distribuição geográfica e delimitações de segurança (florestas vermelhas).
Proteger suas várias florestas do Active Directory com o Defender para Identidade oferece as seguintes vantagens:
- Exibir e investigar atividades executadas por usuários em várias florestas em um único local
- Obter detecção aprimorada e reduzir falsos positivos com integração avançada do Active Directory e resolução de conta
- Obter maior controle e implantação mais fácil com um conjunto aprimorado de problemas de integridade e relatórios para cobertura entre organizações quando seus controladores de domínio são monitorados em um único servidor do Defender para Identidade
Observação
Cada sensor do Defender para Identidade só pode se reportar a um único espaço de trabalho do Defender para Identidade.
Atividade de detecção em várias florestas
Para detectar atividades entre florestas, os sensores do Defender para Identidade consultam controladores de domínio em florestas remotas para criar perfis de todas as entidades envolvidas, incluindo usuários e computadores de florestas remotas.
Os sensores do Defender para Identidade podem ser instalados em controladores de domínio em todas as florestas, mesmo florestas sem confiança.
Adicione outras credenciais na página Contas de Serviço de Diretório para oferecer suporte a florestas não confiáveis no seu ambiente.
Apenas uma credencial é necessária para oferecer suporte a todas as florestas com uma relação de confiança bidirecional.
Credenciais adicionais só são necessárias para cada floresta com confiança não Kerberos ou nenhuma confiança.
Há um limite padrão de 30 florestas não confiáveis por espaço de trabalho do Defender para Identidade. Entre em contato com o suporte se sua organização tiver mais de 30 florestas.
Os logons interativos realizadas por usuários em uma floresta para acessar recursos em outra floresta não são listados pelo Defender para Identidade.
Para obter mais informações, confira Recomendações para contas de Serviço de Diretório do Microsoft Defender para Identidade.
Impacto do tráfego de rede no suporte a várias florestas
Quando o Defender para Identidade mapeia suas florestas, ele usa o seguinte processo:
Depois que o sensor do Defender para Identidade começa a ser executado, o sensor consulta as florestas remotas do Active Directory e recupera uma lista de usuários e dados de computadores para a criação de perfil.
A cada 5 minutos, cada sensor do Defender para Identidade consulta um controlador de domínio de cada domínio, de cada floresta, para mapear todas as florestas na rede.
Os sensores do Defender para Identidade mapeiam as florestas usando o objeto do Active Directory
trustedDomainfazendo logon e verificando o tipo de confiança.
Você pode ver tráfego ad-hoc quando o sensor do Defender para Identidade detecta atividade entre florestas. Quando isso ocorrer, os sensores do Defender para Identidade enviarão uma consulta LDAP aos controladores de domínio relevantes para recuperar informações da entidade.