Microsoft Defender para Identidade suporte para várias florestas
Nota
A experiência descrita nesta página pode ser acedida em https://security.microsoft.com como parte de Microsoft 365 Defender.
Configuração de suporte de várias florestas
Microsoft Defender para Identidade suporta organizações com múltiplas florestas, dando-lhe a capacidade de monitorizar facilmente os utilizadores de atividades e perfis entre florestas.
Normalmente, as organizações empresariais têm várias florestas do Active Directory , muitas vezes utilizadas para diferentes fins, incluindo infraestruturas legadas de fusões e aquisições empresariais, distribuição geográfica e limites de segurança (florestas vermelhas). Pode proteger várias florestas com o Defender para Identidade, proporcionando-lhe a capacidade de monitorizar e investigar toda a sua rede através de um único painel de vidro.
A capacidade de suportar várias florestas do Active Directory permite o seguinte:
- Ver e investigar atividades realizadas por utilizadores em várias florestas, a partir de um único painel de vidro.
- Deteção melhorada e falsos positivos reduzidos ao fornecer integração avançada do Active Directory e resolução de contas.
- Maior controlo e implementação mais fácil. Alertas de estado de funcionamento melhorados e relatórios para cobertura entre organizações quando os controladores de domínio são monitorizados a partir de uma única consola do Defender para Identidade.
Atividade de deteção do Defender para Identidade em várias florestas
Para detetar atividades entre florestas, os sensores do Defender para Identidade consultam controladores de domínio em florestas remotas para criar perfis para todas as entidades envolvidas (incluindo utilizadores e computadores de florestas remotas).
- Os sensores do Defender para Identidade podem ser instalados em controladores de domínio em todas as florestas, mesmo florestas sem confiança.
- Adicione credenciais adicionais na página Contas do Serviço de Diretório para suportar quaisquer florestas não fidedignas no seu ambiente.
- Apenas é necessária uma credencial para suportar todas as florestas com uma confiança bidirecional.
- As credenciais adicionais só são necessárias para cada floresta com confiança não Kerberos ou sem fidedignidade.
- Existe um limite predefinido de 30 florestas não fidedignas por instância do Defender para Identidade. Contacte o suporte se a sua organização tiver mais de 30 florestas.
Para obter informações detalhadas sobre como criar uma conta do Serviço de Diretório e configurá-la no portal do Microsoft 365 Defender, consulte Microsoft Defender para Identidade recomendações da conta do Serviço de Diretório.
Requisitos
A conta do Serviço de Diretório que configura tem de ser fidedigna em todas as outras florestas e tem de ter, pelo menos, permissão só de leitura para efetuar consultas LDAP nos controladores de domínio.
Se os sensores autónomos do Defender para Identidade estiverem instalados em máquinas autónomas, em vez de diretamente nos controladores de domínio, certifique-se de que os computadores têm permissão para comunicar com todos os controladores de domínio de floresta remota com LDAP.
Para que o Defender para Identidade comunique com os sensores do Defender para Identidade e sensores autónomos do Defender para Identidade, abra as seguintes portas em cada computador no qual o sensor do Defender para Identidade está instalado:
Protocolo Transporte Porta Para/De Direção Portas da Internet SSL (*.atp.azure.com) TCP 443 Serviço cloud do Defender para Identidade Saída Portas internas LDAP TCP e UDP 389 Controladores de domínio Saída LDAP seguro (LDAPS) TCP 636 Controladores de domínio Saída LDAP para Catálogo Global TCP 3268 Controladores de domínio Saída LDAPS para Catálogo Global TCP 3269 Controladores de domínio Saída
Impacto do tráfego de rede de suporte de várias florestas
Quando o Defender para Identidade mapeia as suas florestas, utiliza um processo que afeta o seguinte:
- Depois de o sensor do Defender para Identidade estar em execução, consulta as florestas remotas do Active Directory e obtém uma lista de utilizadores e dados do computador para a criação de perfis.
- A cada 5 minutos, cada sensor do Defender para Identidade consulta um controlador de domínio de cada domínio, de cada floresta, para mapear todas as florestas na rede.
- Cada sensor do Defender para Identidade mapeia as florestas com o objeto "trustedDomain" no Active Directory ao iniciar sessão e verificar o tipo de fidedignidade.
- Também poderá ver tráfego ad-hoc quando o sensor do Defender para Identidade detetar atividade entre florestas. Quando isto ocorre, os sensores do Defender para Identidade irão enviar uma consulta LDAP para os controladores de domínio relevantes para obter informações da entidade.
Limitações conhecidas
- Os inícios de sessão interativos efetuados por utilizadores numa floresta para aceder a recursos noutra floresta não são apresentados no dashboard do Defender para Identidade.
- Cada sensor do Defender para Identidade só pode comunicar a uma única área de trabalho do Defender para Identidade e cada inquilino do Azure só pode alojar uma única área de trabalho do Defender para Identidade. Por conseguinte, cada sensor só pode reportar a um único inquilino do Azure.