поддержка нескольких лесов Microsoft Defender для удостоверений
Microsoft Defender для удостоверений поддерживает организации с несколькими лесами Active Directory, что позволяет легко отслеживать действия и профилировать пользователей в лесах.
Корпоративные организации обычно имеют несколько лесов Active Directory — часто используются для различных целей, включая устаревшую инфраструктуру от корпоративных слияний и приобретений, географического распределения и границ безопасности (красные леса).
Защита нескольких лесов Active Directory с помощью Defender для удостоверений обеспечивает следующие преимущества:
- Просмотр и исследование действий, выполняемых пользователями в нескольких лесах из одного расположения
- Улучшение обнаружения и уменьшение ложных срабатываний с помощью расширенной интеграции Active Directory и разрешения учетных записей
- Получите более широкий контроль и упрощенное развертывание с улучшенным набором проблем со здоровьем и отчетом о межсайтовом охвате, когда все контроллеры домена отслеживаются с одного сервера Defender для удостоверений
Примечание.
Каждый датчик Defender для удостоверений может сообщать только в одну рабочую область Defender для удостоверений.
Действие обнаружения в нескольких лесах
Чтобы обнаружить действия между лесами, Датчики Defender для удостоверений запрашивают контроллеры домена в удаленных лесах для создания профилей для всех сущностей, в том числе пользователей и компьютеров из удаленных лесов.
Датчики Defender для удостоверений можно установить на контроллерах домена во всех лесах, даже лесах без доверия.
Добавьте дополнительные учетные данные на странице учетных записей службы каталогов для поддержки любых недоверенных лесов в вашей среде.
Для поддержки всех лесов с двусторонним доверием требуется только одна учетные данные.
Дополнительные учетные данные требуются только для каждого леса без доверия Kerberos или нет доверия.
Существует ограничение по умолчанию в 30 недоверенных лесов на рабочую область Defender для удостоверений. Обратитесь в службу поддержки, если у вашей организации более 30 лесов.
Интерактивные входы, выполняемые пользователями в одном лесу для доступа к ресурсам в другом лесу, не перечислены в Defender для удостоверений.
Дополнительные сведения см. в рекомендациях по Microsoft Defender для удостоверений учетной записи службы каталогов.
Влияние сетевого трафика на поддержку нескольких лесов
Когда Defender для удостоверений сопоставляет леса, он использует следующий процесс:
После запуска датчика Defender для удостоверений датчик запрашивает удаленные леса Active Directory и извлекает список пользователей и данных компьютера для создания профиля.
Каждые 5 минут каждый датчик Defender для удостоверений запрашивает один контроллер домена из каждого домена, из каждого леса, чтобы сопоставить все леса в сети.
Датчики Defender для удостоверений сопоставляют леса с помощью
trustedDomainобъекта Active Directory, выполнив вход и проверка тип доверия.
Вы можете увидеть нерегламентированный трафик, когда датчик Defender для удостоверений обнаруживает действия между лесами. При этом датчики Defender для удостоверений отправляют запрос LDAP соответствующим контроллерам домена для получения сведений об сущности.