適用於身分識別的 Microsoft Defender多樹系支援

注意

此頁面所述的體驗可以在 Microsoft 365 Defender 中存取 https://security.microsoft.com

設定多重樹系支援

適用於身分識別的 Microsoft Defender支援具有多個樹系的組織,讓您能夠輕鬆地監視跨樹系的活動和分析使用者。

企業組織通常有數個 Active Directory 樹系,通常用於不同用途,包括來自公司合併和收購、地理分佈和安全性界限的舊版基礎結構 (紅色樹系)。 您可以使用適用于身分識別的 Defender 來保護多個樹系,讓您能夠透過單一窗格監視和調查整個網路。

支援多個 Active Directory 樹系的功能可提供以下功能:

  • 透過單一管理點來檢視和調查多個樹系中使用者執行的活動。
  • 提供了進階 Active Directory 整合和帳戶解析,以改進偵測及減少誤判。
  • 更好的控制和更簡單的部署方式。 改善從單一 Defender for Identity 主控台監視網域控制站時,跨組織涵蓋範圍的健康情況警示和報告。

跨多個樹系的適用于身分識別的 Defender 偵測活動

若要偵測跨樹系活動,適用于身分識別的 Defender 會查詢遠端樹系中的網域控制站,以建立所有相關實體的設定檔, (包括來自遠端樹系的使用者和電腦) 。

  • 適用于身分識別的 Defender 感應器可以安裝在所有樹系的網域控制站上,甚至是不信任的樹系。
  • 在 [目錄服務帳戶] 頁面上新增其他認證,以支援環境中任何不受信任的樹系。
    • 只有一個認證才能支援具有雙向信任的所有樹系。
    • 只有具有非 Kerberos 信任或不信任的每個樹系才需要額外的認證。
    • 每個適用于身分識別的 Defender 實例的預設限制為 30 個不受信任的樹系。 如果您的組織有超過 30 個樹系,請連絡支援人員。

如需如何在Microsoft 365 Defender入口網站中建立目錄服務帳戶並加以設定的詳細資訊,請參閱適用於身分識別的 Microsoft Defender目錄服務帳戶建議

需求

  • 您設定的目錄服務帳戶必須信任所有其他樹系,而且必須至少有唯讀許可權,才能在網域控制站上執行 LDAP 查詢。

  • 如果適用于身分識別的 Defender 獨立感應器安裝在獨立電腦上,而不是直接安裝在網域控制站上,請確定機器可以使用 LDAP 與所有遠端樹系網域控制站通訊。

  • 為了讓適用于身分識別的 Defender 與適用于身分識別的 Defender 感應器和適用于身分識別的 Defender 獨立感應器通訊,請在安裝適用于身分識別的 Defender 感應器的每部電腦上開啟下列埠:

    通訊協定 傳輸 Port 去/從 方向
    內部連接埠
    SSL (*.atp.azure.com) TCP 443 適用于身分識別的 Defender 雲端服務 輸出
    內部連接埠
    LDAP TCP 和 UDP 389 網域控制站 輸出
    安全的 LDAP (LDAPS) TCP 636 網域控制站 輸出
    LDAP 至通用類別 TCP 3268 網域控制站 輸出
    LDAPS 至通用類別 TCP 3269 網域控制站 輸出

多重樹系支援的網路流量影響

當適用于身分識別的 Defender 對應您的樹系時,它會使用影響下列專案的程式:

  • 執行適用于身分識別的 Defender 感應器之後,它會查詢遠端 Active Directory 樹系,並擷取使用者和電腦資料的清單,以建立設定檔。
  • 每 5 分鐘,每個適用于身分識別的 Defender 感應器都會從每個網域查詢一個網域控制站,從每個樹系查詢,以對應網路中的所有樹系。
  • 每個適用于身分識別的 Defender 感應器都會使用 Active Directory 中的 「trustedDomain」 物件來對應樹系,方法是登入並檢查信任類型。
  • 當適用于身分識別的 Defender 感應器偵測到跨樹系活動時,您也可能會看到臨機操作流量。 發生這種情況時,適用于身分識別的 Defender 感應器會將 LDAP 查詢傳送至相關的網域控制站,以擷取實體資訊。

已知的限制

  • 一個樹系中使用者用來存取另一個樹系中資源的互動式登入不會顯示在適用于身分識別的 Defender 儀表板中。
  • 每個適用于身分識別的 Defender 感應器只能向單一 Defender for Identity 工作區報告,而每個 Azure 租使用者只能裝載單一適用于身分識別的 Defender 工作區。 因此,每個感應器只能向單一 Azure 租使用者報告。

另請參閱