unterstützung für Microsoft Defender for Identity mehrerer Gesamtstrukturen
Microsoft Defender for Identity unterstützt Organisationen mit mehreren Active Directory-Gesamtstrukturen, sodass Sie Aktivitäten und Profilerstellungen für Benutzer in gesamtstrukturenübergreifend problemlos überwachen können.
Unternehmensorganisationen verfügen in der Regel über mehrere Active Directory-Gesamtstrukturen, die häufig für unterschiedliche Zwecke verwendet werden, einschließlich legacy-Infrastruktur aus Unternehmenszusammenschlüssen und -übernahmen, geografische Verteilung und Sicherheitsgrenzen (rote Gesamtstrukturen).
Das Schützen mehrerer Active Directory-Gesamtstrukturen mit Defender for Identity bietet die folgenden Vorteile:
- Anzeigen und Untersuchen von Aktivitäten, die von Benutzern in mehreren Gesamtstrukturen von einem einzelnen Standort aus ausgeführt werden
- Verbesserte Erkennung und Reduzierung falsch positiver Ergebnisse mit erweiterter Active Directory-Integration und Kontoauflösung
- Erhalten Sie mehr Kontrolle und einfachere Bereitstellung mit einer verbesserten Reihe von Integritätsproblemen und Berichten für die organisationsübergreifende Abdeckung, wenn Ihre Domänencontroller alle von einem einzelnen Defender for Identity-Server überwacht werden
Hinweis
Jeder Defender for Identity-Sensor kann nur Berichte an einen einzelnen Defender for Identity-Arbeitsbereich senden.
Erkennungsaktivität über mehrere Gesamtstrukturen hinweg
Um gesamtstrukturübergreifende Aktivitäten zu erkennen, fragen Defender for Identity-Sensoren Domänencontroller in Remotegesamtstrukturen ab, um Profile für alle beteiligten Entitäten zu erstellen, einschließlich Benutzer und Computer aus Remotegesamtstrukturen.
Defender for Identity-Sensoren können auf Domänencontrollern in allen Gesamtstrukturen installiert werden, auch auf Gesamtstrukturen ohne Vertrauen.
Fügen Sie auf der Seite Verzeichnisdienstekontenzusätzliche Anmeldeinformationen hinzu, um nicht vertrauenswürdige Gesamtstrukturen in Ihrer Umgebung zu unterstützen.
Es ist nur ein Anmeldeinformation erforderlich, um alle Gesamtstrukturen mit einer bidirektionalen Vertrauensstellung zu unterstützen.
Zusätzliche Anmeldeinformationen sind für jede Gesamtstruktur mit Nicht-Kerberos-Vertrauensstellung oder ohne Vertrauensstellung erforderlich.
Es gibt einen Standardgrenzwert von 30 Anmeldeinformationen pro Defender for Identity-Arbeitsbereich. Wenden Sie sich an den Support , wenn Sie mehr als 30 Anmeldeinformationen hinzufügen müssen.
Weitere Informationen finden Sie unter Empfehlungen Microsoft Defender for Identity Verzeichnisdienstkontos.
Auswirkungen auf den Netzwerkdatenverkehr für die Unterstützung mehrerer Gesamtstrukturen
Wenn Defender for Identity Ihre Gesamtstrukturen zuordnet, wird der folgende Prozess verwendet:
Nachdem die Ausführung des Defender for Identity-Sensors gestartet wurde, fragt der Sensor die Active Directory-Remotegesamtstrukturen ab und ruft eine Liste von Benutzern und Computerdaten für die Profilerstellung ab.
Alle 5 Minuten fragt jeder Defender for Identity-Sensor einen Domänencontroller aus jeder Domäne und aus jeder Gesamtstruktur ab, um alle Gesamtstrukturen im Netzwerk zuzuordnen.
Die Defender for Identity-Sensoren ordnen die Gesamtstrukturen mithilfe des
trustedDomainActive Directory-Objekts zu, indem sie sich anmelden und den Vertrauenstyp überprüfen.
Möglicherweise wird Ad-hoc-Datenverkehr angezeigt, wenn der Defender for Identity-Sensor gesamtstrukturübergreifende Aktivitäten erkennt. In diesem Fall senden die Defender for Identity-Sensoren eine LDAP-Abfrage an die relevanten Domänencontroller, um Entitätsinformationen abzurufen.