Microsoft Defender pour Identity prise en charge de plusieurs forêts
Microsoft Defender pour Identity prend en charge les organisations avec plusieurs forêts Active Directory, ce qui vous permet de surveiller facilement l’activité et de profiler les utilisateurs dans les forêts.
Les organisations d’entreprise ont généralement plusieurs forêts Active Directory, souvent utilisées à des fins différentes, notamment l’infrastructure héritée des fusions et acquisitions d’entreprise, la distribution géographique et les limites de sécurité (forêts rouges).
La sécurisation de vos forêts Active Directory multiples avec Defender pour Identity offre les avantages suivants :
- Afficher et examiner les activités effectuées par les utilisateurs dans plusieurs forêts à partir d’un emplacement unique
- Bénéficiez d’une détection améliorée et réduisez les faux positifs grâce à l’intégration avancée d’Active Directory et à la résolution de compte
- Bénéficiez d’un meilleur contrôle et d’un déploiement plus facile, avec un ensemble amélioré de problèmes d’intégrité et de création de rapports pour la couverture inter-organisation lorsque vos contrôleurs de domaine sont tous surveillés à partir d’un seul serveur Defender pour Identity
Remarque
Chaque capteur Defender pour Identity ne peut signaler qu’un seul espace de travail Defender pour Identity.
Activité de détection dans plusieurs forêts
Pour détecter les activités inter-forêts, les capteurs Defender pour Identity interrogent les contrôleurs de domaine dans les forêts distantes afin de créer des profils pour toutes les entités impliquées, y compris les utilisateurs et les ordinateurs des forêts distantes.
Les capteurs Defender pour Identity peuvent être installés sur des contrôleurs de domaine dans toutes les forêts, même les forêts sans approbation.
Ajoutez des informations d’identification supplémentaires sur la page Comptes des services d’annuaire pour prendre en charge les forêts non approuvées dans votre environnement.
Une seule information d’identification est requise pour prendre en charge toutes les forêts avec une approbation bidirectionnelle.
Des informations d’identification supplémentaires sont requises pour chaque forêt avec une approbation non Kerberos ou sans approbation.
Il existe une limite par défaut de 30 informations d’identification par espace de travail Defender pour Identity. Contactez le support technique si vous avez besoin d’ajouter plus de 30 informations d’identification.
Pour plus d’informations, consultez Microsoft Defender pour Identity recommandations relatives aux comptes de service d’annuaire.
Impact sur le trafic réseau pour la prise en charge de plusieurs forêts
Lorsque Defender pour Identity mappe vos forêts, il utilise le processus suivant :
Une fois que le capteur Defender pour Identity a commencé à s’exécuter, il interroge les forêts Active Directory distantes et récupère une liste d’utilisateurs et de données machine pour la création de profils.
Toutes les 5 minutes, chaque capteur Defender pour Identity interroge un contrôleur de domaine de chaque domaine, à partir de chaque forêt, pour mapper toutes les forêts du réseau.
Les capteurs Defender pour Identity mappent les forêts à l’aide de l’objet
trustedDomainActive Directory, en se connectant et en vérifiant le type d’approbation.
Vous pouvez voir du trafic ad hoc lorsque le capteur Defender pour Identity détecte une activité inter-forêts. Dans ce cas, les capteurs Defender pour Identity envoient une requête LDAP aux contrôleurs de domaine appropriés pour récupérer les informations d’entité.