Microsoft Defender per identità supporto per più foreste

Microsoft Defender per identità supporta le organizzazioni con più foreste di Active Directory, offrendo la possibilità di monitorare facilmente le attività e profilare gli utenti tra foreste.

Le organizzazioni aziendali hanno in genere diverse foreste di Active Directory, spesso usate per scopi diversi, tra cui infrastruttura legacy da fusioni e acquisizioni aziendali, distribuzione geografica e limiti di sicurezza (foreste rosse).

La protezione di più foreste di Active Directory con Defender per identità offre i vantaggi seguenti:

• Visualizzare e analizzare le attività eseguite dagli utenti in più foreste da un'unica posizione
• Ottenere un rilevamento migliorato e ridurre i falsi positivi con l'integrazione avanzata di Active Directory e la risoluzione dell'account
• Ottenere un maggiore controllo e una distribuzione più semplice, con un set migliorato di problemi di integrità e report per la copertura tra organizzazioni quando i controller di dominio vengono tutti monitorati da un singolo server Defender per identità

Nota

Ogni sensore Defender per identità può segnalare solo a una singola area di lavoro di Defender per identità.

Attività di rilevamento tra più foreste

Per rilevare le attività tra foreste, i sensori defender per identità eseguono query sui controller di dominio nelle foreste remote per creare profili per tutte le entità coinvolte, inclusi utenti e computer da foreste remote.

• I sensori defender per identità possono essere installati nei controller di dominio in tutte le foreste, anche nelle foreste senza attendibilità.

• Aggiungere credenziali aggiuntive nella pagina Account dei servizi directory per supportare eventuali foreste non attendibili nell'ambiente.

  • È necessaria una sola credenziale per supportare tutte le foreste con un trust bidirezionale.

  • Sono necessarie credenziali aggiuntive per ogni foresta con attendibilità non Kerberos o senza attendibilità.

  • È previsto un limite predefinito di 30 credenziali per ogni area di lavoro di Defender per identità. Contattare il supporto tecnico se è necessario aggiungere più di 30 credenziali.

Per altre informazioni, vedere Microsoft Defender per identità consigli sull'account del servizio directory.

Impatto sul traffico di rete per il supporto di più foreste

Quando Defender per identità esegue il mapping delle foreste, usa il processo seguente:

1. Dopo l'avvio dell'esecuzione del sensore Defender per identità, il sensore esegue una query sulle foreste remote di Active Directory e recupera un elenco di utenti e dati del computer per la creazione del profilo.

2. Ogni 5 minuti, ogni sensore Defender per identità esegue una query su un controller di dominio di ogni dominio, da ogni foresta, per eseguire il mapping di tutte le foreste nella rete.

   I sensori defender per identità eseguono il mapping delle foreste usando l'oggetto trustedDomain Active Directory, accedendo e controllando il tipo di attendibilità.

È possibile che venga visualizzato traffico ad hoc quando il sensore Defender per identità rileva l'attività tra foreste. In questo caso, i sensori defender per identità invieranno una query LDAP ai controller di dominio pertinenti per recuperare le informazioni sull'entità.

Contenuto correlato

• Distribuire Microsoft Defender per identità con Microsoft Defender XDR
• Prerequisiti di Microsoft Defender per identità
• Account del servizio directory per Microsoft Defender per identità