Microsoft Defender for Identityマルチフォレストのサポート

Microsoft Defender for Identityでは、複数の Active Directory フォレストを持つ組織がサポートされているため、フォレスト間でアクティビティを簡単に監視したり、ユーザーをプロファイルしたりできます。

エンタープライズ組織には通常、複数の Active Directory フォレストがあります。多くの場合、企業の合併と買収からのレガシ インフラストラクチャ、地理的な分布、セキュリティ境界 (赤いフォレスト) など、さまざまな目的で使用されます。

Defender for Identity を使用して複数の Active Directory フォレストをセキュリティで保護すると、次の利点があります。

• 1 つの場所から複数のフォレストにわたってユーザーが実行したアクティビティを表示および調査する
• 高度な Active Directory 統合とアカウント解決により、検出の向上と誤検知の削減を実現
• ドメイン コントローラーがすべて単一の Defender for Identity サーバーから監視されている場合に、正常性の問題のセットを改善し、クロス組織カバレッジのレポートを作成することで、より詳細な制御と簡単なデプロイを実現します

注:

各 Defender for Identity センサーは、1 つの Defender for Identity ワークスペースにのみレポートできます。

複数のフォレストにわたる検出アクティビティ

フォレスト間アクティビティを検出するために、Defender for Identity センサーはリモート フォレスト内のドメイン コントローラーに対してクエリを実行し、リモート フォレストのユーザーやコンピューターなど、関係するすべてのエンティティのプロファイルを作成します。

• Defender for Identity センサーは、信頼されていないフォレストであっても、すべてのフォレストのドメイン コントローラーにインストールできます。

• [ディレクトリ サービス アカウント] ページに資格情報を追加して、環境内の信頼されていないフォレストをサポートします。

  • 双方向の信頼を持つすべてのフォレストをサポートするために必要な資格情報は 1 つだけです。

  • Kerberos 以外の信頼または信頼がないフォレストごとに、追加の資格情報が必要です。

  • 既定の制限は、Defender for Identity ワークスペースあたり 30 個です。 30 を超える資格情報を追加する必要がある場合は、サポートにお問い合わせください。

詳細については、「Microsoft Defender for Identity Directory Service アカウントの推奨事項」を参照してください。

複数フォレストのサポートに対するネットワーク トラフィックへの影響

Defender for Identity は、フォレストをマップするときに、次のプロセスを使用します。

1. Defender for Identity センサーの実行が開始されると、センサーはリモート Active Directory フォレストに対してクエリを実行し、プロファイルの作成のためにユーザーとマシン データの一覧を取得します。

2. 5 分ごとに、各 Defender for Identity センサーは、各ドメインから、各フォレストから 1 つのドメイン コントローラーに対してクエリを実行して、ネットワーク内のすべてのフォレストをマップします。

   Defender for Identity センサーは、サインインして信頼の種類を確認することで、 trustedDomain Active Directory オブジェクトを使用してフォレストをマップします。

Defender for Identity センサーがフォレスト間アクティビティを検出すると、アドホック トラフィックが表示されることがあります。 この場合、Defender for Identity センサーは関連するドメイン コントローラーに LDAP クエリを送信してエンティティ情報を取得します。

関連コンテンツ

• Microsoft Defender XDRを使用してMicrosoft Defender for Identityをデプロイする
• Microsoft Defender for Identity の前提条件
• Microsoft Defender for Identityのディレクトリ サービス アカウント