поддержка нескольких лесов Microsoft Defender для удостоверений

Microsoft Defender для удостоверений поддерживает организации с несколькими лесами Active Directory, позволяя легко отслеживать действия и профилировать пользователей в лесах.

Корпоративные организации обычно имеют несколько лесов Active Directory, которые часто используются для различных целей, включая устаревшую инфраструктуру от корпоративных слияний и поглощений, географического распределения и границ безопасности (красные леса).

Защита нескольких лесов Active Directory с помощью Defender для удостоверений обеспечивает следующие преимущества:

• Просмотр и исследование действий, выполняемых пользователями в нескольких лесах, из одного расположения
• Улучшенное обнаружение и уменьшение числа ложных срабатываний с помощью расширенной интеграции Active Directory и разрешения учетных записей
• Получите больший контроль и упрощение развертывания благодаря улучшенному набору проблем работоспособности и отчетности по охвату между организациями, когда все контроллеры домена отслеживаются с одного сервера Defender для удостоверений.

Примечание.

Каждый датчик Defender для удостоверений может передавать данные только в одну рабочую область Defender для удостоверений.

Активность обнаружения в нескольких лесах

Для обнаружения действий между лесами датчики Defender для удостоверений запрашивают контроллеры домена в удаленных лесах для создания профилей для всех задействованных сущностей, включая пользователей и компьютеров из удаленных лесов.

• Датчики Defender для удостоверений можно установить на контроллерах домена во всех лесах, даже лесах без доверия.

• Добавьте дополнительные учетные данные на страницу Учетные записи служб каталогов для поддержки любых ненадежных лесов в вашей среде.

  • Для поддержки всех лесов с двусторонним доверием требуется только один учетный данные.

  • Дополнительные учетные данные требуются для каждого леса с доверием без Kerberos или без доверия.

  • Существует ограничение по умолчанию в 30 учетных данных для каждой рабочей области Defender для удостоверений. Обратитесь в службу поддержки , если вам нужно добавить более 30 учетных данных.

Дополнительные сведения см. в статье рекомендации по учетным записям службы каталогов Microsoft Defender для удостоверений.

Влияние сетевого трафика для поддержки нескольких лесов

Когда Defender для удостоверений сопоставляет леса, он использует следующий процесс:

1. После запуска датчика Defender для удостоверений датчик запрашивает удаленные леса Active Directory и извлекает список пользователей и данные компьютера для создания профиля.

2. Каждые 5 минут каждый датчик Defender для удостоверений запрашивает один контроллер домена из каждого домена, из каждого леса, чтобы сопоставить все леса в сети.

   Датчики Defender для удостоверений сопоставляют леса с помощью trustedDomain объекта Active Directory путем входа и проверки типа доверия.

Вы можете увидеть нерегламентированный трафик, когда датчик Defender для удостоверений обнаруживает активность между лесами. В этом случае датчики Defender для удостоверений отправляют запрос LDAP соответствующим контроллерам домена для получения сведений о сущности.

Связанные материалы

• Развертывание Microsoft Defender для удостоверений с помощью Microsoft Defender XDR
• Обязательные требования для работы с Microsoft Defender для удостоверений
• Учетные записи службы каталогов для Microsoft Defender для удостоверений