適用於身分識別的 Microsoft Defender 多樹系支援
適用於身分識別的 Microsoft Defender 支援具有多個 Active Directory 樹系的組織,讓您能夠輕鬆地監視跨樹系的活動和配置檔使用者。
企業組織通常有數個 Active Directory 樹系 -通常用於不同的用途,包括來自公司合併和收購的舊版基礎結構、地理分佈和安全性界限, (紅色樹系) 。
使用適用於身分識別的 Defender 保護您的多個 Active Directory 樹系提供下列優點:
- 檢視和調查 使用者從單一位置跨多個樹系執行的活動
- 使用進階 Active Directory 整合和帳戶解析改善偵測並減少誤判
- 透過改善的一組健康情況問題,以及跨組織涵蓋範圍的報告,讓您的域控制器全都從單一適用於身分識別的 Defender 伺服器進行監視,以取得更佳的控制和更輕鬆的部署
注意事項
每個適用於身分識別的 Defender 感測器只能向單一適用於身分識別的 Defender 工作區報告。
跨多個樹系的偵測活動
若要偵測跨樹系活動,適用於身分識別的 Defender 感測器會查詢遠端樹系中的域控制器,為涉及的所有實體建立配置檔,包括來自遠端樹系的用戶和計算機。
適用於身分識別的 Defender 感測器可以安裝在所有樹系中的域控制器上,甚至是不信任的樹系。
在 [目錄服務帳戶] 頁面上新增其他認證,以支持環境中任何不受信任的樹系。
支援具有雙向信任的所有樹系只需要一個認證。
對於具有非 Kerberos 信任或沒有信任的每個樹系,都需要額外的認證。
每個適用於身分識別的 Defender 工作區預設限制為 30 個認證。 如果您需要新增超過 30 個認證,請連絡支持人員。
如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 目錄服務帳戶建議。
多樹系支持的網路流量影響
當適用於身分識別的 Defender 對應您的樹系時,它會使用下列程式:
在適用於身分識別的 Defender 感測器開始執行之後,感測器會查詢遠端 Active Directory 樹系,並擷取使用者和計算機數據清單以建立配置檔。
每隔 5 分鐘,每個適用於身分識別的 Defender 感測器會從每個樹系的每個網域查詢一個域控制器,以對應網路中的所有樹系。
適用於身分識別的 Defender 感測器會使用
trustedDomainActive Directory 對象對應樹系,方法是登入並檢查信任類型。
當適用於身分識別的 Defender 感測器偵測到跨樹系活動時,您可能會看到臨機操作流量。 發生這種情況時,適用於身分識別的Defender感測器會將LDAP查詢傳送至相關的域控制器,以擷取實體資訊。