Enterprise Security Administrative Infrastructure (ESAI)
Das moderne ESAE-Konzept mit NT Systems „ASAI-Konzept“
Zielgruppe:
Das Seminar richtet sich besonders an Enterprise- und Domain Administratoren sowie IT-Sicherheitsverwantwortliche, die eine hochsichere Microsoft 365 Infrastruktur nach dem Zero Trust-Model aufbauen möchten.
Voraussetzungen:
Zu empfehlen sind gute Kenntnisse in Cloud Technologie oder ein Besuch unserer Azure Kurse.
Zertifikat:
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.
Kursdokumentation:
Die digitale Kursdokumentation erhalten die Teilnehmer einen Werktag vor Kursbeginn. Diese ist im Kurspreis inbegriffen. Auf Wunsch kann gegen einen Aufpreis von 300,– € zzgl. MwSt. zusätzlich eine Printversion dazugebucht werden.
Schulungszeiten:
Tag 1: 09:00–17:00 Uhr / Tag 2: 08:30–17:00 Uhr / Tag 3: 08:30–16:00 Uhr
ESAI Intensivkurs im Detail
ESAI – Das moderne ESAE-Konzept mit NT Systems „ASAI-Konzept“
Das Konzept der Enterprise Security Administrative Infrastructure (ESAI) von NT Systems ermöglicht durch den Einsatz modernster Microsoft-Cloud-Technologien in Kombination mit bewährten Active-Directory-Technologien des NT-Systems-Konzepts Advanced Security Administrative Infrastructure (ASAI) eine sichere und zentrale Administration von On-Premises- sowie Cloud-Infrastrukturen auf Basis des Grundkonzepts Enhanced Security Administrative Environment (ESAE).
In diesem dreitägigen Kurs praktizieren wir das neue Cross-Tenant-Management für Administratoren in einer Multi-Tenant-Infrastruktur. Durch Cloud-Technologien, die Etablierung von Homeoffice und mobilem Arbeiten verändert sich die Arbeitsweise der Benutzer grundlegend. Es handelt sich in der Regel um Hybride Worker, die von überall über das Internet verwaltet werden können. Mit nur einem privilegierten Konto kann Just-in-Time– und Just-enough-Access in einer Enterprise-Multi-Tenant- und Multi-Forest-Infrastruktur über Entra realisiert werden. Zusätzlich kann mit nur einer cloudbasierten Privileged Access Workstation gearbeitet werden. Dadurch wird die Verwaltung von privilegierten Identitäten und Zugriffsrechten deutlich vereinfacht. Die Trennung von Tenant für das privilegierte Konto und die zugehörige Workstation erhöht zudem die Sicherheit erheblich.
RAMP – Rapid Modernization Plan – „Plan zur schnellen Modernisierung“
Der Rapid Modernization Plan unterstützt die zügige Umsetzung der Microsoft-Strategie für „Privileged Access“. Ziel dieser Strategie ist es, das Risiko von „High Impact“-Angriffen schnell zu minimieren. Dabei orientiert sie sich am „Zero Trust“-Prinzip.
Privileged Management
Die Verwaltung privilegierter Administratorkonten und Workstations ermöglicht eine präzise Steuerung des Zugriffs auf Aufgaben, welche erhöhte und privilegierte Rechte erfordern. Benutzer müssen im Falle eines privilegierten Zugriffs „Just-In-Time-Zugriff“ beantragen, der über einen strengen und zeitkritischen Genehmigungsworkflow erfolgt. Die Verwaltung des privilegierten Zugriffs ist Teil eines integrierten und mehrstufigen Sicherheitsansatzes, der ein Sicherheitsmodell bereitstellt, welches den Schutz sensibler Informationen und Konfigurationseinstellungen maximiert.
PAM – Privileged Access Management
Privileged Access Management ist eine Identitäts- und Zugriffsmanagementlösung, die vor Cyberangriffen schützt. Es handelt sich um einen Teilbereich von Identity Access Management (IAM), über den Aktivitäten privilegierter Benutzer überwacht und der Zugriff auf kritische Systeme kontrolliert, unautorisierte Zugriffe erkannt und aktiv verhindert werden. PAM integriert Menschen, Prozesse und Technologien, um umfassende Transparenz über die Nutzung privilegierter Konten und das Nutzerverhalten nach der Authentifizierung zu gewährleisten.
PIM – Privileged Identity Management
Privileged Identity Management ermöglicht eine zeitlich begrenzte und genehmigungspflichtige Aktivierung von Rollen, um übermäßigen, unnötigen oder missbräuchlichen Zugriff auf sensible Ressourcen zu verhindern. Es setzt Just-in-Time– und Just-Enough-Zugriff durch und kann Richtlinien wie Multi-Faktor-Authentifizierung erzwingen, um privilegierte Konten abzusichern.
PAW – Privileged Access Workstation
Eine cloudbasierten Privileged Access Workstation ist ein speziell gehärtetes und isoliertes Gerät, das ausschließlich für administrative Aufgaben genutzt wird. Ziel ist es, die Angriffsfläche für kompromittierte Admin-Konten zu minimieren und den Zugriff auf privilegierte Ressourcen abzusichern.
GSA – Global Secure Access – ZTNA – Zero Trust Network Access
Global Secure Access (GSA) ist eine moderne Lösung, die auf den Prinzipien von Zero Trust Network Access (ZTNA) basiert. Sie erlaubt es, sicheren Zugriff auf interne, private Netzwerke ohne die Verwendung eines klassischen VPNs zu ermöglichen. Der Zugriff erfolgt stattdessen durch die Kombination eines Global Secure Access Clients und eines Private Network Connectors, welcher als Reverse Proxy, eine flexible und sichere Verbindung gewährleistet.
Nicht nur der Zugriff auf interne Ressourcen wird ermöglicht, sondern auch Zugriffe auf Microsoft 365 Anwendungen oder Internetseiten kann über den GSA abgesichert und eingeschränkt werden.
Global Secure Access stellt dabei eine sehr gute VPN-Alternative dar, weil es die Zero-Trust-Prinzipien durchsetzt, granulare Zugriffskontrolle auf App-Ebene ermöglicht und keine Netzwerkverbindung im klassischen Sinne mehr benötigt. Statt einem Tunnel ins gesamte Unternehmensnetzwerk bekommt der Benutzer nur über definierte, mit Conditional Access abgesicherte App-Segmente. Der Zugriff auf einzelne Ressourcen findet, basierend auf Identität und Authentifizierungsmethode, Gruppenmitgliedschaften des Benutzers, dem Compliance Status des Geräts oder z.B. auf Basis des Standorts statt. Das erhöht die Sicherheit deutlich und reduziert dabei die Angriffsflächen.
Multi-Tenant – Cross-Tenant
Wenn Ihre Organisation ein neues Unternehmen erwirbt, fusioniert oder eine Umstrukturierung basierend auf neuen Geschäftseinheiten durchführt, kann dies zu unterschiedlichen Tenants führen. Dies erschwert Benutzern in verschiedenen Tenants nicht nur den Zugriff auf Ressourcen, sondern auch die Zusammenarbeit.
Multi-Tenant ermöglichen es Ihnen, sicher mit Benutzern in Ihrer Organisation über mehrere Tenants hinweg zu interagieren, Benutzer automatisch im jeweiligen Tenant bereitzustellen und zu verwalten. Unabhängig von der Identitätsinfrastruktur ist es wichtig, dass Benutzer nahtlos auf Ressourcen zugreifen und zusammenarbeiten können.
- B2B Collaboration: External ID ermöglicht es, Gastbenutzer zur Zusammenarbeit einzuladen. Nach Annahme der Einladung werden sie als Benutzerobjekte in Ihrem Tenant angezeigt, sodass Sie Anwendungen und Dienste sicher freigeben und die Kontrolle über Ihre Daten behalten können.
- B2B Direct Connect: Stellt eine „One-Way- oder Two-Way-Vertrauensstellung“ zu einem anderen Microsoft Entra Tenant ein, um nahtlose Zusammenarbeit zu ermöglichen. Sobald die Vertrauensstellung besteht, können Benutzer sich Single Sign-On (SSO) mit den Anmeldeinformationen ihres Ursprungstenants anmelden.
- Cross-Tenant Access Settings steuert, wie Mandanten in Ihrer Organisation miteinander interagieren, z. B. für B2B-Zusammenarbeit, Direct Connect und Cross-Tenant-Synchronization.
- Cross-Tenant Synchronization: Ein One-Way-Synchronization Service, der das Erstellen, Aktualisieren und Löschen von Benutzern in verschiedenen Tenants automatisiert. Benutzer erscheinen im Zieltenant als Benutzerobjekte.
- Multi-Tenant Organization ist ein Feature in Microsoft Entra ID und Microsoft 365, mittels dem Sie eine Grenze um die Microsoft Entra-Mandanten definieren können, welche zu Ihrer Organisation gehören.
