In diesem 2 tägigen Hands On Workshop entwickeln Sie ein praxistaugliches Zero-Trust Access Design und setzen es in einem dedizierten Lab Tenant direkt um. Der Fokus liegt auf Microsoft Entra Global Secure Access (GSA) als Security Service Edge Plattform, über die Sie Microsoft 365 Traffic, Private Access zu internen Ressourcen und Internet Access (Secure Web Gateway) zentral steuern und nachvollziehbar absichern.

Sie bauen eine durchgängige Access Kette nach Zero Trust auf:
Identity (Entra ID) → Conditional Access → Identity Protection (Risk) → Global Secure Access (Traffic Forwarding Profiles) → Monitoring & Troubleshooting.
Dabei lernen Sie, Policies so zu entwerfen, dass Entscheidungen messbar und beweisbar sind – über Sign in Logs, Conditional Access Results und GSA Traffic/Policy Logs.

Zielgruppe

Dieser Workshop richtet sich an Identity-/Security-Administratoren, Consultants und Engineers, die Microsoft Entra ID und Conditional Access als strategische Steuerzentrale für Zero Trust nutzen wollen – und Global Secure Access als moderne Zugriffsebene für Microsoft 365, Internet und private Ressourcen praktisch einführen und verifizieren möchten.

Seminarinhalte

• Zero Trust Foundations für Identity Teams
  • Prinzipien, typische Policy Fehler, "Break glass"/Exclusions Strategien, Proof Mindset
• Conditional Access – Baseline bis Advanced Controls
  • Grant Controls (MFA, Authentication strength, Compliant device, Hybrid joined, etc.)
  • Session Controls (z.B. sign in frequency/app enforced restrictions/CA App Control – je nach Scope)
• Entra Identity Protection – Risk basierte Zugriffskontrolle
  • User risk vs Sign in risk, empfohlene Policy Patterns, Self remediation/Remediation Flows
• Microsoft Entra Global Secure Access – Architektur & Praxis
  • Überblick GSA als einheitliche Plattform für Entra Internet Access + Entra Private Access
  • Traffic Forwarding Profiles: Microsoft traffic → Private access → Internet access (Evaluations Reihenfolge & Scoping)
• GSA Private Access (Hands On End to End)
  • Connector Konzept, Quick Access/Private Apps, Targeting, Testcases Allowed/Blocked
• GSA Internet Access (Hands On)
  • Policy Aufbau, Web Content Filtering, Gruppen Targeting, Exceptions, Nachweis in Logs
• GSA für Microsoft 365 (Hands On)
  • Microsoft traffic profile, workload basierte Steuerung, Verification/Monitoring
• Device Signal als Zero Trust Gate (Identity friendly)
  • "Require device to be marked as compliant": Zusammenspiel Intune Compliance ↔ Conditional Access
• Privileged Controls (PIM) – Least Privilege in der Praxis
  • JIT Aktivierung, Activation Requirements, Auditing & Operational Readiness
• Betrieb, Nachweis & Troubleshooting
  • Wo prüfe ich was? Entra Sign in logs/CA results + GSA Traffic/Policy Logs + Connector/Client Health

Lernziele

Nach dem Workshop können Sie:

• eine Zero Trust fähige Conditional Access Policy Architektur (Baseline → Sensitive → Privileged → Exceptions) entwerfen, testen und in "Report only/What If" sauber verifizieren
• Risk basierte Policies mit Entra Identity Protection (User risk/Sign in risk) sinnvoll konfigurieren und die Auswirkungen nachvollziehbar auswerten
• Global Secure Access so konfigurieren, dass Traffic über die passenden Traffic Forwarding Profiles (Microsoft, Private, Internet) gesteuert und kontrolliert wird
• Private Access für interne Ressourcen (per Connector + Quick Access/Private App) aufbauen und mit CA Signalen (MFA/Authentication strength/Compliant Device) absichern
• Internet Access Policies (z.B. Web Content Filtering) zielgruppengenau anwenden und im Betrieb über Logs/Reports nachweisen
• privilegierte Zugriffe mit Privileged Identity Management (PIM) auf "Just in Time" umstellen (Eligible vs Active, Activation Controls, Auditability)

Voraussetzungen

Grundverständnis von Identity Konzepten (Authentication/Authorization, Benutzer/Gruppen, Rollen) und erste Erfahrung mit Microsoft Entra ID/Conditional Access sind hilfreich.