// SPRINT_03 - THE_FORTRESS

Entra ID
Identity Baseline

Das Fundament gegen Ransomware und Identity-Compromise. Wir implementieren das Microsoft Tiering Modell, blockieren veraltete Protokolle und deployen kompromisslose Conditional Access Richtlinien via Infrastructure as Code (IaC).

Fixpreis
Investment
IaC-Deploy
2
Wochen
Schnelle Lieferung
IaC
Deployment
Infrastructure as Code

Technischer Scope

Kompromisslose Identitätssicherheit, standardisiert und messbar.

01 Policies

Enterprise Conditional Access

Wasserdichte Architektur ohne Bypass-Lücken nach Best Practices. Wir deployen ein fertiges Set aus 15+ Policies, basierend auf dem Block-First Approach, Device Compliance Zwang und netzwerkbasierten Regeln.

// DELIVERABLES
  • Production CA Policy Set (via IaC deployt)
  • Report-Only Evaluierungsphase
  • Phishing-resistant MFA Enforcement
02 Admin Tiering

Admin Tiering & PIM

Notfall- und Admin-Konzepte nach Enterprise-Standards. Permanente "Standing Privileges" werden eliminiert und durch Just-in-Time (JIT) Zugriffe für die Administration ersetzt.

// DELIVERABLES
  • Privileged Identity Management (PIM) Setup
  • JIT Admin Access Workflows
  • FIDO2-Hardware-Schlüssel Integration für Admins
03 Hardening

Entra ID Hardening

Absicherung gegen moderne Angriffsvektoren und Identitätsdiebstahl. Systematische Deaktivierung veralteter Authentifizierungsmethoden und automatisiertes Routing bei kompromittierten Konten.

// DELIVERABLES
  • Legacy Authentication Hard-Block
  • Sign-in Risk & User Risk Policies
  • Password-Spray & Brute-Force Protection
04 Emergency

Break-Glass Emergency Access

Der garantierte Notzugang. Wir implementieren physisch und logisch getrennte Notfall-Accounts, die von sämtlichen CA-Policies ausgenommen und extrem überwacht sind.

// DELIVERABLES
  • 2 isolierte Break-Glass Accounts
  • Exklusions-Architektur (CA & MFA)
  • 24/7 Log Analytics Alerting & Benachrichtigung

Business Case

Der ROI für die Geschäftsführung.

Cyber Insurance Readiness
Ein validiertes Identity- und Tiering-Konzept (MFA, PIM, deaktiviertes Legacy Auth) ist heute harte Grundvoraussetzung für den Abschluss oder die Verlängerung von Cyber-Versicherungen.
Schutz vor Ransomware
Stoppen Sie Angreifer an der Eingangstür. Phishing-resistente MFA und Device-Bound Policies verhindern das initiale Eindringen und laterales Bewegen (Lateral Movement) im Netzwerk.
NIS2 & revDSG Compliance
Die Architektur erfüllt die strengen Identitäts- und Zugriffskontroll-Anforderungen des neuen Schweizer Datenschutzgesetzes (revDSG) sowie der europäischen NIS2-Richtlinie.
Zero IT-Support Chaos
Dank dem "Audit-First" Prinzip und dem Deployment der CA-Policies im "Report-Only" Modus garantieren wir maximale Sicherheit ohne plötzliche Ausfälle oder Support-Eskalationen bei Ihren Endusern.

Häufige Fragen

Sperren wir uns mit strengen CA-Policies nicht selbst aus?

Nein. Das Herzstück der Architektur sind die isolierten Break-Glass Accounts (Emergency Access). Diese sind von allen Sperr-Policies physisch ausgenommen, hochüberwacht und garantieren Ihnen jederzeit den Zugriff auf Ihren Tenant.

Wie arbeiten unsere IT-Admins nach dem Sprint?

Sicher und auditiert. Permanente "Global Admins" werden vollständig abgeschafft (Least Privilege). Ihre IT nutzt Entra ID PIM, um sich administrative Rechte bei Bedarf (Just-in-Time) für wenige Stunden freizuschalten, autorisiert durch starke Authentifizierung (z.B. FIDO2).

Führt die Härtung zu einem sofortigen Stillstand von Legacy-Anwendungen?

Nein. Wir arbeiten nach dem "Audit-First"-Prinzip. Jede Conditional Access Policy wird via Infrastructure as Code (IaC) zuerst im Report-Only-Modus ausgerollt. So identifizieren wir Applikationen, die blockiert würden, bevor wir den Block-Modus in Absprache mit Ihnen scharfschalten.

Bereit für das Zero Trust Fundament?

SPRINT ANFRAGEN