Erweiterte Sicherheitsadministrator UmgebungEnhanced Security Admin Environment

Die ESAE-Architektur (Enhanced Security Admin Environment) (häufig als "rote Gesamtstruktur", "admin-Gesamtstruktur" oder "festgeschriebene Gesamtstruktur" bezeichnet) ist ein Ansatz zum Bereitstellen einer sicheren Umgebung für Administratoren von Windows Server Active Directory (AD).The Enhanced Security Admin Environment (ESAE) architecture (often referred to as red forest, admin forest, or hardened forest) is an approach to provide a secure environment for Windows Server Active Directory (AD) administrators.

Die Empfehlung von Microsoft, dieses Architekturmuster zu verwenden, wurde durch die Strategie "moderner privilegierter Zugriff " und " schneller Modernisierungsplan (Rampen) " ersetzt. Dies ist die empfohlene Standardmethode zum Sichern privilegierter Benutzer.Microsoft’s recommendation to use this architectural pattern has been replaced by the modern privileged access strategy and rapid modernization plan (RAMP) guidance as the default recommended approach for securing privileged users. Das von ESAE festgeschriebene administrative Gesamtstruktur Muster (lokal oder cloudbasiert) wird jetzt als benutzerdefinierte Konfiguration betrachtet, die nur für die unten aufgeführten Ausnahmefälle geeignet ist.The ESAE hardened administrative forest pattern (on-prem or cloud-based) is now considered a custom configuration suitable only for exception cases listed below.

Was geschieht, wenn ich bereits über ESAE verfüge?What if I already have ESAE?

Für Kunden, die diese Architektur bereits bereitgestellt haben, um die Sicherheit zu verbessern und/oder die Verwaltung von mehreren Gesamtstrukturen zu vereinfachen, ist es nicht erforderlich, eine ESAE-Implementierung abzukoppeln oder zu ersetzen, wenn Sie wie beabsichtigt und beabsichtigt funktioniert.For customers that have already deployed this architecture to enhance security and/or simplify multi-forest management, there is no urgency to retire or replace an ESAE implementation if it's being operated as designed and intended. Wie bei allen Unternehmenssystemen sollten Sie die darin enthaltenen Software verwalten, indem Sie Sicherheitsupdates anwenden und sicherstellen, dass die Software innerhalb des Support Lebenszyklusliegt.As with any enterprise systems, you should maintain the software in it by applying security updates and ensuring software is within support lifecycle.

Microsoft empfiehlt außerdem Organisationen mit ESAE/festgeschriebenen Gesamtstrukturen, die die moderne privilegierte Zugriffs Strategie mithilfe des Leitfadens für schnelle Modernisierungspläne (Ramp) übernehmen.Microsoft also recommends organizations with ESAE / hardened forests adopt the modern privileged access strategy using the rapid modernization plan (RAMP) guidance. Dies ergänzt eine vorhandene ESAE-Implementierung und bietet angemessene Sicherheit für Rollen, die noch nicht durch ESAE geschützt sind, einschließlich Azure AD globalen Administratoren, sensiblen Geschäfts Benutzern und standardmäßigen Unternehmens Benutzern.This complements an existing ESAE implementation and provides appropriate security for roles not already protected by ESAE including Azure AD Global Administrators, sensitive business users, and standard enterprise users. Weitere Informationen finden Sie im Artikel Sichern der Sicherheitsstufen für den privilegierten Zugriff.For more information, see the article Securing privileged access security levels.

Warum sollten Sie die Empfehlung ändern?Why change the recommendation?

Wenn ESAE ursprünglich vor 10 Jahren entworfen wurde, lag der Schwerpunkt auf lokalen Umgebungen mit AD als lokaler Identitäts Anbieter.When ESAE was originally designed 10 years ago, the focus was on on-premise environments with AD as the local identity provider. ESAE/festgeschriebene Gesamtstruktur Implementierungen konzentrieren sich auf den Schutz von Windows Server Active Directory-Administratoren.ESAE / hardened forest implementations focus on protecting Windows Server Active Directory administrators.

Microsoft empfiehlt die neuen cloudbasierten Lösungen, da Sie schneller bereitgestellt werden können, um einen umfassenderen Bereich von administrativen und geschäftsrelevanten Rollen und Systemen zu schützen.Microsoft recommends the new cloud-based solutions because they can be deployed more quickly to protect a broader scope of administrative and business-sensitive roles and systems.

Die Strategie für den privilegierten Zugriff bietet Schutz und Überwachung für einen weitaus größeren Satz vertraulicher Benutzer und bietet gleichzeitig inkrementelle kostengünstigere Schritte, um schnell Sicherheits Zusicherungen zu erstellen.The privileged access strategy provides protections and monitoring for a much larger set of sensitive users, while providing incremental lower-cost steps to rapidly build security assurances.

Um für bestimmte Anwendungsfälle immer noch gültig zu sein, sind ESAE-Lösungen mit gehärteter Gesamtstruktur teurer und schwieriger zu verwenden, sodass im Vergleich zur neueren cloudbasierten Lösung mehr betriebliche Unterstützung erforderlich ist (aufgrund der komplexen Natur dieser Architektur).While still valid for specific use cases, ESAE hardened forest implementations are more costly and more difficult to use, requiring more operational support compared to the newer cloud-based solution (due to the complex nature of that architecture). ESAE-Implementierungen dienen nur zum Schutz von Windows Server Active Directory-Administratoren.ESAE implementations are designed to protect only Windows Server Active Directory administrators. Die Strategie für den cloudbasierten privilegierten Zugriff   bietet Schutz und Überwachung für einen weitaus größeren Satz vertraulicher Benutzer und bietet gleichzeitig inkrementelle, kostengünstigere Schritte zum schnellen Erstellen von Sicherheitsgarantien.The cloud based privileged access strategy provides protections and monitoring for a much larger set of sensitive users, while providing incremental lower-cost steps to rapidly build security assurances.

Was sind gültige ESAE-Anwendungsfälle?What are the valid ESAE use cases?

Obwohl es sich nicht um eine gängige Empfehlung handelt, ist dieses Architekturmuster in einem begrenzten Satz von Szenarien gültig.While not a mainstream recommendation, this architectural pattern is valid in a limited set of scenarios.

In diesen Ausnahmefällen muss die Organisation die größere technische Komplexität und die Betriebskosten der Lösung akzeptieren.In these exception cases, the organization must accept the increased technical complexity and operational costs of the solution. Die Organisation muss über ein ausgereiftes Sicherheitsprogramm verfügen, um das Risiko zu messen, das Risiko zu überwachen und eine konsistente betriebliche strenge auf die Verwendung und Wartung der ESAE-Implementierung anzuwenden.The organization must have a sophisticated security program to measure risk, monitor risk, and apply consistent operational rigor to the usage and maintenance of the ESAE implementation.

Beispielszenarien:Example scenarios include:

  • Isolierte lokale Umgebungen , in denen Clouddienste nicht verfügbar sind, wie z. b. Offline Research-Laboratorien, kritische Infrastrukturen oder Hilfsprogramme, nicht getrennte Betriebssystemumgebungen, wie z. b. Überwachungs-und Datenabruf (SCADA)/Industrie Steuerungssysteme (ICS) und öffentliche sektorkunden, die vollständig auf lokale Technologie angewiesen sind.Isolated on-premises environments - where cloud services are unavailable such as offline research laboratories, critical infrastructure or utilities, disconnected operational technology (OT) environments such as Supervisory control and data acquisition (SCADA) / Industrial Control Systems (ICS), and public sector customers that are fully reliant on on-premises technology.
  • Hochgradig regulierte Umgebungen – bei der Industrie-oder behördlichen Regelung ist möglicherweise eine administrative Gesamtstruktur Konfiguration erforderlich.Highly regulated environments – industry or government regulation may specifically require an administrative forest configuration.
  • Die Sicherheit auf hoher Ebene ist vorgeschrieben : Organisationen mit geringer Risikotoleranz, die bereit sind, die höhere Komplexität und die Betriebskosten der Lösung zu akzeptieren.High level security assurance is mandated - organizations with low risk tolerance that are willing to accept the increased complexity and operational cost of the solution.

Hinweis

Obwohl Microsoft in den meisten Organisationen kein isoliertes, fest geschriebener Gesamtstruktur Modell mehr für die meisten Szenarien empfiehlt, betreibt Microsoft intern eine ähnliche Architektur (und zugehörige Supportprozesse und Personal) aufgrund der extrem hohen Sicherheitsanforderungen für die Bereitstellung vertrauenswürdiger Clouddienste für Organisationen auf der ganzen Welt.While Microsoft no longer recommends an isolated hardened forest model for most scenarios at most organizations, Microsoft still operates a similar architecture internally (and associated support processes and personnel) because of the extreme security requirements for providing trusted cloud services to organizations around the globe.

Nächste SchritteNext steps

Informieren Sie sich über die Richtlinie für den privilegierten Zugriff und den schnellen Modernisierungsplan (Ramp) , um sichere Umgebungen für privilegierte Benutzer bereitzustellen.Review the privileged access strategy and rapid modernization plan (RAMP) guidance for providing secure environments for privileged users.