Thomas Naunheim

Information & Communications Technology

Azure AD Azure AD B2C Microsoft Azure Azure Active Directory Azure PaaS Azure Key Vault Infrastructure as Code Cloud & Infrastructure Cloud Native Infrastructure Secure Infrastructure

Koblenz, Rheinland-Pfalz, Germany

Thomas Naunheim

Cloud Architect

Thomas Naunheim is a Cloud Architect with focus on cloud-native, identity and security solutions in Microsoft Azure.

Thomas works for an insurance company located in Germany.
He is involved in projects to design and implement cloud solutions (including evaluation of new cloud technology and products) in enterprise environments.

You will find him blogging at "cloud-architekt.net".
In 2020 he has awarded as MVP in the category "Azure" by Microsoft.

Thomas Naunheim

Cloud Architekt

Thomas Naunheim ist ein Cloud Architekt mit Fokus auf cloud-basierte Lösungen mit Microsoft Azure.
Seine primären Themengebiete sind cloud-native Infrastruktur-, Identitäts- sowie Sicherheitslösungen.

Thomas arbeitet für ein Versicherungskonzern in Deutschland.
Dort ist er in verschiedenen Projekten für die Konzeption und Implementierung von Cloud-Lösungen involviert. Dazu zählt auch die Evaluierung von neuen Cloud-Technologien und -Produkte.

Neben Vorträgen bei Meetups und Konferenzen schreibt er Blogbeiträge auf "cloud-architekt.net".
Im Herbst 2020 wurde er mit dem MVP award in der Kategorie "Azure" von Microsoft ausgezeichnet.

Current sessions

Securing and monitoring your Azure AD identities EN

Azure Active Directory is one of the keys for implementing a "Zero Trust" approach. The perimeter is moving from network to identity (as the new control plane).

During my session I will talk about several aspects to secure and monitor hybrid identities and (cloud-only) privileged accounts.

The session includes overview, recommendation and considerations of the following topics:

- Plan, draft and test Conditional Access Policies
- Automated response to address user and sign-in risk with Azure AD Identity protection
- Detect suspicious user activities and protect cloud app sessions with MCAS
- Auditing and insights of accounts and (suspicious) authentication attempts with Azure Sentinel


Introduction and Security Recommendations of Azure Enterprise-scale Architecture EN DE

In the past, Microsoft published many documentations and white papers for the adoption of Azure in enterprise environments. One of the key source is the Cloud Adoption Framework (CAF).

In the session, I like to give an overview of the „Enterprise-Scale“ reference architecture. This enables you to build landing zone(s) that represents the strategic design path and follows design principles of critical design for shared services (e.g. identity, network,..).

Furthermore, it includes learnings from previous engineering engagements and provide architecture design pattern from Microsoft.

Various reference implementations allows to deploy (modular) templates depending on customer needs such as kind of connectivity (cloud-only, Hub/Spoke, vWAN).

You will learn more about implementation of the "Enterprise-scale" architecture, and some of the included aspects, considerations or approaches.
A particular focus will be on security best practices:

- Overview and requirements of Azure Landing Zones
- Deployment of Enterprise-Scale reference implementation
- Policy-driven governance ("AzOps")
- Critical design areas and core principals of securing Azure environments with Azure AD

Level 300 Session
including Hands-On Demo


Einführung in "Enterprise-Scale" Architektur für Microsoft Azure EN DE

In der Vergangenheit hat Microsoft bereits einige Dokumente und Whitepapers veröffentlicht, die Unternehmen bei der Einführung von Microsoft Azure unterstützen sollen. Einer der wichtigsten Quellen ist hierbei das Cloud Adoption Framework (CAF).

In dieser Session möchte ich einen Überblick zu der "Enterprise-Scale" Referenz-Architektur geben.

Diese beinhaltet u.a. einen Leitfaden und Referenz-Implementierung zum Aufbau von Azure "Landing zones".
Dabei wird auf strategische und technischen Aspekte zu den notwendigen und übergreifenden Diensten (wie z.B. Konnektivität, Identitäten und Monitoring) eingegangen.

Wichtige Ansätze zur Implementierung und kritische Design-Entscheidungen sind hier auf Basis der Microsoft Design Pattern aber auch aus Erfahrungen mit Kundenprojekten eingeflossen.

Unter anderem werden auf folgende Themen während des Vortrages und der Demo eingegangen:

- Übersicht und Anforderungen an Landing Zones
- Richtlinien-gesteuerte Governance mit "AzOps"
- Kritische Bereiche bei dem Design und Architektur
- Kernpunkte zur Absicherung von Azure-Umgebungen mit Azure AD

Level 300 Session
including Hands-On Demo


Delegated and secured management of Azure environments with Azure AD EN DE

Most organizations have implemented (internal or customer) Azure workloads in the same Azure AD tenant environment as their corporate production environment for Office 365 and other SaaS solutions. Delegate access and managing separated Azure environments in a single-tenant environment could be challenging.

In this context, various other questions come to mind:
Which aspects should be considered in securing identities or access as part of privileged DevOps pipeline and assigned permissions to Azure Resources? How can I delegate or separate objects such as service principals or test users within one Azure AD tenant? When should I start to isolate my resources in multiple tenants and what are the disadvantages?

Microsoft implemented new features and published white papers that address this need recently. In my session we will go into details about the subjects:

- Azure AD Tenant Boundary and multi tenant scenarios
- Limitations and differences of Azure and Azure AD RBAC delegation
- Custom Azure RABC roles and scopes (UX and RBAC-as-Code)
- Delegated permissions on level of Azure AD Administrative Units
- Approval process to gain scoped access to Azure AD objects
- Azure PIM Privileged Access Groups for Azure DevOps roles

Level 300 session
including Live-Demos


Delegierung und Absicherung der Verwaltung von Azure-Umgebung mit Azure AD EN DE

Viele Organisationen haben interne- oder kundenbezogene Azure Workloads im gleichen Azure AD Tenant implementiert, wo auch die produktiven Unternehmensdienste wie Office 365 oder andere SaaS-Applikationen laufen.

In diesem Zusammenhang, kommen aber einige Fragen auf:
Welche Aspekte sollten berücksichtigt werden bei der Absicherung von Identitäten oder Zugriff als Teil einer privilegierten DevOps pipeline und zugewiesenen Berechtigungen zu Azure Ressourcen?
Wann sollte ich anfangen meine Ressourcen in mehreren Tenants zu isolieren und welche Nachteile entstehen?

Microsoft hat neue Features eingeführt und Whitepapers veröffentlicht, die diese Themen adressieren. In meinem Vortrag werden wir über folgende Punkte sprechen:

- Azure AD Tenant Boundary and "Multi-Tenant" Szenarien
- Limitierungen und Unterschiede von Azure and Azure AD RBAC Delegierung
- Erstellung von eingeschränkten Azure RABC Rollen und Umfang
- Just-in-Time und eingeschränkten Zugriff auf Azure AD Objekten
- Azure PIM Privileged Access Groups mit Azure DevOps

Level 300 session
beinhaltet auch Live-Demos


Hybrid identity design and security considerations in Azure AD EN DE

Azure Active Directory is the core identity service of Azure- and Microsoft 365. Many companies around the world connected Active Directory to Microsoft's cloud-based IAM service for synchronization and authentication of identities.
During the session I will talk about design and security considerations in a hybrid Azure AD environment.
What approaches could be used in securing hybrid identity components (Azure AD Connect, PTA,...) or delegate administrative permissions?
This session includes also some hands-on demos (e.g. hardening of default tenant settings or identity protection) and notes from the field.

Level 300 Session
including Hands-on Demo


Securing and monitoring your Azure AD user and privileged accounts EN DE

Azure Active Directory is one of the keys for implementing a "Zero Trust" approach. The perimeter is moving from network to identity (as the new control plane).

During my session I will talk about several aspects to secure and monitor hybrid identities and (cloud-only) privileged accounts.

The session includes overview, recommendation and considerations of the following topics:

- Plan, draft and test Conditional Access Policies
- Automated response to address user and sign-in risk with Azure AD Identity protection
- Protecting privileged accounts with Azure AD PIM
- Concepts and recommendations of securing privileged access
- Auditing and insights of accounts and (suspicious) authentication attempts

Level 300 Session
including Hands-On Demo


Design und Security eines hybriden Azure AD EN DE

Azure Active Directory ist der zentrale Identitätsdienst für Azure- and Microsoft 365. Viele Unternehmen weltweit haben ihr lokales Active Directory mit Microsoft's cloud-basierenden IAM-Services verbunden, um Identitäten zu synchronisieren und Authentifizierungen durchzuführen.
Während meiner Session werde ich auf einige Design- aber auch Sicherheitsthemen eingehen, die bei einer Implementierung von hybriden Azure AD-Umgebung betrachtet werden sollten.
Welche Ansätze können genutzt werden um Azure AD Connect oder hybride Identitäten abzusichern?
In der Session werden auch Live-Demos (z.B.Default Tenant-Einstellungen oder Identitätsschutz) gezeigt.

Level 300 Session
beinhaltet Live-Demo


Absicherung und Monitoring von Benutzer- und Privilegierte Konten in Azure AD EN DE

Azure Active Directory ist ein wichtiger Baustein um den "Zero Trust"-Ansatz zu implementieren. Der Sicherheitsperimeter verschiebt sich dabei vom klassischen Netzwerk- auf den Identitäts- und Zugriffsschutz.

Während des Vortrages werden verschiedene Aspekte zur Absicherung und Überwachung von hybriden Identitäten aber auch privilegierten (cloud-only) Konten vorgestellt.

Dies beinhaltet eine Übersicht der folgenden Azure AD Premium-Features, allgemeine Empfehlungen aber auch Erfahrungen aus der Praxis, die bei der Implementierung berücksichtigt werden sollten:

- Planung, Entwurf und Testen von Conditional Access Policies
- Automatisierung von Maßnahmen bei erhöhtem Benutzer- oder Anmelderisiko mit Azure AD Identity Protection
- Schutz von privilegierten Konten mit Azure AD PIM und dazugehörige Sicherheitskonzepte
- Auditing und Monitoring von Konten sowie ungewöhnlichen Anmeldeversuchen

Level 300 Session
beinhaltet Live-Demos zu den o.g. Themen


Infrastructure As Code mit "Azure Resource Manager (ARM)" DE

In Microsoft Azure gibt es die native Möglichkeit "Infrastructure-As-Code" (IaC) auf Basis von "Azure Resource Manager Templates" umzusetzen.

In meiner Session werde ich zu Beginn einige Grundlagen zu der "Resource Manager API" erläutern, um im Anschluß im "Hands-On" Teil die praktische Umsetzung anhand eines konkreten Anwendungsszenario schrittweise zu zeigen.

Hierfür wird "Visual Studio Code" mit verschiedenen Extensions genutzt, die den Umgang mit den Templates stark vereinfachen.

90 Minuten Talk mit Live-Demo, ca. 120 Minuten bei Hands-On mit Teilnehmer (abhängig von Vorkenntnissen)


Securing your privileged identity and access in Microsoft Azure EN DE

Privileged accounts and access needs particular attention alongside of the regular protection of user accounts in Azure Active Directory. Over the last years Microsoft releases many design principles, best practices and security features for on-premises (e.g. ESAE/Red Forest) and cloud environments.

In my session I will speak about the latest aspects, considerations and solution approaches to protecting privileged identities and access in Microsoft Azure:

- Customizing and Designing of Azure and Azure AD RBAC concept
(Custom roles, security considerations of built-in roles)
- Adoption of ESAE design principals in Azure AD
- Reduce the exposure time of privileges (Azure AD PIM)
- Protecting privileged accounts with advanced Conditional Access and MFA (including passwordless options)
- Access to Azure resources from a secure admin workstation

Level 300 session (including hands-on/live demos and notes from the field)


Wie schütze ich meine Administrativen Konten und Zugriffe in Microsoft Azure? EN DE


Die Absicherung von privilegierte Konten und deren Zugriffe in Azure Active Directory benötigen, zusätzlich zu den normalen Benutzerkonten, eine besondere Aufmerksamkeit.

In den letzten Jahren hat Microsoft einige Konzepte und Sicherheitsfunktionen für administrative Konten im On-Premises Umfeld (wie z.B. ESAE/Admin-Foerst) aber auch für die Azure Cloud Plattform veröffentlicht.

In meinem Vortrag werde ich über die aktuellen Ansätze und möglichen Lösungen zum Schutz von privilegierten Konten und Zugriffe sprechen, wie z.B.:

- Schutz von privilegierten Konten mit erweiterten Conditional Access Richtlinien und MFA (sowie passwortloser Authentifizierung)
- Adaptierung von ESAE Design-Ansätzen in Azure AD
- Design und „Considerations“ von Azure und Azure AD Rollen
(Custom roles, Limitierungen und Permission Scope von Built-in Roles)
- Angriffspfade und „Privileged Escalation“ für Azure-Administratoren
- Zeitliche Begrenzung der administrativen Berechtigungen und Freigabeprozesse durch Azure AD PIM
- Zugriffes auf Azure Ressourcen über einer gesicherten Admin Workstation (PAW/SAW-Konzept)
- Auditing und Risiken von privilegierten DevOps (CD) Pipelines

Level 300 session (Hands-on/Live-Demos, Erfahrungen aus der Praxis)


Manage and Secure Your Customer Identities with Azure AD B2C! EN DE

Microsoft’s Azure AD B2C enables companies and organizations to manage identities and access of customers in the cloud. It’s built on the strong foundation of Azure AD and the powerful identity engine “Microsoft Identity Experience Framework”. Developers are able to easily integrate apps based on the Microsoft Identity platform and customize the B2C tenant (e.g. branding of UI) .

In this session I will talk about architecture and operation-related topics:

- Architecture of Azure AD B2C
- Use cases and examples of CIAM solutions
- Design and configuration of B2C tenant
- Configuration of User flows (Built-in)
- Deployment of Custom Policies
- Auditing and Monitoring
- Securing local user accounts in B2C

This session includes hands-on and experiences from the field. It aims to reach a wide audience, including DevOps to get an overview of use cases and implementation of Microsoft's identity platform in B2C scenarios.


Verwalten von Kundenidentitäten mit Azure AD B2C! EN DE

Microsoft’s cloudbasierte Customer-Identitätsverwaltung (“Azure AD B2C”) ermöglicht es Unternehmen und Organisationen die Zugriffe und Identitäten von Kunden in der Cloud zu verwalten. Basis hierfür bildet das Azure AD und die Identity Engine “Microsoft Identity Experience Framework".

Entwickler sind in der Lage die Anwendung auf Basis der Microsoft Identity Platform einfach zu integrieren und den B2C Tenant entsprechend anzupassen (z.B. Anpassung der UI/UX).

In meinem Vortrag werde ich über die Architektur- und Betriebsrelevante Themen sprechen:

- Architektur des Azure AD B2C
- Anwendungsfälle und Beispiele von CIAM Lösungen
- Konfiguration des B2C Tenants und User Flows
- Bereitstellung von Custom Policies
- Auditing und Monitoring
- Absicherung von lokalen Identitäten in B2C

Der Vortrag beinhaltet Live-Demos und Erfahrungen aus der praktischen Umsetzung. Die Zielgruppe ist sehr breit gefasst und richtet sich auch an DevOps die einen Überblick bzgl. der Implementierung von Microsoft's Identitätsplattform für B2C-Szenarien suchen.


Deep Dive into Azure AD Conditional Access EN

Conditional Access Policies in Azure AD allows to empower users to be productive wherever and whenever but also protect the organization's assets. It's an essential component of the identity-driven security approach in Azure Active Directory. It also plays an important role as "Policy Engine" in Zero Trust implementations to "always verify" access by context and control.

Deep integration with Azure AD Identity Protection, Microsoft Cloud App Security but also 3rd Party allows extension of conditions and controls.

In this session we will do a walkthrough including hands-on demos, known limitations and notes from the field:

1. Overview of Conditional Access Policies
- Security Defaults vs. Custom Policies
- Principals of Signal, Decision and Enforcement

2. Design and Implementation
- Naming Convention
- Policies As Code
- Management of Exclusions

3. Common use cases and policies

4. Extension of Conditions and Controls
- User and Sign-In Risk with Azure Identity Protection
- App Control to Microsoft Cloud App Security

5. Monitoring and Reporting
- Insights and Workbooks
- Azure Sentinel


Past and future events

Virtual Scottish Summit 2021

27 Feb 2021

Global Security and Compliance Community Conference

7 Feb 2021

aMS Germany - 1/12/2020

30 Nov 2020
Aachen, North Rhine-Westphalia, Germany

GermanyClouds Meetup: Azure Governance Best Practices and Enterprise-Scale

26 Nov 2020
Munich, Bavaria, Germany

Azure Meetup Bonn: Ignite Recap 2020 (Azure AD)

6 Oct 2020
Bonn, North Rhine-Westphalia, Germany

Azure Meetup Bonn: Azure Governance Best Practices

1 Sep 2020
Bonn, North Rhine-Westphalia, Germany

Trust in Tech Cologne: Securing your privileged identity and access in Microsoft Azure

28 Jul 2020
Köln, North Rhine-Westphalia, Germany

Microsoft 365 Virtual Marathon

27 May 2020 - 28 May 2020

Global Azure Bootcamp Cologne 2020

24 Apr 2020
Bergisch Gladbach, North Rhine-Westphalia, Germany

VCNRW: Design und Security eines hybriden Azure Active Directory

23 Jan 2020
Köln, North Rhine-Westphalia, Germany

Azure Meetup Thueringen: Azure AD und Security

16 Jan 2020
Jena, Thuringia, Germany

.NET User Group Koblenz: Azure AD B2C in und aus der Praxis

11 Dec 2019
Koblenz, Rheinland-Pfalz, Germany

cim lingen 2019: Design und Security eines hybriden Azure Active Directory

Viele Unternehmen weltweit haben ihr lokales Active Directory mit Microsoft’s cloud-basierenden IAM-Serviceverbunden, um Identitäten zu synchronisieren und Authentifizierungen durchzuführen. Während meiner Session werde ich auf einige Design-aber auch Sicherheitsthemen eingehen, die bei einer Implementierung von hybriden Azure AD-Umgebung betrachtet werden sollten.Welche Ansätze können genutzt werden, um Azure AD Connect abzusichern oder Privilegierte Rollen zu designen? Wieso sollten u.U. privilegierte Konten im on-Premises-und Cloud-Umfeld getrennt werden? Welche Angriffsszenarien gibt es bei hybriden Identitäten? In der Session werden auch Live-Demos (z.B. Härtung der standardmäßigen Tenant-Einstellungen sowie die Konfiguration von Notfallkonten) gezeigt.
13 Sep 2019 - 14 Sep 2019
Lingen, Lower Saxony, Germany

Glasgow Azure User Group Meetup: Hybrid identity design and security considerations in Azure AD

During the session I like to talk about design and security considerations in an hybrid Azure AD environment. What approaches could be used in securing Azure AD Connect or designing privileged identities? This session includes also some hands-on demos (e.g. default tenant settings and configuration of emergency access accounts).
28 Aug 2019
Glasgow, Scotland, United Kingdom

Azure Meetup Bonn: Azure AD Security - Absichern und Überwachen von Azure AD Benutzerkonten

Second part of the "Azure Active Directory" meetup talk at Azure Bonn:
- Plan, draft and test Conditional Access Policies
- Automated response to address user and sign-in risk with Azure AD Identity protection
- Protecting privileged accounts with Azure AD PIM
- Concepts of securing privileged access
- Auditing and insights of accounts and (suspicious) authentication attempts
20 Aug 2019
Bonn, North Rhine-Westphalia, Germany

Azure Meetup Bonn: Azure AD Security - Implementierung einer sicheren Cloud Authentifizierung

• Design and Architecture of Azure AD
• Hybrid identity considerations
• Management of user accounts
14 May 2019
Bonn, North Rhine-Westphalia, Germany

.NET User Group Koblenz: Azure Workshop

- Azure DevOps mit CI/CD Pipelines
- Infrastructure-As-Code mit Azure Resource Manager Templates
- Azure Monitoring & Logging mit Application Insights, Log Analytics und Azure Monitor
18 Apr 2019
Koblenz, Rheinland-Pfalz, Germany