arrow_backZurück zum Blog
Conditional AccessMicrosoft 365IdentitätssicherheitMFA

Conditional Access: Die am meisten unterschätzte Sicherheitsfunktion in M365

Conditional Access ist die wirkungsvollste einzelne Sicherheitskonfiguration in Microsoft 365 — doch die meisten KMU nutzen es nicht oder konfigurieren es falsch.

person
Stefan Stoll
calendar_today
schedule3 Min. Lesezeit

Wenn Sie nur eine Sache in Ihrer Microsoft 365-Sicherheitskonfiguration ändern könnten, sollte es Conditional Access sein. Kein anderes einzelnes Feature hat einen vergleichbaren Einfluss auf die Sicherheitslage Ihrer Organisation. Dennoch finden wir in unseren Audits regelmäßig, dass die meisten KMU entweder keine Conditional Access-Richtlinien haben oder Richtlinien so breit konfiguriert sind, dass sie minimalen Schutz bieten.

Was Conditional Access leistet

Conditional Access ist Microsofts Richtlinien-Engine für Zugriffsentscheidungen. Sie wertet Signale aus — wer den Zugriff anfordert, von wo, auf welchem Gerät, bei welchem Risiko — und setzt Aktionen durch: Zulassen, Blockieren oder zusätzliche Verifizierung verlangen.

Stellen Sie es sich als intelligenten Türsteher vor, der in Echtzeit Entscheidungen bei jedem Authentifizierungsversuch trifft. Anders als statische Regeln passt sich Conditional Access dem Kontext an.

Die fünf Richtlinien, die jede Organisation braucht

1. MFA für alle Benutzer erzwingen

Das ist nicht verhandelbar. Jeder Benutzer, jede Anwendung, keine Ausnahmen. Die Richtlinie sollte alle Cloud-Apps abdecken und Multi-Faktor-Authentifizierung als Gewährungsbedingung verlangen. Legacy-Authentifizierungsprotokolle, die MFA nicht unterstützen, müssen komplett blockiert werden — sie sind der häufigste Umgehungsvektor.

2. Zugriff von nicht vertrauenswürdigen Standorten blockieren

Definieren Sie Ihre vertrauenswürdigen Standorte: Büro-IP-Bereiche, VPN-Endpunkte und Länder, in denen Ihre Mitarbeiter tatsächlich arbeiten. Blockieren Sie Anmeldeversuche von überall sonst. Ein deutsches KMU ohne Mitarbeiter in Südostasien sollte keine Authentifizierungsversuche aus dieser Region akzeptieren.

3. Konforme Geräte für Desktop-Apps verlangen

Wenn Sie Geräte über Intune verwalten, verlangen Sie Geräte-Compliance für den Zugriff auf Exchange Online, SharePoint und Teams-Desktop-Anwendungen. Ein ungepatchter, unverschlüsselter privater Laptop sollte nicht mit denselben Rechten auf Ihre Unternehmensdaten zugreifen wie ein verwaltetes Gerät.

4. Hochrisiko-Anmeldungen blockieren

Entra ID Protection weist Anmeldeversuchen Risikostufen zu — basierend auf Impossible Travel, anonymen IP-Adressen, Password-Spray-Erkennung und anderen Signalen. Konfigurieren Sie eine Richtlinie, die hochriskante Anmeldungen blockiert und bei mittlerem Risiko MFA verlangt.

5. Admin-Zugriff einschränken

Globale Admins und privilegierte Rolleninhaber benötigen strengere Kontrollen: MFA immer, konformes Gerät erforderlich, Zugriff nur von vertrauenswürdigen Standorten. Admin-Sitzungen sollten auch eine Anmeldefrequenz erzwingen — eine 24-Stunden-persistente Session für ein Admin-Konto ist zu permissiv.

Häufige Konfigurationsfehler

Notfall-Konten falsch ausschließen. Sie brauchen Notfall-Zugriffskonten, die Conditional Access umgehen — aber diese müssen überwacht werden, keine dauerhaften Berechtigungen haben und ihre Anmeldedaten sicher offline aufbewahrt werden. Wir finden regelmäßig Notfall-Konten mit globalen Admin-Rechten und ohne Monitoring.

Report-Only-Modus unbegrenzt verwenden. Report-Only ist zum Testen. Wir sehen Organisationen, die Richtlinien vor Monaten im Report-Only-Modus bereitgestellt haben und nie auf Durchsetzung umgestellt haben. Die Richtlinien protokollieren Daten, blockieren aber nichts.

Nicht alle Cloud-Apps abdecken. Eine Richtlinie, die MFA für Exchange Online verlangt, aber nicht für SharePoint Online, schafft eine Lücke. Angreifer werden die ungeschützte Anwendung angreifen. Richten Sie immer „Alle Cloud-Apps" als Ziel ein, es sei denn, Sie haben einen dokumentierten Grund für Ausnahmen.

Gast- und externe Benutzer ignorieren. Conditional Access-Richtlinien, die auf „Alle Benutzer" abzielen, erfassen Gäste in Entra ID standardmäßig — aber manche Organisationen erstellen Richtlinien für bestimmte Gruppen und schließen versehentlich externe Mitarbeiter aus, die Zugriff auf sensible Daten haben.

Wirksamkeit messen

Nach der Bereitstellung von Conditional Access prüfen Sie die Anmeldeprotokolle. Sie wollen sehen:

  • Null erfolgreiche Legacy-Authentifizierungsversuche
  • MFA-Abschlussraten über 95 %
  • Blockierte Anmeldeversuche von unerwarteten Standorten
  • Keine erfolgreichen Hochrisiko-Anmeldungen

Diese Metriken sagen Ihnen, ob Ihre Richtlinien tatsächlich funktionieren oder nur auf dem Papier existieren.

Wie eine korrekte Konfiguration aussieht

Ein gut konfigurierter Tenant hat 8–12 Conditional Access-Richtlinien, die alle Benutzertypen, alle Anwendungen und alle Risikoszenarien abdecken. Die Richtlinien schichten sich — sie widersprechen sich nicht. Notfall-Konten werden überwacht, aber ausgenommen. Benannte Standorte sind aktuell und werden vierteljährlich überprüft.

Starten Sie mit einem Audit, um genau zu sehen, welche Richtlinien Sie haben, welche fehlen und welche falsch konfiguriert sind.

person

Über den Autor

Stefan Stoll

Cloud Security Consultant mit Fokus auf Microsoft 365 Sicherheit, NIS2 Compliance und Zero Trust Architektur für deutsche Unternehmen.

Mehr Insights entdecken

Alle Beiträge ansehenarrow_forward