Microsoft 365 mit Conditional Access absichern.

Conditional Access ist Microsofts Zero-Trust-Richtlinienmodul innerhalb von Microsoft Entra ID (ehemals Azure Active Directory). Jede Conditional Access Policy folgt dem Prinzip einer Wenn-Dann-Regel: Wenn ein Benutzer auf eine Ressource wie Microsoft 365 zugreifen möchte, dann muss er eine bestimmte Bedingung erfüllen – zum Beispiel eine Multi-Faktor-Authentifizierung durchführen oder ein über Microsoft Intune verwaltetes Gerät verwenden.

Conditional Access wertet bei jedem Anmeldeversuch Signale aus und trifft auf dieser Basis eine Zugriffsentscheidung. Zu diesen Signalen gehören:

• Benutzeridentität und Gruppenmitgliedschaft
• IP-Adresse und geografischer Standort der Anmeldung
• Gerätestatus und Betriebssystemversion (über Microsoft Intune)
• Anwendung, auf die zugegriffen wird
• Echtzeit-Risikobewertung durch Microsoft Entra ID Protection
• Client-Applikation und Authentifizierungsprotokoll

Basierend auf diesen Signalen wird der Zugriff gewährt, eine zusätzliche Verifikation verlangt (z. B. MFA) oder der Zugriff vollständig blockiert. Conditional Access Policies werden nach der ersten Authentifizierung ausgewertet – sie ersetzen kein Passwort, sondern ergänzen den Anmeldeprozess um kontextbasierte Sicherheitsprüfungen. Conditional Access bildet damit das Herzstück jeder Microsoft 365 Security Strategie.

Conditional Access erfordert mindestens eine Microsoft Entra ID P1 Lizenz für jeden Benutzer, auf den eine Policy angewendet wird. Diese Lizenz ist in folgenden Microsoft 365 Abonnements enthalten:

• Microsoft 365 Business Premium (für Unternehmen bis 300 Benutzer)
• Microsoft 365 E3 und E5
• Microsoft 365 F1, F3 und F5
• Microsoft Entra ID P1 als Einzellizenz

Für erweiterte Funktionen wie risikobasierte Conditional Access Policies, die Anmelderisiko und Benutzerrisiko aus Microsoft Entra ID Protection einbeziehen, wird Microsoft Entra ID P2 benötigt. Diese Lizenz ist in Microsoft 365 E5 enthalten.

Die in Microsoft 365 Business Basic und Business Standard enthaltenen Security Defaults bieten zwar eine grundlegende MFA-Pflicht für alle Benutzer, erlauben aber keine individuellen Conditional Access Policies. Für Unternehmen, die granulare Zugriffsregeln benötigen, ist ein Upgrade auf Business Premium oder eine separate P1-Lizenz erforderlich.

Als Microsoft Cloud Solution Provider lizenziert die InSys AG sämtliche Microsoft 365 Abonnements direkt und zu attraktiven Konditionen.

Microsoft empfiehlt eine Reihe von Baseline-Policies, die in jeder Microsoft 365 Umgebung konfiguriert sein sollten. Die folgenden Richtlinien bilden das Fundament einer sicheren Zugriffskonfiguration.

MFA für alle Benutzer erzwingen

Multi-Faktor-Authentifizierung ist die einzelne Maßnahme mit dem höchsten Sicherheitsgewinn. Microsoft gibt an, dass MFA über 99 Prozent aller kontobasierten Angriffe verhindert. Die empfohlene Konfiguration erfolgt über eine Conditional Access Policy statt über die ältere Per-User-MFA-Methode, da Policies mehr Kontrolle und Flexibilität bieten.

Empfohlene Konfiguration: Alle Benutzer einschließen, Notfallkonten (Break-Glass Accounts) ausschließen, als Zugriffsanforderung MFA erzwingen. Als Authentifizierungsmethode sollten die Microsoft Authenticator App, Passkeys oder FIDO2-Sicherheitsschlüssel verwendet werden – nicht SMS, da diese für SIM-Swapping-Angriffe anfällig ist.

Anmeldungen aus unbekannten Standorten blockieren (Geofencing)

Mit Conditional Access können Sie Anmeldestandorte gezielt steuern. Definieren Sie in Microsoft Entra ID unter „Benannte Standorte" die IP-Bereiche Ihrer Unternehmensstandorte als vertrauenswürdige Standorte. Erstellen Sie anschließend eine Policy, die Anmeldungen von allen anderen Standorten blockiert oder MFA erzwingt.

Für Unternehmen mit Mitarbeitenden im Ausland lassen sich länderspezifische Ausnahmen definieren. Ein Beispiel: Der Zugriff wird generell auf Deutschland beschränkt, für einzelne Benutzer aber auch aus dem jeweiligen Einsatzland erlaubt.

Nur konforme Geräte zulassen (Devicefencing)

In Kombination mit Microsoft Intune stellt Conditional Access sicher, dass nur verwaltete und richtlinienkonforme Geräte auf Unternehmensdaten zugreifen können. Ein Gerät gilt als konform, wenn es die in Intune definierten Compliance-Richtlinien erfüllt – beispielsweise aktuelles Betriebssystem, aktivierte Festplattenverschlüsselung und aktiver Virenschutz.

Geräte, die diese Anforderungen nicht erfüllen, werden automatisch blockiert oder erhalten nur eingeschränkten Zugriff über den Browser.

Legacy-Authentifizierung blockieren

Ältere Authentifizierungsprotokolle wie POP3, IMAP und SMTP Auth unterstützen keine Multi-Faktor-Authentifizierung. Solange diese Protokolle erlaubt sind, kann ein Angreifer mit gestohlenen Zugangsdaten MFA umgehen. Die Lösung: Erstellen Sie eine Conditional Access Policy, die Anmeldungen über Legacy-Protokolle für alle Benutzer blockiert.

Prüfen Sie vorab in den Entra ID Sign-in Logs, ob noch Anwendungen Legacy-Protokolle nutzen. Typische Kandidaten sind ältere Druckersysteme, CRM- oder ERP-Systeme und Outlook-Versionen vor 2016.

Separate Regeln für Administratorkonten

Administratorkonten sind das wertvollste Ziel für Angreifer. Konfigurieren Sie für alle Konten mit administrativen Rollen verschärfte Policies: Phishing-resistente MFA (Passkeys oder FIDO2), Anmeldung ausschließlich von konformen Geräten und Einschränkung auf vertrauenswürdige Standorte.

Ein kompromittierter Admin-Account kann zu vollständigem Datenverlust führen. Der Stryker-Vorfall, bei dem über einen einzigen kompromittierten Admin-Account 80.000 Geräte gelöscht wurden, zeigt die Tragweite.

Die Konfiguration von Conditional Access erfolgt im Microsoft Entra Admin Center unter Entra ID → Conditional Access → Policies → Neue Richtlinie.

Jede Policy besteht aus drei Elementen:

• Zuweisungen: Für welche Benutzer, Gruppen und Ziel-Anwendungen gilt die Richtlinie?
• Bedingungen: Unter welchen Umständen wird die Policy ausgelöst? (Standort, Geräteplattform, Client-App, Risikostufe)
• Zugriffssteuerung: Was passiert, wenn die Bedingungen erfüllt sind? (Zugriff gewähren mit MFA, Zugriff blockieren, eingeschränkten Zugriff gewähren)

Wichtig: Aktivieren Sie neue Policies immer zunächst im Modus „Nur Bericht" (Report-Only). So können Sie die Auswirkungen analysieren, bevor die Richtlinie tatsächlich greift. Erst nach erfolgreicher Validierung sollte die Policy auf „Ein" gestellt werden.

Richten Sie außerdem mindestens zwei Notfallkonten (Break-Glass Accounts) ein, die von allen Conditional Access Policies ausgeschlossen sind. Diese Konten dienen als Zugang, falls Sie sich durch eine fehlerhafte Policy selbst aussperren.

Conditional Access ist das zentrale Richtlinienmodul einer Zero-Trust-Architektur in Microsoft 365. Das Zero-Trust-Prinzip „Nie vertrauen, immer verifizieren" wird durch Conditional Access technisch umgesetzt: Jeder Zugriff wird unabhängig vom Netzwerkstandort geprüft, Identitäten werden bei jedem Zugriff verifiziert und der Zugriff wird auf das notwendige Minimum beschränkt.

In Kombination mit Microsoft Defender XDR, Microsoft Intune und Microsoft Purview bildet Conditional Access die Klammer um den gesamten Microsoft Security Stack. Die InSys AG konfiguriert diese Komponenten als ganzheitliche Sicherheitsarchitektur – nicht als isolierte Einzelmaßnahmen.

Die InSys AG ist Microsoft Solutions Partner für Security und Modern Work mit Erfahrung aus der Absicherung von mehr als 80.000 Microsoft 365 Anwendern. Unsere Microsoft Security Spezialisten konfigurieren Ihre Conditional Access Policies nicht isoliert, sondern als Bestandteil einer ganzheitlichen Sicherheitsstrategie.

Unser Vorgehen:

• Analyse Ihrer bestehenden Entra ID Konfiguration und Auswertung der Sign-in Logs
• Definition eines Conditional Access Rulesets auf Basis Ihrer Unternehmensanforderungen
• Konfiguration und Test im Report-Only-Modus
• Aktivierung mit begleitender Kommunikation an Ihre Mitarbeitenden
• Optional: Fortlaufende Überwachung und Anpassung im Rahmen unseres Microsoft Secure Score Managed Service (SSMS)

Sie erreichen uns an unseren Standorten in Bielefeld und Hamburg – oder remote, bundesweit.

Sie möchten wissen, wie gut Ihre Microsoft 365 Umgebung aktuell abgesichert ist? Unser Microsoft Tenant Securitycheck liefert Ihnen eine fundierte Analyse zum Festpreis. Lesen Sie auch unseren ausführlichen Leitfaden für Microsoft 365 Sicherheit mit zwölf konkreten Maßnahmen für Unternehmen.

"Es ist bestürzend mitzuerleben, wie viele durch Angriffe in ihrer Existenz bedrohte Unternehmen sich bei uns melden. Und ebenso bestürzend ist es zu wissen, dass die Mehrzahl der Angriffe mit überschaubaren Kosten vermeidbar gewesen wäre."

Thomas Honemeyer, Vorstand InSys AG

InSys AG | EXPERTS IN DIGITAL STRATEGY.

Die InSys AG unterstützt Unternehmen des Mittelstandes und aus dem Enterprise-Segment im Prozess ihrer digitalen Transformation. Unsere Schwerpunkte liegen zum einen in der Einführung moderner Arbeitsweisen im Themenkomplex „Secure Modern Workplace“ auf Basis von Microsoft Cloudlösungen wie Microsoft 365, Office 365 und Azure sowie Microsoft Dynamics und zum anderen in Consultingleistungen zur Entwicklung digitaler Geschäftsmodelle und -prozesse.

Den digitalen Wandel aktiv mitgestalten. Geschäftsmodelle und -prozesse erfolgreich transformieren. Mit der InSys AG - Ihrem IT Systemhaus aus Bielefeld und Hamburg.

Thomas Honemeyer, Vorstand der InSys AG, ist auch Gründungsmitglied von 4digital (for digital). Vier Digitale für Digitales. Sparringspartner für Vorstände und CEOs. Ideengeber und Gesprächspartner.

Ob Sie Conditional Access erstmalig einführen, bestehende Policies optimieren oder die fortlaufende Überwachung an einen erfahrenen Partner übergeben möchten – unsere Microsoft Security Spezialisten beraten Sie persönlich. Vereinbaren Sie jetzt ein unverbindliches Erstgespräch – telefonisch, per Microsoft Teams oder vor Ort in Bielefeld oder Hamburg.