Was ist Conditional Access?
Conditional Access (Bedingter Zugriff) ist eine Sicherheitsfunktion in Microsoft Entra ID (früher Azure AD), die als intelligenter Gatekeeper zwischen Benutzer und Cloud-Ressourcen fungiert. Er bewertet bei jedem Anmeldeversuch verschiedene Signale und entscheidet dann:
- Zugriff erlauben
- Zugriff erlauben aber MFA verlangen
- Zugriff mit verwalteten Geräten einschränken
- Zugriff verweigern (z. B. von bestimmten Ländern)
Conditional Access ist der Kern einer Zero-Trust-Sicherheitsstrategie: "Vertraue nie, überprüfe immer."
Verfügbar ab: Microsoft Entra ID P1 (enthalten in M365 Business Premium, E3, E5)
Signale, Bedingungen und Aktionen
Signale (Bedingungen)
Conditional Access wertet aus:
- Benutzer oder Gruppe: Gilt für alle oder bestimmte Gruppen
- Cloud-App: Welche Anwendung wird aufgerufen (Outlook, SharePoint, etc.)
- Gerät: Ist es verwaltet (Intune)? Windows, iOS, Android?
- Standort: IP-Adresse, Land, benannte Standorte
- Anmelderisiko: Wird von Microsoft Entra ID Protection bewertet (normal, mittel, hoch)
- Benutzerrisiko: Hat das Konto verdächtige Aktivitäten?
Aktionen (Zugriffssteuerungen)
Was passiert wenn Bedingungen erfüllt sind:
- MFA anfordern
- Kompatibles Gerät verlangen (Intune-verwaltet)
- Zugriff blockieren
- Kennwortänderung verlangen
- Anmeldung in Bedingungen akzeptieren (Nutzungsbedingungen)
Conditional-Access-Richtlinien erstellen
Zugang zum Portal
- Öffnen Sie entra.microsoft.com oder portal.azure.com
- Navigieren Sie zu Entra ID → Sicherheit → Bedingter Zugriff
- Neue Richtlinie
Wichtige Grundprinzipien
Break-Glass-Konten: Erstellen Sie immer 2 Notfall-Admin-Konten ohne Conditional Access (Break-Glass Accounts). Diese werden von allen CA-Richtlinien ausgeschlossen. Wenn CA falsch konfiguriert ist, bleiben Sie nicht ausgesperrt.
Report-Only-Modus: Neue Richtlinien immer zunächst im Nur melden (Report Only)-Modus testen. Zeigt im Anmeldeprotokoll was passieren würde, blockiert aber nichts.
Die 5 wichtigsten Conditional-Access-Richtlinien für KMU
Richtlinie 1: MFA für alle Administratoren
Alle Admins müssen immer MFA nutzen – ohne Ausnahme.
Konfiguration:
- Name: "Require MFA for Admins"
- Benutzer: Alle Directory-Rollen (Globaler Admin, Exchange Admin, etc.)
- Cloud-Apps: Alle Cloud-Apps
- Bedingungen: Keine
- Zugriffssteuerung: MFA anfordern
- Status: Aktiviert
Richtlinie 2: MFA für alle Benutzer (Baseline)
Alle Benutzer müssen MFA bei jeder Anmeldung verwenden.
Konfiguration:
- Name: "Require MFA for All Users"
- Benutzer: Alle Benutzer (Break-Glass-Konten ausschließen!)
- Cloud-Apps: Alle Cloud-Apps
- Bedingungen: Keine (oder: Nur wenn Anmelderisiko mittel/hoch)
- Zugriffssteuerung: MFA anfordern
Richtlinie 3: Risikoreiche Anmeldungen blockieren
Verdächtige Anmeldeversuche automatisch blockieren.
Konfiguration:
- Name: "Block High Risk Sign-Ins"
- Benutzer: Alle Benutzer
- Cloud-Apps: Alle
- Bedingungen → Anmelderisiko: Hoch
- Zugriffssteuerung: Zugriff blockieren
Microsoft Entra ID Protection erkennt automatisch verdächtige Muster (unbekannte IP, unmögliche Reise, etc.).
Richtlinie 4: Zugriff von unbekannten Ländern blockieren
Logins aus Ländern, in denen keine Mitarbeiter sind, blockieren.
- Zuerst benannte Standorte definieren:
Sicherheit → Bedingter Zugriff → Benannte Standorte → Hinzufügen- "Deutschland" mit IP-Ranges oder Länderauswahl
- Auch Homeoffice-IPs als "Vertrauenswürdige Standorte" definieren
Richtlinie:
- Name: "Block Access from Untrusted Locations"
- Benutzer: Alle Benutzer
- Cloud-Apps: Alle
- Bedingungen → Standorte: Alle Standorte AUSSER Deutschland (und ggf. weitere Länder)
- Zugriffssteuerung: Zugriff blockieren
Richtlinie 5: Verwaltete Geräte für sensitive Apps vorschreiben
SharePoint und Exchange nur von Intune-verwalteten Geräten erlauben.
Konfiguration:
- Name: "Require Compliant Device for SharePoint"
- Benutzer: Alle Benutzer
- Cloud-Apps: SharePoint Online, Exchange Online
- Bedingungen → Geräteplattformen: Windows, iOS, Android
- Zugriffssteuerung: Kompatibles Gerät verlangen (Intune Compliance Policy)
Conditional Access überwachen
Anmeldeprotokoll prüfen
Entra ID → Anmeldungen:
- Zeigt alle Anmeldeversuche
- Spalte "Bedingter Zugriff" zeigt angewendete Richtlinien
- Gründe für Blockierungen sichtbar
Insights und Berichte
Bedingter Zugriff → Einblicke und Berichte:
- Zeigt Auswirkungen jeder Richtlinie (Report-Only-Ergebnisse)
- Hilfreich zur Validierung vor Aktivierung
"Was wäre wenn"-Tool
Sicherheit → Bedingter Zugriff → Was wäre wenn:
Simulieren Sie eine Anmeldung eines bestimmten Benutzers von einem bestimmten Gerät/Standort → zeigt welche Richtlinien greifen würden.
Typische Fehler und Lösungen
Alle Benutzer ausgesperrt:
Break-Glass-Konto nutzen, anmelden, fehlerhafte Richtlinie deaktivieren oder anpassen.
MFA-Prompts trotz bekannter Geräte:
"Persistent Browser Session" (Anmeldestatus beibehalten) konfigurieren – dann ist MFA bei bekannten Geräten seltener nötig.
Externe Benutzer ausgesperrt:
Gäste müssen separat behandelt werden (eigene Gastrichtlinien oder Ausnahmen in Richtlinien).
FAQ
Brauche ich für Conditional Access eine bestimmte Lizenz?
Ja, Entra ID P1 (in M365 Business Premium, E3) für alle Grundfunktionen. Entra ID P2 (in E5) für risikobasierte Richtlinien (Anmelderisiko-Bedingungen).
Kann Conditional Access BYOD-Geräte (private Geräte) handhaben?
Ja, mit App Protection Policies (Intune App Management) können Sie auch unverwaltete Geräte mit Einschränkungen akzeptieren (z. B. kein Download, kein Copy-Paste auf private Apps).
Stört Conditional Access normale Benutzer stark?
Mit gut konfigurierten persistenten Sessions und vertrauenswürdigen Standorten kaum. MFA-Prompts kommen typischerweise einmal täglich oder bei Standortwechsel.
Fazit
Conditional Access ist die wichtigste Sicherheitsmaßnahme in Microsoft 365 neben MFA. Mit den fünf beschriebenen Richtlinien schützen Sie Ihre Organisation vor den häufigsten Angriffen.
Als Microsoft 365 und Entra ID Experten in Heidelberg implementieren wir Zero-Trust-Sicherheitskonzepte für Unternehmen in Mannheim, Ludwigshafen und der gesamten Rhein-Neckar-Region. Jetzt Sicherheitsberatung anfragen.