Sicherheitguide

Microsoft 365 Conditional Access – erweiterte Konfiguration 2025

Zero-Trust-Policies: Gerät, Standort und Risiko in Zugriffsregeln

S
SeeColors IT11. Juni 20264 Min. Lesezeit100 Aufrufe

Conditional Access – das Zero-Trust-Herz von M365

Entra ID → Security → Conditional Access

Conditional Access (CA) entscheidet bei jeder Anmeldung ob Zugriff gewährt wird basierend auf:

  • Wer meldet sich an? (User, Rolle, Gruppe)
  • Womit? (Gerät, Plattform, Browser)
  • Von wo? (IP, Land, Named Location)
  • Welche App? (Teams, Exchange, etc.)
  • Welches Risiko? (ML-basiertes Sign-in Risk)

Policy-Empfehlungen für KMU

1. MFA für alle Benutzer

Name: CA001 – MFA für alle Benutzer
Users: All users (außer Notfallkonto)
Cloud apps: All cloud apps
Conditions: keine (immer)
Grant: Require MFA

2. Legacy-Authentifizierung blockieren

Name: CA002 – Block Legacy Auth
Users: All users
Cloud apps: All
Conditions: Client apps: Exchange ActiveSync clients + Other clients
Grant: Block access

3. Compliance-Check für Windows

Name: CA003 – Compliance für Windows
Users: All users
Cloud apps: All
Conditions: Platforms: Windows
Grant: Require device to be marked compliant

4. Risikobasierter Zugriff (Entra ID P2)

Name: CA004 – Hohes Anmelde-Risiko → MFA
Users: All users
Conditions: Sign-in risk: High, Medium
Grant: Require MFA + Require password change

5. Administratoren absichern

Name: CA005 – Admin MFA immer
Users: Directory roles: Global Admin, SharePoint Admin, etc.
Cloud apps: All
Conditions: keine
Grant: Require MFA + Require compliant device

Named Locations konfigurieren

Connect-MgGraph

# Firmen-IP als "vertrauenswürdig" markieren
$ipRanges = New-Object -TypeName "Microsoft.Open.MSGraph.Model.IpRange"
$ipRanges.CidrAddress = "80.100.50.0/24"

New-MgIdentityConditionalAccessNamedLocation -DisplayName "Büro Heidelberg" `
    -IpRanges @($ipRanges) `
    -IsTrusted $true

Policy: Außerhalb der Named Location → MFA erzwingen.

App-Protection-Policies (MAM)

Für mobile Geräte ohne vollständiges MDM:

Intune → Apps → App protection policies → Create policy → iOS/Android:

  • Apps: Outlook, Teams, OneDrive, Edge
  • Require managed browser: Yes
  • Backup data: Block
  • Copy/paste to non-managed apps: Block
  • Save to personal storage: Block

Notfallkonto (Break-Glass Account)

# Notfallkonto von ALLEN CA-Policies ausschließen!
# - Kein MFA (für echten Notfall wenn CA nicht funktioniert)
# - Starkes Passwort in Tresor
# - Aktivität überwachen (Alert bei jeder Anmeldung)

Set-MgIdentityConditionalAccessPolicy -PolicyId <POLICY_ID> `
    -ExcludeUsers "[email protected]"

Report-Only Modus

Neue Policies immer zuerst in Report-only testen:

  • Policy läuft aber blockiert nichts
  • Zeigt wie viele Anmeldungen betroffen wären
  • Nach Validierung auf On stellen

FAQ

Wie teste ich CA-Policies ohne Benutzer auszusperren?
Report-Only Modus verwenden. Danach in der CA-Insights-Workbook auswerten.

Was passiert wenn ein Benutzer kein CA-konformes Gerät hat?
Er sieht eine Fehlermeldung mit Anleitung zur Enrollment. IT-Admin kann temporären Zugriff über Bedingungen gewähren.

Fazit

Conditional Access ist die wirkungsvollste Sicherheitsmaßnahme in M365. 5 gut konfigurierte Policies schützen besser als jede Firewall.

Zero-Trust-Implementierung für KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Sicherheitsberatung anfragen.

Artikel teilen

LinkedIn X / Twitter Facebook WhatsApp

War dieser Artikel hilfreich?

Dein Feedback hilft uns, bessere Inhalte zu erstellen.

Kommentar hinterlassen

#Sicherheit#Conditional Access#Zero Trust#M365

Verwandte Artikel

Active Directory – Fine-Grained Password Policies 2025

4 Min.

Active Directory Tier-Modell – privilegierte Konten sichern 2025

4 Min.

Group Policy Best Practices – Sicherheits-GPOs 2025

4 Min.