Conditional-Access-Richtlinien fuer kleine Unternehmen in Berlin: MFA das wirklich funktioniert

Jeden Nutzer bei jeder Anmeldung, jederzeit und unabhaengig von Geraet oder Standort zur MFA aufzufordern, ist keine Sicherheitsrichtlinie. Es ist Reibung. Und Reibung treibt Nutzer dazu, Umgehungsloesungen zu finden — dauerhaft angemeldet bleiben, MFA-Aufforderungen bestaetigen ohne sie zu lesen oder so lange auf IT einwirken, bis Ausnahmen gewaehrt werden. Conditional Access in Microsoft Entra ID loest das, indem MFA und andere Kontrollen kontextbasiert angewendet werden: erzwungen, wenn das Risiko real ist, reduziert, wenn der Kontext vertrauenswuerdig ist.

Was Conditional Access ist

Conditional Access ist die Richtlinien-Engine von Entra ID. Sie wertet Signale aus — Benutzeridentitaet, Geraetezustand, Standort, zugegriffene Anwendung, Anmelde-Risikoscore — und trifft eine Zugriffsentscheidung: zulassen, mit Bedingungen zulassen (z.B. MFA oder konformes Geraet erforderlich) oder blockieren. Richtlinien werden ausgefuehrt, nachdem der Nutzer sich authentifiziert hat und bevor er ein Zugriffstoken fuer die angeforderte Ressource erhaelt.

Eine Conditional-Access-Richtlinie hat drei Komponenten:

• Zuweisungen — fuer wen die Richtlinie gilt (alle Nutzer, bestimmte Gruppen, Dienstkonten) und welche Apps sie abdeckt (Microsoft 365, Azure Portal, alle Cloud-Apps)
• Bedingungen — wann die Richtlinie ausloest (bestimmte Geraeteplattformen, Standorte, Anmelde-Risikolevel, Client-Anwendungen)
• Zugriffssteuerungen — was zum Weiterkommen erforderlich ist (MFA, konformes Geraet, Entra-ID-beigetretenes Geraet, Nutzungsbedingungen-Akzeptanz) sowie ob Steuerungen mit AND- oder OR-Logik angewendet werden

Lizenzanforderungen

Conditional Access erfordert Microsoft Entra ID P1 oder hoeher. Fuer KMU ist der sauberste Weg Microsoft 365 Business Premium, das Entra ID P1 im Lizenzpaket enthaelt. Bei M365 Business Basic oder Standard ist Conditional Access ohne Upgrade oder Entra ID P1-Add-on-Lizenz (ca. 6 USD pro Nutzer und Monat) nicht verfuegbar.

Sicherheitsstandards — die kostenlose Alternative — erzwingen MFA fuer alle Nutzer bei allen Anmeldungen ohne jede Anpassbarkeit: keine Ausnahmen fuer Dienstkonten, keine vertrauenswuerdige Standortkonfiguration, kein Geraete-Compliance-Gate. Fuer jedes KMU mit mehr als fuenf Nutzern und ernsthafter Sicherheitsanforderung ist Conditional Access das richtige Werkzeug.

Die Basis-Richtlinien, die jedes KMU braucht

Richtlinie 1: MFA fuer alle Nutzer und alle Apps erfordern, ausser bei vertrauenswuerdigen Standorten und konformen Geraeten. Das ist die Grundrichtlinie. Konfigurieren Sie den IP-Bereich Ihres Bueros als benannten Standort und markieren Sie ihn als vertrauenswuerdig. Entra-ID-beigetretene, von Intune verwaltete Geraete koennen als konform markiert werden und erfullen damit die MFA-Anforderung durch Geraetevertrauen statt Authentifizierungsherausforderung. Nutzer auf verwalteten Buero-Geraeten melden sich ohne MFA-Aufforderungen an; Nutzer auf nicht verwalteten Geraeten von unbekannten Standorten werden herausgefordert.

Richtlinie 2: MFA oder konformes Geraet fuer Microsoft 365-Zugriff erforderlich. Dadurch sind Microsoft 365-Apps — Outlook, SharePoint, Teams — nur von verifizierten Geraeten oder mit MFA-Bestaetigung zugaenglich. Eine staerkere Kontrolle als eine pauschale MFA-Richtlinie, da sie den Zugriff an das Geraetevertrauen koppelt.

Richtlinie 3: Legacy-Authentifizierungsprotokolle blockieren. Legacy-Authentifizierung (Basic Auth, aeltere SMTP/IMAP/POP3-Clients) umgeht MFA vollstaendig. Diese Richtlinie blockiert Authentifizierungsversuche von Legacy-Client-Apps. Pruefen Sie vor der Aktivierung, ob kritische Systeme Legacy-Auth nutzen — automatisierte E-Mail-Skripte und aeltere Drucker-Scan-to-E-Mail-Setups sind haeufige Problemfaelle.

Richtlinie 4: MFA fuer Azure Portal und Administratorrollen erfordern. Admin-Konten sind hochwertige Angriffsziele. MFA fuer alle Nutzer mit Administratorrollen in Entra ID oder Azure bedingungslos erfordern, unabhaengig von Geraet oder Standort. Hier keine Vertrauenswuerdigkeits-Standort-Ausnahmen einrichten.

Benannte Standorte: Vertrauenswuerdig und blockiert

Benannte Standorte sind IP-Bereiche oder Laender-/Regionsgruppen, die Sie in Entra ID definieren und in Conditional-Access-Richtlinien referenzieren. Fuer die meisten KMU die nuetzlichsten benannten Standorte:

• Bueronetzwerk (vertrauenswuerdig) — der oeffentliche IP-Bereich Ihres Berliner Bueros. Authentifizierungen von diesem Bereich koennen als geringeres Risiko eingestuft werden.
• Hochrisiko-Laender (blockiert) — wenn Ihr Unternehmen in bestimmten Regionen keine Niederlassungen hat, koennen Sie Anmeldungen aus diesen Laendern vollstaendig blockieren. Das blockiert einen erheblichen Anteil von Credential-Stuffing-Angriffen ohne operativen Einfluss.

Dienstkonten und Break-Glass-Konten

Zwei Kontokategorien erfordern besondere Behandlung in Conditional Access:

Dienstkonten sind nicht-interaktive Konten, die von Anwendungen, Skripten oder automatisierten Prozessen genutzt werden. Sie koennen typischerweise keine MFA-Herausforderung abschliessen und sollten per Gruppe von MFA-Richtlinien ausgeschlossen werden. Kompensierende Kontrollen: starke, zufallig generierte Passwoerter, eingeschraenkte IP-Bereiche und Ueberwachung auf ungewoehnliche Anmeldemuster.

Break-Glass-Konten (Notfallzugangskonten) sind reine Cloud-Admin-Konten ausserhalb normaler Lebenszyklusprozesse fuer den Fall, dass das primaere Admin-Konto oder eine Conditional-Access-Richtlinie eine Sperrung verursacht. Diese sollten von allen Conditional-Access-Richtlinien ausgeschlossen sein, sehr lange Passwoerter haben, die offline gespeichert sind, und so ueberwacht werden, dass jede Anmeldung sofort eine Benachrichtigung ausloest.

Nur-Bericht-Modus: Testen, bevor Sie blockieren

Jede Conditional-Access-Richtlinie kann auf Nur Bericht gesetzt werden, bevor sie im Modus Ein aktiviert wird. Im Nur-Bericht-Modus wertet die Richtlinie aus, erzwingt aber nicht. Anmeldeprotokolle zeigen, was die Richtlinie getan haette — zugelassen, MFA erforderlich oder blockiert — ohne den Nutzerzugriff zu beeinflussen. Neue Richtlinien ein bis zwei Wochen im Nur-Bericht-Modus betreiben, Anmeldeprotokolle in Entra ID pruefen und unbeabsichtigte Blockierungen identifizieren, bevor in den erzwungenen Modus gewechselt wird. Das ist die korrekte Bereitstellungsreihenfolge fuer jede Conditional-Access-Richtlinie in einer Produktionsumgebung.

Was IT Experts Berlin konfiguriert

Unser Conditional-Access-Bereitstellungs-Engagement umfasst die vier oben beschriebenen Basisrichtlinien, benannte Standort-Konfiguration fuer Ihr Bueronetzwerk, Legacy-Authentifizierungs-Blockierung mit Vorabpruefung, Dienstkonto-Ausschlussgruppen, Break-Glass-Konto-Einrichtung und Nur-Bericht-Zeitraum-Monitoring. Typischerweise ein Tag Aufwand als Teil eines umfassenderen Entra-ID-Haertungsprojekts. Kontaktieren Sie uns fuer eine Beurteilung.