Microsoft Entra ID für kleine Unternehmen: Passwortlose Anmeldung, MFA und bedingter Zugriff erklärt

Wenn Ihr Unternehmen Microsoft 365 nutzt, verwenden Sie bereits Microsoft Entra ID — auch wenn das noch niemand so genannt hat. Entra ID (von Microsoft 2023 aus Azure Active Directory umbenannt) ist die Identitäts- und Zugriffsverwaltungsschicht hinter jeder M365-Anmeldung.

Was ist Microsoft Entra ID?

Entra ID ist ein cloudbasierter Verzeichnisdienst. Er verwaltet Benutzeridentitäten, kontrolliert, auf welche Anwendungen diese Identitäten zugreifen können, setzt Authentifizierungsrichtlinien durch und erstellt das Prüfprotokoll darüber, wer sich wann von wo angemeldet hat.

Jedes Microsoft 365-Abonnement enthält eine Version von Entra ID. Entra ID P1 — in Microsoft 365 Business Premium enthalten — fügt bedingten Zugriff und Self-Service-Passwortzurücksetzung hinzu. Für die meisten KMU ist P1 (Business Premium) die richtige Stufe.

Warum Identität die primäre Angriffsoberfläche ist

Die Mehrheit der Angriffe auf kleine Unternehmen beginnt nicht mit Malware. Sie beginnen mit einem kompromittierten Anmeldedatensatz — einem Passwort, das über Phishing gestohlen oder per Brute-Force erraten wurde. Laut Microsoft blockiert MFA mehr als 99 % automatisierter anmeldedaten-basierter Angriffe.

Multi-Faktor-Authentifizierung: Die unverzichtbare Grundlage

MFA erfordert, dass Benutzer ihre Identität durch einen zweiten Faktor zusätzlich zu ihrem Passwort bestätigen. Die drei gängigen Optionen in M365:

• Microsoft Authenticator-App — Push-Benachrichtigung oder Einmalcode auf einem Smartphone. Die empfohlene Standardoption.
• SMS/Anruf — Zugänglicher, aber schwächer als app-basiertes MFA.
• FIDO2-Sicherheitsschlüssel — physischer Hardware-Schlüssel, geeignet für Konten mit hohen Berechtigungen.

MFA im Tenant einrichten

1. Rufen Sie das Microsoft Entra Admin Center (entra.microsoft.com) auf und melden Sie sich als Globaler Administrator an.
2. Prüfen Sie, ob Sicherheitsstandards aktiviert sind. Bei Business Premium sollten Sie zu bedingtem Zugriff wechseln — Sicherheitsstandards und bedingter Zugriff schließen sich gegenseitig aus.
3. Deaktivieren Sie SMS als primäre Methode, wenn möglich.

Passwortlose Authentifizierung

Passwortlose Authentifizierung entfernt das Passwort vollständig aus dem Anmeldevorgang. Statt Passwort + MFA-Abfrage authentifizieren sich Benutzer nur über die Authenticator-App, einen FIDO2-Schlüssel oder Windows Hello for Business.

Das ist nicht nur bequemer — es ist auch sicherer. Passwörter können ge-phisht werden. Eine passwortlose Anmeldedaten kann nicht auf einer gefälschten Anmeldeseite eingegeben werden, da sie kryptografisch an die echte Microsoft-Anmeldedomäne gebunden ist.

Passwortlose Anmeldung aktivieren

1. Im Entra Admin Center: Identität > Authentifizierungsmethoden > Authentifizierungsmethoden-Richtlinie.
2. Aktivieren Sie Microsoft Authenticator und setzen Sie den Modus auf Passwortlos.
3. Aktivieren Sie FIDO2-Sicherheitsschlüssel für Nutzer mit hohen Berechtigungen.
4. Pilotprojekt mit kleiner Gruppe: Benutzer müssen die App im passwortlosen Modus neu registrieren.

Bedingter Zugriff: Die richtige Richtlinie im richtigen Kontext

Bedingter Zugriff ist die Richtlinien-Engine in Entra ID. Er ermöglicht die Definition von Regeln: Bei Anmeldung von außerhalb Deutschlands auf einem nicht verwalteten Gerät — MFA verlangen und Zugriff auf sensible Apps einschränken.

Wesentliche Richtlinien für KMU

Richtlinie 1 — MFA für alle Benutzer verlangen
Bedingungen: Alle Benutzer, alle Cloud-Apps. Gewähren: MFA verlangen. Das ist der Mindeststandard.

Richtlinie 2 — Legacy-Authentifizierung blockieren
Legacy-Protokolle (SMTP AUTH, IMAP, POP3 mit Basisauth) können keine MFA-Abfragen verarbeiten und sind ein verbreiteter Angriffsvektor.

Richtlinie 3 — MFA immer für Administratoren verlangen
Admin-Konten sollten unabhängig von Netzwerk oder Gerät den strengsten Kontrollen unterliegen.

Richtlinie 4 — Konformes Gerät für sensible Apps verlangen (bei Intune)
Nur verwaltete, gepatchte Geräte können auf SharePoint, Exchange und andere sensible Apps zugreifen.

Häufige Lücken in KMU-Tenants

• Globale Admin-Konten ohne MFA — oft das ursprüngliche Einrichtungskonto
• Sicherheitsstandards noch aktiviert auf Business-Premium-Tenants — blockiert bedingten Zugriff
• Freigegebene Postfächer mit Passwörtern — direkte Anmeldung sollte deaktiviert sein
• Kein Notfallzugriffskonto — bei MFA-Ausfall benötigt
• Gastkonten aus alten Projekten — werden selten überprüft

Wenn Sie Ihre aktuelle Entra ID- und M365-Sicherheitskonfiguration unabhängig überprüfen lassen möchten, umfasst unsere kostenlose IT-Analyse die gesamte Tenant-Sicherheitslage.