Conditional Access: Intelligente Zugriffskontrolle für dein Unternehmen
Conditional Access ist eine Zugriffssteuerung in Microsoft 365. Sie prüft bei jeder Anmeldung, wer sich von welchem Gerät, Ort und unter welchen Bedingungen anmeldet, und erlaubt oder blockiert den Zugriff entsprechend. So gelangen nur berechtigte Personen an Unternehmensdaten. Dieser Beitrag erklärt, wie Conditional Access funktioniert und warum es für Unternehmen wichtig ist.

Was ist Conditional Access?
Conditional Access (bedingte Zugriffskontrolle) ist eine Sicherheitsfunktion in Microsoft Entra ID (ehemals Azure Active Directory). Sie prüft bei jedem Anmeldeversuch automatisch eine Reihe von Bedingungen und entscheidet darauf basierend - ob der Zugriff gewährt - eingeschränkt oder blockiert wird.
Das Prinzip lässt sich so zusammenfassen: Wenn bestimmte Bedingungen zutreffen - dann wende diese Zugriffsregel an. Zum Beispiel: Wenn sich jemand aus einem unbekannten Land anmeldet - dann fordere eine zusätzliche Authentifizierung an. Oder: Wenn das Gerät nicht verwaltet ist - dann erlaube nur den Zugriff über den Browser - ohne Download-Möglichkeit.
Warum reicht ein Passwort nicht mehr aus?
Die klassische Anmeldung mit Benutzername und Passwort hat ein grundlegendes Problem: Sie prüft nur die Identität - nicht den Kontext. Es spielt keine Rolle - ob sich jemand aus dem Büro in Rostock anmeldet oder nachts um 3 Uhr aus einem Land - in dem dein Unternehmen keine Mitarbeitenden hat.
Angreifer - die durch Phishing oder Datenlecks an Zugangsdaten gelangen - können sich damit ungehindert anmelden. Selbst MFA (Multi-Faktor-Authentifizierung) lässt sich durch moderne Angriffstechniken wie Token-Theft oder MFA-Fatigue-Attacken umgehen.
Conditional Access fügt eine weitere Schutzebene hinzu: Es bewertet den gesamten Kontext einer Anmeldung und reagiert dynamisch darauf.
Welche Bedingungen kann Conditional Access prüfen?
Benutzer und Gruppen
Regeln lassen sich auf einzelne Nutzer - Gruppen oder Rollen anwenden. Admins können strengere Anforderungen bekommen als normale Mitarbeitende. Externe Partner oder Gäste lassen sich separat steuern.
Standort
Anmeldungen aus dem Firmennetzwerk oder bekannten IP-Bereichen können als vertrauenswürdig eingestuft werden. Zugriffe aus bestimmten Ländern oder anonymen Proxy-Netzwerken lassen sich blockieren.
Gerätestatus
Conditional Access prüft - ob ein Gerät:
- Im Unternehmen registriert und verwaltet ist (Intune/MDM)
- Die Compliance-Richtlinien erfüllt (aktuelles Betriebssystem - Virenscanner aktiv - Festplatte verschlüsselt)
- Ein privates oder unbekanntes Gerät ist
Anwendung
Regeln können für bestimmte Anwendungen gelten. Der Zugriff auf SharePoint mit sensiblen Dokumenten kann strengere Anforderungen haben als der Zugriff auf Microsoft Teams.
Risikobewertung
Microsoft Entra ID Protection bewertet das Risiko jeder Anmeldung in Echtzeit:
- Niedriges Risiko: Normales Verhalten - Zugriff gewährt
- Mittleres Risiko: Ungewöhnliches Verhalten - MFA erforderlich
- Hohes Risiko: Verdächtige Anmeldung - Zugriff blockiert oder Passwortänderung erzwungen
Clientanwendung
Du kannst unterscheiden - ob der Zugriff über einen modernen Browser - eine Desktop-App oder ein veraltetes Protokoll (Legacy Authentication) erfolgt. Legacy-Protokolle unterstützen kein MFA und sollten blockiert werden.
Praxisbeispiele für Conditional Access
Homeoffice absichern
Mitarbeitende im Homeoffice dürfen auf alle Ressourcen zugreifen - aber nur von verwalteten Geräten mit aktuellem Virenscanner. Auf privaten Geräten ist nur der Browserzugriff auf E-Mails erlaubt - ohne Download-Option.
Admin-Konten schützen
Globale Administratoren müssen sich immer mit MFA und einem Hardware-Token (FIDO2-Key) anmelden. Der Zugriff ist nur von Compliant-Geräten und aus dem Firmennetzwerk möglich.
Externe Partner steuern
Gastnutzer erhalten nur Zugriff auf bestimmte SharePoint-Seiten und Teams-Kanäle. Downloads sind blockiert - der Zugriff läuft ausschließlich über den Browser. Zugriffe aus Nicht-EU-Ländern werden vollständig blockiert.
Reisende Mitarbeitende
Anmeldungen aus neuen Ländern lösen automatisch eine MFA-Anforderung und eine Benachrichtigung an das IT-Team aus. Bei Anmeldungen aus Hochrisikoländern wird der Zugriff blockiert und das Konto temporär gesperrt.
Conditional Access und Zero Trust
Conditional Access ist ein zentraler Baustein der Zero-Trust-Strategie. Das Grundprinzip von Zero Trust lautet: Vertraue niemandem - prüfe alles. Conditional Access setzt genau das um:
- Identität prüfen: Wer meldet sich an?
- Gerät prüfen: Ist das Gerät sicher und verwaltet?
- Kontext bewerten: Von wo - wann und wie erfolgt der Zugriff?
- Zugriff einschränken: Nur die minimal notwendigen Rechte gewähren
- Kontinuierlich überwachen: Jede Sitzung wird laufend bewertet - nicht nur bei der Anmeldung
Häufige Fehler bei der Einrichtung
- Zu viele Ausnahmen: Jede Ausnahme ist ein potenzielles Einfallstor. Besser: Wenige - klare Regeln mit möglichst wenig Ausnahmen
- Keine Break-Glass-Konten: Wenn alle Admins durch eine fehlerhafte Regel ausgesperrt werden - brauchst du Notfall-Konten ohne Conditional Access. Diese müssen besonders gesichert und überwacht werden
- Legacy Authentication vergessen: Alte Protokolle wie POP3, IMAP oder SMTP Basic Auth umgehen MFA komplett und müssen blockiert werden
- Regeln nicht testen: Der "Report-Only"-Modus zeigt dir - welche Auswirkungen eine Regel hätte - ohne sie durchzusetzen. Nutze ihn vor der Aktivierung
- Kein Monitoring: Conditional Access erzeugt detaillierte Logs. Ohne regelmäßige Auswertung bleiben Angriffsversuche und Konfigurationsprobleme unentdeckt
Was brauche ich für Conditional Access?
Conditional Access ist in folgenden Microsoft-Lizenzen enthalten:
- Microsoft 365 Business Premium (für KMU die beste Wahl)
- Microsoft Entra ID P1 oder P2 (als Einzellizenz)
- Microsoft 365 E3/E5 (für größere Unternehmen)
Die risikobasierte Zugriffskontrolle (Entra ID Protection) erfordert eine P2-Lizenz oder Microsoft 365 E5.
So unterstützt Baltaris dich bei Conditional Access
Als Microsoft-Partner richten wir Conditional Access für dein Unternehmen ein:
- Bestandsaufnahme: Wir analysieren deine aktuelle Anmeldesicherheit und identifizieren Schwachstellen
- Regelwerk erstellen: Wir entwickeln ein Conditional-Access-Konzept - das zu deiner Arbeitsweise passt - ohne den Arbeitsfluss unnötig zu stören
- Rollout im Report-Only-Modus: Bevor Regeln durchgesetzt werden - testen wir sie im Trockenlauf
- Intune-Integration: Gerätecompliance als Voraussetzung für den Zugriff einrichten
- Break-Glass-Konten: Notfall-Konten einrichten und absichern
- Monitoring und Optimierung: Regelmäßige Auswertung der Anmeldelogs und Anpassung der Regeln
- Schulung: Dein Team lernt - warum bestimmte Zugriffe blockiert werden und wie es richtig reagiert
Empfohlene Policy-Vorlagen für KMU
Baltaris empfiehlt folgende Conditional-Access-Policies als Mindeststandard für jedes Unternehmen:
- MFA für alle Benutzer: Multi-Faktor-Authentifizierung für jeden Login - ohne Ausnahmen
- Blockierung veralteter Authentifizierung: Legacy-Protokolle wie POP3 und IMAP deaktivieren - da sie kein MFA unterstützen
- Standortbasierte Einschränkung: Zugriff nur aus Deutschland und definierten Reiseländern erlauben
- Geräte-Compliance: Nur verwaltete Geräte mit aktuellem Betriebssystem und aktivem Endpoint-Schutz erhalten Zugriff
- Risiko-basierte Anmeldung: Bei ungewöhnlichen Anmeldemustern automatisch zusätzliche Verifizierung anfordern
- Session-Timeout: Automatische Abmeldung nach 8 Stunden Inaktivität für Webanwendungen
Deployment-Checkliste
- [ ] Bestandsaufnahme: Welche Geräte und Apps greifen auf Microsoft 365 zu?
- [ ] MFA-Registrierung: Alle Mitarbeiter registrieren mindestens eine MFA-Methode
- [ ] Report-Only-Modus: Neue Policies zunächst 2 Wochen im Testmodus betreiben
- [ ] Notfall-Accounts: 2 Break-Glass-Accounts ohne Conditional Access für Notfälle anlegen
- [ ] Schrittweise Aktivierung: Policies abteilungsweise ausrollen - nicht global auf einmal
- [ ] Monitoring: Sign-in-Logs täglich prüfen - blockierte Anmeldungen analysieren
- [ ] Dokumentation: Alle Policies und Ausnahmen schriftlich festhalten
Häufige Fehler und Troubleshooting
Problem: Mitarbeiter werden ständig nach MFA gefragt - Ursache ist oft ein fehlendes Trusted-Device-Token. Lösung: Geräte in Intune registrieren und als „compliant" markieren.
Problem: Externe Partner können nicht auf geteilte Dokumente zugreifen - Gastkonten benötigen separate Conditional-Access-Policies. Lösung: Eine eigene Policy für B2B-Gäste mit weniger restriktiven Standortregeln erstellen.
Problem: Mobile Geräte werden blockiert - Private Smartphones erfüllen oft nicht die Geräte-Compliance. Lösung: App-Protection-Policies statt Geräte-Compliance für BYOD-Szenarien verwenden.
Fazit
Conditional Access verwandelt die Anmeldung von einem einfachen Ja/Nein in eine kontextbasierte Entscheidung. Statt jedem Zugriff blind zu vertrauen - wird jede Anmeldung individuell bewertet. Für Unternehmen mit Microsoft 365 ist es eine der wirksamsten Sicherheitsmaßnahmen - die sich mit überschaubarem Aufwand umsetzen lässt.
Richtig konfiguriert schützt Conditional Access vor gestohlenen Zugangsdaten - unsicheren Geräten und verdächtigen Anmeldemustern - ohne deine Mitarbeitenden im Alltag auszubremsen.
Du möchtest Conditional Access in deinem Unternehmen einrichten oder deine bestehende Konfiguration überprüfen lassen? Sprich uns an - wir helfen dir gerne weiter.
Fragen zu diesem Thema?
Wir beraten dich gerne, kostenlos und unverbindlich. Lass uns gemeinsam schauen, wie wir dein Unternehmen schützen können.
Weitere Artikel
IT-Sicherheit im Mittelstand: Warum KMU besonders gefährdet sind
Kleine und mittlere Unternehmen sind das Hauptziel von Cyberangriffen. Wir erklären warum, und was du dagegen tun kannst.
Veeam Backup erklärt: Datensicherung für Unternehmen
Veeam ist der Marktführer für Backup und Recovery. Wir erklären Funktionen, Editionen, Lizenzmodelle und Best Practices, alles, was du für eine sichere Datensicherung wissen musst.
Patchmanagement erklärt: Warum Updates überlebenswichtig sind
Ungepatchte Systeme sind das Einfallstor Nr. 1 für Cyberangriffe. Wir erklären, was Patchmanagement ist, warum es so kritisch ist und wie du es professionell umsetzt.