Bedingter Zugriff (Conditional Access) steuert präzise, unter welchen Bedingungen Benutzer auf Ressourcen zugreifen dürfen, und hält so Datenschutzvorgaben ein. Er ist das Herzstück deiner Zero-Trust-Strategie: Statt jedem Login aus dem internen Netzwerk blind zu vertrauen, prüft Entra ID jede Anfrage in Echtzeit.
Die Qualität deiner MFA entscheidet dabei mit. Die Methodenrichtlinie für den Microsoft Authenticator ergänzt jede CA-MFA um Zahlenabgleich (Number Matching) sowie die Anzeige der anfragenden App und des Standorts. Number Matching ist seit Mai 2023 standardmäßig aktiv und lässt sich nicht mehr abschalten. So verhinderst du MFA-Ermüdung und machst Prompt-Bombing-Angriffe sofort sichtbar.
Voraussetzung: Bedingter Zugriff erfordert mindestens Entra ID P1. Risikobasierte Bedingungen wie Anmelderisiko oder Benutzerrisiko setzen P2 voraus (Identity Protection).
Wie Bedingter Zugriff funktioniert
Der Bedingte Zugriff arbeitet wie ein Türsteher. Bei jedem Anmeldeversuch wertet er mehrere Signale aus: Wer fragt an (Benutzer, Gruppe, Rolle), woher (IP-Adresse, Standort), womit (Geräteplattform, Compliance-Status) und wohin (welche App wird aufgerufen).
Aus diesen Signalen leitet die Richtlinie eine Entscheidung ab: Zugriff gewähren, blockieren oder, der häufigste Fall, zusätzliche Anforderungen stellen. Ein typisches Beispiel: Du darfst rein, aber nur mit MFA.
Bedingte Zugriffsrichtlinie erstellen
Der Einstieg erfolgt im Entra Admin Center unter Entra ID > Bedingter Zugriff > Richtlinien.
Du gehst die Erstellung in fünf Schritten durch.
1. Neue Richtlinie anlegen
Du erstellst eine Richtlinie komplett neu oder nutzt eine der Vorlagen (Templates), die Microsoft für gängige Szenarien bereitstellt, etwa "MFA für alle Admins".
Klicke auf "Erstellen" und vergib einen aussagekräftigen Namen nach einem festen Schema, zum Beispiel "CA001: Alle Benutzer, MFA erzwingen". Ein konsistentes Namensschema (Präfix, Geltungsbereich, Kontrolle) zahlt sich aus, sobald du zweistellige Richtlinienzahlen verwaltest.
2. Zuweisung: Wer und Was?
Hier definierst du den Geltungsbereich. Sei präzise, um niemanden auszusperren. Unter Benutzer schließt du den Zielkreis ein, etwa "Alle Benutzer" oder eine Gruppe wie "Vertrieb". Im Reiter Ausschließen nimmst du unbedingt deine Notfall-Admins (Break-Glass-Konten) heraus. Sperrst du dich mit einer Fehlkonfiguration selbst aus, sind diese Konten dein einziger Rettungsweg.
Beachte aber: Microsoft erzwingt seit der Einführung 2024 und 2025 ohnehin MFA für die Anmeldung an den Admin-Portalen (Azure-Portal, Entra Admin Center, Intune, Microsoft 365 Admin Center), unabhängig von deinen CA-Richtlinien. Deine Break-Glass-Konten schließt du daher zwar aus den CA-Richtlinien aus, sie brauchen trotzdem eine registrierte phishing-resistente MFA-Methode wie einen FIDO2-Key, weil die Microsoft-Pflicht-MFA auch für sie greift. Überwache diese Konten gesondert per Alert.
Unter Zielressourcen bestimmst du, welche Apps geschützt werden, etwa "Office 365", "Microsoft Azure Management" oder "Alle Ressourcen".
3. Bedingungen: Wann greift die Regel?
Hier verfeinerst du den Filter, die Richtlinie greift nur bei erfüllten Kriterien. Über Geräteplattformen begrenzt du die Regel auf Windows, iOS oder Android. Unter Standorte definierst du vertrauenswürdige IP-Bereiche, um Regeln gezielt zu lockern, oder sperrst Länder, aus denen keine Zugriffe erfolgen sollen. Bei Client-Apps unterscheidest du Browser und Desktop-Apps und blockierst veraltete Authentifizierungsprotokolle (Legacy Auth), die ein klassisches Einfallstor sind. Über Gerätefilter wendest du Richtlinien nur auf bestimmte Geräte an, etwa nur auf Surface-Laptops.
Zum Thema Legacy Auth: Die Basisauthentifizierung in Exchange Online hat Microsoft bereits Ende 2022 für die meisten Protokolle abgeschaltet, SMTP AUTH folgt bis Ende 2026. Eine CA-Richtlinie gegen Legacy Auth bleibt trotzdem sinnvoll, als zusätzliche Absicherung für verbleibende Altprotokolle.
4. Zugriffskontrolle: Die Entscheidung
Was passiert, wenn alle Bedingungen zutreffen? Unter Zugriff gewähren setzt du die Hürden. "MFA erforderlich" verlangt den zweiten Faktor. "Gerät muss als konform markiert sein" lässt nur saubere, von Intune verwaltete Geräte zu.
Alternativ wählst du Zugriff verweigern und blockierst den Anmeldeversuch vollständig, etwa bei Zugriff aus Risikoländern.
5. Sitzung: Die Feinsteuerung
Unter Sitzung regelst du das Verhalten nach der Anmeldung. Mit der Anmeldehäufigkeit legst du fest, wie oft sich ein Nutzer neu authentifizieren muss, etwa alle 4 Stunden statt tagelang eingeloggt zu bleiben. Über die beständige Browsersitzung steuerst du, ob Cookies gespeichert werden dürfen.
Wichtig: Der "Nur Bericht"-Modus
In diesem Modus protokolliert Entra ID nur, was passiert wäre, ohne Nutzer tatsächlich zu blockieren.
Prüfe die Anmeldeprotokolle einige Tage lang und stelle sicher, dass deine Regel keine legitimen Mitarbeiter behindert. Erst dann stellst du den Schalter auf "Ein"
Fazit & Überprüfung
Mit dem What-If-Tool (direkt im Menü Bedingter Zugriff) simulierst du jederzeit, wie sich deine Richtlinien auf einen bestimmten Nutzer auswirken würden. Nutze es vor jeder Änderung.
Durch die Kombination aus MFA, Geräte-Compliance und Standort-Regeln schließt du die häufigsten Sicherheitslücken. Damit schützt du deine Daten und zugleich das Vertrauen, das Kunden und Mitarbeitende in deine Organisation setzen.
Sei der Erste und starte die Diskussion mit einem hilfreichen Beitrag.
Kommentar hinterlassen
Dein Beitrag wird vor der Veröffentlichung kurz geprüft — fachlich, respektvoll und auf den Punkt ist hier genau richtig.