Entra ID · Conditional Access

Conditional Access für regulierte Unternehmen: Die 8 wichtigsten Policies

Von Kigen IT · 14. April 2026 · 7 Min. Lesezeit

Conditional Access ist das Herzstück der M365-Zugriffssteuerung. Diese acht Policies braucht jedes regulierte Unternehmen. Und sie sollten in genau dieser Reihenfolge eingeführt werden, wenn das Projekt nicht mit einem Lockout enden soll.

Warum Conditional Access unverzichtbar ist

In einer Cloud-Welt gibt es kein Firmennetzwerk mehr, das als Sicherheitsgrenze dient. Der Zugriff auf M365 erfolgt von überall. Büro, Homeoffice, Hotel, Flughafen. Das Einzige, was kontrolliert werden kann, ist die Identität und der Kontext des Zugriffs.

Conditional Access in Entra ID ist das Regelwerk dafür. Es evaluiert bei jedem Zugriffsversuch: Wer greift zu, von wo, mit welchem Gerät, auf welche App und mit welchem Risikoniveau. Basierend darauf wird der Zugriff gewährt, eingeschränkt oder blockiert.

Die 8 Policies

Policy 1: MFA Baseline

MFA für alle Benutzer, alle Cloud-Apps, alle Plattformen. Keine Ausnahmen außer Break-Glass-Accounts. Die wichtigste einzelne Policy. Verhindert geschätzt 80 Prozent der identitätsbasierten Angriffe.

Policy 2: Device Compliance

Zugriff nur von Geräten, die als konform markiert sind (Intune). Stellt sicher, dass nur verwaltete, sichere Geräte auf Unternehmensdaten zugreifen. Für BYOD: App Protection Policies als Alternative.

Policy 3: Geo-Blocking

Blockierung von Zugriffen aus Ländern, in denen das Unternehmen nicht tätig ist. Reduziert automatisierte Angriffe aus Hochrisiko-Regionen erheblich.

Policy 4: Admin-MFA verstärkt

Privilegierte Rollen erfordern phishing-resistente MFA (FIDO2 Key oder Windows Hello for Business). Zugriff nur von verwalteten Workstations. PIM für Just-in-Time-Aktivierung.

Policy 5: Session Controls

Timeout-Policies für inaktive Sessions. App-beschränkte Sessions für nicht verwaltete Geräte (kein Download, nur Browser). Sign-in Frequency angepasst nach Risikoniveau.

Policy 6: Risikobasierte Policies

Integration von Entra ID Identity Protection. Bei erkanntem Anmelderisiko wird zusätzliche Verifikation gefordert. Bei hohem Risiko wird der Zugriff blockiert.

Policy 7: Legacy Authentication blockieren

Ältere Authentifizierungsprotokolle (IMAP, POP3, SMTP Auth) unterstützen kein MFA und sind ein häufiges Einfallstor. Blockieren Sie diese kategorisch.

Policy 8: Break-Glass Exception

Zwei Notfall-Accounts, die von allen anderen Policies ausgenommen sind. Mit extrem starken Passwörtern, eigenem MFA (physischer Key im Safe) und Alerts bei jeder Nutzung.

Implementierungsreihenfolge

Implementieren Sie die Policies nicht alle gleichzeitig. Empfohlene Reihenfolge: Zuerst Policy 7 (Legacy blockieren) und Policy 8 (Break-Glass einrichten). Dann Policy 1 (MFA Baseline). Danach Policy 3 (Geo-Blocking) und Policy 4 (Admin-MFA). Schließlich Policy 2, 5 und 6.

Wichtig: Testen Sie jede Policy zuerst im Report-Only-Modus, bevor Sie sie erzwingen. Der Report-Only-Modus zeigt, welche Nutzer betroffen wären, ohne den Zugriff tatsächlich einzuschränken. Ohne diesen Schritt ist ein Lockout vorprogrammiert.

Identity Assessment

Wir prüfen Ihre bestehende Conditional Access Konfiguration, zeigen Lücken auf und liefern einen Implementierungsplan für alle acht Policies.

Assessment anfragen