Identity Security
MFA allein reicht nicht: Conditional Access richtig nutzen.
Microsoft 365 wird erst wirklich belastbar, wenn MFA, Entra ID, Geräte, Standorte und Risiken gemeinsam bewertet werden. Conditional Access bringt diese Signale in klare Regeln.
Microsoft 365 Security · München
Warum klassische MFA nicht mehr das ganze Problem löst
Viele Unternehmen aktivieren Multi-Faktor-Authentifizierung und gehen danach davon aus, dass Microsoft 365 ausreichend geschützt ist. MFA ist ein wichtiger Baustein, aber kein vollständiges Sicherheitskonzept. Moderne Angriffe arbeiten mit gefälschten Microsoft-Loginseiten, Token-Diebstahl, Gerätewechseln, unsicheren Altprotokollen oder kompromittierten Endgeräten.
Conditional Access in Microsoft Entra ID setzt genau dort an. Nicht nur das Passwort und ein zweiter Faktor entscheiden, sondern auch Kontext: Wer meldet sich an, von welchem Gerät, aus welchem Netzwerk, mit welchem Risiko und auf welche Anwendung?
MFA schützt die Anmeldung. Conditional Access entscheidet, unter welchen Bedingungen eine Anmeldung überhaupt sinnvoll erlaubt wird.
Typische Regeln, die in Microsoft 365 fast immer geprüft werden sollten
- Legacy Authentication blockieren, damit alte Protokolle nicht an MFA vorbeigehen.
- Administratoren mit phishing-resistenter MFA, separaten Konten und klaren Rollen absichern.
- Unbekannte Länder, ungewöhnliche Standorte oder riskante Anmeldungen gezielt prüfen.
- Zugriff auf Exchange Online, SharePoint Online und Teams an Geräte-Compliance koppeln.
- Gastzugriffe, externe Zusammenarbeit und Enterprise Applications bewusst steuern.
- Break-Glass-Konten dokumentieren und von Richtlinien ausnehmen, damit ein Tenant nicht ausgesperrt wird.
Phishing-resistente MFA für sensible Rollen
Für besonders kritische Konten reicht eine einfache Push-Bestätigung oft nicht aus. Microsoft Entra unterstützt Authentifizierungsstärken, mit denen gezielt stärkere Methoden wie FIDO2 Security Keys, Windows Hello for Business oder zertifikatbasierte Authentifizierung verlangt werden können.
Gerade bei Global Admins, Exchange Admins, SharePoint Admins und Security-Rollen sollte geprüft werden, ob stärkere Verfahren, Privileged Identity Management und reduzierte Dauerberechtigungen sinnvoll sind. Das Ziel ist nicht maximale Komplexität, sondern ein sauberer Schutz der Konten, mit denen ein Angreifer den größten Schaden anrichten könnte.
Einführung ohne Chaos im Tagesgeschäft
Conditional Access sollte nicht blind live geschaltet werden. Sinnvoll ist ein geplanter Ablauf mit Pilotgruppe, Report-only-Modus, dokumentierten Ausnahmen und klarer Kommunikation an die Benutzer. So werden Fehlkonfigurationen sichtbar, bevor sie den Betrieb blockieren.
Seven Consulting unterstützt bei der Bewertung bestehender Entra-ID-Richtlinien, beim Aufbau einer Zero-Trust-Basis und bei der Umsetzung praxistauglicher Conditional-Access-Konzepte für Unternehmen in München und remote deutschlandweit.
Wenn Sie Microsoft 365, Entra ID, MFA und Conditional Access strukturiert härten möchten, ist ein Tenant-Review ein sinnvoller Einstieg.