Ein gestohlenes Passwort reicht oft aus, um sich bei Microsoft 365 anzumelden – Mail, Teams, SharePoint und OneDrive liegen dann offen. Ohne zusätzliche Zugangsregeln prüft Microsoft 365 nur, ob Benutzername und Passwort zusammenpassen, nicht aber, von welchem Gerät, welchem Land oder mit welchem Risikoscore sich jemand anmeldet. Microsoft 365 Conditional Access schließt genau diese Lücke: Die Richtlinien in Microsoft Entra ID verknüpfen Anmeldebedingungen wie Standort, Gerätezustand und Anmelderisiko mit konkreten Reaktionen wie MFA-Zwang oder Zugriffssperre. Konfiguriert wird Microsoft 365 Conditional Access in sechs Schritten: Break-Glass-Konten, Named Locations, MFA-Pflicht, Gerätecompliance, Risikobewertung und ein Report-Only-Test vor dem Livegang. Dieser Leitfaden zeigt jeden Schritt im Detail für ein KMU mit 20 bis 100 Nutzern. Passende Identity-Access-Lösungen ergänzen die technische Umsetzung.
Warum Zugangsschutz wichtiger ist als eine einzelne Firewall
Firewalls schützen das Netzwerk am Perimeter – aber Microsoft 365 liegt in der Cloud, außerhalb dieses Perimeters. Mitarbeiter melden sich vom Homeoffice, dem Kundentermin oder dem Privathandy an. Ein Angreifer mit erbeuteten Zugangsdaten muss keine einzige Firewall-Regel umgehen, wenn die Anmeldung selbst ungeprüft durchgewunken wird. Conditional Access schließt diese Lücke, indem es jede Anmeldung gegen definierte Bedingungen prüft, bevor der Zugriff gewährt wird.
Der Unterschied zu klassischem Perimeterschutz liegt im Ansatz: Statt einer starren Grenze zwischen „innen sicher“ und „außen unsicher“ bewertet Conditional Access jede einzelne Anmeldung neu – unabhängig davon, ob sie aus dem Büronetz oder von unterwegs kommt. Für KMU ohne eigenes Security Operations Center ist das oft der wirksamste Hebel, weil die Regeln zentral im Entra Admin Center verwaltet werden und keine zusätzliche Hardware im Netzwerk erfordern.
Voraussetzungen: Was Sie vor dem Start brauchen
Bevor die erste Richtlinie live geht, müssen drei Punkte geklärt sein:
- Lizenz: Conditional Access benötigt mindestens Microsoft Entra ID P1 – enthalten in Microsoft 365 Business Premium, als Zusatzlizenz buchbar zu Business Standard.
- Break-Glass-Konten: Mindestens zwei Notfall-Admin-Konten, die von allen Richtlinien ausgenommen sind und nur für den Ernstfall existieren, falls sich Administratoren selbst aussperren.
- Rollenverteilung: Nur Global Administrators oder Conditional Access Administrators dürfen Richtlinien anlegen – diese Rolle sollte auf wenige Personen begrenzt sein.
Wie konfiguriert man Conditional Access in Microsoft 365 richtig?
Conditional Access wird im Microsoft Entra Admin Center unter „Schutz > Conditional Access“ angelegt. Jede Richtlinie definiert Zuweisungen (wer, welche App, welcher Kontext) und Zugriffskontrollen (MFA, Gerätecompliance, Blockieren). Der sichere Weg führt über den Report-Only-Modus: Neue Richtlinien laufen zunächst nur protokollierend, bevor sie erzwungen werden – so lassen sich Aussperrungen vor dem Livegang erkennen.
Microsoft 365 Conditional Access in 6 Schritten einrichten
- Break-Glass-Konten anlegen und von jeder künftigen Richtlinie explizit ausnehmen. Zwei Konten mit langen, nur offline hinterlegten Passwörtern sind Standard, damit ein einzelner Ausfall nicht zur kompletten Aussperrung führt.
- Named Locations definieren – von Microsoft Entra ID erkannte IP-Bereiche, die als vertrauenswürdig oder extern eingestuft werden. Büro-IP-Bereiche werden als vertrauenswürdig markiert, alle anderen Standorte als „extern“. Bei mehreren Standorten oder VPN-Einwahl gehören alle festen Ausgangs-IPs in diese Liste.
- MFA-Pflicht für alle Nutzer außerhalb vertrauenswürdiger Standorte aktivieren, zunächst im Report-Only-Modus.
- Gerätecompliance erzwingen – nur verwaltete, patch-aktuelle Geräte (via Intune) dürfen auf Mail und SharePoint zugreifen. Privatgeräte ohne Verwaltung erhalten stattdessen eingeschränkten Web-Zugriff ohne Download-Funktion.
- Anmelderisiko einbinden – bei hohem Risiko über Entra ID Protection (Microsofts KI-gestützte Anmelderisiko-Bewertung, erfordert Entra ID P2) automatisch MFA verlangen oder Zugriff blockieren. Das Feature bewertet unter anderem ungewöhnliche Reisemuster und bekannt gewordene Zugangsdaten aus Leaks.
- Report-Only auswerten und aktivieren – nach 1-2 Wochen Log-Auswertung im Sign-in-Log auf „Report-only: Success“ prüfen, dann auf „On“ umstellen.
Nach jedem Schritt gilt: Testnutzer zuerst, danach alle. Eine Richtlinie, die versehentlich alle Admins aussperrt, ist ohne Break-Glass-Konto nur über den Microsoft-Support lösbar – das kostet Stunden bis Tage.
Lizenzmodell: Welches Microsoft-365-Paket brauchen Sie?
Nicht jedes Microsoft-365-Paket bringt Conditional Access automatisch mit. Die folgende Übersicht zeigt, ab welcher Stufe die Funktion verfügbar ist:
| Lizenz | Conditional Access | Entra ID Protection (Risiko-Policies) | Typisch für |
|---|---|---|---|
| Microsoft 365 Business Basic/Standard | Nein (Zusatzlizenz nötig) | Nein | Kleinstunternehmen ohne erhöhtes Risiko |
| Microsoft 365 Business Premium | Ja (Entra ID P1 inklusive) | Nein | KMU bis 300 Nutzer |
| Microsoft 365 E3 | Ja (Entra ID P1 inklusive) | Nein | Mittelstand mit Compliance-Anforderungen |
| Microsoft 365 E5 / Entra ID P2 | Ja | Ja | Unternehmen mit NIS2-/ISO-Pflichten |
Für die meisten KMU reicht Business Premium mit Entra ID P1 aus. Wer risikobasierte Richtlinien mit automatischer Reaktion auf verdächtige Anmeldungen nutzen will, braucht Entra ID P2 – entweder als E5-Bestandteil oder als Zusatzlizenz.
Die häufigsten Fehler bei der Conditional-Access-Einführung
- Kein Break-Glass-Konto: Ein häufiger Grund für Support-Tickets bei Microsoft ist eine Selbstaussperrung ohne Notfallzugang.
- Sofort erzwingen statt Report-Only: Richtlinien, die ungetestet live gehen, blockieren oft legitime Nutzer – etwa Außendienstmitarbeiter im Ausland.
- Legacy-Authentifizierung offen lassen: Legacy-Authentifizierung (POP, IMAP, ältere Outlook-Clients) wird von Conditional-Access-Regeln oft nicht erfasst, wenn Richtlinien das Client-App-Kriterium „Andere Clients“ nicht einschließen.
- Zu grobe Richtlinien: Eine einzige Regel für „alle Nutzer, alle Apps“ lässt sich schwer debuggen. Getrennte Richtlinien je App-Gruppe sind wartbarer.
- Fehlende Dokumentation: Ohne Änderungsprotokoll lässt sich im Audit-Fall nicht nachweisen, wann welche Richtlinie warum angepasst wurde – relevant für NIS2-Nachweispflichten.
- Gastzugänge vergessen: Projektpartner oder Dienstleister, die als Gäste in Teams eingeladen werden, unterliegen ohne eigene Richtlinie oft laxeren Vorgaben als interne Mitarbeiter. Eine separate Richtlinie mit MFA-Pflicht für alle Gastkonten schließt diese Lücke, ohne die Zusammenarbeit zu verlangsamen.
Für Unternehmen mit häufig wechselnden Projektpartnern lohnt sich zusätzlich eine Sitzungskontrolle, die den Zugriff auf reine Web-Ansicht ohne Download begrenzt – relevant etwa bei Zulieferer- oder Kanzleibeziehungen mit sensiblen Dokumenten.
Zusätzlich zur Conditional-Access-Konfiguration überwacht WithSecure Identity Security für Entra ID Anmeldeanomalien, die reine CA-Regeln nicht erfassen – die Lösung kostet netto ab 18,92 EUR pro Lizenz und Jahr (Stand Juli 2026). Weitere Produkte finden Sie im Hersteller-Hub von WithSecure.
FAQ: Conditional Access für KMU
Reicht MFA allein statt Conditional Access?
Nein. MFA schützt einzelne Anmeldungen, prüft aber keine Kontextfaktoren wie Standort oder Gerätezustand. Conditional Access kombiniert MFA mit diesen Bedingungen und erlaubt granulare Regeln statt einer pauschalen Vorgabe für alle Nutzer.
Was kostet Conditional Access zusätzlich?
Ist Entra ID P1 bereits über Business Premium oder E3 lizenziert, entstehen keine Zusatzkosten. Ohne diese Pakete kostet die P1-Zusatzlizenz einen niedrigen einstelligen Euro-Betrag pro Nutzer und Monat.
Wie lange dauert die Einführung in einem KMU?
Für ein Unternehmen mit 50 Nutzern sind 2-3 Wochen realistisch: eine Woche Planung und Report-Only-Test, ein bis zwei Wochen Auswertung und schrittweise Aktivierung je Nutzergruppe.
Blockiert Conditional Access auch legitime Homeoffice-Zugriffe?
Nur, wenn Named Locations und Gerätecompliance nicht sauber konfiguriert sind. Richtig eingerichtet erkennt die Richtlinie verwaltete Heimgeräte über Intune-Compliance und verlangt lediglich MFA statt den Zugriff zu blockieren.
Ersetzt Conditional Access eine EDR-Lösung?
Nein. Conditional Access sichert den Anmeldeprozess, EDR überwacht das Verhalten auf dem Endgerät selbst. Beide Ebenen ergänzen sich – mehr dazu im Artikel EDR, XDR und MDR im Unterschied erklärt.
Muss ich Gastkonten und externe Partner separat behandeln?
Ja. Ohne eigene Richtlinie für Gastzugänge gelten für externe Nutzer oft schwächere Vorgaben als für interne Mitarbeiter. Eine dedizierte Conditional-Access-Regel mit MFA-Pflicht für Gastkonten schließt diese häufig übersehene Lücke.
Fazit: Microsoft 365 Conditional Access als laufender Prozess
Conditional Access ist keine einmalige Einstellung, sondern ein laufender Prozess aus Testen, Auswerten und Nachschärfen. Wer mit Break-Glass-Konten, Report-Only-Phase und klar getrennten Richtlinien startet, vermeidet die häufigsten Aussperrungs-Fehler. Unsicher, welche Lizenzstufe und welche Zusatzprodukte zu Ihrer Nutzerzahl passen? Der Produktberater hilft bei der Auswahl der passenden Identity-Security-Lösung.
Quelle: Microsoft Learn – Conditional Access Übersicht
WithSecure Elements im Cyber Shop
EPP, EDR, MDR, Cloud Security — aktualisierte DACH-Preisliste 2025.
