Conditional Access für KMU: Was, wann, wie?

Conditional Access ist das „Wenn dies, dann das" der M365-Sicherheit. Klingt groß – sind in der Praxis 5 Richtlinien, die 80 % der Risiken abdecken. Hier das Minimum-Set.

Conditional Access (CA) ermöglicht Richtlinien wie „MFA verlangen, wenn X". Klingt nach Enterprise – das Minimum-Set ist aber auch für KMU gut handhabbar.

5 Richtlinien, die Sie haben sollten

1. Legacy-Authentifizierung blockieren. Alte E-Mail-Protokolle unterstützen kein MFA. Wenn Sie sie nicht nutzen, blockieren Sie alles.
2. MFA für alle Benutzer verlangen. Die grundlegende Richtlinie.
3. MFA für privilegierte Rollen verlangen. Mit strengeren Einschränkungen (kein App-Passwort, kein „vertrauenswürdiges Gerät merken").
4. Kompatibles Gerät für Admin-Portale vorschreiben. Nur unternehmenseigene Geräte erhalten Zugriff auf admin.microsoft.com oder das Azure-Portal.
5. Anmeldungen aus risikoreichen Ländern blockieren. Wenn Ihr Unternehmen kein Geschäft in bestimmten Regionen hat: Logins aus diesen Gebieten blockieren. Geringer Aufwand, starke Barriere gegen Credential-Stuffing.

Lizenzanforderungen

Conditional Access ist in Azure AD Premium P1 enthalten (oder in Business Premium). Wenn Sie nur Business Basic haben: Aktualisieren Sie zumindest die 2–3 Lizenzen für privilegierte Konten auf P1.

Zuerst im Testmodus

Jede neue Richtlinie startet im Modus „Nur Bericht". So sehen Sie eine Woche lang, was blockiert worden wäre – ohne dass tatsächlich etwas schiefläuft. Erst danach aktivieren Sie die Richtlinie.

Break-Glass-Konto

Legen Sie ein Konto an, auf das CA NICHT angewendet wird. Starkes, zufälliges Passwort, ausgedruckt und in einem Safe aufbewahrt. Falls Ihre CA-Konfiguration Sie aussperrt, ist das Ihre Rettung.

Siehe auch: M365-Säule, MFA ausrollen.