Zurück zum Blog

CA Deep Dive (1/3) — Dein digitaler Türsteher

Warum Conditional Access nicht nur eine MFA-Pflicht ist, sondern das smarteste Sicherheitswerkzeug in deinem Microsoft 365 Tenant.

EntraIDSecurity
CA Deep Dive (1/3) — Dein digitaler Türsteher

Conditional Access wird oft behandelt wie ein Lichtschalter: MFA an, fertig. Aber das ist so, als würdest du einen Türsteher einstellen und ihm nur sagen: “Frag nach dem Ausweis.” Kein Blick auf die Gästeliste. Kein Dresscode. Keine Ahnung, wer VIP ist und wer nicht.

Conditional Access ist kein Schalter. Es ist eine Entscheidungsmaschine, die in Echtzeit Signale auswertet und auf Basis dieser Signale Zugriff gewährt, einschränkt oder blockiert.

Die 5 Signale, die dein Türsteher prüft

Jede Conditional Access Policy wertet eine Kombination aus diesen fünf Signalen aus:

1. Identität — Wer bist du?

  • Welcher User oder welche Gruppe?
  • Admin oder Standardbenutzer?
  • Interner Mitarbeiter oder Gast?

2. Applikation — Was willst du?

  • Auf welche Cloud-App wird zugegriffen?
  • Exchange Online, SharePoint, Azure Portal?
  • Unterschiedliche Apps können unterschiedliche Schutzlevel brauchen

3. Standort — Wo bist du?

  • Aus welchem Netzwerk kommt die Anfrage?
  • Named Locations definieren: Büro-IPs als “trusted”, bestimmte Länder als blockiert
  • Ein Login aus dem Firmennetzwerk ist anders zu bewerten als einer aus einem öffentlichen WLAN in einem anderen Land

4. Gerät — Womit kommst du?

  • Ist das Gerät gemanaged und bei Intune registriert?
  • Ist es compliant — also erfüllt es die Sicherheitsanforderungen?
  • Welche Plattform: Windows, macOS, iOS, Android, Linux?

5. Risiko — Wie verdächtig ist das Ganze?

  • Entra ID Protection bewertet das Risiko jeder Anmeldung
  • Sign-In Risk: unbekanntes Gerät, unmögliche Reise, anonyme IP
  • User Risk: geleakte Credentials, atypisches Verhalten

Zero Trust ist kein Produkt

Ich sage es immer wieder: Zero Trust ist kein Produkt, das du kaufst. Es ist ein Mindset. Und Conditional Access ist das Werkzeug, mit dem du dieses Mindset technisch umsetzt.

Zero Trust bedeutet:

  • Vertraue niemandem — egal ob intern oder extern
  • Verifiziere immer — bei jedem Zugriff, jedes Mal
  • Minimale Rechte — nur das, was gerade gebraucht wird
  • Geh davon aus, dass du bereits kompromittiert bist — und handle entsprechend

Conditional Access setzt genau das um: Jeder Zugriff wird geprüft, jedes Signal bewertet, jede Entscheidung dokumentiert.

Report-Only Modus — erst testen, dann scharfschalten

Einer der größten Fehler, die ich sehe: CA-Policies werden erstellt und sofort aktiviert. Ohne zu wissen, was sie tatsächlich bewirken.

Der Report-Only Modus ist dein Trainingslager:

  • Die Policy wird ausgewertet, aber nicht durchgesetzt
  • Du siehst in den Sign-In Logs, was passiert wäre
  • Du kannst Fehlkonfigurationen erkennen, bevor sie User aussperren

👉 Minimum 3-5 Arbeitstage im Report-Only laufen lassen. Erst wenn du sicher bist, dass die Policy das tut, was sie soll — dann scharfschalten.

Trainingsplan: CA verstehen

  • Entra ID Portal öffnen — navigiere zu Conditional Access und verschaffe dir einen Überblick
  • Bestehende Policies reviewen — welche hast du? Sind sie aktiv oder im Report-Only?
  • Die 5 Signale prüfen — welche deiner Policies nutzen welche Signale? Fehlt etwas?
  • Named Locations einrichten — definiere deine vertrauenswürdigen Netzwerke und blockierte Länder
  • Report-Only verstehen — lerne, wo du die Auswirkungen im Sign-In Log findest

Conditional Access ist dein mächtigstes Werkzeug. Aber nur, wenn du verstehst, was es kann — und es richtig einsetzt.

Gruß Micha