8 Min.
Laptop am Arbeitsplatz mit Login-Maske als Sinnbild für Conditional Access in Microsoft 365

MFA und Conditional Access in Microsoft 365: die zwei wichtigsten Einstellungen

Jens Hagel
Jens Hagel in IT-Sicherheit

Inhalt in Kürze

  • Conditional Access ist die Regel-Engine von Microsoft Entra ID. Sie prüft bei jeder Anmeldung den Kontext und nicht nur das Passwort — das ist die wirksamste Einzelmaßnahme gegen gekaperte Microsoft-365-Konten.
  • MFA allein reicht nicht. Sie blockiert über 99 Prozent der automatisierten Angriffe, aber Angreifer umgehen sie über gestohlene Sitzungs-Cookies (Token-Diebstahl). Erst Conditional Access mit Geräte-Compliance und Token-Schutz schließt diese Lücke.
  • Drei Regeln gehören in jeden Tenant: MFA für alle erzwingen, Geräte-Compliance verlangen, veraltete Anmeldung (Basic Auth) blockieren.
  • Strenge Stufe zuerst für Geschäftsführung, Buchhaltung und Zahlungsfreigabe — das sind die Ziele von CEO-Fraud.

E-Mail und Identität sind die größten Einfallstore in Ihr Unternehmen. Wer ein Microsoft-365-Konto kapert, sitzt mitten in Ihrer Kommunikation, Ihren Dateien und Ihrer Buchhaltung. Conditional Access in Microsoft 365 ist die wirksamste Einzelmaßnahme dagegen — und in den meisten Tenants ist sie lizenziert, aber nicht eingeschaltet.

Entra ID in Klartext: Microsofts Türsteher für jede Anmeldung

Microsoft Entra ID hieß früher Azure Active Directory. Es ist die zentrale Stelle, an der sich jeder Mitarbeiter mit seinem Microsoft-365-Konto anmeldet — bei Outlook, Teams, SharePoint, am Laptop. Entra ID weiß, wer Ihre Nutzer sind und welche Rechte sie haben.

Conditional Access ist die Regel-Engine in Entra ID. Stellen Sie sich einen Türsteher vor, der nicht nur den Ausweis prüft, sondern den ganzen Zusammenhang: Wer kommt da? Von welchem Gerät? Aus welchem Land? Zu welcher Uhrzeit?

Eine Conditional-Access-Regel ist im Kern ein Wenn-dann-Satz: Wenn sich jemand anmelden will, dann muss eine Bedingung erfüllt sein. Microsoft selbst beschreibt das in der offiziellen Conditional-Access-Dokumentation als Zero-Trust-Engine — sie vertraut keiner Anmeldung blind, sondern prüft jedes Mal neu.

Das Wichtigste: Ohne Conditional Access prüft Microsoft 365 nur Benutzername und Passwort. Mit Conditional Access prüfen Sie den gesamten Kontext jeder Anmeldung — das ist der Unterschied zwischen einer Tür mit Klinke und einer Tür mit Türsteher.

MFA in Microsoft 365: stark, aber kein Allheilmittel

Multi-Faktor-Authentifizierung (MFA) verlangt zusätzlich zum Passwort einen zweiten Nachweis — meist eine Bestätigung in der Authenticator-App auf dem Handy. Die Wirkung ist enorm: Laut Untersuchungen von Microsoft blockiert MFA mehr als 99,2 Prozent der Kontokompromittierungs-Angriffe.

Auch das BSI bezeichnet die Zwei-Faktor-Authentisierung als Muss und rät in jedem Fall davon ab, sie abzuschalten. So weit, so eindeutig.

Aber hier kommt der Haken, den viele übersehen: MFA allein reicht nicht.

Angreifer haben aufgerüstet. Statt das Passwort zu stehlen und an der MFA zu scheitern, klauen sie das Sitzungs-Cookie (das Token) nach einer erfolgreichen Anmeldung. Das läuft so ab: Eine täuschend echte Login-Seite fängt Ihre Anmeldung ab, Sie geben Passwort und MFA-Code ein — und der Angreifer fängt das fertige Token mit. Mit diesem Token ist er bereits angemeldet. Er braucht weder Ihr Passwort noch eine zweite Bestätigung.

Achtung:

MFA schützt die Anmeldung, nicht die laufende Sitzung. Wer das Token nach der Anmeldung stiehlt, umgeht MFA vollständig. Geschützt sind Sie erst, wenn Microsoft 365 Sicherheit und DSGVO als Gesamtkonzept gedacht sind — nicht als einzelner Haken.

Drei Conditional-Access-Regeln, die in jeden Tenant gehören

Genau hier kommt Conditional Access ins Spiel. Es schließt die Token-Lücke, indem es Bedingungen an jede Anmeldung knüpft. Drei Regeln bilden das Fundament — sie kosten keine Zusatzlizenz, wenn Sie Business Premium oder höher haben.

  1. MFA für alle erzwingen: Keine Ausnahmen, kein Notfall-Konto ohne MFA. Microsoft macht MFA für Admin-Portale ohnehin schrittweise zur Pflicht — ziehen Sie es für alle Nutzer durch.
  2. Geräte-Compliance verlangen: Der Zugriff auf Firmendaten gelingt nur von verwalteten, als konform eingestuften Geräten. Ein gestohlenes Token nützt dem Angreifer wenig, wenn sein Gerät die Compliance-Prüfung nicht besteht.
  3. Veraltete Anmeldung (Basic Auth) blockieren: Alte Protokolle wie POP3 oder IMAP mit einfacher Passwort-Anmeldung kennen kein MFA. Solange sie offen sind, ist Ihre MFA löchrig. Diese Hintertür muss zu.

Wer eine Stufe weiter gehen will, ergänzt Token-Schutz. Diese Conditional-Access-Sitzungssteuerung bindet ein Token an das Gerät, auf dem es ausgestellt wurde. Microsoft erklärt im Konzept zum Tokenschutz, dass damit nur gerätegebundene Anmeldungen funktionieren — ein auf einem fremden Rechner eingespieltes Token wird abgewiesen.

Hand hält ein Smartphone als zweiter Faktor bei MFA in Microsoft 365
Der zweite Faktor liegt meist auf dem Handy — doch erst Conditional Access macht aus MFA einen verlässlichen Schutz.
99,2 %
Konto-Angriffe von MFA blockiert (Microsoft)
3 Regeln
Conditional-Access-Fundament pro Tenant
~22 €
Business Premium / Nutzer / Monat

Strenge Stufe zuerst: Geschäftsführung, Buchhaltung, Zahlungsfreigabe

Nicht jeder Mitarbeiter ist gleich gefährdet. Die Ziele der Angreifer sind klar: Geschäftsführung, Buchhaltung und jeder, der Zahlungen freigibt. Das ist die Spielwiese von CEO-Fraud — dem gefälschten Anruf oder der gefälschten Mail “vom Chef”, die eine dringende Überweisung verlangt.

Deshalb staffeln Sie Conditional Access. Die strengsten Regeln gelten zuerst für diese Hochrisiko-Gruppe: MFA per Authenticator-App (nicht per SMS), nur firmeneigene Geräte, kürzere Sitzungslaufzeiten, riskante Anmeldungen werden sofort blockiert. Danach rollen Sie die Standard-Regeln für die gesamte Belegschaft aus.

  • Hochrisiko-Gruppe definieren. Geschäftsführung, Finanzbuchhaltung, Personen mit Zahlungs- oder Bankvollmacht.
  • Strenge Richtlinie zuerst. App-basierte MFA, gerätegebundener Zugriff, kurze Sitzungsdauer für diese Gruppe.
  • Basis-Richtlinie ausrollen. MFA, Geräte-Compliance und Basic-Auth-Sperre für alle anderen Nutzer.
  • Notfall-Zugang absichern. Mindestens ein Break-Glass-Konto vorhalten, damit Sie sich nicht selbst aussperren.
  • Regelmäßig prüfen. Anmelde-Protokolle und Risiko-Meldungen monatlich durchsehen.
  • Ein Hamburger Handwerksbetrieb mit 30 Mitarbeitern, den wir betreuen, bekam genau so eine Mail: angeblich vom Geschäftsführer, der “gerade im Termin” sei und eine kurzfristige Überweisung von 18.000 Euro brauche. Weil das Buchhaltungs-Konto unter einer strengen Conditional-Access-Regel lief und für Zahlungsfreigaben eine zweite Person nötig war, fiel der Versuch sofort auf. Es floss kein Geld.

    Aus der Praxis

    In fast allen Microsoft-365-Umgebungen, die wir übernehmen, sind die Sicherheitswerkzeuge bezahlt, aber nur halb konfiguriert. Die Lizenz für Conditional Access liegt da — eingeschaltet ist sie nicht. Genau das ist der Unterschied zwischen “haben” und “geschützt sein”.

    Zwei-Faktor-Authentifizierung ist der Schutz Nummer eins vor Ransomware. Kostet nichts, dauert 5 Minuten pro Mitarbeiter — und macht 99 % der Angriffe wirkungslos.

    Jens HagelJens HagelGeschäftsführer, hagel IT-Services GmbH

    MFA ist der Anfang, nicht das Ende. Wir richten sie als Pflicht ein und legen dann Conditional Access darüber, damit gestohlene Tokens ins Leere laufen. Wer hier nur das eine ohne das andere macht, hat eine Tür mit zwei Schlössern — und ein offenes Fenster daneben. Das gilt besonders, wenn Ihr Team viel im Homeoffice arbeitet (Zero Trust).

    Überall da, wo es technisch einfach umsetzbar ist, würde ich alle bitten, eine Multifaktor-Authentifizierung zu nutzen.

    Dennis KreftDennis KreftMicrosoft 365 & Cloud-Experte

    Dass Sie sich so schnell und verbindlich zurückgemeldet haben — da waren andere Anbieter schon raus.

    Sandra Lehmann · IT-Teamleiterin, Wohnungsbaugenossenschaft, 80 Mitarbeiter

    Was Conditional Access nicht ersetzt

    Conditional Access schützt die Anmeldung — nicht alles. Zwei Dinge bleiben Ihre Aufgabe.

    Erstens das Bewusstsein Ihrer Leute. Die beste Regel-Engine hilft nicht, wenn jemand seine Zahlungsfreigabe auf eine gefälschte Mail hin erteilt. Eine Security-Awareness-Schulung macht aus Ihrem Team die erste Verteidigungslinie statt das schwächste Glied.

    Zweitens das Gerät selbst. Conditional Access prüft, ob ein Gerät konform ist — aber ob darauf Schadsoftware sitzt, erkennt nur eine echte Endpoint Protection (hagel one protect). Identitätsschutz und Geräteschutz greifen ineinander; das eine ohne das andere lässt eine Flanke offen.

    Tipp:

    Conditional Access setzt eine Microsoft Entra ID P1-Lizenz voraus — und die steckt in Business Premium bereits drin. Bevor Sie eine Zusatzlösung kaufen, lohnt der Blick auf Microsoft 365 Kosten und Pakete: oft ist alles schon lizenziert.

    Wenn Sie nicht sicher sind, ob Ihre Lizenzen das hergeben, klärt das ein Blick aufs Microsoft 365 Lizenz-Modell oder ein kurzes Gespräch. Den laufenden Betrieb übernehmen wir auf Wunsch als Managed IT Services komplett — inklusive der monatlichen Kontrolle Ihrer Anmelde-Protokolle.

    Ihr nächster Schritt

    MFA einschalten und Conditional Access scharf schalten sind zwei verschiedene Dinge. Das erste haben viele erledigt, das zweite kaum jemand. Genau da liegt das größte ungenutzte Sicherheitspolster in Ihrem Microsoft 365.

    Wir prüfen Ihren Tenant in einem kurzen Audit: Sind die drei Pflicht-Regeln aktiv? Ist Basic Auth wirklich zu? Sind Ihre CEO-Fraud-Ziele gesondert geschützt? Sie bekommen eine klare Liste — keine Technik-Vorträge.

    Wie sicher ist Ihre Microsoft-365-Umgebung wirklich?

    15 Minuten. Kostenlos. Ohne Vertriebsdruck.

    Security-Check anfragen →

    hagel IT betreut seit 2004 KMU in Hamburg und Norddeutschland — als IT-Systemhaus Hamburg mit 32 festen Mitarbeitern und 4,9 von 5 Sternen bei Google. Ob Sie wissen wollen, ob Sie überhaupt betroffen sind: Unser NIS2-Betroffenheits-Check gibt Ihnen in wenigen Minuten eine erste Einordnung.

    Jens Hagel
    Gründer & Geschäftsführer, hagel IT-Services GmbH

    Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

    Thorsten Eckel

    „Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.“

    Thorsten Eckel
    Geschäftsführer · Hanse Service
    Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
    Bester IT-Dienstleister
    2026 — brand eins / Statista
    Fallstudie: Wie eine Spedition in Hamburg mit dem Modern Cloud Workplace Ausfallzeiten eliminierte und das Onboarding von Tagen auf Minuten reduzierte
    Fallstudie · Logistik
    Wie eine Spedition in Hamburg mit dem Modern Cloud Workplace Ausfallzeiten eliminierte und das Onboarding von Tagen auf Minuten reduzierte
    Ausgezeichnete Bewertung
    Basierend auf 46 Bewertungen

    „Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

    Robin Koppelmann
    Kostenlos & unverbindlich

    Wie sicher ist Ihre IT wirklich?

    Kostenloser Security-Check in 15 Minuten — wir zeigen Ihnen, wo Ihre Lücken sind.

    Häufig gestellte Fragen

    Conditional Access ist die Regel-Engine von Microsoft Entra ID (früher Azure AD). Sie entscheidet bei jeder Anmeldung anhand von Bedingungen — Wer, Welches Gerät, Welcher Standort — ob der Zugriff erlaubt wird, eine MFA-Abfrage kommt oder die Anmeldung blockiert wird. Damit prüfen Sie nicht mehr nur das Passwort, sondern den gesamten Kontext einer Anmeldung.

    Nein. MFA blockiert laut Microsoft über 99 Prozent der automatisierten Konto-Angriffe, aber Angreifer umgehen sie über gestohlene Sitzungs-Cookies (Token-Diebstahl). Wer das Token klaut, ist bereits angemeldet und braucht kein zweites Faktor mehr. Erst Conditional Access mit Geräte-Compliance und Token-Schutz schließt diese Lücke.

    Erstens: MFA für alle Nutzer erzwingen. Zweitens: nur verwaltete, konforme Geräte zulassen (Geräte-Compliance). Drittens: veraltete Anmeldung über Basic Auth blockieren, weil sie MFA komplett umgeht. Diese drei Regeln sind das Fundament, auf dem alle weiteren Richtlinien aufbauen.

    Conditional Access benötigt mindestens eine Microsoft Entra ID P1-Lizenz. Diese ist in Microsoft 365 Business Premium (ca. 22 Euro pro Nutzer und Monat) sowie in Microsoft 365 E3 und E5 bereits enthalten. Viele Unternehmen haben die Lizenz also schon — nutzen die Regeln aber nicht.

    Beim Token-Diebstahl stiehlt ein Angreifer das Sitzungs-Cookie nach einer erfolgreichen Anmeldung, etwa über eine gefälschte Login-Seite. Mit diesem Token greift er auf das Postfach zu, ohne Passwort oder MFA. Schutz bieten Conditional-Access-Sitzungssteuerungen wie Token-Schutz, die ein Token an das Originalgerät binden, sowie kürzere Sitzungslaufzeiten.

    Geschäftsführung, Buchhaltung und alle mit Zahlungsfreigabe sind die Hauptziele von CEO-Fraud. Ein gekapertes Konto in der Buchhaltung führt direkt zu Überweisungen. Deshalb staffelt man Conditional Access: strenge Regeln zuerst für diese Hochrisiko-Gruppen, danach für die gesamte Belegschaft.