Inhalt in Kürze
- Conditional Access ist die Regel-Engine von Microsoft Entra ID. Sie prüft bei jeder Anmeldung den Kontext und nicht nur das Passwort — das ist die wirksamste Einzelmaßnahme gegen gekaperte Microsoft-365-Konten.
- MFA allein reicht nicht. Sie blockiert über 99 Prozent der automatisierten Angriffe, aber Angreifer umgehen sie über gestohlene Sitzungs-Cookies (Token-Diebstahl). Erst Conditional Access mit Geräte-Compliance und Token-Schutz schließt diese Lücke.
- Drei Regeln gehören in jeden Tenant: MFA für alle erzwingen, Geräte-Compliance verlangen, veraltete Anmeldung (Basic Auth) blockieren.
- Strenge Stufe zuerst für Geschäftsführung, Buchhaltung und Zahlungsfreigabe — das sind die Ziele von CEO-Fraud.
E-Mail und Identität sind die größten Einfallstore in Ihr Unternehmen. Wer ein Microsoft-365-Konto kapert, sitzt mitten in Ihrer Kommunikation, Ihren Dateien und Ihrer Buchhaltung. Conditional Access in Microsoft 365 ist die wirksamste Einzelmaßnahme dagegen — und in den meisten Tenants ist sie lizenziert, aber nicht eingeschaltet.
Entra ID in Klartext: Microsofts Türsteher für jede Anmeldung
Microsoft Entra ID hieß früher Azure Active Directory. Es ist die zentrale Stelle, an der sich jeder Mitarbeiter mit seinem Microsoft-365-Konto anmeldet — bei Outlook, Teams, SharePoint, am Laptop. Entra ID weiß, wer Ihre Nutzer sind und welche Rechte sie haben.
Conditional Access ist die Regel-Engine in Entra ID. Stellen Sie sich einen Türsteher vor, der nicht nur den Ausweis prüft, sondern den ganzen Zusammenhang: Wer kommt da? Von welchem Gerät? Aus welchem Land? Zu welcher Uhrzeit?
Eine Conditional-Access-Regel ist im Kern ein Wenn-dann-Satz: Wenn sich jemand anmelden will, dann muss eine Bedingung erfüllt sein. Microsoft selbst beschreibt das in der offiziellen Conditional-Access-Dokumentation als Zero-Trust-Engine — sie vertraut keiner Anmeldung blind, sondern prüft jedes Mal neu.
MFA in Microsoft 365: stark, aber kein Allheilmittel
Multi-Faktor-Authentifizierung (MFA) verlangt zusätzlich zum Passwort einen zweiten Nachweis — meist eine Bestätigung in der Authenticator-App auf dem Handy. Die Wirkung ist enorm: Laut Untersuchungen von Microsoft blockiert MFA mehr als 99,2 Prozent der Kontokompromittierungs-Angriffe.
Auch das BSI bezeichnet die Zwei-Faktor-Authentisierung als Muss und rät in jedem Fall davon ab, sie abzuschalten. So weit, so eindeutig.
Aber hier kommt der Haken, den viele übersehen: MFA allein reicht nicht.
Angreifer haben aufgerüstet. Statt das Passwort zu stehlen und an der MFA zu scheitern, klauen sie das Sitzungs-Cookie (das Token) nach einer erfolgreichen Anmeldung. Das läuft so ab: Eine täuschend echte Login-Seite fängt Ihre Anmeldung ab, Sie geben Passwort und MFA-Code ein — und der Angreifer fängt das fertige Token mit. Mit diesem Token ist er bereits angemeldet. Er braucht weder Ihr Passwort noch eine zweite Bestätigung.
MFA schützt die Anmeldung, nicht die laufende Sitzung. Wer das Token nach der Anmeldung stiehlt, umgeht MFA vollständig. Geschützt sind Sie erst, wenn Microsoft 365 Sicherheit und DSGVO als Gesamtkonzept gedacht sind — nicht als einzelner Haken.
Drei Conditional-Access-Regeln, die in jeden Tenant gehören
Genau hier kommt Conditional Access ins Spiel. Es schließt die Token-Lücke, indem es Bedingungen an jede Anmeldung knüpft. Drei Regeln bilden das Fundament — sie kosten keine Zusatzlizenz, wenn Sie Business Premium oder höher haben.
- MFA für alle erzwingen: Keine Ausnahmen, kein Notfall-Konto ohne MFA. Microsoft macht MFA für Admin-Portale ohnehin schrittweise zur Pflicht — ziehen Sie es für alle Nutzer durch.
- Geräte-Compliance verlangen: Der Zugriff auf Firmendaten gelingt nur von verwalteten, als konform eingestuften Geräten. Ein gestohlenes Token nützt dem Angreifer wenig, wenn sein Gerät die Compliance-Prüfung nicht besteht.
- Veraltete Anmeldung (Basic Auth) blockieren: Alte Protokolle wie POP3 oder IMAP mit einfacher Passwort-Anmeldung kennen kein MFA. Solange sie offen sind, ist Ihre MFA löchrig. Diese Hintertür muss zu.
Wer eine Stufe weiter gehen will, ergänzt Token-Schutz. Diese Conditional-Access-Sitzungssteuerung bindet ein Token an das Gerät, auf dem es ausgestellt wurde. Microsoft erklärt im Konzept zum Tokenschutz, dass damit nur gerätegebundene Anmeldungen funktionieren — ein auf einem fremden Rechner eingespieltes Token wird abgewiesen.

Strenge Stufe zuerst: Geschäftsführung, Buchhaltung, Zahlungsfreigabe
Nicht jeder Mitarbeiter ist gleich gefährdet. Die Ziele der Angreifer sind klar: Geschäftsführung, Buchhaltung und jeder, der Zahlungen freigibt. Das ist die Spielwiese von CEO-Fraud — dem gefälschten Anruf oder der gefälschten Mail “vom Chef”, die eine dringende Überweisung verlangt.
Deshalb staffeln Sie Conditional Access. Die strengsten Regeln gelten zuerst für diese Hochrisiko-Gruppe: MFA per Authenticator-App (nicht per SMS), nur firmeneigene Geräte, kürzere Sitzungslaufzeiten, riskante Anmeldungen werden sofort blockiert. Danach rollen Sie die Standard-Regeln für die gesamte Belegschaft aus.
Ein Hamburger Handwerksbetrieb mit 30 Mitarbeitern, den wir betreuen, bekam genau so eine Mail: angeblich vom Geschäftsführer, der “gerade im Termin” sei und eine kurzfristige Überweisung von 18.000 Euro brauche. Weil das Buchhaltungs-Konto unter einer strengen Conditional-Access-Regel lief und für Zahlungsfreigaben eine zweite Person nötig war, fiel der Versuch sofort auf. Es floss kein Geld.
Aus der Praxis
In fast allen Microsoft-365-Umgebungen, die wir übernehmen, sind die Sicherheitswerkzeuge bezahlt, aber nur halb konfiguriert. Die Lizenz für Conditional Access liegt da — eingeschaltet ist sie nicht. Genau das ist der Unterschied zwischen “haben” und “geschützt sein”.
Zwei-Faktor-Authentifizierung ist der Schutz Nummer eins vor Ransomware. Kostet nichts, dauert 5 Minuten pro Mitarbeiter — und macht 99 % der Angriffe wirkungslos.
MFA ist der Anfang, nicht das Ende. Wir richten sie als Pflicht ein und legen dann Conditional Access darüber, damit gestohlene Tokens ins Leere laufen. Wer hier nur das eine ohne das andere macht, hat eine Tür mit zwei Schlössern — und ein offenes Fenster daneben. Das gilt besonders, wenn Ihr Team viel im Homeoffice arbeitet (Zero Trust).
Überall da, wo es technisch einfach umsetzbar ist, würde ich alle bitten, eine Multifaktor-Authentifizierung zu nutzen.
Dass Sie sich so schnell und verbindlich zurückgemeldet haben — da waren andere Anbieter schon raus.
Was Conditional Access nicht ersetzt
Conditional Access schützt die Anmeldung — nicht alles. Zwei Dinge bleiben Ihre Aufgabe.
Erstens das Bewusstsein Ihrer Leute. Die beste Regel-Engine hilft nicht, wenn jemand seine Zahlungsfreigabe auf eine gefälschte Mail hin erteilt. Eine Security-Awareness-Schulung macht aus Ihrem Team die erste Verteidigungslinie statt das schwächste Glied.
Zweitens das Gerät selbst. Conditional Access prüft, ob ein Gerät konform ist — aber ob darauf Schadsoftware sitzt, erkennt nur eine echte Endpoint Protection (hagel one protect). Identitätsschutz und Geräteschutz greifen ineinander; das eine ohne das andere lässt eine Flanke offen.
Conditional Access setzt eine Microsoft Entra ID P1-Lizenz voraus — und die steckt in Business Premium bereits drin. Bevor Sie eine Zusatzlösung kaufen, lohnt der Blick auf Microsoft 365 Kosten und Pakete: oft ist alles schon lizenziert.
Wenn Sie nicht sicher sind, ob Ihre Lizenzen das hergeben, klärt das ein Blick aufs Microsoft 365 Lizenz-Modell oder ein kurzes Gespräch. Den laufenden Betrieb übernehmen wir auf Wunsch als Managed IT Services komplett — inklusive der monatlichen Kontrolle Ihrer Anmelde-Protokolle.
Ihr nächster Schritt
MFA einschalten und Conditional Access scharf schalten sind zwei verschiedene Dinge. Das erste haben viele erledigt, das zweite kaum jemand. Genau da liegt das größte ungenutzte Sicherheitspolster in Ihrem Microsoft 365.
Wir prüfen Ihren Tenant in einem kurzen Audit: Sind die drei Pflicht-Regeln aktiv? Ist Basic Auth wirklich zu? Sind Ihre CEO-Fraud-Ziele gesondert geschützt? Sie bekommen eine klare Liste — keine Technik-Vorträge.
Wie sicher ist Ihre Microsoft-365-Umgebung wirklich?
15 Minuten. Kostenlos. Ohne Vertriebsdruck.
Security-Check anfragen →hagel IT betreut seit 2004 KMU in Hamburg und Norddeutschland — als IT-Systemhaus Hamburg mit 32 festen Mitarbeitern und 4,9 von 5 Sternen bei Google. Ob Sie wissen wollen, ob Sie überhaupt betroffen sind: Unser NIS2-Betroffenheits-Check gibt Ihnen in wenigen Minuten eine erste Einordnung.