Conditional Access
Warum starre Richtlinien der Vergangenheit angehören
Microsoft 365 ist längst der Standard, doch die Zugriffskontrolle bleibt oft in alten Denkmustern stecken. Die Welt wird flexibler, die Bedrohungen komplexer, und genau deshalb muss Conditional Access (CA) heute anders gedacht werden.
Was sich geändert hat und warum das relevant ist
In vielen Unternehmen wurde Conditional Access einmal „richtig“ eingerichtet, oft im Rahmen eines Projekts, und danach kaum noch hinterfragt. Dabei ist der Zugriff auf Unternehmensdaten heute kein statisches Thema mehr:
- Mitarbeitende arbeiten hybrid – heute im Büro, morgen mobil.
- Es gibt ständig neue Apps, Integrationen und Identitäten (z. B. externe Partner).
- Das Risikoprofil eines Zugriffs ist dynamisch (Ort, Gerät, Verhalten, Bedrohungslage).
Starre Regeln wie „nur Zugriff vom Firmen-Laptop“ greifen hier zu kurz.
Die Praxis: Komplexität steigt, aber oft ohne Struktur
Ein Beispiel aus der Praxis: Ein mittelständisches Unternehmen mit rund 800 Mitarbeitenden nutzte etwa 18 Conditional Access-Richtlinien. Diese waren über einen Zeitraum von drei Jahren gewachsen und ursprünglich im Rahmen eines Einführungsprojekts erstellt, wurden sie im Laufe der Zeit punktuell angepasst. Allerdings änderte man dabei selten die eigentliche Regellogik. Auch wurden meist nur einzelne Bedingungen ergänzt oder temporäre Ausnahmen eingebaut.
Fast alle Richtlinien galten pauschal für alle Benutzergruppen, unabhängig von Rolle, Standort oder Risikoprofil. Um dennoch auf neue Anforderungen zu reagieren (z. B. für externe Mitarbeitende, mobile Devices oder neue Tools), wurden in den Richtlinien immer mehr Ausnahmen integriert, oft über Gruppen, Device States oder App-Kriterien.
Das Ergebnis:
- Die Richtlinienlogik wurde zunehmend undurchsichtig.
- Auswirkungen auf die Nutzer waren schwer nachvollziehbar, auch für die IT.
- Im Ernstfall fehlte eine klare Entscheidungsbasis, welche Regel wann greift und warum.
Was fehlte, war eine übergeordnete Struktur und strategische Herangehensweise: Keine Kategorisierung nach Rollen, keine Priorisierung nach Risiko, keine Versionierung oder zentrale Dokumentation.
Ein neuer Blick auf Conditional Access: Modular statt monolithisch
Statt jede einzelne Bedingung in eine eigene Regel zu packen, empfehlen wir einen modularen Aufbau nach klaren Prinzipien:
- Rollenbasierte Cluster (z. B. C-Level, Vertrieb, Externe, Admins)
- Risikobewertung in Echtzeit nutzen (z. B. User Risk, Sign-in Risk)
- Moderne Authentifizierung (z. B. Authentifizierung Stärken, Windows Hello, Situationsbezogen)
- Named Locations und Trusted Devices clever nutzen, aber auch regelmäßig überprüfen
Wichtig: CA ist kein „Security Layer“, sondern Teil der Governance. Wer CA einmal einrichtet und nicht pflegt, riskiert Lücken oder übertriebene Sicherheitsvorkehrungen.
Best Practices für ein modernes Conditional Access-Design
1. Regelmäßiger Richtlinien-Review: Führe mindestens vierteljährlich einen gezielten Review aller Conditional Access-Richtlinien durch:
- Welche Regeln sind noch erforderlich?
- Haben sich Rahmenbedingungen oder Risiken verändert?
- Welche Richtlinien greifen wie oft und mit welchen Auswirkungen?
Ein strukturierter Reviewprozess schafft Transparenz, reduziert technische Unklarheiten und verhindert Missverständnisse in der Logik.
Unser Support: Externe Impulse sind hier hilfreich, um auf neue Funktionen oder Ansätze zu reagieren. Erfahrungen aus anderen Branchen helfen schneller Verbesserungen zu erlangen.
2. Konsistente Namensgebung & Dokumentation: Eine durchdachte Namensstruktur erhöht die Verständlichkeit und den Support:
- Was regelt die Policy? (z. B. „…Allow-Security-Info-Registration…“)
- Für wen gilt sie? (Personas, Gerätetyp, Applikationen, Rollen)
- Wann wird sie angewendet? (Bedingungen & Trigger)
Tipp: Halte diese Struktur schriftlich in einem zentralen M365-Governance-Dokument fest.
3. Monitoring & Policy-Evaluierung aktiv nutzen: Nutze Logs, um das Verhalten deiner Richtlinien zu verstehen:
- Wer wird wie oft geblockt oder zur MFA aufgefordert?
- Welche Regeln werden kaum ausgelöst oder überlagern sich?
- Weichen Nutzungsmuster von der ursprünglichen Designabsicht ab?
Tools wie Log Analytics, Defender for Identity oder das Sign-in Logging helfen, Veränderungen frühzeitig zu erkennen.
Unser Support: Base-Line Policy Management, Recovery und Veränderungsmanagement stellen eine Herausforderung dar. Welche Veränderungen sind kritisch zu bewerten und welche beeinflussen das Nutzerverhalten der User? Ansätze, die wir gemeinsam erarbeiten können.
4. Absicherung privilegierter Rollen & Break-Glass-Accounts: Schütze besonders kritische Identitäten mit abgestuften Sicherheitsmechanismen:
- Administrative Konten nach Tier-Modell strukturieren (Tier 0–2)
- Break-Glass-Accounts (Notfallkonten) definieren, dokumentieren und regelmäßig testen
- Strikte Trennung zwischen Produktivrollen und Notfallzugriffen
Ziel: Im Ernstfall handlungsfähig bleiben, ohne Sicherheitseinbußen im Alltag hinnehmen zu müssen.
Unser Support ist ein entscheidender Faktor im Management privilegierter Rollen und Rechte, insbesondere wenn Nutzer administrative Tätigkeiten mit ihren primären Accounts ausführen. Die Etablierung von Least Privileges, die Absicherung und Strukturierung von Rollen sowie die Zuweisung dieser sind nur einige Themen, bei denen externe Unterstützung hilft, eine grundlegende Basis zu schaffen.
Unser Support: Erfinde das Rad nicht neu. Es gibt gute Basiskonzepte, die helfen deine Policies im laufenden Betrieb neu zu strukturieren. Erlange wieder die Kontrolle über deine Regeln.

Über den Autor
Mathias Müller
Als Diplom-Ingenieur im Bereich Informationstechnologie hat Mathias umfangreiche Erfahrung im Management großer IT-Projekte. Sein Fokus liegt auf der strategischen und technischen Beratung zum Einsatz von Microsoft 365 Technologien. Er versteht Veränderung, liebt Herausforderungen und strukturiert leidenschaftlich gern Prozesse und Arbeitsweisen.
