2 Min. Lesezeit
Conditional Access: Dein Schutzschild gegen unbefugte Zugriffe
Handlungsbedarf
Microsoft macht MFA zur Pflicht. Wer jetzt nicht handelt, verliert die Kontrolle.
Seit Februar 2025 erzwingt Microsoft schrittweise MFA für alle Microsoft-365-Tenants. Ab Mai 2026 werden auch bestehende Conditional-Access-Lücken geschlossen. Wer bis dahin keine eigenen Richtlinien eingerichtet hat, bekommt Microsofts Standard-Policies aufgezwungen. Das kann dazu führen, dass Service-Accounts gesperrt werden oder Mitarbeitende sich plötzlich nicht mehr anmelden können.
Seit Feb. 2025
MFA-Pflicht für Admin Center
Ab Okt. 2025
MFA-Pflicht für Azure CLI & APIs
Ab Mai 2026
Verschärfte CA-Enforcement
Quellen: Microsoft Learn | Microsoft Tech Community
Welche Richtlinien richten wir ein?
Diese vier Richtlinien gehören heute zu den wichtigsten Massnahmen, um eine moderne Cloud-Umgebung wirksam zu schützen.
1
MFA für alle Benutzer
Jede Anmeldung erfordert einen zweiten Faktor. Admin-Konten erhalten zusätzlich verschärfte Anforderungen.
2
Legacy Authentication blockieren
IMAP, POP und SMTP-Basic-Auth werden deaktiviert. Diese Protokolle unterstützen kein MFA.
3
Standort-Einschränkungen
Nur Zugriffe aus erlaubten Regionen (z.B. Schweiz) werden zugelassen. Logins aus Hochrisikoländern werden blockiert.
4
Geräteprüfung (optional)
Nur vertrauenswürdige und konforme Geräte erhalten Zugriff. Privatgeräte oder unbekannte Computer werden blockiert.
Unsere Umsetzungspakete
Drei Modelle, abgestimmt auf Deinen gewünschten Service-Grad.
| Leistung | Basic | Standard | Premium |
|---|---|---|---|
| MFA-Richtlinie für alle Benutzerkonten (ohne Serviceaccounts) | ✓ | ✓ | ✓ |
| Ausschluss relevanter Service-Accounts von MFA | ✓ | ✓ | ✓ |
| Blockierung veralteter Anmeldeverfahren (Legacy Auth) inkl. Service-Account-Ausschlüsse | ✓ | ✓ | ✓ |
| Anmeldungen auf die Schweiz beschränkt | ✓ | ✓ | ✓ |
| Detaillierte Analyse aller Benutzer und Identifikation echter Service-Konten | – | ✓ | ✓ |
| Vollständige Dokumentation der MFA-Ausschlüsse | – | ✓ | ✓ |
| Zusätzliche CA-Richtlinien basierend auf Bürostandorten (kein MFA im Büro nötig) | – | ✓ | ✓ |
| Ausnahmeregelung für Reisende ausserhalb der erlaubten Zone (gegen Supportaufwand) | – | ✓ | – |
| Self-Service-Portal via Power Automate: Benutzer tragen Reisen selbst ein, automatischer temporärer CA-Ausschluss | – | – | ✓ |
| Zugriff nur für konforme und vertrauenswürdige Geräte (Entra-Compliance + Gerätevertrauen) | – | – | ✓ |
Voraussetzungen
Alle Pakete
Mindestens eine Microsoft Business Premium oder Entra ID Plan 1 Lizenz pro Benutzer.
Standard & Premium
Fixe externe IP-Adresse erforderlich.
Premium (Power Automate)
Mindestens Microsoft Business Premium oder E3 Lizenz erforderlich.
Gerne prüfen wir vorab, ob Deine bestehenden Lizenzen die Voraussetzungen erfüllen, und informieren Dich entsprechend.
Unsicher, welches Paket zu Dir passt?
Wir prüfen Deine bestehende Umgebung und empfehlen das passende Modell.
Deine M365-Umgebung absichern?
Wir beraten Dich gerne, welches Conditional-Access-Paket am besten zu Deinem Unternehmen passt.
Kein Verkaufsdruck. Einfach ein ehrliches Gespräch.