Abstrakte Darstellung von Conditional Access mit Sicherheitsbarriere und Zugang in Anthrazit und Orange

Conditional Access einführen: Warum Report-only zuerst kommt

Mit dem Schritt in Microsoft Entra ID wird Identität zur zentralen Sicherheitsgrenze, und Conditional Access ist das Werkzeug, um sie zu kontrollieren. Das Problem: Eine zu scharf gestellte Richtlinie sperrt im Zweifel nicht den Angreifer aus, sondern die halbe Belegschaft.

Kurz gefasst: Conditional Access führt man in drei Stufen ein, die sich nicht überspringen lassen:

  • Inventarisieren — alle Authentifizierungswege inklusive Legacy-Protokollen erfassen.
  • Report-only testen — jede Richtlinie zunächst nur protokollieren, ohne den Zugriff zu blockieren.
  • Schrittweise durchsetzen — erst scharf schalten, wenn ausschließlich die beabsichtigten Fälle betroffen sind.

Was ist Conditional Access? Conditional Access ist die richtlinienbasierte Zugriffssteuerung in Microsoft Entra ID. Sie prüft bei jeder Anmeldung Signale wie Benutzer, Gerät, Standort und Anmelderisiko und entscheidet daraufhin, ob der Zugriff erlaubt, blockiert oder an zusätzliche Bedingungen wie Multi-Faktor-Authentifizierung (MFA) geknüpft wird.

Report-only ist kein Umweg

Jede neue Richtlinie sollte zunächst im Report-only-Modus laufen. Dabei protokolliert Entra ID, wen die Regel getroffen hätte, ohne den Zugriff tatsächlich zu blockieren. Erst wenn die Auswertung zeigt, dass ausschließlich die beabsichtigten Fälle betroffen sind, wird die Regel scharf geschaltet. Diese Phase kostet Wochen — und verhindert genau den Ausfall, der ein Sicherheitsprojekt politisch beschädigt.

Die Altfälle melden sich beim Rollout

In der Pilotgruppe läuft meist alles, weil Piloten moderne Clients nutzen. Beim breiten Rollout tauchen dann die Anwendungen auf, die über Legacy-Authentifizierung anmelden und sich moderner Absicherung entziehen. Wer diese Fälle nicht vorher inventarisiert, erzwingt MFA gegen eine Landschaft, die er nicht kennt. Diese Altfälle sind einer der drei Stolperfallen im Hybrid-Betrieb, die eine AD-zu-Entra-ID-Migration regelmäßig ausbremsen.

Reihenfolge schlägt Technik

Der belastbare Weg ist immer derselbe: erst die Authentifizierungswege inklusive Legacy-Protokollen inventarisieren, dann Richtlinien in Report-only testen, dann schrittweise durchsetzen. Keine dieser Stufen lässt sich sinnvoll überspringen.

Häufige Fragen zu Conditional Access

Was bedeutet der Report-only-Modus bei Conditional Access?

Im Report-only-Modus wertet Entra ID bei jeder Anmeldung aus, ob eine Richtlinie gegriffen hätte, blockiert den Zugriff aber nicht. So lässt sich vor der scharfen Schaltung prüfen, wen eine Regel tatsächlich treffen würde — und ob unbeabsichtigte Fälle darunter sind.

Warum scheitern Conditional-Access-Rollouts oft am Legacy-Zugriff?

Weil ältere Anwendungen häufig über Legacy-Authentifizierungsprotokolle anmelden, die moderne Bedingungen wie MFA nicht unterstützen. Werden solche Anwendungen vor dem Rollout nicht inventarisiert, blockiert eine scharfe Richtlinie unerwartet ganze Fachbereiche.

Wie hängt Conditional Access mit der Migration zu Entra ID zusammen?

Conditional Access entfaltet seine Wirkung erst mit dem Schritt in Entra ID, und die Legacy-Altfälle stammen meist aus der gewachsenen On-Premises-Welt. Beide Themen gehören deshalb zusammen — mehr dazu im Beitrag über die Stolperfallen im Hybrid-Betrieb.

Blockiert Conditional Access ältere Anwendungen?

Nicht zwangsläufig — aber Anwendungen, die nur Legacy-Authentifizierung beherrschen, lassen sich mit modernen Richtlinien nicht sauber absichern. Sie müssen entweder abgelöst, gekapselt oder bewusst über Ausnahmen behandelt werden, und genau diese Entscheidung gehört vor die Durchsetzung.

cosoweb begleitet die Absicherung hybrider Microsoft-Umgebungen als Senior-Mandat — siehe Active Directory und Entra ID sowie IAM und IDM.

Sie planen die Einführung von Conditional Access in einer regulierten Umgebung? Sprechen Sie uns an.


Eine konkrete Fragestellung im Haus?

Schildern Sie kurz Ihr Vorhaben — Ausgangslage, Ziel, gewünschter Zeitrahmen. Sie erhalten in der Regel innerhalb von zwei Werktagen eine erste Einschätzung.