· Microsoft 365 und Cloud · Lesedauer von ca. 5 Min.
Entra ID: Zero Trust und Conditional Access im KMU
Zero Trust klingt nach Konzern, funktioniert aber genauso im KMU. Microsoft Entra ID und Conditional Access machen aus dem Prinzip never trust, always verify konkrete, durchsetzbare Regeln für Ihre Anmeldungen.
Früher endete IT-Sicherheit am Netzwerkrand. Wer im Büro saß, galt als vertrauenswürdig, wer von außen kam, musste über das VPN. Diese Welt gibt es nicht mehr. Ihre Mitarbeitenden arbeiten am Remote-Arbeitsplatz, greifen vom Smartphone auf Postfächer zu und teilen Dateien über SharePoint. Der Perimeter hat sich aufgelöst, und genau hier setzt Zero Trust an.
Was Zero Trust wirklich bedeutet
Das Prinzip lässt sich in drei Worten zusammenfassen, never trust, always verify. Keine Anmeldung gilt automatisch als legitim, nur weil sie aus dem richtigen Netz kommt oder das richtige Passwort liefert. Jeder Zugriff wird einzeln geprüft, im Idealfall bei jeder Anmeldung neu.
Statt einer Burgmauer um das Firmennetz bauen Sie viele kleine Kontrollpunkte. Wer bist du, von welchem Gerät kommst du, wo befindest du dich, wie riskant sieht diese Anmeldung aus. Erst wenn die Antworten passen, öffnet sich der Zugang. Das klingt nach viel Aufwand, läuft im Hintergrund aber vollautomatisch ab.
Microsoft Entra ID als Identitätszentrale
In einer Microsoft-365-Umgebung ist Microsoft Entra ID (früher Azure Active Directory) die zentrale Stelle für alle Identitäten. Jede Anmeldung an Outlook, Teams, SharePoint oder Dutzenden angebundener Drittanwendungen läuft über Entra ID. Damit ist es der natürliche Ort, um Zero Trust durchzusetzen.
Identität ist im modernen Stack die wichtigste Verteidigungslinie. Wer die Anmeldung kontrolliert, kontrolliert den Zugriff auf nahezu alle Geschäftsdaten. Ein kompromittiertes Konto ist heute gefährlicher als eine durchlöcherte Firewall, weil es legitim aussieht und sich quer durch die ganze Cloud-Umgebung bewegen kann.
Conditional Access, das Regelwerk hinter den Anmeldungen
Conditional Access ist die Engine in Entra ID, die Zero Trust in konkrete Regeln übersetzt. Jede Policy folgt demselben Muster. Sie wertet Signale aus und löst daraufhin eine Aktion aus.
Typische Signale sind:
- Benutzer oder Gruppe, etwa Geschäftsführung, Buchhaltung oder Externe
- Gerät und Compliance-Status, also ob das Endgerät verwaltet und richtlinienkonform ist
- Standort, abgeleitet aus IP-Bereich oder Land
- Anmelderisiko, eine Risikobewertung von Microsoft anhand auffälliger Muster
- Anwendung, zum Beispiel nur für besonders schützenswerte Dienste
Daraus ergeben sich Aktionen wie MFA erzwingen, den Zugriff komplett blocken oder nur konforme Geräte zulassen. Eine Policy kann also sagen, wer von einem unbekannten Standort auf die Finanzanwendung zugreift, muss zusätzlich per App bestätigen, und ein nicht verwaltetes Privatgerät bleibt ganz draußen.
Sinnvolle Policies für den Mittelstand
Sie müssen nicht mit fünfzig Regeln starten. Eine kleine, saubere Basis deckt schon den Großteil der Angriffsfläche ab. Die folgende Auswahl hat sich in KMU bewährt.
| Policy | Signal | Aktion | Nutzen |
|---|---|---|---|
| MFA für alle | jede Anmeldung | MFA erzwingen | stoppt fast alle Passwort-Angriffe |
| Legacy-Auth blocken | veraltete Protokolle wie POP, IMAP, SMTP-Basic | Zugriff blocken | schließt das größte MFA-Schlupfloch |
| Geräte-Compliance | nicht verwaltete oder nicht konforme Geräte | nur konforme Geräte | hält ungeprüfte Endgeräte fern |
| Länder-Sperren | Anmeldung aus untypischen Ländern | Zugriff blocken | reduziert automatisierte Angriffe |
| Admin-Schutz | privilegierte Rollen | MFA bei jeder Anmeldung | sichert die mächtigsten Konten extra |
Besonders wichtig ist das Blocken von Legacy-Authentifizierung. Alte Protokolle kennen keine moderne MFA, und Angreifer wissen das. Solange dieser Hintereingang offensteht, bringt selbst eine perfekte MFA-Policy wenig.
Welche Lizenz Sie brauchen
Conditional Access ist kein Standardbestandteil jeder Microsoft-365-Lizenz. Die regelbasierte Steuerung mit Signalen wie Benutzer, Gerät und Standort setzt Entra ID P1 voraus. Wer zusätzlich risikobasierte Policies nutzen möchte, also Microsofts automatische Bewertung von Anmelde- und Benutzerrisiko, benötigt Entra ID P2.
In vielen Business-Premium-Paketen für KMU ist Entra ID P1 bereits enthalten, P2 steckt in den größeren Enterprise-Plänen oder lässt sich als Add-on buchen. Welcher Plan zu Ihnen passt, ordnet Netzleiter als Microsoft CSP Partner in den Microsoft-365-Plänen ein. Diese Einordnung gilt nach Stand 2026 mit mittlerer Vertrauensstufe. Microsoft passt Lizenzmodelle regelmäßig an, ein Abgleich mit dem aktuellen Microsoft-Stand vor der Buchung lohnt sich.
Stolpersteine, die Sie kennen sollten
Conditional Access ist mächtig, und genau das macht es gefährlich. Die häufigste Panne ist die Aussperrgefahr. Eine zu strenge Policy kann im schlimmsten Fall alle Konten gleichzeitig blocken, inklusive der Administratoren, die das Problem beheben sollten. Dann ist niemand mehr drin.
Die Versicherung dagegen heißt Break-Glass-Konto. Sie richten ein oder zwei Notfall-Administratorkonten ein, die bewusst von den Conditional-Access-Policies ausgenommen sind. Diese Konten bekommen ein sehr langes, sicher verwahrtes Passwort, werden überwacht und nur im Ernstfall genutzt. So bleibt immer eine Tür offen, falls eine Regel den Rest aussperrt.
Zwei weitere Empfehlungen. Testen Sie jede neue Policy zuerst im Report-only-Modus, der protokolliert die Auswirkungen, ohne tatsächlich zu blocken. Und rollen Sie strenge Regeln gestaffelt aus, erst eine Pilotgruppe, dann das ganze Haus.
Häufige Fragen
Brauche ich Zero Trust auch als kleines Unternehmen?
Ja. Angriffe auf Anmeldedaten laufen automatisiert und treffen Unternehmen jeder Größe. Gerade KMU sind beliebte Ziele, weil sie oft weniger geschützt sind. MFA und ein paar saubere Conditional-Access-Policies senken Ihr Risiko deutlich, mit überschaubarem Aufwand.
Reicht MFA allein nicht aus?
MFA ist die wichtigste Einzelmaßnahme, aber kein Komplettschutz. Ohne das Blocken von Legacy-Authentifizierung umgehen Angreifer die MFA über alte Protokolle. Conditional Access verbindet MFA mit Gerätekontrolle, Standortregeln und Risikobewertung zu einem stimmigen Ganzen.
Was ist der Unterschied zwischen Entra ID P1 und P2?
P1 liefert die regelbasierten Conditional-Access-Policies mit klassischen Signalen. P2 ergänzt die risikobasierte Steuerung, bei der Microsoft Anmeldungen automatisch als verdächtig einstuft und darauf reagiert. Für die meisten KMU ist P1 ein solider Start, P2 lohnt sich bei erhöhtem Schutzbedarf.
Sperren mich strenge Policies aus Versehen aus?
Das kann passieren, lässt sich aber vermeiden. Mit Break-Glass-Konten, dem Report-only-Modus zum gefahrlosen Testen und einem gestaffelten Rollout behalten Sie die Kontrolle, ohne sich selbst auszuschließen.
Wie Netzleiter Entra ID absichert
Netzleiter richtet Microsoft 365 und Entra ID für KMU in Hamburg und der Metropolregion ein und betreibt die Umgebungen im laufenden Betrieb weiter. Dazu gehört die Konfiguration der Conditional-Access-Policies passend zu Ihren Abläufen, das Einrichten von Break-Glass-Konten und das vorsichtige Ausrollen über den Report-only-Modus.
Unser Anspruch bleibt derselbe wie im Rest unserer Arbeit, schnell, sicher, störungsfrei. Eine durchdachte Identitätssteuerung schützt Sie, ohne den Arbeitsalltag auszubremsen. Entra ID gehört bei Netzleiter zum Baustein Microsoft 365 und Cloud und greift eng mit der Cybersecurity und Datensicherung ineinander. Einen Überblick über alle weiteren Leistungen finden Sie unter Leistungen, für ein konkretes Gespräch geht es direkt zum Kontakt.
Beratung: Vertrieb 040 20 94 97 67, vertrieb@netzleiter.com. Support: 040 25 499 500, support@netzleiter.com.
