Wer Microsoft Entra ID professionell einsetzt, weiß: Conditional Access ist eines der wichtigsten Werkzeuge zur Durchsetzung von Sicherheitsrichtlinien in der Cloud. Über die bekannten Basisrichtlinien gibt es darüber hinaus eine Reihe erweiterter Conditional Access Features, die Administratoren dabei unterstützen, ihren Microsoft 365 Tenant gezielt abzusichern – besonders gegen moderne Angriffsformen wie Phishing oder unautorisierte Zugriffe von Drittgeräten.
In diesem Blog erfährst du, wie du drei erweiterte Conditional Access Richtlinien einrichtest und welche Szenarien sie abdecken.
1. Device Code Flow blockieren – Schutz vor Phishing durch Terminalgeräte
Was ist der Device Code Flow?
Der sogenannte Device Code Flow dient dazu Geräte ohne grafische Benutzeroberfläche, in das Microsoft 365 respektive Entra ID zu integrieren.
Problematisch wird dies, wenn Angreifer diesen Flow ausnutzen und für Phishing-Angriffe nutzen. Der Benutzer erhält eine Nachricht mit der Bitte sich einmal einzuloggen. Die Credentials werden darauf entzogen und dazu verwendet ein neues Gerät zu registrieren und dieses Gerät für die Datenexfiltration zu nutzen.
Richtlinie zum Blockieren des Device Code Flow
Um dieser Bedrohung vorzubeugen, empfiehlt es sich, den Device Code Flow in Conditional Access gezielt zu blockieren.
So gehst du vor:
Damit ist sichergestellt, dass keine Authentifizierung über den Device Code Flow mehr möglich ist – unabhängig davon, von wo sich ein Benutzer anmelden möchte.
Tipp
Wenn du den Device Code Flow grundsätzlich nicht nutzt, solltest du ihn konsequent blockieren. So eliminierst du eine potenzielle Angriffsfläche dauerhaft. Gibt es doch vereinzelte legitime Use Cases, kannst du gezielt Ausnahmen definieren.
2. Sign-in Frequency: Session-Laufzeit begrenzen
Warum Session-Zeitlimits?
Standardmäßig erlaubt Microsoft Entra ID sehr lange Sessionlaufzeiten – z. B. 90 Tage, bevor eine erneute Authentifizierung erforderlich ist. Diese „Sign-in Frequency“ kann jedoch ein erhebliches Risiko darstellen, vor allem dann, wenn Tokens in falsche Hände geraten. Angreifer könnten so über lange Zeit hinweg Zugriff behalten.
Richtlinie zur Begrenzung der Session-Dauer
Mit einer entsprechenden Conditional Access Richtlinie lässt sich steuern, wie häufig Benutzer zur Anmeldung aufgefordert werden – etwa alle 8 Stunden.
Vorgehen:
Dadurch wird sichergestellt, dass Benutzer spätestens nach 8 Stunden ihre Authentifizierung erneut durchführen müssen. Dies erhöht die Sicherheit enorm – insbesondere bei Zugriffen über gemeinsam genutzte Geräte oder öffentlich zugängliche Netzwerke.
3. App-Schutzrichtlinien für nicht verwaltete Geräte
Herausforderung: Zugriff über BYOD oder externe Partner
Viele Unternehmen ermöglichen externen Partnern, Lieferanten oder freiberuflichen Mitarbeitern den Zugriff auf Microsoft 365-Dienste wie Outlook oder Microsoft Teams. Oft erfolgt dieser Zugriff über private (nicht verwaltete) Geräte – ein enormes Sicherheitsrisiko, da Daten kopiert oder weitergegeben werden können.
App-Schutzrichtlinien mit Conditional Access kombinieren
Um den Datenabfluss zu verhindern, gibt es die sogenannten App Protection Policies – sie definieren, wie sich Apps auf mobilen Geräten oder Windows-Clients verhalten dürfen (z. B. keine Zwischenablage, kein Kopieren, keine Screenshot-Erstellung).
Dies erfordert eine Konfiguration aus dem Intune heraus, jedoch kannst du es über Conditional Access forcieren und den Zugriff pro-aktiv steuern..
So erstellst du die Richtlinie:
Diese Maßnahme stellt sicher, dass Benutzer Daten nur in geschützten Containern verwenden können – selbst wenn sie ihre eigenen Geräte verwenden. Damit erfüllst du Compliance-Anforderungen und schützt sensible Unternehmensinformationen.
Weitere Informationen dazu findest du auch in dem Microsoft Learn Artikel: Conditional Access: Grant
Fazit
Die erweiterten Conditional Access Richtlinien in Microsoft Entra ID sind mehr als nur eine Ergänzung zu den Basisrichtlinien – sie sind ein echter Sicherheitsbooster für Unternehmen, die professionell mit Microsoft 365 arbeiten. Besonders in hybriden Umgebungen oder bei der Zusammenarbeit mit Drittparteien bieten diese Optionen die notwendige Kontrolle über Zugriffsmechanismen.
Bereit, Deinen Microsoft 365 Tenant auf das nächste Level zu bringen?
Wenn Du Expertenberatung oder praktische Hilfe bei der Implementierung dieser Richtlinien benötigst, kontaktiere mich bitte über das Kontaktformular unten. Ein sicherer Tenant ist entscheidend für den Schutz sensibler Daten. Gemeinsam werden wir eine sichere, effiziente Umgebung gestalten, die Deine sich entwickelnden Geschäftsanforderungen unterstützt.
Ich hoffe, dieser Beitrag hat Dir einen guten Überblick und ersten Eindruck vermittelt, wie Du Deine Microsoft 365 Umgebung absichern und die erweiterten Conditional Access Richtlinien erstellt.
Schau Dir doch auch die anderen Tutorials und Tipps an, die ich bereits auf meinem „Blog“ geteilt habe. Dort findest Du weitere Beiträge zu Microsoft Security-relevanten Themen – z. B. zu Breaking-Glass-Access-Application, Token Diebstahl verhindern, Multi-Faktor-Authentifizierung.
Ich bin stets bemüht, die aktuellen Themen und Fragestellungen meiner Kunden zu beantworten, um Dich bei der Arbeit mit der Microsoft Cloud Security und anderen Microsoft 365 Produkten zu unterstützen.
Wenn Du Fragen hast, melde Dich sehr gerne bei mir und vereinbare direkt ein kostenloses Gespräch mit mir – Aaron Siller.
