Wo das Risiko entsteht
Conditional Access wirkt nur dann zuverlässig, wenn Regeln nachvollziehbar, getestet und regelmäßig bereinigt werden. Ausnahmen, Altgeräte und Admin-Konten sind die typischen Stellen, an denen Schutzkonzepte ausfransen.
Für Projekte ist entscheidend, Baselines festzulegen: MFA für privilegierte Rollen, getrennte Admin-Identitäten, starke Gerätesignale und klare Break-Glass-Prozesse.
Was ich im Projekt prüfen würde
- Admin-Zugriffe separat modellieren
- Ausnahmen mit Ablaufdatum führen
- Legacy Authentication konsequent abschalten
- Richtlinien mit Pilotgruppen testen
- Änderungen dokumentiert und reversibel ausrollen
Was dadurch besser wird
- Admin- und Benutzerzugriffe folgen klaren Baselines statt gewachsenen Einzelregeln.
- Ausnahmen werden sichtbar und bekommen ein Ablaufdatum.
- Risikoentscheidungen lassen sich mit Identität, Gerätezustand und Anmeldekontext begründen.
Wo es weh tun kann
- Zu viele Policies mit überlappenden Bedingungen werden schnell unwartbar.
- Break-Glass-Konten sind gefährlich, wenn sie nur existieren, aber nicht getestet und überwacht werden.
- Alte Geräte und Legacy Authentication verzögern Rollouts, wenn sie nicht früh identifiziert werden.
Checks vor dem Rollout
- Welche Policies gelten für privilegierte Rollen?
- Welche Ausnahmen sind dauerhaft und warum?
- Sind Break-Glass-Konten getrennt, geschützt und alarmiert?
- Welche Legacy-Anmeldungen müssen vor dem Erzwingen verschwinden?