MFA: Sicherheitseinstellungen (Security Defaults) und Richtlinien (Conditional Access / Bedingter Zugriff) konfigurieren

Sicherheitsstandards (Security Defaults) konfigurieren

Wenn du eine Lizenz nutzt, die nur Entra ID Free zur Verfügung stellt, hast du nur die Möglichkeit, die Sicherheitsstandards ein- oder auszuschalten. Das bedeutet, dass sämtliche Benutzer die MFA erhalten, oder eben nicht. Dies gilt selbst für die Admins.

Was passiert beim Deaktivieren der Sicherheitsstandards?

Die Sicherheitsstandards sind eine Sammlung von vorkonfigurierten Sicherheitsrichtlinien, die u. a. Folgendes erzwingen:

• MFA für alle Administratoren bei jeder Anmeldung.
• MFA für Benutzer, wenn Microsoft dies als notwendig erachtet (z. B. bei riskanten Anmeldeversuchen).
• Blockierung von Legacy-Authentifizierung.

Wenn du diese Sicherheitsstandards deaktivierst, gelten diese Schutzmaßnahmen nicht mehr automatisch. Das bedeutet:

• Administratoren müssen kein MFA mehr verwenden, es sei denn, du hast Conditional Access Policies konfiguriert (was mit Entra ID Free nicht möglich ist, außer du hast mindestens eine P1-Lizenz für gezielte Steuerung).
• Normale Benutzer sind ebenfalls nicht mehr zur MFA verpflichtet.

Wichtige Hinweise:

• Du kannst die Sicherheitsstandards auch mit der kostenlosen Entra ID-Lizenz deaktivieren.
• Microsoft empfiehlt, mindestens eine P1-Lizenz zu erwerben, wenn du gezielte MFA-Regeln über Conditional Access umsetzen willst.
• Wenn du die Defaults deaktivierst, solltest du manuell sicherstellen, dass deine Admin-Konten anderweitig geschützt sind – z. B. durch manuelle MFA pro Benutzer-Aktivierung

Fazit:

Auch Administratoren sind von der MFA ausgenommen, wenn du die Sicherheitsstandards deaktivierst und keine anderen MFA-Richtlinien aktiv sind. Das kann ein Sicherheitsrisiko darstellen, daher ist Vorsicht geboten.

So kannst du die Sicherheitsstandards ein- oder ausschalten

1. Melde dich im Azure-Portal mit entsprechenden Adminrechten an (portal.azure.com)
2. Öffne ggf. das Hamburger-Menü (oben, links) und navigiere zu Microsoft Entra ID
3. Wähle im linken Menü Verwalten > Eigenschaften aus
4. Klicke unten auf Sicherheitsstandards verwalten
5. Dort siehst du den Schalter Sicherheitsstandards mit den Optionen:
   • aktiviert
   • deaktiviert

Wenn du die Sicherheitsstandards deaktivierst, musst du einen Grund angeben, z. B. „Meine Organisation verwendet Conditional Access“.

Richtlinien (Conditional Access) konfigurieren

Um die Richtlinien für den bedingten Zugriff (Conditional Access) zu konfigurieren, muss deine Lizenz mindestens Entra ID P1 enthalten. Mit Entra ID P2 kannst du dann noch mehr, z. B. den risikobasierten Zugriff konfigurieren.

Über die Richtlinien ist es möglich, z. B. den Schülern keine MFA anzubieten, Lehrkräften und Admins jedoch schon.

Ich zeige hier, wie du die MFA für bestimmte Benutzer:innen, oder Gruppen einrichten kannst. Ferner bestehen weitere Steuerungsmöglichkeiten für den bedingten Zugriff, auf die ich hier nicht eingehe.

Voraussetzungen

• Du musst über entsprechende Adminrechte verfügen (Bedingter Zugriff Administrator, Sicherheitsadministrator oder Globaler Administrator. Evtl. sind weitere Rechte erforderlich (ist unten beschrieben)).
• Du benötigst mindestens eine Entra ID P1 oder P2-Lizenz.
• Die Sicherheitsstandards müssen deaktiviert sein um mit den Richtlinien im bedingten Zugriff zu arbeiten.

Eine Richtlinie Erstellen

Erstelle zunächst eine Richtlinie für den bedingten Zugriff und weise sie einer Benutzergruppe zu:

1. Melde dich im Microsoft Entra Admin Center mindestens als Administrator für den bedingten Zugriff an.
2. Navigieren zu Schutz > Bedingter Zugriff > Übersicht > + Neue Richtlinie erstellen.
3. Vergib einen Namen für die Richtlinie (z.B. MFA Test).
4. Nimm im Bereich Zuweisungen > Benutzer die gewünschten Einstellungen vor.
   Beachte die Infos auf der Webseite! Du kannst Benutzer und Gruppen einschließen oder ausschließen.
   ACHTUNG: Achte darauf, dass du dich als Admin nicht selbst beschränkst oder ausschließt! Erstelle evtl. erst Test-Gruppen oder -Test-Benutzer, an denen du die Richtlinie ausprobieren kannst.

Konfiguriere die Richtlinie für bedingten Zugriff so, dass die Multi-Faktor-Authentifizierung erforderlich ist, wenn ausgewählte Benutzer:innen oder Gruppe sich anmelden.

1. Nimm im Bereich Zuweisungen > Zielressourcen die gewünschten Einstellungen vor.
2. Wähle unter Wählen Sie aus, worauf diese Richtlinie angewendet werden soll, die Option Cloud-Apps aus.
3. Wähle unter Einschließen die Option Apps auswählen aus.
   Du kannst die Apps über Filter steuern und/oder eine direkte Auswahl treffen.
   Hinweis: Auch globale Administratoren verfügen nicht über Standardberechtigungen für benutzerdefinierte Sicherheitsattribute, die bei der Filterung benötigt werden. Benutzer:innen, die diese Attribute verwalten oder Filter erstellen, müssen mindestens eine der folgenden Rollen erhalten: Administrator für Attributzuweisungen, Leser für Attributzuweisungen, Administrator für Attributdefinitionen oder Leser für Attributdefinitionen.
   Tipp: Du kannst auswählen, ob die Richtlinie für bedingten Zugriff auf alle Cloud-Apps (Alle Cloud-Apps) oder nur auf bestimmte Apps (Apps auswählen) angewendet werden soll. Du hast auch die Möglichkeit, bestimmte Apps aus der Richtlinie auszuschließen.

Konfigurieren der Multi-Faktor-Authentifizierung für den Zugriff

1. Nimm im Bereich Zugriffskontrollen unter Gewähren die gewünschten Einstellungen vor.
2. Wähle Zugriff gewähren.
3. Klicke auf Multi-Faktor-Authentifizierung erfordern und dann Auswählen aus.

Im Bereich Zugriffskontrollen unter Sitzung kannst du weitere  Einstellungen vornehmen, unter anderem kannst du Anmeldehäufigkeit regeln.

Aktivieren der Richtlinie

Richtlinien für bedingten Zugriff können auf Nur Bericht festgelegt werden, wenn du ermitteln möchtest, welche Auswirkungen die Konfiguration auf die Benutzer:innen hätte oder auf Aus, wenn du die Richtlinie nicht sofort verwenden möchten. Wenn du mit Test-Benutzern und -Gruppen arbeitest und geprüft hast, dass du dich nicht ausschließt, kannst du mit Ein abschließen und dann auf Erstellen klicken.

Tipp: Schaue dir zunächst die Option Nur Bericht genauer an, um Informationen zu deiner Konfiguration zu erhalten.

Weiterführende Links von Microsoft

Aktivieren der Microsoft Entra-Multi-Faktor-Authentifizierung – Microsoft Entra ID | Microsoft Learn

Filter für Anwendungen in Richtlinien für bedingten Zugriff – Microsoft Entra ID | Microsoft Learn

Was ist der reine Berichtsmodus des bedingten Zugriffs? – Microsoft Entra ID | Microsoft Learn

Stand: 24.10.2025