Skip to content
ViganoLabs Dokumentation

Conditional Access für Admin-Portale

Zielbild

Section titled “Zielbild”

Admin-Portale sind ein hochattraktives Ziel: Ein kompromittiertes Admin-Token ist oft schlimmer als ein kompromittierter Benutzeraccount. Deshalb sollten Admin-Logins in der Regel strenger abgesichert sein als normale Benutzerzugriffe.

Bausteine einer pragmatischen Admin-Baseline

Section titled “Bausteine einer pragmatischen Admin-Baseline”

1) Eigene Policy für “Microsoft Admin Portals”

Section titled “1) Eigene Policy für “Microsoft Admin Portals””

In Conditional Access gibt es Cloud Apps wie “Microsoft Admin Portals”. Eine separate Policy dafür ermöglicht:

  • strengere Authentifizierungsanforderungen
  • engeren Scope (nur Admins)
  • klare Sichtbarkeit in Logs

Praktischer Tipp: Lege Admin-Zugriffe als eigene Pilotgruppe an und teste zunächst nur mit wenigen Admins. Admin-Lockouts sind teuer und blockieren Betrieb.

2) Phish-resistente Authentifizierung

Section titled “2) Phish-resistente Authentifizierung”

Für Admin-Portale ist es sinnvoll, Authentifizierungsstärken zu erzwingen:

  • FIDO2 Security Keys oder Windows Hello for Business
  • App-based MFA nur als Übergang (zeitlich befristet)

3) Geräteschutz

Section titled “3) Geräteschutz”

Ein robustes Standardmuster:

  • Zugriff nur von compliant (oder hybrid-joined) Geräten
  • BYOD für Admin-Portale grundsätzlich vermeiden

Wenn du es ernst meinst, ergänze das um ein Admin-Workstation-Konzept (PAW): Admin-Aktivitäten nur von gehärteten, gemanagten Geräten.

4) Standort-/Netzwerk-Controls

Section titled “4) Standort-/Netzwerk-Controls”
  • Named Locations (z. B. Corporate Egress) für besonders kritische Admin-Flows
  • Für Remote Admins: klare VPN/Zero-Trust-Story statt “von überall”

5) Session Controls

Section titled “5) Session Controls”
  • Sign-in Frequency für Admin-Portale (kürzere Sessions)
  • Persistente Browser-Sessions bewusst steuern

Zusammenspiel mit Rollen und PIM

Section titled “Zusammenspiel mit Rollen und PIM”

CA ist nicht genug, wenn Admin-Rollen dauerhaft aktiv sind.

Bewährtes Zusammenspiel:

  • Admin-Rollen über PIM (eligible, kurzzeitig aktiv)
  • CA verschärft nur den Zugriff auf Portale, PIM steuert Rollenaktivierung

Das reduziert Risiko doppelt: selbst wenn ein Account kompromittiert ist, sind Admin-Rollen nicht dauerhaft aktiv – und der Zugriffspfad ist zusätzlich abgesichert.

Stolperfallen

Section titled “Stolperfallen”
  • Break-Glass vergessen: Im Outage-Fall muss ein kontrollierter Notfallpfad existieren.
  • Zu frühes Enforcement: erst Report-only und Pilot, sonst sperrst du dir Admins aus.

Einstieg

Section titled “Einstieg”