Conditional Access (bedingter Zugriff) ist ein richtlinienbasierter Ansatz, der den Zugriff auf Ressourcen vom Kontext der Anfrage abhängig macht — etwa Gerätetyp, Standort, Benutzerstatus, Risikobewertung oder Uhrzeit. Microsofts Entra ID Conditional Access ist die bekannteste Implementierung.
Im ISMS setzt Conditional Access ISO 27001 Annex A Controls A.5.15 (Zugriffskontrolle), A.8.1 (User Endpoint Devices) und A.8.5 (Sichere Authentifizierung) um. Typische Regeln: MFA erzwingen bei Zugriff von unbekannten Standorten, Gerätecompliance prüfen vor dem Zugriff auf vertrauliche Daten, Legacy-Protokolle blockieren und Sitzungsdauer bei erhöhtem Risiko begrenzen. Conditional Access ist ein zentraler Baustein von Zero-Trust-Architekturen, weil jede Anfrage individuell bewertet wird.