Tag Archives: Azure

Update: Zwangsaktivierung von MFA in Microsoft 365 verschieben

Microsoft hat angekündigt, dass die Multi-Faktor-Authentifizierung (MFA) in Microsoft 365 und Azure-Umgebungen schrittweise verpflichtend wird. Ziel ist es, die Sicherheit aller Tenants zu erhöhen, da MFA über 99 % der gängigen Angriffe auf Benutzerkonten abwehren kann. Wie die Zangsaktivierung verschoben werden kann, erklärt der Artikel.

Doch was tun, wenn Organisationen mehr Zeit benötigen, um ihre Umgebung vorzubereiten? Microsoft bietet die Möglichkeit, die Zwangsaktivierung der MFA-Aktivierung zu verschieben – allerdings nur unter bestimmten Bedingungen und für einen begrenzten Zeitraum.

Möglichkeiten zur Verschiebung der MFA-Zwangsaktivierung

Für Organisationen mit besonders komplexen Umgebungen oder technischen Hürden bietet Microsoft die Möglichkeit, die Durchsetzung der Phase 2 bis zum 1. Juli 2026 zu verschieben.

Hierzu müssen Admins über folgenden Link den Antrag zur Verlängerung der Migrationsphase stellen:
https://aka.ms/postponePhase2MFA

Details, wie die Verlängerung durchgeführt werden kann hat Microsoft in einem Learn Artikel beschrieben:

https://learn.microsoft.com/de-de/entra/identity/authentication/concept-mandatory-multifactor-authentication?tabs=dotnet#request-more-time-to-prepare-for-phase-2-mfa-enforcement

Warum ein Verschieben riskant ist

Auch wenn eine Verschiebung technisch möglich ist, weist Microsoft ausdrücklich darauf hin, dass dies ein erhöhtes Sicherheitsrisiko darstellt.

• Erhöhtes Angriffsrisiko: Konten ohne MFA sind nach wie vor die Hauptursache für kompromittierte Identitäten. Laut Microsoft lassen sich über 99 % aller Passwortangriffe mit MFA verhindern.
• Zeitlich begrenzte Lösung: Ein Postphonen ist nur temporär möglich. Früher oder später wird die Erzwingung greifen – wer also nur aufschiebt, verschiebt das Problem in die Zukunft.
• Compliance & Audits: Viele Branchenstandards (z. B. ISO 27001, NIS2, DSGVO-Sicherheitsanforderungen) setzen MFA bereits voraus. Ein Verschieben kann zu Audit-Risiken führen.
• Benutzergewohnheiten: Je länger man wartet, desto schwieriger wird es, die Belegschaft an MFA zu gewöhnen. Frühzeitige Einführung reduziert Widerstände.

Sinnvolle Alternativen zum Verschieben

Am sinnvollsten ist die Nutzung von Conditional Access Policies. Damit Benutzergruppen Schritt für Schritt abgedeckt und dennoch bis zum 1. Oktober 2025 alle Administratoren damit ausgestattet werden.

Durch die Schrittweise Ausweitung kann Zeit erkauft werden um alle Benutzer damit auszustatten. Wichtig ist jedoch Administratoren sofort damit auszustatten, um die genannten Risiken in kritischen Bereichen zu verhindern.

Fazit

Die verpflichtende Einführung von MFA ist ein entscheidender Schritt für mehr Sicherheit in Microsoft 365. Wer mehr Zeit benötigt, kann die Aktivierung zwar verschieben – sollte aber parallel unbedingt die Migration vorantreiben.

Bei Fragen oder Problemen, oder wenn du Unterstützung bei der Umstellung brauchst, komm gerne auf mich zu.

Wichtige Änderung bei Microsoft MFA & SSPR

Am 30. September 2025 zieht Microsoft den Stecker für die alten Konfigurationsmethoden der Mehrstufigen Authentifizierung (MFA) und der Self-Service-Kennwortzurücksetzung (SSPR). Falls du bisher noch auf die „Legacy“-Einstellungen setzt, solltest du jetzt handeln – sonst drohen ab Oktober Sicherheitslücken oder sogar gesperrte Konten.

Was ändert sich?

Bisher konntest du MFA und SSPR getrennt konfigurieren – teils über das alte MFA-Portal, teils über eigene SSPR-Policies. Ab dem 1. Oktober 2025 gilt nur noch die kombinierte Authentifizierungsmethode in Microsoft Entra ID (früher Azure AD).

Das bedeutet konkret:

• Das alte MFA-Portal wird abgeschaltet.
• Separate SSPR-Policies funktionieren nicht mehr.
• Verwaltung von MFA- und SSPR-Methoden erfolgt nur noch zentral im Entra ID Portal unter Entra ID → Authentifizierungsmethoden.
• Falls du Security Defaults nutzt, erzwingt Microsoft MFA für alle – Ausnahmen sind nur noch über Conditional Access möglich.

Was passiert, wenn du nicht umstellst?

Ab dem 1. Oktober 2025 greifen deine alten MFA- und SSPR-Einstellungen nicht mehr. Die Folgen können gravierend sein:

• Keine MFA-Aufforderung mehr für Benutzer, die nur in den alten Policies konfiguriert sind – dein Sicherheitsniveau sinkt drastisch.
• Kein Self-Service-Kennwortreset mehr – vergessene Passwörter landen direkt beim Helpdesk.
• Erhöhtes Risiko für Kontoübernahmen durch Phishing oder geleakte Passwörter.
• Zugriffssperren, wenn Conditional Access MFA verlangt, aber keine gültige Methode in der neuen Plattform hinterlegt ist.

Kurz gesagt: Best Case ist ein massiver Sicherheitsverlust, Worst Case sind gesperrte Benutzerkonten und Ausfälle im Betrieb.

Was solltest du jetzt tun?

1. Kombinierte Registrierung aktivieren Stelle in Entra ID sicher, dass die kombinierte Registrierung für MFA und SSPR aktiv ist.
2. MFA Methoden vorbereiten Sorge dafür, dass mindestens zwei sichere Methoden (z. B. Authenticator-App, FIDO2, Temporary Access Pass, etc.) konfiguriert sind.
3. Conditional Access einrichten Prüfe die Konfiguration der Conditional Access Regeln um sicher zu stellen, dass die neuen Methoden für die jeweilige Regel ausreichend sind.
4. SSPR neu konfigurieren Lege fest, welche Methoden für den Kennwortreset erlaubt sind, und prüfe die Registrierung aller Benutzer.
5. Kommunikation & Schulung Informiere deine Nutzer rechtzeitig und stelle Anleitungen bereit.

Weitere Informationen hat zur Migration hat Microsoft in einem Learn Artikel verfasst:

https://learn.microsoft.com/de-de/entra/identity/authentication/how-to-authentication-methods-manage

Fazit

Der 30. September 2025 ist kein „weicher“ Termin – ab dann funktionieren die alten MFA- und SSPR-Methoden schlicht nicht mehr. Wenn du jetzt umstellst, sicherst du nicht nur den reibungslosen Betrieb, sondern schützt auch deine Organisation vor unnötigen Risiken.

Bei Fragen oder Problemen, oder wenn du Unterstützung bei der Umstellung brauchst, komm gerne auf mich zu.