Update: Zwangsaktivierung von MFA in Microsoft 365 verschieben
Logo von Microsoft Entra ID

Microsoft hat angekündigt, dass die Multi-Faktor-Authentifizierung (MFA) in Microsoft 365 und Azure-Umgebungen schrittweise verpflichtend wird. Ziel ist es, die Sicherheit aller Tenants zu erhöhen, da MFA über 99 % der gängigen Angriffe auf Benutzerkonten abwehren kann. Wie die Zangsaktivierung verschoben werden kann, erklärt der Artikel.

Doch was tun, wenn Organisationen mehr Zeit benötigen, um ihre Umgebung vorzubereiten? Microsoft bietet die Möglichkeit, die Zwangsaktivierung der MFA-Aktivierung zu verschieben – allerdings nur unter bestimmten Bedingungen und für einen begrenzten Zeitraum.

Möglichkeiten zur Verschiebung der MFA-Zwangsaktivierung

Für Organisationen mit besonders komplexen Umgebungen oder technischen Hürden bietet Microsoft die Möglichkeit, die Durchsetzung der Phase 2 bis zum 1. Juli 2026 zu verschieben.

Hierzu müssen Admins über folgenden Link den Antrag zur Verlängerung der Migrationsphase stellen:
https://aka.ms/postponePhase2MFA

Details, wie die Verlängerung durchgeführt werden kann hat Microsoft in einem Learn Artikel beschrieben:

https://learn.microsoft.com/de-de/entra/identity/authentication/concept-mandatory-multifactor-authentication?tabs=dotnet#request-more-time-to-prepare-for-phase-2-mfa-enforcement

Warum ein Verschieben riskant ist

Auch wenn eine Verschiebung technisch möglich ist, weist Microsoft ausdrücklich darauf hin, dass dies ein erhöhtes Sicherheitsrisiko darstellt.

  • Erhöhtes Angriffsrisiko: Konten ohne MFA sind nach wie vor die Hauptursache für kompromittierte Identitäten. Laut Microsoft lassen sich über 99 % aller Passwortangriffe mit MFA verhindern.
  • Zeitlich begrenzte Lösung: Ein Postphonen ist nur temporär möglich. Früher oder später wird die Erzwingung greifen – wer also nur aufschiebt, verschiebt das Problem in die Zukunft.
  • Compliance & Audits: Viele Branchenstandards (z. B. ISO 27001, NIS2, DSGVO-Sicherheitsanforderungen) setzen MFA bereits voraus. Ein Verschieben kann zu Audit-Risiken führen.
  • Benutzergewohnheiten: Je länger man wartet, desto schwieriger wird es, die Belegschaft an MFA zu gewöhnen. Frühzeitige Einführung reduziert Widerstände.

Sinnvolle Alternativen zum Verschieben

Am sinnvollsten ist die Nutzung von Conditional Access Policies. Damit Benutzergruppen Schritt für Schritt abgedeckt und dennoch bis zum 1. Oktober 2025 alle Administratoren damit ausgestattet werden.

Durch die Schrittweise Ausweitung kann Zeit erkauft werden um alle Benutzer damit auszustatten. Wichtig ist jedoch Administratoren sofort damit auszustatten, um die genannten Risiken in kritischen Bereichen zu verhindern.

Fazit

Die verpflichtende Einführung von MFA ist ein entscheidender Schritt für mehr Sicherheit in Microsoft 365. Wer mehr Zeit benötigt, kann die Aktivierung zwar verschieben – sollte aber parallel unbedingt die Migration vorantreiben.

Bei Fragen oder Problemen, oder wenn du Unterstützung bei der Umstellung brauchst, komm gerne auf mich zu.