Microsoft 365: Einheitliche Timeout-Regelung tritt in Kraft

Ab sofort gilt für alle Web-Apps in Microsoft 365 eine einheitliche Sitzungszeitbegrenzung. Die alte, isolierte Regelung für Outlook im Browser ist Geschichte – eine wichtige Weichenstellung für die Sicherheit im Homeoffice.

BERLIN – Mit dem Start ins neue Arbeitsjahr müssen sich Unternehmen auf eine entscheidende Änderung in Microsoft 365 einstellen. Seit dieser Woche ist die veraltete, app-spezifische Timeout-Regelung für Outlook im Web offiziell abgeschaltet. Stattdessen gilt nun verbindlich die plattformweite Idle Session Timeout-Richtlinie. Diese sorgt dafür, dass inaktive Nutzer nach einer festgelegten Zeit aus allen Microsoft-365-Webanwendungen gleichzeitig abgemeldet werden – eine lange angekündigte Maßnahme zur Schließung von Sicherheitslücken.

Jahrelang konnten IT-Administratoren die Timeout-Dauer für Outlook Web App (OWA) separat steuern. Doch dieses isolierte Vorgehen wurde zum Risiko: Ein Nutzer konnte aus Outlook abgemeldet sein, während seine Sitzung in SharePoint oder OneDrive im selben Browser noch aktiv – und damit angreifbar – blieb. Diese Inkonsistenz passte nicht mehr in eine vernetzte Cloud-Welt, in der Daten über App-Grenzen hinweg fließen.

Passend zum Thema IT‑Sicherheit – viele Unternehmen sind auf neue Angriffsformen nicht ausreichend vorbereitet. Ein kostenloses E‑Book liefert kompakte Analysen zu aktuellen Cyber‑Bedrohungen, neuen Regularien (inkl. KI‑Recht) und praxiserprobten Schutzmaßnahmen für Microsoft‑365‑Umgebungen. Mit Checklisten für Phishing‑Abwehr, Zugriffssteuerung und schnellen Sofortmaßnahmen, die IT‑Teams sofort umsetzen können. Ideal für IT‑Leiter und Administratoren im Home‑Office‑Zeitalter. Kostenlosen Cyber‑Security‑Leitfaden jetzt herunterladen

„Die alte Regelung war ein Sicherheitsrisiko, besonders für unverwaltete Geräte im Homeoffice oder an Kiosks“, erklärt ein IT-Sicherheitsexperte. Microsoft habe diesen „Flickenteppich“ nun beseitigt. Seit dem 4. Januar 2026 setzt das Unternehmen die bereits 2023 angekündigte und im Laufe des Jahres 2025 finalisierte Umstellung durch.

Ein Timeout für alle: So funktioniert die neue Regel

Die neue, mandantenweite Richtlinie überwacht die Nutzeraktivität übergreifend in allen geöffneten Microsoft-365-Web-Apps im Browser. Erreicht die Inaktivität den konfigurierten Schwellenwert – standardmäßig oft eine Stunde –, erscheint eine Warnung. Reagiert der Nutzer nicht, wird die Sitzung für alle Apps beendet. Eine erneute Anmeldung ist erforderlich.

Dieser einheitliche Ansatz ist ein Kernstück von Microsofts „Secure Future Initiative“. Er zwingt Unternehmen zu konsistenten Sicherheitsstandards und reduziert die Angriffsfläche auf vergessenen oder geteilten Geräten erheblich. Für Nutzer bedeutet es allerdings eine spürbare Veränderung: Passiv geöffnete Dashboards oder Dokumente in verschiedenen Tabs führen nun zum kompletten Abmelden.

Dringender Handlungsbedarf für IT-Administratoren

Für viele IT-Abteilungen beginnt jetzt die heiße Phase. Organisationen, die noch auf der alten, Exchange-spezifischen Einstellung beharrten, müssen jetzt aktiv werden. Die neue Richtlinie wird im Microsoft 365 Admin Center unter Organisationseinstellungen > Sicherheit und Datenschutz > Timeout für inaktive Sitzungen konfiguriert.

„Wer hier nichts einstellt, überlässt die Sitzungsdauer den Standard-Token-Lebenszeiten. Das kann zu langen, unsicheren Sessions auf unverwalteten Geräten führen“, warnt ein Consultant. Die neue Policy überschreibt alle verbliebenen Exchange-Einstellungen. Eine frühere 15-Minuten-Regel für Outlook gilt nun plattformweit – was in den kommenden Tagen vermehrt Helpdesk-Anfragen zur Folge haben dürfte.

Trend zu identitätszentrierter Sicherheit

Die Abschaffung app-spezifischer Timeouts ist kein Einzelfall. Sie folgt dem branchenweiten Trend hin zu identitätszentrierten, plattformübergreifenden Sicherheitsrichtlinien. Microsoft hatte zuletzt bereits die „Basic Authentication“ für persönliche Konten ausgemustert und moderne Authentifizierungsmethoden verpflichtend gemacht.

Die Reaktionen aus der Sicherheitsbranche sind überwiegend positiv. „Konsistenz ist der Schlüssel zu verwaltbarer Sicherheit“, so ein Analyst. Allerdings räumt er ein: „Für bestimmte Workflows, die lange, passive Anzeigen erfordern, bedeutet dies eine Umstellung.“ Microsoft hat die „Angemeldet bleiben“-Logik zwar verfeinert, die harte Timeout-Grenze für unverwaltete Sitzungen bleibt jedoch ein nicht verhandelbarer Sicherheitsstandard.

Was kommt nach der Standardisierung?

Die aktuelle Vereinheitlichung bereitet den Weg für die nächste Evolutionsstufe: dynamische, risikobasierte Zugangskontrollen. Sicherheitsarchitekten erwarten, dass KI-gestützte Sitzungsverwaltung der nächste Schritt sein wird. Dabei könnten Timeouts in Echtzeit an das Nutzerverhalten, den Standort und aktuelle Bedrohungssignale angepasst werden – statt an einen starren Zeitwert.

Bis es soweit ist, steht für Unternehmen im ersten Quartal 2026 die praktische Umsetzung im Vordergrund. Die Übergangsfrist ist abgelaufen. Die einheitliche Sitzungszeitbegrenzung ist jetzt der neue Standard für den modernen, digitalen Arbeitsplatz.

PS: Sie stellen Ihre Sitzungspolicies gerade zentral um? Holen Sie sich den Gratis‑Leitfaden zur Cyber‑Sicherheit: Konkrete Schritte zur Härtung von Microsoft‑365, Vorlagen für Richtlinien, Checklisten zur Anti‑Phishing‑Prävention und Hinweise zur sicheren Nutzung im Home‑Office. Perfekt, um Helpdesk‑Anfragen zu reduzieren und die Angriffsfläche zu verkleinern. Jetzt Gratis‑E‑Book zur Cyber‑Security anfordern