Microsoft erzwingt Cloud-Migration durch Active-Directory-Abbau

Microsoft startet 2026 mit einem drastischen Kurswechsel in der IT-Sicherheit. Der Konzern zwingt Unternehmen durch das Ausmustern lokaler Sicherheitstools in die Cloud – eine strategische Wende mit erheblichen Folgen für die Compliance.

REDMOND/BERLIN – Der Software-Riese erhöht den Druck auf Unternehmen mit lokaler IT-Infrastruktur massiv. In einer koordinierten Aktion mit Wirkung ab Januar 2026 setzt Microsoft eine Strategie durch, die Experten bereits als „Active-Directory-Minimierung“ bezeichnen. Das Ziel ist klar: Die Abhängigkeit von der lokalen Verzeichnisdienst-Infrastruktur soll reduziert werden, indem On-Premises-Sicherheitstools abgeschaltet und cloudbasierte Identitätsstandards verpflichtend werden.

Der unmittelbarste Auslöser ist das endgültige Aus für Microsoft Advanced Threat Analytics (ATA) am 13. Januar 2026. Jahrelang war ATA der Standard zur Überwachung der lokalen Active-Directory-Sicherheit. Seine Einstellung zwingt Organisationen zur Migration zu Microsoft Defender for Identity – einem Cloud-Dienst, der eine Verbindung zur Microsoft-Cloud voraussetzt. Damit entfällt für compliant arbeitende Unternehmen die Möglichkeit einer vollständig vom Internet getrennten („air-gapped“) AD-Überwachung.

Viele Unternehmen sind auf genau solche Umstellungen nicht vorbereitet: Der Zwang zur Cloud erhöht Angriffsflächen, verändert Datenflüsse und stellt Compliance‑Verantwortliche vor neue Prüfpflichten. Ein kostenloser Cyber‑Security‑Leitfaden fasst aktuelle Bedrohungen zusammen, zeigt pragmatische Schutzmaßnahmen für Mittelstand und Konzerne und erklärt, wie Sie Sicherheitslücken schnell schließen – auch mit begrenztem Budget. Jetzt kostenlosen Cyber‑Security‑Leitfaden sichern

Parallel kündigte Microsoft am 5. Januar an, veraltete Compliance-Funktionen in SharePoint Online bis April 2026 einzustellen und Kunden zum cloud-nativen Microsoft Purview-Paket zu drängen. Zusammen mit sofortigen Zertifikatsänderungen für Entra ID (ehemals Azure AD) markieren diese Schritte eine definitive Wende: Konforme Identitätsverwaltung erfordert nun zwingend die Cloud.

Die Abschaltung von ATA ist mehr als ein Routine-Update. Sie bedeutet einen fundamentalen Architekturwandel in der IT-Compliance. Bislang konnten Unternehmen ein hohes Sicherheitsniveau für ihr lokales Active Directory ohne direkte Abhängigkeit von Azure-Diensten aufrechterhalten. Ab dem 13. Januar endet diese Autonomie für alle, die moderne Standards einhalten müssen.

„Die Einstellung von ATA entfernt die letzte Säule einer rein lokalen Identitätssicherheits-Analyse“, heißt es in Branchenanalysen. Firmen, die Compliance mit Standards wie ISO 27001 oder TISAX wahren wollen, müssen jetzt auf Defender for Identity umsteigen. Diese Migration erzwingt die Verbindung lokaler AD-Umgebungen mit der Cloud – selbst für Unternehmen, die sich bisher aus Gründen der Datensouveränität gegen Cloud-Integration sträubten.

Diese „erzwungene Hybridisierung“ wird durch den neuen Baseline Security Mode verschärft, dessen globale Einführung Ende Januar 2026 beginnt. Dieses Framework wird etwa 20 nicht verhandelbare Sicherheitsrichtlinien in Microsoft-365- und Entra-ID-Umgebungen durchsetzen. Entscheidend: Diese Richtlinien blockieren veraltete Authentifizierungsprotokolle, die oft von alten On-Premises-Anwendungen genutzt werden. IT-Abteilungen werden so gezwungen, ihre legacy-AD-Software zu modernisieren oder abzuschaffen.

Dringende Zertifikats-Migration: Die DigiCert-Herausforderung

Während die ATA-Abschaltung nächste Woche ansteht, erfordert eine noch dringlichere technische Änderung sofortiges Handeln. Ab dem 7. Januar 2026 migriert Microsoft seine Entra-ID-Dienste auf das DigiCert Global Root G2-Zertifikat.

Diese Infrastruktur-Aktualisierung ist für die IT-Compliance kritisch. Anwendungen und Hybrid-Identity-Connectors, die explizit das ältere G1-Stammzertifikat verwenden, werden sofort Authentifizierungsfehler erleiden. Für globale Organisationen bedeutet das: Wer die Zertifikatsspeicher nicht aktualisiert, riskiert flächendeckende Login-Ausfälle.

„Das ist eine binäre Compliance-Prüfung“, warnt die aktualisierte technische Dokumentation. „Systeme, die dem G2-Stammzertifikat nicht vertrauen, können sich einfach nicht mehr bei Microsofts Cloud authentifizieren.“ Diese Änderung erzwingt eine rigorose Überprüfung aller Hybrid-Verbindungen. Die „Minimierung“ veralteter Konfigurationen wird so nicht nur zum strategischen Ziel, sondern zur technischen Voraussetzung für den Betrieb.

Purview-Offensive und Blockade alter Protokolle

Die Strategie, den Fußabdruck von Active Directory zu verkleinern, geht über Identitätssicherheit hinaus und betrifft auch die Daten-Governance. Microsoft kündigte am 5. Januar an, veraltete Compliance-Funktionen in SharePoint Online – wie „Information Management Policies“ – bis April 2026 einzustellen.

Diese Features, die traditionelle On-Premises-Governance nachbildeten, werden durch Microsoft Purview Data Lifecycle Management ersetzt. Dieser Wechsel zwingt Organisationen, ihre Compliance-Logik – Aufbewahrungskennzeichnungen, Löschrichtlinien, Records Management – aus der spezifischen Anwendung (SharePoint) in die zentralisierte, cloudbasierte Purview-Intelligenzschicht zu verlagern.

Zudem wird die Abschaltung der IDCRL-Authentifizierung für SharePoint und OneDrive am 30. Januar 2026 standardmäßig veraltete Anmeldungen blockieren. Diese Maßnahme eliminiert eine weitere „Brücken“-Technologie, die es alten, AD-basierten Clients erlaubte, mit der Cloud zu interagieren. Der Weg für nicht modernisierte IT-Umgebungen wird damit weiter verengt.

Analyse: Die „Identitäts-Firewall“ wandert in die Cloud

Branchenbeobachter sehen diese Entwicklungen nicht als isolierte Updates, sondern als kohärente Strategie, den Perimeter des Unternehmensnetzwerks neu zu definieren. Indem Microsoft die Tools zum Schutz des lokalen AD (ATA) einstellt und gleichzeitig die Cloud-Einstiegspunkte (Baseline Security Mode, DigiCert G2) härter macht, stellt der Konzern klar: Die „Kontroll-Ebene“ für IT-Compliance ist dauerhaft in die Cloud gewandert.

Für europäische Unternehmen wirft dies komplexe Fragen zur Datensouveränität auf. Die Notwendigkeit, lokale Domain Controller zur Sicherheitsüberwachung mit der Cloud zu verbinden, schafft neue Datenfluss-Überlegungen. Die Sicherheitsvorteile sind jedoch handfest: Der „Baseline Security Mode“ nutzt Bedrohungsdaten aus Milliarden täglicher Authentifizierungen – ein Schutzniveau, das isolierte lokale AD-Umgebungen nicht mehr erreichen können.

Der Kurs für 2026 ist gesteckt. IT-Verantwortliche sollten nach den Januar-Updates mit weiteren „Minimierungs“-Maßnahmen rechnen. Die für März 2026 angekündigte Einstellung der „Require Approved Client App“-Richtlinien deutet auf noch granularere, gerätestatusbasierte Zugangskontrollen hin, die stark auf Intune und Entra ID setzen – und nicht auf statische AD-Gruppenmitgliedschaften.

Organisationen sollten den 13. Januar als kritische Deadline behandeln. Dringende Schritte sind:
1. Zertifikats-Trust prüfen: Sicherstellen, dass DigiCert Global Root G2 vor dem 7. Januar auf allen Hybrid-Servern vertraut wird.
2. Sicherheits-Operationen migrieren: Umgehend von ATA zu Defender for Identity wechseln, um Sicherheitslücken zu vermeiden.
3. Veraltete Authentifizierung auditieren: Logs auf IDCRL-Nutzung vor der Blockade am 30. Januar überprüfen.

Im Verlauf des Jahres 2026 wird „Active Directory“ zunehmend zur Backend-Datenbank schrumpfen, während „Entra ID“ seine Rolle als eigentliche Frontend-Plattform für Unternehmenssicherheit und Compliance zementiert.

PS: CEO‑Fraud, Spear‑Phishing und gefälschte Authentifizierungs‑E-Mails werden durch die erzwungene Cloud‑Integration noch relevanter. Ein kostenloses Anti‑Phishing‑Paket erklärt die aktuell erfolgreichsten Angriffs‑Szenarien, liefert konkrete Schutzschritte für Mitarbeiter und IT‑Teams und enthält Vorlagen zur Sensibilisierung Ihrer Belegschaft. Anti‑Phishing‑Paket jetzt gratis anfordern