Microsoft erzwingt Zwei-Faktor-Authentifizierung für alle Admin-Zugänge

Microsoft schließt ein Jahr der Vorbereitung ab und macht die Zwei-Faktor-Authentifizierung (MFA) für alle Zugriffe auf die Microsoft 365 Admin Center verbindlich. Ab sofort werden Administratoren ohne aktivierte MFA abgewiesen – ein entscheidender Schritt im Kampf gegen Cyberangriffe auf privilegierte Konten.

Die Maßnahme, die seit Februar 2025 schrittweise eingeführt wurde, gilt ab heute für alle administrativen Portale wie admin.microsoft.com. Sie soll das Risiko durch Phishing, Passwort-Spraying und gestohlene Zugangsdaten massiv reduzieren. Laut Microsoft-Berechnungen können über 99 % der identitätsbasierten Angriffe so verhindert werden.

Ein neuer Sicherheits-Standard für die Cloud

Die Ankündigung markiert einen fundamentalen Wandel in der „Secure by Default“-Strategie des Software-Riesen. Aus einer dringenden Empfehlung wird eine verbindliche Vorgabe für jeden, der Benutzer, Lizenzen oder Dienste in Microsoft 365 verwaltet. Betroffen sind nicht nur globale Administratoren, sondern alle Rollen mit Zugang zum Admin Center.

Viele IT‑Teams unterschätzen, wie verwundbar privilegierte Konten sind – und nicht jede Schutzmaßnahme ist sofort offensichtlich. Dieses kostenlose E‑Book fasst aktuelle Cyber‑Security‑Trends zusammen, erklärt typische Angriffswege (inkl. Phishing und Credential‑Theft) und zeigt praxisnahe Schritte, mit denen Sie Zugriffe, Erkennung und Reaktion verbessern. Ideal für Microsoft‑Administratoren, die MFA einführen und darüber hinaus ihre Cloud‑Sicherheit systematisch stärken wollen. Jetzt kostenlosen Cyber‑Security‑Guide für IT‑Verantwortliche herunterladen

Für Unternehmen, die bereits Sicherheitsvoreinstellungen (Security Defaults) oder bedingte Zugriffsrichtlinien über Microsoft Entra nutzen, ändert sich nichts. Organisationen ohne Vorbereitung droht dagegen der Zugriffsverlust für ihre IT-Administratoren. Diese müssen nun mindestens eine Verifizierungsmethode – wie die Microsoft Authenticator App, eine SMS oder ein Hardware-Token – registrieren.

Privilegierte Konten im Visier der Angreifer

Der Schritt ist eine direkte Antwort auf die wachsende Bedrohungslage. Sicherheitsexperten betonen seit Jahren, dass kompromittierte Admin-Konten das Einfallstor für schwerwiegende Attacken wie Ransomware oder Datenklau sind. Angreifer zielen gezielt auf diese privilegierten Zugänge, um umfassende Kontrolle über die Cloud-Infrastruktur eines Unternehmens zu erlangen.

Microsoft folgt damit einem klaren Branchentrend. Ähnliche MFA-Pflichten für das Azure-Portal und andere administrative Endpunkte wurden bereits 2024 und 2025 umgesetzt. Indem der Konzern die Verwaltungsebene seines populärsten Enterprise-Cloud-Dienstes absichert, will er das Vertrauen in seine Plattform stärken und die digitalen Operationen seiner Kunden schützen.

Was betroffene Unternehmen jetzt tun müssen

Microsoft hat seine Kunden über das Nachrichtenzentrum im Admin Center ein Jahr lang auf die Änderung vorbereitet. Für IT-Verantwortliche, die noch handeln müssen, gibt es zwei Hauptoptionen: Die Aktivierung der grundlegenden Security Defaults, die MFA für alle Benutzer erzwingt, oder die Einrichtung granularer bedingter Zugriffsrichtlinien in Microsoft Entra.

Letztere, eine Premium-Funktion, bieten mehr Flexibilität. Sie erlauben es, MFA nur bei bestimmten Risiken, von unbekannten Orten oder von unsicheren Geräten zu verlangen. Auch korrekt konfigurierte Drittanbieter-Identitätsdienste werden unterstützt.

Ein Meilenstein mit Signalwirkung für die Branche

Die verbindliche MFA für Millionen von Administratoren weltweit ist ein bedeutender Meilenstein für die Cloud-Sicherheit. Sie unterstreicht den branchenweiten Konsens, dass Passwörter allein keinen ausreichenden Schutz für kritische Unternehmenssysteme mehr darstellen.

Die Maßnahme dürfte Signalwirkung entfalten und andere Anbieter zu ähnlich strengen Standards ermutigen. Sie festigt die Prinzipien der Zero-Trust-Architektur, bei der kein Zugriff mehr ohne explizite Verifizierung gewährt wird. Kurzfristige Anpassungsschwierigkeiten für einige Unternehmen stehen langfristig einem dramatisch reduzierten Angriffsfeld gegenüber.

Die Einführung ist kein Endpunkt, sondern die Etablierung einer neuen, sichereren Basis. Beobachter erwarten, dass Microsoft seine „Secure by Default“-Philosophie weiter ausbauen wird – mit Fokus auf Identitätsschutz, Datensicherheit und fortschrittlichen Tools für Administratoren.

PS: IT‑Sicherheit lässt sich oft deutlich verbessern – auch ohne neue Großinvestitionen. Der kostenlose Leitfaden erklärt, welche Maßnahmen IT‑Teams priorisieren sollten (Zugriffsverwaltung, Erkennungsregeln, Mitarbeiterschulungen) und wie neue Regularien wie KI‑Vorgaben die Sicherheitsstrategie beeinflussen. Perfekt für Administratoren, die nach Einführung der MFA den nächsten Schritt Richtung Zero‑Trust gehen wollen. Jetzt Cyber‑Security‑Leitfaden sichern