Microsoft verschärft Entra ID-Sicherheit drastisch

Microsoft dreht die Sicherheitsschraube bei seinem Cloud-Identitätsdienst weiter an. Das Unternehmen führt strengere Schutzmaßnahmen gegen Skript-Angriffe ein und macht die Zwei-Faktor-Authentifizierung zur Pflicht – ohne Hintertür.

Die neuen Sicherheitsfunktionen für Microsoft Entra ID (ehemals Azure Active Directory) zielen direkt auf raffinierte Identitätsangriffe ab, die Unternehmen weltweit Milliarden kosten. Die Ankündigung vom Dienstag dieser Woche folgt nur wenige Tage nach der Ignite 2024-Konferenz, auf der Microsoft bereits weitere Sicherheitsinnovationen präsentiert hatte.

Das Herzstück der Neuerungen: Microsoft ändert die Content Security Policy (CSP) für Entra ID-Anmeldeseiten fundamental. Ab sofort blockiert die Plattform jegliche Skripte, die nicht von verifizierten Microsoft-Domains stammen.

Passend zum Thema Identitätsschutz: Moderne Phishing‑Kits und skriptbasierte Angriffe machen Admin‑Accounts und Token-Handling verwundbar – MFA und bloße Konfigurationsänderungen reichen oft nicht aus. Ein kostenloser Unternehmensleitfaden erklärt die aktuellen Bedrohungen, praxisnahe Sofortmaßnahmen (inkl. MFA‑Strategien, CLI‑Härtung und Browser‑CSP‑Checks) und wie Sie Deployment‑Pipelines sicher für die kommende Phase‑2‑Enforcement vorbereiten. Ideal für IT‑Verantwortliche, die Entra ID & Azure nachhaltig absichern wollen. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Konkret geht es um sogenannte “Adversary-in-the-Middle”-Attacken und Cross-Site-Scripting-Angriffe. Dabei versuchen Cyberkriminelle, Schadcode in den Login-Prozess einzuschleusen, um Session-Tokens oder Zugangsdaten abzugreifen. Durch die strikte Allowlist vertrauenswürdiger Domains will Microsoft diesen Angriffsvektor komplett austrocknen.

“Dies ist eine proaktive Maßnahme, die Ihre Nutzer zusätzlich vor aktuellen Sicherheitsrisiken wie Cross-Site-Scripting schützt”, erklärte Ankur Patel, Produktmanager bei Microsoft Entra ID, im Technik-Blog des Unternehmens.

Die neue Richtlinie greift für die zentrale Anmeldeseite unter login.microsoftonline.com. Microsoft empfiehlt Unternehmen dringend, ihre Login-Prozesse zu testen – besonders wenn sie Custom-Branding oder Drittanbieter-Integrationen nutzen.

Zwei-Faktor-Pflicht ohne Ausnahme

Parallel dazu konkretisiert Microsoft die Pflicht zur Multifaktor-Authentifizierung (MFA) für Azure-Verwaltungsportale. Seit Oktober 2024 läuft “Phase 1” dieser Enforcement-Welle: Jeder Nutzer muss sich beim Zugriff auf das Azure-Portal, das Microsoft Entra Admin Center und das Microsoft Intune Admin Center per Zwei-Faktor-Methode authentifizieren.

Ein Opt-out gibt es nicht. Die Initiative ist Teil von Microsofts “Secure Future Initiative”, die unverifizierten Zugriff standardmäßig verweigert.

Die Zahlen sprechen für sich: Laut Microsoft blockiert MFA über 99,2 Prozent aller Angriffe auf Nutzerkonten. Seit dem Start von Phase 1 sei die Zahl erfolgreicher Credential-Attacken auf Administrator-Konten signifikant gesunken.

Command-Line-Tools kommen 2025 dran

Doch Microsoft macht nicht halt. Im Oktober 2025 startet “Phase 2” der MFA-Pflicht. Dann werden auch Kommandozeilen-Tools wie Azure CLI, Azure PowerShell und Infrastructure-as-Code-Werkzeuge erfasst. Diese Lücke im programmatischen Zugriff schließt sich dann endgültig.

Für deutsche Unternehmen, die häufig auf CLI-basierte Automatisierung setzen, bedeutet das: Die IT-Abteilungen sollten bereits jetzt ihre Skripte und Deployment-Pipelines auf MFA-Kompatibilität prüfen.

Biometrische Verifikation und passwortloses Login

Die aktuellen Updates ergänzen eine ganze Reihe von Neuerungen, die Microsoft auf der Ignite-Konferenz vorgestellt hat. Die Microsoft Entra Suite vereint jetzt Identitäts- und Netzwerkzugriffskontrollen in einer Plattform.

Besonders interessant: Die neue Face Check-Funktion für Microsoft Entra Verified ID. Bei riskanten Zugriffsanfragen erfolgt eine biometrische Verifikation, die prüft, ob die Person tatsächlich zum hinterlegten Identitätsdokument passt. Zusätzlich sind gerätegebundene Passkeys in der Microsoft Authenticator-App jetzt allgemein verfügbar – eine phishing-resistente Authentifizierungsmethode, die Passwörter komplett überflüssig macht.

Reaktion auf Phishing-Kit-Flut

Sicherheitsexperten bewerten Microsofts Vorstoß als überfällige Antwort auf die zunehmende Professionalisierung von Phishing-Kits, die selbst klassische MFA-Methoden umgehen können. Durch die Browser-seitige Sperrung nicht autorisierter Skripte und die MFA-Pflicht erhöht Microsoft die Einstiegshürde für Angreifer erheblich.

“Die Blockade nicht autorisierter Skripte auf Login-Seiten mag subtil klingen, ist aber hocheffektiv”, heißt es aus der Branche. “Damit wird eine ganze Klasse browser-basierter Token-Diebstähle eliminiert, die Cloud-Umgebungen seit Jahren plagen.”

Administrator sollten ihre Entra ID-Logs auf Unterbrechungen durch die neuen CSP-Regeln prüfen und ihre Entwicklerteams auf die Phase-2-Enforcement für CLI-Tools im kommenden Jahr vorbereiten. Da identitätsbasierte Angriffe mittlerweile der Hauptangriffsvektor für moderne Datenpannen sind, signalisiert Microsofts aggressive Haltung bei Security-Defaults einen dauerhaften Abschied von optionalen Sicherheitseinstellungen.

PS: Wussten Sie, dass viele Angriffe trotz aktivierter MFA durch gezielte Phishing‑Techniken Erfolg haben? Das kostenlose E‑Book liefert eine kompakte, 4‑stufige Anti‑Phishing‑Strategie, Praxisbeispiele und Checklisten für Administratoren – inklusive Hinweisen zur Erkennung manipulierten Login‑Codes und zur Umsetzung passwortloser Verfahren. Perfekt, um Entra ID‑Absicherungen zu ergänzen und Compliance‑Lücken zu schließen. Gratis-Cyber-Security-Leitfaden jetzt sichern