Microsoft macht Zwei-Faktor-Authentifizierung für alle M365-Administratoren verpflichtend

Microsoft schließt ein gefährliches Sicherheitsloch: Ab sofort müssen sich alle Administratoren der Microsoft-365-Plattform mit einer zweiten Bestätigungsmethode einloggen. Wer keine Zwei-Faktor-Authentifizierung (MFA) eingerichtet hat, wird von den Verwaltungsportalen ausgesperrt. Der Schritt soll hochprivilegierte Konten vor der wachsenden Flut von Passwort-Angriffen schützen.

Die seit Februar 2025 angekündigte Pflicht gilt seit heute für alle Zugänge zu den zentralen Admin-Portalen. Diese Portale sind das Schaltzentrum einer Organisation – von hier aus werden Nutzer verwaltet, Sicherheitseinstellungen vorgenommen und Compliance-Vorgaben kontrolliert. Ein gehacktes Admin-Konto öffnet Cyberkriminellen Tür und Tor. Microsoft beobachtet täglich Hunderte Millionen Angriffsversuche auf Kontozugänge in seinen Cloud-Diensten.

Warum dieser Schritt überfällig war

Die Entscheidung ist eine direkte Antwort auf die Explosion identitätsbasierter Cyberangriffe. Phishing, Passwort-Spraying und Brute-Force-Attacken zielen gezielt auf Administratoren ab. Laut Microsoft-Berichten kann MFA über 99 Prozent dieser Kompromittierungsversuche blockieren.

Viele Unternehmen sind auf Cyberangriffe nicht ausreichend vorbereitet – Microsoft registriert täglich Hunderte Millionen Login-Angriffe. Dieser kostenlose Leitfaden zeigt IT‑Verantwortlichen und Administratoren kompakte, sofort umsetzbare Maßnahmen: von MFA-Implementierung über risikobasierte Zugriffsregeln bis zu Mitarbeiterschulungen gegen Phishing. Holen Sie sich praxisnahe Checklisten und Prioritäten, mit denen Sie Ihre Organisation schnell widerstandsfähiger machen. Jetzt kostenlosen Cyber-Security-Guide sichern

„Die zweite Bestätigungsstufe – etwa per App, Fingerabdruck oder Sicherheitsschlüssel – macht gestohlene Passwörter praktisch wertlos“, erklärt ein Sicherheitsexperte. Die Maßnahme unterstützt Unternehmen auch bei der Einhaltung von Standards wie SOC 2 oder HIPAA.

Grundpfeiler der Zero-Trust-Strategie

Die MFA-Pflicht ist ein zentraler Baustein von Microsofts Zero-Trust-Modell. Dieses Sicherheitskonzept vertraut prinzipiell niemandem und verlangt für jeden Zugriffsversuch eine Überprüfung – unabhängig davon, ob die Anfrage aus dem Firmennetzwerk oder von extern kommt.

Besonders bei Konten mit weitreichenden Berechtigungen ist eine starke Identitätsprüfung entscheidend. Selbst wenn Angreifer andere Verteidigungslinien überwinden, scheitern sie an dieser zweiten Hürde. Microsoft verankert so das Prinzip des „Never trust, always verify“ direkt in der Administration seiner Flaggschiff-Produktivitätsplattform.

Herausforderungen bei der Umsetzung

Für einen reibungslosen Übergang stellt Microsoft Einrichtungs-Assistenten und detaillierte Anleitungen bereit. Größere Organisationen können MFA über Conditional Access Policies steuern, während für alle anderen die voreingestellten „Security Defaults“ verfügbar sind.

Dennoch birgt die Umstellung Hürden, besonders für kleinere Unternehmen oder solche mit veralteter IT-Infrastruktur. Widerstand gegen den zusätzlichen Login-Schritt und die technische Integration sind häufige Probleme. Kritisch ist auch die Überprüfung aller privilegierten Konten – inklusive Notfall- und Dienstkonten – um ungewollte Aussperrungen zu vermeiden.

Experten raten zu einer schrittweisen Einführung und klarer Kommunikation. „Eine gut vorbereitete Migration minimiert Betriebsunterbrechungen und erhöht die Akzeptanz“, so ein IT-Berater.

Blick nach vorn: Die Zukunft ist passwortfrei

Die MFA-Pflicht für Administratoren ist ein Meilenstein, aber nicht das Ende der Entwicklung. Die Branche strebt zu noch sichereren und benutzerfreundlichen Methoden wie FIDO2-Sicherheitsschlüsseln oder biometrischer Authentifizierung.

Microsoft treibt damit eine umfassendere Strategie voran: die Vereinheitlichung von Identitäts- und Netzwerkzugriff für die hybride Arbeitswelt. Künftig könnten dynamische, risikobasierte Zugangskontrollen, gestützt auf Künstliche Intelligenz, Bedrohungen in Echtzeit abwehren. Die verpflichtende MFA setzt heute einen neuen Sicherheitsstandard für Millionen Organisationen weltweit.

PS: Wer MFA und Zero‑Trust‑Prinzipien umsetzt, braucht gleichzeitig klare Prozesse gegen Phishing und Account‑Missbrauch. Das Gratis‑E‑Book erklärt, welche Kontrollen Administratoren jetzt priorisieren sollten, welche technischen Einstellungen sofort Wirkung zeigen und wie Sie Ihre Mitarbeitenden wirkungsvoll sensibilisieren. Ideal für IT‑Leads und Sicherheitsbeauftragte, die Sicherheitsstandards schnell und ohne große Zusatzkosten verbessern wollen. Gratis Cyber-Security-Report anfordern