Microsoft-Sicherheit: Passwörter weg, SSO-Pflicht ab Juli

Der Softwarekonzern Microsoft krempelt seine Sicherheitsarchitektur um. Ab Juli 2026 gelten strengere Regeln für die Geräteanmeldung – und alte Passwort-Methoden werden abgeschafft.

Die Änderungen betreffen sowohl Windows- als auch macOS-Systeme und zielen darauf ab, veraltete Authentifizierungsverfahren durch moderne, gerätebasierte Methoden zu ersetzen. Für Unternehmen und IT-Administratoren bedeutet das: umfangreiche Umstellungen in den kommenden Wochen.

Neue Pflicht: SSO-Registrierung ab Juli

Anzeige: Die SSO-Pflicht ab Juli 2026 betrifft jedes Unternehmen mit Microsoft-Umgebung. Unser Leitfaden zeigt Ihnen in 5 konkreten Schritten, wie Sie die Umstellung fristgerecht meistern – inklusive SSPR-Vorlage ohne Directory-Fallback. Jetzt kostenlosen Leitfaden anfordern

Ab dem 6. Juli 2026 führt Microsoft neue Conditional Access Policies für Windows und macOS ein. Im Fokus steht die Registrierung für Single Sign-On (SSO) – über Windows Hello for Business auf Windows-Rechnern und die Platform SSO auf Macs. Der gesamte Rollout soll bis zum 13. Juli abgeschlossen sein.

Die Systeme werden künftig Multi-Faktor-Authentifizierung (MFA) erzwingen und nur noch von vertrauenswürdigen Standorten aus die Geräteregistrierung erlauben. Das Ziel: Geräte-Identitäten müssen über native Betriebssystem-Mechanismen verifiziert werden – nicht mehr über eigenständige Anwendungspasswörter.

Selbstbedienung bei Passwörtern wird eingeschränkt

Ein besonders einschneidender Schritt betrifft die Self-Service Password Reset (SSPR) -Funktion in Microsoft Entra ID. Bis zum 7. September 2026 müssen Administratoren ihre Konfigurationen anpassen. Microsoft entfernt den sogenannten Directory-Attribute-Fallback. Konkret: Telefonnummern und E-Mail-Adressen, die in den Standardverzeichnisfeldern hinterlegt sind, werden für die Identitätsprüfung bei Passwortzurücksetzungen nicht mehr akzeptiert.

Eine Registrierungskampagne startet bereits am 6. Juli. Administratoren sollten jetzt den aktuellen SSPR-Status prüfen und Nutzer auffordern, ihre Sicherheitsinformationen zu aktualisieren.

Edge-Browser: Eigenes Passwort ade

Seit dem 4. Juni 2026 hat Microsoft Edge die Option für ein benutzerdefiniertes Hauptpasswort im Passwortmanager entfernt. Der Browser setzt nun ausschließlich auf Windows Hello oder gerätebasierte Authentifizierung – etwa Biometrie oder Betriebssystem-Zugangsdaten. Der Grund: Sensible Daten sollen auf dem Gerät bleiben und nicht durch ein browserunabhängiges Master-Passwort verwaltet werden.

Plattform-Updates: Alte Systeme fallen weg

Gleich mehrere Kompatibilitätsänderungen treten in Kraft:

• OneDrive Mobile: Seit dem 1. Juni 2026 unterstützen die OneDrive-Apps für iOS und Android keine Anmeldungen mehr für lokale SharePoint-Server-Konten (Versionen 2016 und 2019).
• Apple-Betriebssysteme: Der Support für Office und Microsoft 365 auf älteren Apple-Systemen endet am 13. Juli 2026. Nutzer benötigen mindestens macOS 12, iOS 17 oder iPadOS 17, um volle Bearbeitungs- und Speicherfunktionen zu erhalten.
• SharePoint Server: Der offizielle Support für SharePoint Server 2016 und 2019 endet am 14. Juli 2026.

Neue Sicherheitsarchitektur für KI-Agenten

Auf der Build-2026-Konferenz stellte Microsoft ein neues Sicherheitskonzept für autonome KI-Agenten vor. Kernstück ist der Microsoft Execution Container (MXC) – eine Sandbox-Umgebung für Agenten auf Windows, Linux und macOS.

Ebenfalls neu: die Agent Control Specification (ACS), die seit dem 4. Juni 2026 als Governance-Modul verfügbar ist. ACS bietet acht Kontrollpunkte – unter anderem beim Start, bei Modellaufrufen und beim Herunterfahren – um eine Laufzeit-Überwachung zu ermöglichen.

Der persönliche Agent "Scout" startete am 2. Juni 2026 in die Frontier Preview. Er benötigt spezifische Intune-Konfigurationen und administrative Bestätigungen für den Datenaustausch.

Um die wachsende Zahl unverwalteter Agenten in den Griff zu bekommen, kündigte Microsoft ein Agent Registry an, das im Juni 2026 in die Vorschauphase geht. Das Tool soll Unternehmen helfen, lokale Agenten zu entdecken – über die Integration mit Microsoft Defender, Entra und Intune.

Anzeige: Unverwaltete KI-Agenten sind ein wachsendes Sicherheitsrisiko – Microsofts Agent Registry und MXC-Sandbox bieten Abhilfe. Unser Report erklärt, wie Sie Agenten entdecken, konfigurieren und überwachen, bevor sie zur Lücke werden. Sicherheits-Report für KI-Agenten jetzt sichern

Neue Bedrohungen: Phishing-Kit und Admin-Risiken

Sicherheitsforscher haben Schwachstellen identifiziert, die diese Maßnahmen adressieren sollen. Das Kali365-Phishing-Kit hat sein Zielspektrum über Microsoft 365 hinaus auf Plattformen wie AWS und Okta ausgeweitet. Es nutzt Device-Code-Phishing, um MFA zu umgehen – indem es Nutzer dazu bringt, sich selbst zu authentifizieren. Analysten identifizierten im Mai 2026 insgesamt 126 aktive Hosts, die dieses Kit einsetzen.

Experten von TrustedSec warnen zudem vor den Risiken privilegierter Mobile-Device-Management (MDM) -Rollen, etwa Intune-Administratoren. Kompromittierte Konten mit diesen Berechtigungen könnten genutzt werden, um schädliche Skripte auszurollen oder Geräte zurückzusetzen. Als Gegenmaßnahmen empfehlen die Sicherheitsexperten Privileged Access Workstations (PAW), Just-In-Time (JIT) -Berechtigungen und Workflows mit mehreren Administratoren.

de | wissenschaft | 69485465 |