Entra ID: Conditional-Access-Policies werden standardmässig strenger
Microsoft hat für neue Entra-ID-Tenants die Defaults bei Phishing-resistenter MFA und Device-Compliance erhöht. Bestehende Tenants erhalten die Empfehlungen, nicht den Zwang.
Microsoft führt schrittweise strengere Default-Policies für Entra ID ein. Neue Tenants seit April 2026 starten mit Phishing-resistenter MFA (FIDO2 oder Microsoft Authenticator mit Passwortless-Flow) als Pflicht für Admin-Rollen — nicht mehr nur als Empfehlung im Secure Score.
Für bestehende Tenants
Bestehende Tenants erhalten die neuen Defaults als ‹Recommended Policy› im Conditional-Access-Interface. Microsoft plant, die Empfehlungen im zweiten Halbjahr 2026 in den Status ‹Enforced› zu überführen — was einem automatischen Rollout gleichkommt, wenn Administratoren nicht aktiv widersprechen. Die Benachrichtigung läuft über das Admin-Center-Message-Center.
Was KMU-Admins jetzt prüfen
Erstens: Haben alle Admin-Konten Phishing-resistente MFA? Zweitens: Sind Fallback-Authentifizierungs-Methoden (SMS, Voice-Call) noch aktiv — und falls ja, als Backup abgesichert? Drittens: Gibt es dedizierte Break-Glass-Accounts mit FIDO-Keys? Der dritte Punkt ist der wichtigste: Wer ohne solche Accounts arbeitet, riskiert ein Lock-out-Szenario, wenn die Enforced-Policy greift und gleichzeitig der einzige Admin ein Token-Problem hat.