Authentication Policies in Entra ID: Microsoft Managed vs. eigene Policies
Mit der neuen Authentication Methods Policy in Entra ID hat Microsoft die Verwaltung der Anmeldeverfahren grundlegend vereinheitlicht. Das alte MFA Portal und die SSPR Authentifizierungs Optionen sind Geschichte. Gleichzeitig hat Microsoft den Status Microsoft Managed eingeführt, der vielen Administratoren Kontrolle über sicherheitskritische Methoden entzieht. Dieser Beitrag zeigt, was Sie als Schweizer KMU jetzt prüfen müssen.
Microsoft Managed bedeutet: Microsoft entscheidet, nicht Sie
Solange eine Methode auf Microsoft Managed steht, kann Microsoft jederzeit den Standard ändern. Eine Methode, die heute deaktiviert ist, kann morgen für alle Nutzer freigeschaltet sein. Das ist für KMU mit Compliance Pflichten ein Risiko.
Was sind Authentication Policies in Entra ID?
Die Authentication Methods Policy ist der zentrale Ort in Entra ID, an dem Sie festlegen, welche Anmeldeverfahren in Ihrer Organisation erlaubt sind. Dazu zählen klassische Methoden wie SMS oder Voice Call genauso wie moderne, phishing resistente Verfahren wie Passkeys, FIDO2 Security Keys oder Windows Hello for Business.
Pro Methode definieren Sie drei Dinge: ob sie aktiv ist, für welche Nutzer oder Gruppen sie gilt und welche Konfigurationsdetails (z.B. Number Matching beim Authenticator) erzwungen werden.
Die wichtigsten Authentication Methods im Überblick
Passkeys / FIDO2
Phishing resistent, höchster Schutz. Klar empfohlen.
Windows Hello for Business
Gerätegebunden, biometrisch. Top für Managed Devices.
Microsoft Authenticator
Mit Number Matching solide. Standard für die meisten KMU.
SMS und Voice Call
Anfällig für SIM Swapping. Möglichst abschalten.
Was ist Microsoft Managed konkret?
Beim Status Microsoft Managed übernimmt Microsoft die Entscheidung, ob eine Methode aktiv ist oder nicht. Die Idee dahinter: Microsoft kann auf Sicherheitsvorfälle reagieren und z.B. SMS als Methode global empfehlen, abkündigen oder einschränken, ohne dass jeder Tenant Admin manuell nachziehen muss.
In der Praxis sehen Sie in der Authentication Methods Policy bei jeder Methode den aktuellen Status: Enabled, Disabled oder Microsoft Managed. Letzterer kann von Microsoft auf Enabled oder Disabled gesetzt werden, ohne Vorankündigung im Tenant.
Aktuelles Beispiel
Microsoft hat in den letzten Monaten mehrere Methoden (z.B. Authenticator Push als bevorzugte Methode oder das System preferred Verfahren) per Microsoft Managed Default sukzessive scharf gestellt. Tenants, die nichts konfiguriert hatten, sahen plötzlich Verhaltensänderungen bei ihren Nutzern.
Das Ende des Legacy MFA und SSPR Portals
Bis vor Kurzem konnten Administratoren Authentifizierungsmethoden an drei Stellen verwalten: im alten MFA Service Settings Portal, in den SSPR Authentication Methods und in der modernen Authentication Methods Policy von Entra ID. Microsoft hat die beiden Legacy Wege im Verlauf von 2024 und 2025 abgekündigt.
- September 2025: Die Verwaltung im Legacy MFA Portal und in den SSPR Policies wurde vollständig deaktiviert.
- Alle Einstellungen wurden automatisch in die neue Authentication Methods Policy migriert.
- Bei der Migration wurden nicht explizit konfigurierte Methoden auf Microsoft Managed gesetzt.
- Damit haben viele KMU unbewusst Kontrolle abgegeben.
Nachteile, wenn Microsoft Managed aktiv bleibt
Kontrollverlust
Microsoft kann Methoden ohne Ihre Zustimmung aktivieren oder deaktivieren.
Compliance Risiko
In regulierten Branchen kann ein unangekündigter Default Verstoss gegen Vorgaben sein.
Unklare Audit Lage
Bei Audits ist schwer zu erklären, warum eine Methode aktiv ist, ohne dass jemand sie freigeschaltet hat.
Schwächere MFA Strategie
Schwache Methoden wie SMS können trotz interner Vorgaben weiterhin verfügbar sein.
Worauf Sie jetzt achten sollten
Aktuellen Stand prüfen
Im Entra Admin Center unter Protection → Authentication methods → Policies jede Methode öffnen und prüfen, ob sie auf Enabled, Disabled oder Microsoft Managed steht.
Explizite Entscheidung pro Methode
Für jede Methode bewusst Enabled oder Disabled setzen. Microsoft Managed nur dort belassen, wo Sie keine eigene Vorgabe haben.
SMS und Voice Call deaktivieren
Wo immer möglich, schwache Methoden abschalten und auf Authenticator, Passkeys oder FIDO2 umstellen.
Number Matching erzwingen
Microsoft Authenticator Push ohne Number Matching ist ein häufiges Einfallstor für MFA Fatigue Angriffe. Erzwingen Sie Number Matching für alle Nutzer.
Conditional Access koppeln
Über Authentication Strengths in Conditional Access erzwingen Sie phishing resistente Methoden für sensible Apps wie Admin Portale oder Finanzanwendungen.
Break Glass Konten absichern
Mindestens zwei Notfallkonten mit FIDO2 Keys, ausgeschlossen aus Conditional Access Blockern. Damit Sie sich nie aussperren.
Dokumentieren und überwachen
Jede Entscheidung in einer Policy Dokumentation festhalten. Mit Tools wie Tenant Manager Drifts automatisch erkennen.
Empfohlene Ziel Konfiguration für KMU
Passkeys / FIDO2
Enabled für Admins und Power User
Microsoft Authenticator
Enabled, Number Matching erzwungen
Windows Hello for Business
Enabled für alle Managed Devices
Temporary Access Pass
Enabled für Onboarding und Self Service Recovery
SMS
Disabled (oder nur als Fallback für eng begrenzte Gruppe)
Voice Call
Disabled
E Mail OTP
Disabled (ausser für B2B Gäste, falls erforderlich)
Authentication Strengths
Phishing resistant für Admin Rollen erzwingen
Häufige Fehler in der Praxis
- Alles auf Microsoft Managed lassen: Keine eigene Sicherheitsstrategie, volle Abhängigkeit von Microsoft Defaults.
- Migration vergessen: Einstellungen aus dem alten MFA Portal wurden zwar übernommen, aber nie verifiziert.
- SMS bleibt aktiv: Aus Bequemlichkeit oder Angst vor User Aufwand. Häufigstes Sicherheitsrisiko in KMU.
- Kein Break Glass Konto: Bei strengen Policies sperrt sich die IT selbst aus.
- Authentication Strengths nicht genutzt: Phishing resistente Methoden werden zwar erlaubt, aber nicht erzwungen.
- Keine Drift Überwachung: Microsoft ändert Defaults, niemand merkt es.
FAQ zu Entra ID Authentication Policies
Was passiert, wenn ich Microsoft Managed auf Enabled umstelle?
Die Methode wird sofort für die definierten Nutzer aktiv. Microsoft greift dann nicht mehr ein, Sie behalten die Kontrolle.
Brauche ich Entra ID P1 oder P2 für diese Konfiguration?
Die Authentication Methods Policy ist in jeder Entra ID Edition verfügbar. Für Conditional Access und Authentication Strengths benötigen Sie mindestens P1, das in Business Premium und E3 enthalten ist.
Wie rolle ich Passkeys sauber aus?
Schrittweise. Erst für IT und Admins, dann für Power User, dann für die Breite. Über Authentication Strengths in Conditional Access erzwingen Sie phishing resistente Methoden gezielt pro App.
Was ist mit Gastnutzern (B2B)?
Gäste authentifizieren sich in ihrem Home Tenant. Sie können aber Cross Tenant Access Settings nutzen, um Authentication Strengths auch für Gäste zu erzwingen.
Authentication Policies sauber aufsetzen?
Wir prüfen Ihren Entra ID Tenant, ersetzen Microsoft Managed durch eine dokumentierte Policy und richten Conditional Access mit Authentication Strengths ein.
Fazit
Microsoft Managed Authentication Methods sind bequem, aber riskant. Wer Identity & Security in Microsoft 365 ernst nimmt, übernimmt selbst die Kontrolle: pro Methode eine bewusste Entscheidung, schwache Verfahren deaktivieren, phishing resistente Methoden über Conditional Access erzwingen und alle Änderungen dokumentieren. Mit einer sauberen Authentication Methods Policy und einem laufenden Drift Monitoring bleibt Ihr Tenant auch dann sicher, wenn Microsoft seine Defaults wieder einmal verschiebt.
Square IT unterstützt Sie bei der Migration vom Legacy MFA Portal, bei der Einführung von Passkeys und beim Aufbau einer dokumentierten Identity & Security Strategie für Ihr KMU.