Der Schutz eines E-Mail-Kontos mit einem simplen Passwort ist heute ein enormes Sicherheitsrisiko: Bringt ein Angreifer euer Kennwort in Erfahrung, kann er auf das Konto zugreifen und es missbrauchen. Deutlich sicherer ist die Zwei-Faktor-Authentifizierung (2FA), die einen weiteren Faktor in die Anmeldung einbezieht – beispielsweise einen Code per App oder SMS. Wir zeigen euch, wie ihr 2FA bei Microsoft 365 (ehemals Office 365) optimal einrichtet.
Der Sinn dieses zweiten Faktors liegt in der cleveren Trennung von Wissen und Besitz. Ein Passwort ist reine Wissenssache – erfährt es jemand anderes, kann er es genauso verwenden wie ihr. Wenn ihr jedoch zusätzlich einen zeitlich begrenzten Code über eine App oder SMS erhalten müsst, wird die Sache für Angreifer deutlich komplizierter: Sie bräuchten nicht nur euer Passwort, sondern auch Zugang zu eurem Smartphone oder der Authenticator-App.
2FA in Microsoft 365 einrichten – Schritt für Schritt
Die Einrichtung der mehrstufigen Authentifizierung in Microsoft 365 ist deutlich benutzerfreundlicher geworden. Ruft die Admin-Konsole von Microsoft 365 auf und navigiert zu Benutzer > Aktive Benutzer. Wählt den gewünschten Benutzer aus und klickt auf Mehrstufige Authentifizierung verwalten.
Alternativ könnt ihr auch über das neue Microsoft 365 Security Center gehen: Sicherheit > Authentifizierungsmethoden > Multi-Faktor-Authentifizierung. Hier habt ihr eine modernere Oberfläche mit erweiterten Einstellungsmöglichkeiten.
Moderne Authenticator-Apps statt SMS
Während SMS als zweiter Faktor früher Standard war, raten Sicherheitsexperten heute zu App-basierten Lösungen. SMS können abgefangen werden (SIM-Swapping), Apps sind deutlich sicherer. Microsoft empfiehlt die Microsoft Authenticator App, die mittlerweile weit mehr kann als nur Codes generieren:
- Passwordless Authentication: Anmeldung ganz ohne Passwort
- Push-Benachrichtigungen: Ihr müsst nur noch „Ja“ oder „Nein“ tippen
- Biometrische Bestätigung: Fingerabdruck oder Face-ID für zusätzliche Sicherheit
- Backup in der Cloud: Eure Konten werden automatisch synchronisiert
Alternativen sind Google Authenticator, Authy oder 1Password, die ebenfalls TOTP-Codes (Time-based One-Time Password) generieren.
Conditional Access: 2FA intelligent steuern
Ein großer Vorteil moderner Microsoft 365-Lizenzen sind die Conditional Access Policies. Damit könnt ihr 2FA situationsabhängig aktivieren:
- Standort-basiert: 2FA nur bei Anmeldungen von unbekannten Standorten
- Gerät-basiert: Vertrauenswürdige Geräte benötigen keine zweite Authentifizierung
- App-basiert: Nur bei bestimmten Anwendungen (z.B. Admin-Zugang) erforderlich
- Risiko-basiert: Microsoft analysiert das Anmeldeverhalten und fordert 2FA nur bei verdächtigen Aktivitäten
FIDO2 und Windows Hello for Business
Die Zukunft der Authentifizierung liegt bei Hardware-basierten Lösungen. FIDO2-Sicherheitsschlüssel (z.B. YubiKey) bieten höchste Sicherheit gegen Phishing-Angriffe. Windows Hello for Business nutzt biometrische Daten oder PINs und ist nahtlos in Microsoft 365 integriert.
Bei jeder Anmeldung müsst ihr nun neben eurem Passwort einen zweiten Faktor verwenden. Je nach Konfiguration erhaltet ihr den Code über die Microsoft Authenticator-App, per SMS oder nutzt einen Hardware-Schlüssel.
Backup-Codes nicht vergessen
Wichtig: Erstellt unbedingt Backup-Codes für den Fall, dass euer Smartphone nicht verfügbar ist. Diese findet ihr in den Sicherheitseinstellungen eures Microsoft-Kontos unter Erweiterte Sicherheitsoptionen. Bewahrt sie sicher auf – am besten in einem Passwort-Manager.
Fazit: 2FA ist heute Pflicht, nicht Kür
Die Zeiten, in denen 2FA optional war, sind definitiv vorbei. Bei der Menge an Cyberattacken und Datenlecks ist die mehrstufige Authentifizierung ein absolutes Muss für jeden Microsoft 365-Nutzer. Die moderne Umsetzung mit Apps und Conditional Access macht die Nutzung dabei deutlich komfortabler als früher – ein klarer Fall von „mehr Sicherheit bei weniger Aufwand“.
Zuletzt aktualisiert am 24.02.2026
