Alle Benutzer der Microsoft 365-Pläne (ehemals Office 365) bekommen regelmäßig E-Mails über aktivierte Sicherheitsstandards. Was Microsoft als „Sicherheitsverbesserungen“ bewirbt, ist mittlerweile ein dauerhafter Wandel in der Authentifizierungslandschaft.
Die Mail von Microsoft
Ein Mailtitel, den man eigentlich als SPAM abtun würde: „Wichtig: Wir werden die Sicherheitsverbesserungen für Ihre Organisation aktivieren.“ Diese E-Mail ist allerdings tatsächlich von Microsoft, und sie weist euch auf eine wichtige Änderung hin: Bei älteren Konten war es früher so, dass sich Benutzer alleine mit der Kombination E-Mail-Adresse/Passwort anmelden konnten. Das ist heute völlig unsicher.
Seit 2024 hat Microsoft die Durchsetzung von Sicherheitsstandards massiv verschärft. Die Multi-Faktor-Authentifizierung (MFA) ist nicht mehr optional, sondern wird stufenweise für alle Microsoft 365-Konten verpflichtend eingeführt. Was früher eine Empfehlung war, ist heute schlichtweg unverzichtbar.
Microsoft 365 geht normalerweise davon aus, dass es einen Administrator gibt und mehrere Benutzer, und dass dieser die Änderungen für alle Benutzer zentral vornimmt. Wenn ihr in der Familie oder in einem kleinen Unternehmen Microsoft 365 nutzt, dann ist das Prinzip dasselbe. Ihr müsst also gegebenenfalls tätig werden.
Was sind Sicherheitsstandards bei Microsoft 365?
Die Sicherheitsstandards umfassen mehrere Schutzmaßnahmen:
- Multi-Faktor-Authentifizierung (MFA) für alle Benutzer – nicht nur Admins
- Blockierung von Legacy-Authentifizierungsprotokollen, die keine modernen Sicherheitsfeatures unterstützen
- Erhöhte Sicherheit für privilegierte Konten mit zusätzlichen Überprüfungen
- Schutz vor verdächtigen Anmeldeaktivitäten durch intelligente Risikoerkennung
Diese Maßnahmen sind eine Reaktion auf die dramatisch gestiegenen Cyberbedrohungen. Allein 2025 haben Angriffe auf Cloud-Identitäten um über 300% zugenommen. Passwort-Diebstähle durch Phishing, Credential Stuffing und Brute-Force-Attacken sind zur Tagesordnung geworden.
Welche Einstellungen müsst ihr vornehmen?
Die kompletten Organisationseinstellungen findet ihr im Azure-Portal oder im moderneren Microsoft Entra Admin Center.
- Meldet euch am Portal als Administrator an, dann klickt oben links auf die drei Striche.
- Klickt links in der Spalte der Optionen auf Microsoft Entra ID (ehemals Azure Active Directory).
- Navigiert zu Eigenschaften in der linken Menüleiste.
- Unten im Detailbereich des Fensters findet ihr einen Link zu Sicherheitsstandards verwalten. Klickt darauf.
- Aktiviert unter Sicherheitsstandards durch einen Klick auf das Auswahlmenü Aktiviert (empfohlen).
- Klickt auf Speichern.
Die Microsoft Authenticator App richtig einrichten
Nun solltet ihr jeden Anwender die Microsoft Authenticator-App einrichten lassen. Mit der könnt ihr den zweiten Faktor absichern, der die Anmeldung an eurem Konto schützt, wenn das Passwort kompromittiert wurde.
Die App bietet mittlerweile mehrere Authentifizierungsoptionen:
- Push-Benachrichtigungen – der komfortabelste Weg
- Einmalcodes (TOTP) – funktioniert auch offline
- Passwordless Sign-in – komplett ohne Passwort per biometrischer Authentifizierung
Was passiert, wenn ihr nichts unternehmt?
Microsoft aktiviert die Sicherheitsstandards automatisch. Das bedeutet:
- Benutzer können sich nicht mehr nur mit Passwort anmelden
- Ältere E-Mail-Clients oder Apps funktionieren möglicherweise nicht mehr
- Der Zugriff wird blockiert, bis MFA eingerichtet ist
Alternative: Bedingte Zugriffrichtlinien
Für Organisationen mit komplexeren Anforderungen bietet Microsoft eine Alternative zu den Sicherheitsstandards: Bedingte Zugriffrichtlinien (Conditional Access Policies). Diese ermöglichen eine granularere Kontrolle:
- Risikobasierte Authentifizierung – MFA nur bei verdächtigen Anmeldungen
- Standortbasierte Regeln – verschiedene Sicherheitsstufen je nach Zugriff
- Gerätekompliance – Zugriff nur von verwalteten Geräten
Allerdings erfordern diese Richtlinien Azure AD Premium-Lizenzen und deutlich mehr Konfigurationsaufwand.
Fazit: Sicherheit geht vor
Die erzwungene Aktivierung von Sicherheitsstandards ist ein notwendiger Schritt. Zwar bedeutet das initial mehr Aufwand für Benutzer und Admins, aber die Alternative – kompromittierte Konten und Datenlecks – ist weitaus kostspieliger.
Tipp: Nutzt die Gelegenheit und überprüft gleichzeitig eure anderen Sicherheitseinstellungen. Aktiviert beispielsweise auch die Überwachung verdächtiger Aktivitäten und regelmäßige Sicherheitsberichte.
Zuletzt aktualisiert am 18.02.2026
