Microsoft setzt am 13. Mai 2026 verschärfte Conditional-Access-Richtlinien in Entra ID durch. Unternehmen, die ihre Identitäts-Sicherheits-Policies nicht bis morgen angepasst haben, riskieren Sicherheitslücken und Compliance-Probleme. Die Frist gilt für alle Microsoft-365-Tenants weltweit — und betrifft praktisch jeden deutschen Mittelständler mit Microsoft-Cloud-Konten.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Hand aufs Herz: Wann haben Sie zuletzt Ihre Conditional-Access-Policies durchforstet? Wenn die Antwort „länger als drei Monate“ lautet, sollte das spätestens heute auf den Schreibtisch. Microsoft zieht morgen die Schraube an.
Das Wichtigste in Kürze
- Microsoft setzt am 13. Mai 2026 verschärfte Conditional-Access-Richtlinien durch
- Frist verschoben von ursprünglich 27. März auf morgen
- Konkret betroffen: Lücke bei Alt-Anwendungen mit Legacy-Authentifizierung
- Identitätsdiebstahl-Risiko ohne Anpassung erheblich höher
Was sich morgen technisch ändert
Conditional Access ist Microsofts zentrales Sicherheits-Steuerungswerkzeug in Entra ID. Administratoren legen fest, unter welchen Bedingungen Nutzer auf Microsoft-365-Dienste zugreifen dürfen. Bisher ließen sich Alt-Anwendungen mit Legacy-Authentifizierung über Ausnahmeregeln durchschleifen. Genau diese Lücke schließt Microsoft morgen.
Praktisch heißt das: Anwendungen, die Basic Authentication, NTLM oder veraltete OAuth-1.0-Flows nutzen, werden ab morgen automatisch blockiert, wenn Conditional Access aktiv ist. Microsoft hat die Frist eigentlich für den 27. März 2026 angesetzt, dann aber überraschend auf den 13. Mai verschoben, um Unternehmen mehr Zeit für die Migration zu geben.
Was die Verschiebung zur Folge hat
Sechs Wochen Zusatzzeit klingen großzügig, doch viele Unternehmen haben die Pause nicht genutzt. Borncity berichtete bereits am 27. März über das Risiko, dass Admins die neue Frist nur halbherzig vorbereiten. Microsoft kündigte parallel an, dass ab dem 1. Juni 2026 keine neuen Active-Directory-Objekte mehr mit bestehenden Cloud-Administratorkonten verknüpft werden können.
Damit will Microsoft verhindern, dass Angreifer über lokale Systeme privilegierte Cloud-Konten übernehmen. Wer eine hybride AD-Umgebung betreibt, sollte spätestens jetzt die Sync-Konten prüfen. Die offizielle Entra-ID-Dokumentation liefert ein Konfigurations-Cheat-Sheet für die Übergangsphase.
Conditional Access ist die wichtigste Sicherheitslinie in Microsoft 365. Wer morgen unvorbereitet ist, hat keine technische Lücke, sondern ein organisatorisches Problem. IT-Verantwortliche müssen heute, nicht morgen, ihre Policies durchforsten.
— Markus Seyfferth, Chefredakteur Dr. Web
Was heute noch geprüft werden sollte
Vier Schritte stehen für heute auf dem Plan. Erstens alle Conditional-Access-Policies im Entra-Admin-Center sichten und auf Alt-Authentifizierungs-Ausnahmen prüfen. Diese Ausnahmen werden morgen wirkungslos. Zweitens Anwendungen identifizieren, die auf Legacy-Authentifizierung angewiesen sind — typische Kandidaten sind ältere Outlook-Versionen vor 2019, selbstgebaute Skripte und Drittanbieter-Tools im Multifunktionsdrucker-Bereich.
Drittens betroffene Anwendungen entweder migrieren oder über Service-Principals mit moderner Authentifizierung neu anbinden. Viertens als langfristige Härtung die Sync-Konten zwischen On-Premise-AD und Entra ID auf Sonderrechte prüfen. Wer das nicht bis zum 1. Juni angeht, kann keine neuen AD-Objekte mehr verknüpfen. Mehr zum Microsoft-Sicherheitskontext liefert unser heutiger Bericht zu den drei kritischen Copilot-Lücken.
Mehr Newshunger?
