Ab dem 27. März 2026 ändert Microsoft die Enforcement-Logik von Conditional Access grundlegend. Bisher konnten Anwendungen, die nur OpenID-Connect-Scopes (wie openid, profile, email) oder eingeschränkte Directory-Scopes wie User.Read anforderten, Conditional-Access-Policies umgehen – selbst wenn diese auf „Alle Ressourcen” konfiguriert waren und Ressourcen-Ausschlüsse enthielten.

Diese Lücke wird geschlossen. Nach dem Rollout – der sich bis Juni 2026 über alle Microsoft-Clouds erstreckt – werden Conditional-Access-Policies auch bei diesen eingeschränkten Authentifizierungsanfragen durchgesetzt. Konkret bedeutet das: Benutzer können bei der Anmeldung an Anwendungen, die bisher ohne MFA oder Gerätecompliance funktionierten, plötzlich mit entsprechenden Herausforderungen konfrontiert werden.

Microsoft hat die mehrjährige Deprecation von Legacy-Authentifizierungsprotokollen mit dem Jahr 2026 endgültig zum Abschluss gebracht. Basic Authentication – das Senden von Benutzername und Passwort im Klartext – unterstützt weder MFA noch Conditional Access und stellt einen permanenten Credential-Stuffing-Angriffsvektor dar.

Betroffen sind alle Protokolle, die Basic Auth verwenden: SMTP AUTH für nicht modernisierte Mail-Clients, POP3, IMAP, Exchange ActiveSync mit Legacy-Authentifizierung und ältere Office-Versionen. Neue Tenants ab Juni 2026 erhalten zudem Security Defaults als nicht-optionale Konfiguration für die ersten 90 Tage – MFA wird damit für alle Admin-Konten erzwungen.

Besonders kritisch: Ab 31. März 2026 unterstützt Microsoft Entra ID keine Service-Principal-less Authentication mehr. Alle Anwendungen, die sich ohne zugeordneten Service Principal authentifizieren, werden fehlschlagen. Tenant-Administratoren müssen ihre Sign-In-Logs prüfen und betroffene Anwendungen identifizieren.

Eine der wegweisendsten Neuerungen: Microsoft hat mit Entra Agent ID eine Identitäts- und Zugriffsverwaltung für KI-Agenten eingeführt. Jeder KI-Agent erhält eine eindeutige Identität, die über Tools und Umgebungen hinweg konsistent ist – mit vollständiger Unterstützung für Authentifizierung, Autorisierung und Lifecycle-Management.

Conditional-Access-Policies können damit auch auf KI-Agenten angewandt werden: Least-Privilege-Zugriff, Risiko-Scoring und Aktivitätsmonitoring – genau wie bei menschlichen Benutzern. Für Unternehmen, die bereits Microsoft Copilot, Power Automate mit KI-Funktionen oder eigene Agenten einsetzen, ist das ein entscheidender Schritt zur Kontrolle autonomer KI-Aktionen in der Unternehmensumgebung.

Seit Februar 2026 erkennt die Microsoft Authenticator-App jailbroken und gerootete Geräte und verhindert, dass Entra-ID-Credentials auf solchen Geräten funktionieren. Das ist ein wichtiger Schritt, da kompromittierte Geräte Angreifern den Zugriff auf MFA-Tokens ermöglichen können – ein Szenario, das bei gezielten Angriffen auf Führungskräfte zunehmend beobachtet wird.

Ebenfalls neu: Der bisherige Button „Revoke multifactor authentication sessions” wurde durch den umfassenderen „Revoke sessions”-Button ersetzt. Die alte Funktion galt nur für Per-User MFA Enforcement und wurde häufig missverstanden. Die neue Funktion invalidiert alle Benutzersitzungen – einschließlich MFA – unabhängig davon, ob MFA über Conditional Access oder Per-User-Enforcement erzwungen wird. Für Incident-Response-Teams ist das eine deutliche Verbesserung, da im Ernstfall alle Sessions eines kompromittierten Kontos mit einem Klick beendet werden können.

Parallel dazu wurde der SyncJacking-Schutz in Microsoft Entra Connect verschärft. Hard-Match-Missbrauch – ein Angriffsvektor, bei dem Angreifer On-Premises-Konten mit Cloud-Identitäten verknüpfen – wird seit März 2026 aktiv blockiert. Die Enforcement-Logik prüft jetzt das Attribut OnPremisesObjectIdentifier, um Remapping-Versuche zu erkennen und zu unterbinden.

Alle Entra-ID-Änderungen betreffen primär die Cloud-Identitätsebene. Doch die Mehrheit der mittelständischen Unternehmen betreibt hybride Umgebungen, in denen On-Premises Active Directory und Entra ID über Entra Connect synchronisiert werden. Die Sicherheit der Cloud-Identitäten ist nur so stark wie die Sicherheit des zugrunde liegenden AD.

Ein kompromittiertes On-Premises-Konto synchronisiert sich innerhalb von Minuten in die Cloud – und umgeht damit alle Conditional-Access-Policies, wenn der Angreifer bereits authentifiziert ist. Deshalb ist es entscheidend, die On-Premises-Seite mindestens genauso rigoros abzusichern wie die Cloud-Identitäten.

Hier kommen bewährte Werkzeuge ins Spiel:

Inaktive Konten eliminieren: Veraltete, inaktive Benutzerkonten sind ein bevorzugtes Ziel für Angreifer – sie werden selten überwacht und haben oft noch weitreichende Berechtigungen. Der ISW AD Account Guard erkennt inaktive Konten automatisch, warnt Benutzer per E-Mail vor ablaufenden Passwörtern und sperrt Konten nach konfigurierbarer Inaktivitätsdauer – vollautomatisch und DSGVO-konform.

AD-Gesundheit ganzheitlich prüfen: Veraltete Konten sind nur die Spitze des Eisbergs. Schwache Passwortrichtlinien, unsichere Kerberos-Delegierungen, fehlende LAPS-Deployments und falsch konfigurierte Service Accounts bleiben oft unentdeckt, bis es zu spät ist. ISW ADVital analysiert die gesamte AD-Infrastruktur automatisiert gegen BSI IT-Grundschutz, CIS Benchmark und NIST Cybersecurity Framework – inklusive des neuen dMSA-Scanners für die BadSuccessor-Schwachstelle in Windows Server 2025.

Service Accounts unter Kontrolle bringen: Mit der Einführung von Entra Agent ID für KI-Agenten in der Cloud wächst auch die Bedeutung einer sauberen Service-Account-Verwaltung On-Premises. Das ISW gMSA & MSA Management Tool vereinfacht die Verwaltung von Group Managed Service Accounts und Managed Service Accounts über eine grafische Oberfläche – ohne fehleranfällige PowerShell-Cmdlets.

Gruppenmitgliedschaften und Compliance prüfen: Conditional Access in Entra ID basiert letztlich auf Gruppenmitgliedschaften und Rollen, die aus dem On-Premises-AD synchronisiert werden. Der ISW Compliance Mandatory Check Professional überprüft obligatorische und optionale AD-Gruppenmitgliedschaften und stellt sicher, dass Computer und Benutzer den definierten Compliance-Regeln entsprechen – die Basis für funktionierende Conditional-Access-Policies.

Fazit: Cloud-Sicherheit beginnt On-Premises

Die Entra-ID-Änderungen 2026 machen Microsoft-Umgebungen deutlich sicherer – wenn Administratoren rechtzeitig handeln. Die Conditional-Access-Enforcement-Änderung ab März, das Ende der Legacy-Authentifizierung und die Einführung von Agent ID sind Meilensteine auf dem Weg zu Zero Trust. Doch all diese Cloud-Verbesserungen verpuffen, wenn die On-Premises-Grundlage unsicher bleibt. Inaktive Konten, unkontrollierte Service Accounts und fehlende Compliance-Prüfungen im lokalen AD synchronisieren sich direkt in die Cloud. Mit AD Account Guard, ADVital, dem gMSA & MSA Management Tool und dem Compliance Mandatory Check Professional schaffen Sie die saubere Basis, auf der Conditional Access und Zero Trust aufbauen können. Denn Cloud-Sicherheit ist immer nur so stark wie das Active Directory dahinter.

Quellen & weiterführende Informationen

• Microsoft Learn – What’s new in Microsoft Entra
• Microsoft Tech Community – Conditional Access Enforcement Change
• Microsoft Tech Community – What’s new in Microsoft Entra – June 2025
• 4sysops – Microsoft Entra ID fixes Conditional Access policy bypass
• Petri.com – Microsoft Entra ID to Close Conditional Access Loophole
• Help Net Security – Conditional Access Enforcement Change Coming

© IT-Service Walter – Ihr Partner für IT-Sicherheit und Infrastruktur