Ab September müssen Nutzer ihre Authentifizierungsmethoden für den Passwort-Reset explizit bestätigen – ein Schritt, der Unternehmen in Deutschland und Europa besonders betrifft.
Die zunehmende Vernetzung durch Microsoft 365 und KI-Tools wie Copilot erfordert eine lückenlose Absicherung digitaler Identitäten. Dieses kostenlose E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen an Ihre IT-Infrastruktur erfüllen. IT-Sicherheit stärken und Unternehmen proaktiv schützen
Schluss mit veralteten Kontaktdaten
Ab dem 7. September 2026 akzeptiert Microsoft Entra ID nur noch Authentifizierungsmethoden für den Self-Service-Password-Reset (SSPR), die von Nutzern explizit registriert wurden. Bisher griff das System teilweise auf allgemeine Verzeichnisdaten zurück – ein Sicherheitsrisiko, das nun geschlossen wird.
Um den Übergang zu erleichtern, startet Microsoft bereits am 6. Juli 2026 eine Registrierungskampagne. Nutzer sollen ihre Wiederherstellungsmethoden bestätigen. Laut internen Daten haben 86 Prozent der SSPR-Nutzer ihre Verfahren bereits hinterlegt.
Administratoren sollten jetzt im Entra Admin Center prüfen, wie gut ihre Organisation vorbereitet ist. Denn nach dem Stichtag greifen nur noch nutzerbestätigte, sichere Anmeldedaten.
Risikobasierte Zugriffssteuerung
Für Entra ID P2 bringt Microsoft zudem neue Sicherheits-Blueprints. Statt statischer Regeln setzt das System künftig auf risikogesteuerte Conditional-Access-Richtlinien. Konkret bedeutet das:
- Multifaktor-Authentifizierung (MFA) wird für Anmeldungen mit mittlerem oder hohem Risiko Pflicht
- Bei Hochrisiko-Nutzern erfolgt ein automatischer Passwort-Reset
Besonders spannend: Die Integration von Entra ID mit Microsoft 365 Copilot rückt in den Fokus. Der KI-Assistent verstärkt bestehende Berechtigungen und Schwachstellen – er schafft keine neuen. Das macht eine identitätszentrierte Sicherheitsstrategie zur entscheidenden Verteidigungslinie.
Die Zahlen sprechen eine klare Sprache: 94 Prozent der Organisationen sehen Produktivitätsgewinne durch KI, doch 74 Prozent verharren aufgrund von Governance-Bedenken in der Pilotphase. Wo die Datenverwaltung unzureichend ist, geben über 70 Prozent der Copilot-Abfragen sensible Daten preis.
Der Einsatz von KI-Systemen wie Microsoft Copilot unterliegt seit August 2024 strengen Regeln durch den EU AI Act. Dieser kostenlose Umsetzungsleitfaden verschafft Ihnen den nötigen Überblick über Risikoklassen und Dokumentationspflichten für Ihre IT-Abteilung. EU AI Act in 5 Schritten verstehen
ISO-Zertifizierung für KI-Workloads
Einen wichtigen Meilenstein gab es bereits im Frühjahr: Im März 2026 bestand Microsoft 365 Copilot das ISO-42001-Audit ohne Abweichungen. Diese Zertifizierung gilt nun auch für Copilot Studio und erlaubt Administratoren eine granularere Steuerung externer Zugriffe.
Externe Identitäten und neue Bedrohungen
Für kundenorientierte Umgebungen hat Microsoft Entra External ID erweitert. Der Dienst unterstützt jetzt OpenID-Connect-Föderation (OIDC). Unternehmen können Kundenanmeldungen über verschiedene Verfahren konfigurieren – von Client Secrets bis zu Private-Key-JWTs. Die Funktion ist speziell für externe Mandanten ausgelegt.
Die verschärften Sicherheitsmaßnahmen kommen nicht von ungefähr. Das FBI warnte kürzlich vor einem neuen Phishing-Tool, das gezielt Microsoft-365-Nutzer angreift und Konten in Outlook und Teams übernimmt. Parallel steigen die Kosten für Insider-Vorfälle: Sie legten in zwei Jahren um 20 Prozent zu und erreichen durchschnittlich 19,5 Millionen Euro jährlich.
Die gesamte Tech-Branche reagiert auf die wachsende Bedrohungslage. Google Chrome machte im Mai Device Bound Session Credentials (DBSC) für Windows-Nutzer verfügbar – die Technik bindet Session-Cookies kryptografisch an physische Geräte. Gleichzeitig wird eine kritische Sicherheitslücke in Palo Alto Networks PAN-OS (CVE-2026-0257) seit Mitte Mai aktiv ausgenutzt. US-Behörden müssen den Fehler bis zum 19. Juni 2026 schließen.
