Microsoft Entra ID | Fristen für Custom Controls, Conditional Access & SSPR

Microsoft zieht in Entra ID an mehreren Stellen gleichzeitig die Sicherheitsschrauben an. Drei Änderungen treffen Deine Administration direkt, und alle drei hängen an harten Terminen zwischen Juli und September 2026. Verstreichen die Fristen ungenutzt, sperrt Entra ID betroffene Konten aus. Die Folge ist ein Helpdesk, der unter der Last gesperrter Benutzer zusammenbricht.

Der gemeinsame Nenner: Entra ID vertraut künftig keinen ungeprüften Verzeichnisdaten mehr. Jedes sicherheitsrelevante Signal braucht eine kryptografische Bestätigung oder eine nachweisbare Nutzerinteraktion. Custom Controls weichen einer Backend-Integration, die Registrierung neuer Anmeldeinformationen fällt unter Conditional Access, und SSPR akzeptiert nur noch aktiv registrierte Methoden. Du richtest Deine Identitätsarchitektur auf diese drei Punkte aus, bevor sie scharf geschaltet werden.

Conditional Access bewertet bei jeder Zugriffsanforderung Signale wie IP-Adresse, Gerätezustand und Anmelderisiko. An einigen Stellen akzeptierte die Engine bisher externe oder unbestätigte Daten als Vertrauensbeweis. Genau diese Lücke nutzen moderne Angriffe: Ein Angreifer kapert eine Sitzung und registriert ein eigenes Gerät für Single Sign-On.

Die Architektur verschiebt die Prüfung deshalb vom Zeitpunkt der Datennutzung auf den Zeitpunkt der Registrierung. Jedes neue Vertrauensverhältnis erfordert eine kryptografische Verifikation durch einen bereits bestätigten Faktor. Dadurch wird die Identitätsprüfung hardwaregebunden und manipulationssicher. Die folgenden drei Module setzen dieses Prinzip an je einer konkreten Stelle um.

Custom Controls banden bisher Drittanbieter-MFA in Conditional Access ein. Microsoft ersetzt sie durch External MFA und stellt die alte Schnittstelle ab.

Die bisherige Einbindung lief über externe Umleitungen. Entra ID schickte den Client aus der aktiven Sitzung auf die Providerseite, der Anbieter authentifizierte isoliert in seinem eigenen Portal und sendete am Ende ein Statustoken zurück. Entra ID vertraute diesem Token ungesehen. Die Engine sah weder den Netzwerkstandort der Prüfung noch den Gerätetyp beim MFA-Provider. Ein Angreifer konnte das Token auf dem Transportweg abfangen oder manipulieren.

External MFA ersetzt die Umleitung durch eine direkte Server-zu-Server-Kommunikation. Der Provider übermittelt detaillierte Verifizierungsdaten über gesicherte APIs direkt in die Microsoft-Cloud, und die Engine prüft diese Metadaten nativ gegen Deine Zugriffsregeln. Ein kompromittierter Browser kann die Token-Übergabe nicht mehr verändern. Damit härtet die Architektur den Login-Prozess gegen Man-in-the-Middle-Angriffe auf Browser-Ebene ab.

Ab dem 30. September 2026 kannst Du keine Custom Controls mehr anlegen oder bearbeiten. Bestehende Konfigurationen laufen bis zum End-of-Life im Mai 2027 weiter. Das verschafft Dir ein Übergangsfenster, in dem altes und neues Modell parallel laufen.

Die Anbindung verlangt eine Neuprogrammierung der Schnittstellen durch Deinen MFA-Anbieter. In Entra ID konfigurierst Du eine neue External Authentication Method und verknüpfst sie direkt mit Deinen Richtlinien. Plane die Migration zeitnah, denn ein verspäteter Wechsel bricht die Authentifizierungskette für Deine externen Faktoren komplett.

Die Registrierung neuer Anmeldeinformationen ist der anfälligste Moment im Lebenszyklus einer Identität. Ein kompromittierter Registrierungsprozess gewährt dauerhaften Zugriff. Ab dem 6. Juli 2026 greifen Zugriffsrichtlinien für die Aktion „Sicherheitsinformationen registrieren" auch bei der Provisionierung von Windows Hello for Business und bei der Registrierung für macOS Platform SSO.

Windows Hello for Business erzeugt bei der Einrichtung ein asymmetrisches Schlüsselpaar. Der private Schlüssel verlässt das Trusted Platform Module des Rechners nie. Das Hardwaremodul signiert einen Beweis für die Schlüsselerstellung und sendet ihn an Entra ID, das mit einem Primary Refresh Token antwortet. Durch die Ausweitung der Engine greifen Deine Richtlinien genau an diesem Punkt.

Ein Angreifer stiehlt ein Session-Token und versucht, auf seinem Rechner ein neues Anmeldeprofil für den kompromittierten Nutzer anzulegen. Entra ID wertet die Richtlinie aus. Das Gerät des Angreifers ist nicht im Endpoint Manager registriert, also blockiert die Richtlinie die Ausgabe des neuen Tokens. Der Angreifer bleibt ausgesperrt.

Teste Deine bestehenden Richtlinien vorab im Report-Only-Modus. Fehlerhaft konfigurierte Netzwerkbeschränkungen blockieren sonst den legitimen Onboarding-Prozess Deiner neuen Endgeräte. Der Überwachungsmodus deckt diese Konfigurationsfehler auf, bevor sie echte Benutzer treffen.

Self-Service Password Reset entlastet den Helpdesk, weil Resets über MFA-verifizierte Kanäle laufen. Bisher zog Entra ID Telefonnummern oder E-Mail-Adressen teilweise automatisch aus ungeprüften Verzeichnisfeldern.

Attribute wie mobilePhone oder otherMails wandern über Active Directory Connect aus dem lokalen Verzeichnis nach Entra ID. HR-Systeme oder manuelle Eingaben befüllen diese Felder fehleranfällig. Ein Tippfehler leitet den Reset-Code an eine fremde Nummer, und ein manipulierter Verzeichniseintrag erlaubt die feindliche Übernahme des SSPR-Prozesses.

Ab dem 7. September 2026 akzeptiert SSPR nur noch Methoden, die der Benutzer aktiv im Security-Portal registriert hat. Die aktive Registrierung erzwingt einen Besitznachweis: Der Nutzer gibt einen per SMS oder App zugestellten Code ein, und erst dieser Beweis autorisiert die Methode für den Reset. Verzeichnisattribute ohne Registrierung sind dann wertlos. Fehlt die passende Methode, muss ein Administrator das Passwort manuell zurücksetzen.

Um Massensperren zu verhindern, startet Microsoft am 6. Juli 2026 automatisch eine Registration Campaign. Sie fordert Benutzer beim nächsten Login proaktiv auf, sich für die Authenticator App zu registrieren. Aktuell nutzen rund 86 Prozent der SSPR-Verifikationen bereits registrierte Methoden. Die restlichen 14 Prozent erzeugen Tausende gesperrter Accounts, wenn Du jetzt nicht eingreifst.

Im Entra Admin Center evaluierst Du zuerst den Status Deiner Authentifizierungsmethoden. Ein Export der Registrierungsdaten zeigt Dir den genauen Anteil der Belegschaft ohne aktive Verifizierung. Aktiviere die Registrierungskampagne manuell, damit das System die Nutzer beim nächsten Login direkt in den Einrichtungsprozess leitet.

Für die Credential-Registrierung erstellst Du eine Richtlinie mit der Zielaktion „Sicherheitsinformationen registrieren" und belässt sie im Überwachungsmodus. Danach analysierst Du die Anmeldeprotokolle nach fehlgeschlagenen Auswertungen. Dieser Schritt verhindert Störungen beim Onboarding neuer Systeme. Für External MFA baust Du parallele Richtlinien auf, wählst die neue Methode als Anforderung und überführst zuerst Pilotgruppen.

Privilegierte Accounts verlangen Deine höchste Aufmerksamkeit. Ein Lockout der Administrator-Zugänge bei fehlerhafter SSPR-Konfiguration legt die gesamte Mandantenverwaltung lahm. Ein dokumentierter Break-Glass-Account ohne SSPR-Abhängigkeit sichert Dir den Notfallzugriff, falls eine Konfiguration unerwartet bricht.

Microsoft setzt mit diesen Anpassungen das Prinzip der expliziten Verifikation konsequent durch. Das Vertrauen in ungeprüfte Verzeichnisattribute verschwindet aus der Identitätsarchitektur. Jedes sicherheitsrelevante Signal braucht ab sofort eine kryptografische Bestätigung oder eine nachweisbare Nutzerinteraktion.

Die Umstellung von Custom Controls auf External MFA holt Drittanbieter-Signale tief in die Auswertungsebene der Engine. Du gewinnst eine detaillierte und manipulationssichere Kontrolle über externe Authentifizierungsereignisse, weil die Prüfung im Backend stattfindet statt im angreifbaren Browser. Die Ausweitung der Engine auf die Geräteregistrierung schließt die Lücke beim Onboarding. Angreifer mit gestohlenen Zugangsdaten scheitern ab Juli an Deinen Registrierungsrichtlinien.

Der schärfste Einschnitt betrifft SSPR. Die automatische Übernahme von Telefonnummern aus lokalen Verzeichnissen entfällt, und Anwender weisen den Besitz ihrer Kontaktwege kryptografisch nach. Aktivierst Du die Registrierungskampagne nicht rechtzeitig, treffen die 14 Prozent ohne registrierte Methode im September voll auf Deinen Helpdesk.

Die drei Termine liegen eng beieinander, und sie verlangen unterschiedliche Vorarbeiten. Beginne mit dem Audit Deiner Authentifizierungsmethoden und der Analyse der Registrierungsprotokolle. Wer die Warnungen im Überwachungsmodus ignoriert, bewertet die gesamte Kette der Vertrauensstellungen im September unter Zeitdruck neu. Mit sauberer Planung jetzt reduzierst Du die Angriffsfläche messbar, ohne den Betrieb zu stören.