Microsoft entfernt die integrierte SMS- und Sprachauthentifizierung aus Entra ID. Ab dem 1. Februar 2027 stellt Microsoft die eigenen Telekommunikationsdienste für den Versand von Einmalpasswörtern ein. Bereits ab dem 1. September 2026 ändert sich das Standardverhalten für alle Tenants: Passkeys werden zur primären und von Microsoft verwalteten Authentifizierungsmethode.

Das Zielbild ist eine vollständig phishing-resistente Infrastruktur. Der bisherige Zustand mit SMS und Sprachanrufen bindet die Sicherheit an unsichere Telefonnetze. Du musst deine Authentifizierungsrichtlinien rechtzeitig anpassen, um Sperrungen deiner Nutzer zu verhindern.
Die Architektur hinter dem Wechsel
Die Entscheidung gegen SMS und Sprache hat einen rein architektonischen Grund. SMS nutzt das Signalling System 7 (SS7). Dieses Netzprotokoll besitzt keine Mechanismen für eine Ende-zu-Ende-Verschlüsselung. Angreifer fangen die unverschlüsselten Nachrichten auf Netzbetreiberebene ab oder nutzen SIM-Swapping, um die Kontrolle über die Rufnummer zu erlangen. Sobald der Angreifer die Nummer kontrolliert, empfängt er das Einmalpasswort und übernimmt die Identität.
Passkeys lösen dieses Problem durch asymmetrische Kryptografie nach dem WebAuthn-Standard. Bei der Registrierung erzeugt das Endgerät ein Schlüsselpaar. Der private Schlüssel verlässt den sicheren Speicherchip des Geräts nie. Der öffentliche Schlüssel wird in Entra ID hinterlegt. Bei einer Anmeldung fordert Entra ID eine Signatur an. Der Browser prüft vor der Signatur die Ursprungs-Domain. Stimmt die Domain nicht exakt mit der registrierten Adresse überein, verweigert der Browser den Zugriff auf den Passkey. AiTM-Angriffe (Adversary-in-the-Middle) über Reverse-Proxys laufen damit ins Leere. Der kryptografische Beweis ist zwingend an die korrekte Webadresse und das physische Gerät gebunden.
Die Notwendigkeit dieses Schrittes spiegelt sich in gängigen Best Practices wider. In der Hardening-Checkliste für Microsoft 365 weist Aaron Siller auf die offene Flanke durch schwache MFA-Methoden hin. Auch Referenzwerke wie „Microsoft 365 for IT Pros“ betonen die Angreifbarkeit von veralteten Protokollen. Der harte Schnitt durch Microsoft transformiert diese Empfehlungen nun in einen technischen Zwang.
Die Mechanik der Umstellung
Der Rollout der neuen Sicherheitsarchitektur erfolgt schrittweise. Am 1. September 2026 ändert Microsoft die Richtlinien für die Authentifizierungsmethoden. Entra ID setzt die Registrierungskampagne für Passkeys automatisch auf den Status „Microsoft Managed“. Betroffen sind alle Konten, die derzeit auf SMS oder Sprache konfiguriert sind. Nach der Eingabe des Kennworts fordert das System diese Nutzer auf, einen Passkey zu erstellen. Nutzer können diesen Dialog vorerst überspringen. Durch diesen Mechanismus treibt Microsoft die Adaption in die Breite, ohne direkte Blockaden beim Login zu verursachen.

Wenn du diese Automatik verzögern musst, bietet Microsoft ein temporäres Opt-out. Du kannst die Kampagne in den Einstellungen der Authentifizierungsmethoden bis zum Februar 2027 aussetzen. Diese Schonfrist dient ausschließlich der Vorbereitung. Ab dem Stichtag am 1. Februar 2027 schlagen die SMS-Logins ohne externe Anbindung fehl.
Bring Your Own Telco als Fallback
Nicht jede Belegschaft kann sofort auf Passkeys wechseln. Produktionsmitarbeiter ohne Firmentelefon oder externe Dienstleister zwingen IT-Abteilungen oft, an alten Methoden festzuhalten. Für diese Szenarien führt Microsoft ab dem 30. Oktober 2026 das Konzept des kundenkonfigurierten Telekommunikationsanbieters ein. Du wählst im Microsoft Security Store einen externen Dienstleister aus und verknüpfst ihn mit deinem Tenant.
Dieser Schritt verlagert die Transportkosten und das Sicherheitsrisiko auf dein Unternehmen. Microsoft betreibt die SMS-Gateways nicht mehr auf eigene Rechnung. Sobald du den externen Anbieter konfigurierst, leitet Entra ID die MFA-Anfragen an dessen API weiter. Der Anbieter stellt die SMS zu. Du musst diese Anbindung zwingend vier Wochen vor dem harten Cut im Februar 2027 testen, da Routing-Probleme bei externen Gateways unweigerlich zu massiven Login-Ausfällen führen.
Steuerung über den Conditional Access Optimization Agent
Microsoft integriert für den Übergang den Conditional Access Optimization Agent. Dieses Werkzeug analysiert das Anmeldeverhalten und erlaubt es dir, die Passkey-Adoption über Richtlinien zu steuern. Anstatt jeden Nutzer beim nächsten Login zu unterbrechen, triggerst du die Registrierungskampagne kontextbasiert. Wenn ein Nutzer von einem bekannten und verwalteten Gerät zugreift, bleibt der Prozess stumm. Greift der Nutzer von einem unbekannten Netzwerk zu oder das System erkennt ein erhöhtes Anmelderisiko, erzwingt die Richtlinie den Wechsel auf den Passkey. Dies entkoppelt die reine Registrierung von der täglichen Arbeit und platziert die Sicherheitsanforderung exakt dort, wo das Risiko auftritt.
Die Umstellung erfordert eine saubere Analyse der aktuellen Nutzung. Du musst exakt wissen, welche Konten von der Abschaltung betroffen sind. Das Microsoft Graph PowerShell SDK liefert die nötigen Datenpunkte. Nutze das Modul Microsoft.Graph.Identity.SignIns, um die registrierten Methoden auszulesen.
# Verbindung zu Microsoft Graph herstellen
Connect-MgGraph -Scopes "UserAuthenticationMethod.Read.All", "Policy.Read.All"
# Nutzer identifizieren, die SMS als Methode registriert haben
$SmsUsers = Get-MgReportAuthenticationMethodUserRegistrationDetail -All | Where-Object { $_.MethodsRegistered -contains "sms" }
# Ergebnis formatieren und ausgeben
$SmsUsers | Select-Object UserPrincipalName, IsMfaRegistered | Format-Table -AutoSizeDieser Befehl isoliert alle Konten mit SMS-Bindung. Im nächsten Schritt konfigurierst du die Passkey-Richtlinie explizit. Dadurch behältst du die Kontrolle über den Rollout, anstatt dich auf das Microsoft-Managed-Verhalten zu verlassen.


# FIDO2/Passkey-Richtlinie für alle Nutzer aktivieren
$PolicyParams = @{
status = "enabled"
includeTargets = @(
@{
targetType = "group"
id = "all_users"
isRegistrationRequired = $false
}
)
}
Update-MgPolicyAuthenticationMethodPolicyAuthenticationMethodConfiguration -AuthenticationMethodConfigurationId "fido2" -BodyParameter $PolicyParamsEin sicherer Tenant duldet keine Legacy-Protokolle auf der Identitätsebene. Die Kombination aus Passkeys und granularem Conditional Access bildet die verlässlichste Barriere gegen aktuellen Identitätsdiebstahl.

Fazit
Die Abkehr von SMS und Sprachanrufen ist eine längst überfällige notwendige Maßnahme. Microsoft zwingt die globale IT-Landschaft, sich von unsicheren Transportwegen zu verabschieden. Der Angriffsvektor über kompromittierte Telefonnetze und abgefangene Einmalcodes verursacht anhaltende und messbare Schäden. Die Architektur von Entra ID wird durch den Standard-Passkey deutlich robuster. Phishing-resistente MFA verliert den Status einer Premium-Option und wird zum architektonischen Fundament.
Das Konstrukt des eigenen Telekommunikationsanbieters über den Security Store dient als reine Übergangslösung. Es kauft großen Organisationen Zeit, um Hardware-Token zu beschaffen oder Betriebsvereinbarungen für private Smartphones anzupassen. Die technische Schuld bleibt bestehen. Wer weiterhin auf SMS setzt, nimmt bewusst in Kauf, dass Zugangsdaten durch SIM-Swapping gestohlen werden. Die verlagerten Kosten für den externen SMS-Dienstleister verschlechtern zusätzlich die Wirtschaftlichkeit der alten Lösung.
Dein Auftrag als Administrator erfordert sofortige Planung. Du musst die verbleibende Zeit bis September 2026 nutzen, um die Berichte zu den Authentifizierungsmethoden auszuwerten. Identifiziere die Nutzergruppen, die an alten Methoden hängen, und starte die Hardware-Ausstattung. Die Passkey-Infrastruktur verursacht keine zusätzlichen Lizenzkosten. Die Verweigerung der Migration führt spätestens im Februar 2027 zu harten Anmeldestörungen. Eine saubere Kommunikation der neuen Registrierungs-Prompts an die Belegschaft verhindert Helpdesk-Eskalationen und sichert den reibungslosen Übergang in die passwortlose Authentifizierung.
Sei der Erste und starte die Diskussion mit einem hilfreichen Beitrag.
Kommentar hinterlassen
Dein Beitrag wird vor der Veröffentlichung kurz geprüft — fachlich, respektvoll und auf den Punkt ist hier genau richtig.