Ihre News zu Microsoft 365 Security. News, die Sie wirklich weiterbringen. Praxisnah, relevant & aktuell.

Microsoft baut den Sicherheitsumfang seiner Lösungen weiter aus: Mit dem neuen Unified Sensor für Defender for Endpoint, einer zusätzlichen Secure-Score-Empfehlung für Angriffsoberflächenrichtlinien und der Jailbreak-/Root-Erkennung im Microsoft Authenticator wird das Sicherheitsniveau auf mehreren Ebenen gezielt gestärkt. 🔒

Hier sind die wichtigsten Entwicklungen, die IT-Admins kennen sollten 👇

🛡️ Microsoft Defender for Identity – Unified Sensor jetzt allgemein verfügbar

Microsoft hat offiziell die allgemeine Verfügbarkeit (GA) des neuen Unified Sensor für Microsoft Defender for Identity bekanntgegeben. Diese Neuerung vereinfacht den Identitätsschutz auf qualifizierten Domänencontrollern erheblich – und das ohne zusätzliche Agent-Installation.

🚀 Was ist neu?

Der Unified Sensor erweitert den bestehenden Microsoft Defender für Endpunkt-Agent und ermöglicht es, Identitätswarnungen, Statusempfehlungen und automatische Angriffsunterbrechungen mit nur wenigen Klicks zu aktivieren. Damit entfällt die bisher notwendige Installation des separaten Defender-for-Identity-Sensors.

Der Rollout gilt ab sofort weltweit – einschließlich der GCC-, GCCH- und DoD-Umgebungen.

👩‍💻 Auswirkungen auf Unternehmen

Die Änderung betrifft vor allem Administratoren, die Domänencontroller mit Microsoft Defender für Endpunkt verwalten.

Wichtige Punkte im Überblick:

• Der Unified Sensor kann auf qualifizierten Domänencontrollern aktiviert werden.
• Identitätsspezifische Warnungen und Empfehlungen stehen kurz nach der Aktivierung bereit.
• Keine Ausfallzeiten oder zusätzliche Installationen notwendig.
• Bestehende Lizenzen, Funktionen und Warnungen bleiben unverändert.

Der Unified Sensor v3.x bringt einige Einschränkungen mit:

• Nicht kompatibel mit bereits installierten v2.x-Sensoren.
• Keine Unterstützung für VPN-Integration oder ExpressRoute.
• Noch keine vollständige Funktionalität bei Integritätswarnungen, Sicherheitswarnungen und erweiterten Suchdaten.

⚙️ Vorbereitung und Anforderungen

Damit die Aktivierung reibungslos funktioniert, sollten Unternehmen ihre Systeme prüfen und folgende Voraussetzungen sicherstellen:

Systemanforderungen:

• Windows Server 2019 oder höher
• Kumulatives Update vom Juni 2025 oder neuer
• Microsoft Defender für Endpunkt ist bereitgestellt
• Kein v2.x-Sensor installiert
• Mindestens 2 CPU-Kerne und 6 GB RAM
• Energieoption: Hohe Leistung
• Zeitsynchronisierung max. 5 Minuten Unterschied

Virtualisierung:

• Hyper-V: Dynamischen Speicher deaktivieren
• VMware: Gesamten Gastspeicher reservieren

Lizenzierung:

• Microsoft 365 E5/A5/G5/F5 Sicherheit
• Enterprise Mobility + Security (EMS) E5/A5
• Oder eine eigenständige Defender-for-Identity-Lizenz

🔍 Zusätzliche Empfehlungen

Um erweiterte Erkennungen optimal zu nutzen:

• Verwende das Unified Sensor RPC-Überwachungstag über das Asset Rule Management im Defender-Portal.
• Konfiguriere die Windows-Überwachung mit Set-MDIConfiguration per PowerShell.
• Prüfe die Einsatzbereitschaft mit dem Test-MdiReadiness.ps1-Skript.
• Informiere das interne Sicherheitsteam über den Wechsel.

📎 Hier findest du mehr dazu: https://admin.cloud.microsoft/?#/MessageCenter/:/messages/MC1179159

📊 Microsoft Defender for Identity – Neue Empfehlung im Microsoft Secure Score

Microsoft erweitert den Microsoft Secure Score um eine neue Verbesserungsmaßnahme, die auf Erkenntnissen von Microsoft Defender for Identity basiert. Ziel dieser Erweiterung ist es, Organisationen gezielt dabei zu unterstützen, ihren Sicherheitsstatus im Bereich Identitätsschutz weiter zu verbessern.

🧩 Was ist neu?

Die neue Empfehlung betrifft Konten mit potenziell kompromittierten Anmeldeinformationen. In diesen Fällen schlägt Secure Score künftig automatisch vor, Kennwörter zu ändern, um das Risiko unautorisierter Zugriffe zu verringern.

Dieses Update wird zwischen November und Dezember 2025 weltweit ausgerollt – einschließlich GCC-, GCC High- und DoD-Umgebungen. Der Prozess erfolgt automatisch, ohne dass Administratoren aktiv eingreifen müssen.

👥 Wer ist betroffen?

Das Update richtet sich an Organisationen, die Microsoft Defender for Identity-Sensoren einsetzen, sowie an Administratoren, die den Microsoft Secure Score überwachen und bewerten.

Sobald der Rollout aktiv ist, wird im Secure Score eine neue Verbesserungsaktion angezeigt:

„Kennwort ändern für Konten mit potenziell kompromittierten Anmeldeinformationen“

Diese Maßnahme ist standardmäßig aktiviert und wird nur dann sichtbar, wenn ein Defender-for-Identity-Sensor im Mandanten bereitgestellt wurde.

⚙️ Auswirkungen auf die Umgebung

• Keine Änderungen am Endbenutzer-Workflow.
• Keine Administratoraktion vor oder nach dem Rollout erforderlich.
• Das System erkennt automatisch relevante Konten und zeigt die entsprechende Empfehlung an.
• Bestehende Sicherheitsbewertungen im Secure Score werden automatisch angepasst.

Damit integriert Microsoft Defender for Identity seine Erkenntnisse noch enger in das übergreifende Sicherheitsbewertungssystem. Organisationen erhalten dadurch präzisere und praxisorientierte Empfehlungen, die direkt auf realen Angriffssignalen basieren.

🪜 Vorbereitung und empfohlene Schritte

Auch wenn keine Konfiguration notwendig ist, sollten Administratoren einige Punkte im Blick behalten:

• Überprüfe regelmäßig den Microsoft Secure Score, um neue Verbesserungsvorschläge zu erkennen.
• Bewerte deine aktuelle Identitäts- und Kennwortkonfiguration, um mögliche Schwachstellen frühzeitig zu identifizieren.
• Informiere die zuständigen Administratoren über das neue Bewertungsmodell.
• Aktualisiere interne Richtlinien oder Dokumentationen, falls das Thema Passwortänderung organisatorisch relevant ist.

 📎 Detaillierte Hinweise und aktuelle Statusupdates findest du unter: https://admin.cloud.microsoft/?#/MessageCenter/:/messages/MC1179155

🔒 Microsoft Authenticator-App – Neue Jailbreak- und Root-Erkennung ab Februar 2026

Microsoft verschärft ab Februar 2026 die Sicherheitsstandards für die Microsoft Authenticator-App. Künftig werden Microsoft Entra-Anmeldeinformationen auf Geräten mit Jailbreak (iOS) oder Root-Zugriff (Android) automatisch erkannt und blockiert. Ziel dieser Änderung ist es, kompromittierte oder unsichere Geräte vom Zugriff auf Unternehmensressourcen auszuschließen.

Diese neue Funktion wird schrittweise weltweit eingeführt und erfordert keine Administratoraktion. Sie ist standardmäßig aktiviert und schützt automatisch vor der Nutzung von Entra-Anmeldeinformationen auf modifizierten Geräten.

🕒 Rollout-Zeitraum

• Start der Einführung: Februar 2026
• Abschluss der weltweiten Bereitstellung: voraussichtlich April 2026

👥 Wer ist betroffen?

Betroffen sind alle Nutzer der Microsoft Authenticator-App, die ihre Entra-Anmeldeinformationen auf einem Jailbreak- oder Root-Gerät registriert haben.

Benutzer auf regulären, nicht modifizierten Geräten sind von dieser Änderung nicht betroffen.

⚙️ Ablauf des Rollouts

Microsoft führt die Sicherheitsfunktion in drei Phasen ein, um Unternehmen und Nutzer schrittweise an die neue Richtlinie heranzuführen:

Phase 1 – Warnmodus

Nutzer erhalten eine Benachrichtigung, dass ihr Gerät über einen Jailbreak oder Root-Zugriff verfügt. Diese Warnung weist darauf hin, dass Entra-Anmeldeinformationen künftig auf diesem Gerät blockiert werden.

➡️ Ziel dieser Phase ist es, den Nutzern Zeit zu geben, ihre Geräte zu bereinigen oder zu ersetzen.

Phase 2 – Blockierungsmodus

Sobald die Blockierungsphase aktiv ist, wird es nicht mehr möglich, neue Entra-Anmeldeinformationen über die Authenticator-App auf betroffenen Geräten zu registrieren oder sich mit bestehenden Anmeldeinformationen zu authentifizieren.

Phase 3 – Löschmodus

Im letzten Schritt werden alle bestehenden Entra-Anmeldeinformationen auf Geräten mit Jailbreak oder Root-Zugriff automatisch entfernt. Dadurch wird sichergestellt, dass keine sensiblen Zugangsdaten auf kompromittierten Systemen verbleiben.

🛠️ Auswirkungen auf Unternehmen

Diese Sicherheitsmaßnahme verbessert den Schutz der gesamten Identitätsinfrastruktur, indem sie kompromittierte Geräte effektiv ausschließt. Administratoren müssen keine Änderungen vornehmen – die Erkennung und Durchsetzung erfolgt vollständig automatisch.

🧾 Empfohlene Vorbereitung

Auch wenn keine technische Anpassung nötig ist, sollten Organisationen die Einführung aktiv begleiten:

• Informiere alle betroffenen Benutzer frühzeitig über die Änderung.
• Schule Helpdesk-Teams, damit diese Nutzeranfragen zu blockierten Geräten korrekt beantworten können.
• Aktualisiere interne IT- und Sicherheitshandbücher, in denen die Nutzung von Microsoft Authenticator beschrieben ist.
• Empfehle Nutzern, ihre Geräte regelmäßig auf den Werkszustand zurückzusetzen, falls ein Jailbreak oder Root-Zugriff vorliegt.

📎 Detaillierte Hinweise zur Funktionsweise und zu den Sicherheitsmechanismen des Authenticator finden Sie unter: https://admin.cloud.microsoft/?#/MessageCenter/:/messages/MC1179154

Fazit

Diese Neuerungen zeigen klar, wohin die Reise geht:

• Mehr Transparenz durch den Unified Sensor
• Mehr Kontrolle dank präziser Secure-Score-Empfehlungen
• Mehr Schutz durch die automatische Erkennung manipulierter Geräte

Ein weiterer konsequenter Schritt in Richtung einer ganzheitlich abgesicherten IT-Umgebung. ✅

Das Jahresende 2025 bringt erneut mehrere wichtige Updates für Administratoren in Microsoft 365. Microsoft setzt dabei konsequent auf mehr Sicherheit, Transparenz und Selbstverwaltung – mit neuen Möglichkeiten in Exchange Onlineund Teams.

Gleichzeitig gibt es verbindliche Anforderungen, die Admins rechtzeitig beachten sollten, um einen reibungslosen Betrieb sicherzustellen.

Hier sind die wichtigsten Entwicklungen, die IT-Admins kennen sollten 👇

Neues Cmdlet in Exchange Online: Remove-DkimSigningConfig jetzt verfügbar

Microsoft hat eine nützliche Neuerung für Exchange Online veröffentlicht:

Mandantenadministratoren können ab sofort das Cmdlet Remove-DkimSigningConfig in Exchange Online PowerShell (v3.7) nutzen, um veraltete DKIM-Konfigurationen selbst zu entfernen – ganz ohne den Umweg über den Microsoft-Support.

💡 Warum das wichtig ist

Mit dieser Funktion stärkt Microsoft die Self-Service-Fähigkeiten von Exchange Online und reduziert gleichzeitig die Abhängigkeit vom Support. Administratoren können nun alte DKIM-Signaturkonfigurationen (DomainKeys Identified Mail) bereinigen, wenn Domains aus dem Mandanten entfernt werden – schnell, direkt und sicher.

📅 Rollout-Zeitraum

• Weltweiter Rollout: 6.–10. Juni 2025
• GCCHigh: 6.–12. August 2025

Damit ist die Funktion bereits weltweit aktiv – auch in spezialisierten Cloud-Umgebungen.

👥 Wer ist betroffen?

Das Cmdlet richtet sich an Mandantenadministratoren, die DKIM-Konfigurationen in Exchange Online verwalten.

Voraussetzung sind die Rollen:

• Transporthygiene-Administrator oder
• Sicherheitsadministrator in Microsoft Entra ID

⚙️ Was sich ändert

Mit dem neuen Cmdlet können Administratoren:

• Remove-DkimSigningConfig direkt in Exchange Online PowerShell ausführen (Modul v3.7 erforderlich)
• Alte oder überflüssige DKIM-Einträge eigenständig löschen
• Bereinigungen ohne Eskalation an den Microsoft-Support durchführen
• Bestehende Tools und Prozesse ergänzen, nicht ersetzen

👉 Damit wird die Verwaltung von DKIM-Einträgen flexibler und unabhängiger.

🧭 Vorbereitung & Umsetzung

Damit das Cmdlet genutzt werden kann, sollten Administratoren:

1. Sicherstellen, dass die benötigten Rollenrechte vorhanden sind
2. Das Exchange Online PowerShell-Modul v3.7 installieren oder aktualisieren
3. Über Connect-ExchangeOnline eine Verbindung herstellen
4. Remove-DkimSigningConfig bei Bedarf ausführen
5. Die internen Dokumentationen und Admin-Guidelines anpassen

🔗 Weitere Infos findest du auf: https://admin.cloud.microsoft/?#/MessageCenter/:/messages/MC1177179

📧 Erforderliche Maßnahme: Einrichtung von Sendedomänen für benutzerdefinierte E-Mail-Vorlagen in Teams-Ereignissen

Microsoft kündigt eine wichtige Änderung für alle Organisationen an, die benutzerdefinierte Premium-HTML-Vorlagen für E-Mail-Benachrichtigungen zu Teams-Ereignissen verwenden.

Ab dem 17. November 2025 müssen diese Organisationen ihre Sendedomäne in Microsoft 365 einrichten und verifizieren, um weiterhin eigene Vorlagen verwenden zu können.

🔒 Hintergrund der Änderung

Mit dieser Anpassung will Microsoft die Sicherheit und Vertrauenswürdigkeit von E-Mail-Benachrichtigungen in Teams erhöhen.

Ereignis-E-Mails sollen künftig nur noch von authentifizierten, kundeneigenen Domains versendet werden.

Das Ziel:

• Schutz vor Spam- oder Phishing-Verdacht
• Sicherstellung einer klaren Absenderzuordnung
• Höhere Zustellrate und bessere Markenkommunikation

📅 Stichtag

• Einführung: 17. November 2025

Bis zu diesem Datum muss die Einrichtung abgeschlossen sein, um Funktionsausfälle zu vermeiden.

👥 Wer ist betroffen?

Diese Änderung betrifft Organisationen, die:

• Premium-HTML-Vorlagen für Teams-Ereignisbenachrichtigungen nutzen
• E-Mails aktuell über Microsofts Standardadresse oder eine nicht authentifizierte Domain versenden

⚙️ Was ändert sich konkret?

Nach dem Stichtag gilt:

• Benutzerdefinierte HTML-Vorlagen können nicht mehr bearbeitet oder verwendet werden, wenn die Sendedomäne nicht eingerichtet ist.
• Ereignis-E-Mails müssen von einer authentifizierten, in Microsoft 365 hinterlegten Domäne versendet werden.
• Microsoft wird diese Nachrichten nicht länger über generische Absenderadressen zustellen.

🧭 Was jetzt zu tun ist

Damit deine Organisation vorbereitet ist:

1. Richte die Domäne deiner Organisation in den Microsoft 365-Mandanteneinstellungen ein.
2. Verifiziere die Domain, um sicherzustellen, dass E-Mails authentisch versendet werden können.
3. Konfiguriere Microsoft 365-Produkte, damit Benachrichtigungen über deine eigene Absenderadresse verschickt werden.
4. Führe diese Einrichtung bis spätestens 17. November 2025 durch.

👉 Mehr dazu findest du unter: https://admin.cloud.microsoft/?#/MessageCenter/:/messages/MC1176301

💼  Microsoft Teams – Regelbasierte Verwaltung von Drittanbieter-Apps im Teams Admin Center (ab Dezember 2025)

Microsoft erweitert die Steuerungsmöglichkeiten im Teams Admin Center:

Ab Dezember 2025 können Administratoren die Verfügbarkeit von Microsoft 365-zertifizierten Drittanbieter-Appsüber neue regelbasierte Einstellungen verwalten.

Diese Funktion verbessert die Sicherheit und Kontrolle in der App-Verwaltung und reduziert gleichzeitig den administrativen Aufwand.

⚙️ Was sich ändert

Mit der neuen Funktion lassen sich Microsoft 365-zertifizierte Apps gezielt freigeben oder einschränken – basierend auf:

• den Berechtigungen, die eine App anfordert,
• und dem Herausgeber, von dem die App stammt.

Das System prüft automatisch alle zertifizierten Apps, die den festgelegten Bedingungen entsprechen, und stellt diese dann für Benutzer bereit.

Damit können Administratoren künftig vertrauenswürdige Anwendungen gezielt zulassen, ohne jede App manuell prüfen zu müssen.

🗓️ Rollout-Zeitraum

• Start: Anfang Dezember 2025
• Abschluss: Mitte Dezember 2025

Der Rollout erfolgt automatisch, eine Aktion durch Administratoren ist nicht erforderlich.

🔧 Verwaltung im Teams Admin Center

Nach dem Update findest du die neue Option im Teams Admin Center unter:

Verwalten von Apps → Aktionen → Organisationsweite App-Einstellungen → Microsoft 365-zertifizierte Apps verwalten

Dort kannst du:

• Regeln zur App-Verfügbarkeit definieren,
• Filter nach Berechtigungen und Herausgebern setzen,
• und die Option bei Bedarf aktivieren oder deaktivieren (standardmäßig ist sie deaktiviert).

Diese neue Steuerung ermöglicht eine feinere Kontrolle über App-Zugriffe und unterstützt so die Einhaltung interner Sicherheitsrichtlinien.

🧭 Was du vorbereiten solltest

Auch wenn keine direkte Maßnahme erforderlich ist, empfiehlt sich Folgendes:

1. Aktuelle Drittanbieter-App-Konfiguration prüfen, um mögliche Auswirkungen zu bewerten.
2. Benutzer und IT-Teams informieren, dass künftig zusätzliche Steuerungsmöglichkeiten verfügbar sind.
3. Interne Dokumentation aktualisieren, sobald der Rollout abgeschlossen ist.

👉 Weitere Details und eine aktualisierte Anleitung findest du unter: https://admin.cloud.microsoft/?#/MessageCenter/:/messages/MC1085133

Quelle: Screenshot Teams Admin Center unter Verwalten von Apps > Aktionen > Organisationsweite App-Einstellungen > Microsoft 365 zertifizierte Apps

🧾 Fazit: Mehr Kontrolle, mehr Sicherheit, weniger Abhängigkeit vom Support

Microsoft treibt die Vereinheitlichung und Automatisierung seiner Verwaltungs- und Sicherheitsfunktionen weiter voran.

Mit den aktuellen Änderungen können Admins:

• mehr Eigenverantwortung übernehmen (z. B. durch das neue DKIM-Cmdlet in Exchange Online),
• Sicherheitsstandards anpassen und absichern (z. B. durch verifizierte Domänen für Teams-Benachrichtigungen),
• und granularere Steuerungen nutzen ( durch regelbasierte App-Freigaben in Teams).

Diese Neuerungen reduzieren die Abhängigkeit vom Microsoft-Support und ermöglichen gleichzeitig eine zielgerichtetere, sichere Verwaltung in der gesamten Microsoft-365-Umgebung.

Wer frühzeitig prüft, dokumentiert und seine Admin-Prozesse anpasst, wird die kommenden Änderungen reibungslosumsetzen können.

Der Oktober bringt wieder zahlreiche Sicherheitsupdates, neue Funktionen und wichtige Änderungen in der Microsoft-Cloud-Welt.

Hier sind die wichtigsten Entwicklungen, die IT-Admins kennen sollten 👇

🚫 Supportende für Windows 10: Das ist wichtig für Microsoft Defender XDR

Am 14. Oktober 2025 endet der offizielle Support für Windows 10. Ab diesem Datum liefert Microsoft keine Sicherheitsupdates, Funktionsupdates oder technischen Support mehr. Die Systeme laufen zwar weiter, werden aber zunehmend zu einem Risiko – vor allem in produktiven Umgebungen.

Was bedeutet das konkret für Unternehmen?

Ohne regelmäßige Patches steigen die Chancen für Angriffe durch Ransomware, Phishing oder Zero-Day-Exploits deutlich. Selbst aktuelle Sicherheitslösungen stoßen hier an Grenzen – denn sie können nur auf Basis der verfügbaren Systemfunktionen arbeiten.

Rolle von Microsoft Defender XDR nach dem Supportende

Microsoft Defender XDR bleibt auch auf Windows 10-Geräten grundsätzlich funktionsfähig und erkennt Bedrohungen über Cloud-Signaturen und Sicherheitsanalysen.

Allerdings gilt:

• Erkennungs- und Schutzfunktionen bleiben auf dem Stand der letzten unterstützten Windows 10-Version.
• Neue XDR-Funktionen oder erweiterte Sensoren stehen ausschließlich für Windows 11 und Server-Versionen zur Verfügung.
• Die Datenkorrelation und automatisierte Reaktion (z. B. in Microsoft Defender for Endpoint oder Sentinel) kann eingeschränkt sein, wenn Geräte veraltete Agent-Versionen nutzen.

Damit bleibt Defender XDR eine wichtige Schutzschicht, ersetzt aber kein aktuelles Betriebssystem.

Empfohlene Schritte für IT-Administratoren

1. Upgrade auf Windows 11
   • Empfohlen für alle produktiven Endpunkte.
   • Nur so profitierst du von der vollen Integration in Microsoft Defender XDR, aktuellen Sicherheitsfunktionen und kontinuierlichen Updates.
2. Nutzung des Extended Security Update (ESU)-Programms
   • Wenn ein sofortiges Upgrade nicht möglich ist, bietet Microsoft über das ESU-Programm weiterhin sicherheitsrelevante Updates für Windows 10 an.
   • Enthalten sind kritische und wichtige Sicherheitsupdates, keine neuen Features oder Supportleistungen.
3. Überprüfung der Sicherheits- und Compliance-Strategie
   • Prüfe, ob die verbleibenden Windows 10-Systeme deinen internen und regulatorischen Compliance-Anforderungen noch erfüllen.
   • Besonders in Branchen mit erhöhten Sicherheitsauflagen (z. B. Gesundheitswesen oder Finanzsektor) kann der Einsatz von Legacy-Systemen problematisch sein.
4. Monitoring über Microsoft Defender XDR optimieren
   • Stelle sicher, dass alle Windows 10-Geräte weiterhin mit Defender for Endpoint verbunden sind.
   • Nutze automatisierte Warnungen, Bedrohungsindikatoren und erweiterte Hunting-Funktionen, um verdächtige Aktivitäten schneller zu erkennen.

📎 Weitere Details sind hier zu finden: https://admin.cloud.microsoft/?#/MessageCenter/:/messages/MC1172531

💻 Änderung der zertifikatbasierten Authentifizierung (CBA) in Exchange ActiveSync

Im Rahmen laufender Sicherheitsverbesserungen hat Microsoft die zertifikatbasierte Authentifizierung (CBA) von Exchange ActiveSync aktualisiert. Diese Änderung führt die Unterstützung von TLS 1.3 ein und leitet den Datenverkehr künftig an neue standortbasierte Endpunkte weiter.

Was sich ändert:

Der gesamte ActiveSync-CBA-Datenverkehr wird nun abhängig vom Mandantenstandort über neue dedizierte Endpunkte abgewickelt:

• Mandantenfähig (weltweit & GCC): outlook-cba.office365.com
• Verteidigungsministerium (DoD): outlook-dod-cba.office365.us
• GCC-High: outlook-cba.office365.us

Diese Umstellung ist bereits in der weltweiten Multi-Tenant-Cloud aktiv und wird bis November 2025 auf weitere Cloud-Umgebungen ausgerollt.

Auswirkungen auf Unternehmen:

Für die meisten Exchange ActiveSync-Clients erfolgt die Umleitung automatisch und ohne Benutzerinteraktion.

Organisationen, die jedoch ein Secure Email Gateway (SEG) oder ein ähnliches System einsetzen, das ActiveSync-Datenverkehr überprüft oder filtert, müssen ihre Firewall- oder Gateway-Regeln prüfen und ggf. anpassen, um den Zugriff auf die neuen CBA-Endpunkte zu gewährleisten.

Hinweis: Ohne entsprechende Anpassung kann es zu Kommunikationsproblemen zwischen Exchange ActiveSync und E-Mail-Clients kommen.

📎 Weitere Details sind hier zu finden: https://admin.cloud.microsoft/?#/MessageCenter/:/messages/MC1169566

🛡️ Verbesserungen in Microsoft Defender für Cloud Apps

Microsoft hat angekündigt, dass Defender für Cloud Apps ab November 2025 ein neues, erweitertes Modell zur dynamischen Bedrohungserkennung einführt. Dieses Modell basiert stärker auf Sicherheitsforschung und Machine-Learning-Analysen und soll die Treffsicherheit (Signal-to-Noise-Ratio) deutlich verbessern.

Das Ziel: Bedrohungen sollen schneller erkannt und Fehlalarme reduziert werden, um Sicherheitsteams zu entlasten.

Was sich ändert:

• Die bisherigen Legacy-Richtlinien werden nach und nach durch präzisere, forschungsgestützte Erkennungen ersetzt.
• Neue Detektionen werden standardmäßig aktiviert, Administratoren müssen keine manuelle Konfiguration durchführen.
• Die neuen Erkennungen werden kontinuierlich durch Microsoft-Sicherheitsforscher gepflegt und dynamisch angepasst.

Neue und ersetzte Richtlinien:

• Ersetzt:
  • „Ungewöhnlicher ISP für eine OAuth-App“
  • „Verdächtige Dateizugriffsaktivität (nach Benutzer)“
• Neu eingeführt (Vorschau):
  • „OAuth-Anwendungsaktivität von einem unbekannten ISP“
  • „Verdächtiger Dateizugriff von einem nicht vertrauenswürdigen ISP und Benutzeragenten mit bösartigem IP-Indikator“
  • „Verdächtiger Dateizugriff, der auf eine laterale Bewegung hinweist“
  • „Aktivität von einer mit Kennwortspray verknüpften IP-Adresse“

Auswirkungen für Administratoren:

• Keine Vorbereitung notwendig: Der Rollout erfolgt automatisch.
• Deaktivierte Governance-Aktionen: Nach der Migration können Administratoren Governance-Aktionen manuell innerhalb von 24 Stunden wieder aktivieren.
• Legacyrichtlinien: Diese bleiben vorübergehend sichtbar, werden aber nach Abschluss der Migration vollständig entfernt.

Empfehlung:

Informiere SOC- und IT-Teams frühzeitig über die Änderungen, um Anpassungen in Workflows und internen Dokumentationen vorzunehmen.

📎 Mehr Detail dazu findest du hier: https://admin.cloud.microsoft/?#/MessageCenter/:/messages/MC1169078

Quelle: Screenshot vom Microsoft Nachrichtencenter

🔐 Entra ID – Passkey-Profile in der Authentifizierungsmethoden-Richtlinie (Public Preview ab November 2025)

Microsoft erweitert im November 2025 die Authentifizierungsmethoden-Richtlinie (FIDO2) in Microsoft Entra ID, um Passkey-Profile in der Public Preview zu unterstützen.

Was kommt

• Gruppenbasierte Passkey-Konfigurationen – unterschiedliche Hauptschlüsselrichtlinien für verschiedene Benutzergruppen.
  • Beispiel: Gruppe A darf nur bestimmte FIDO2-Schlüsselmodelle verwenden.
  • Gruppe B darf Passkeys über den Microsoft Authenticator nutzen.
• Neue API-Schemaänderungen für granulare Steuerung.
• Akzeptanz aller WebAuthn-kompatiblen Passkey-Anbieter, wenn „Nachweis erzwingen“ deaktiviert ist.

Rollout-Zeitplan

• Weltweit: Anfang November bis Anfang Dezember 2025
• GCC / GCC High / DoD: Mitte November bis Mitte Dezember 2025

Was du tun musst

Keine Aktion vorab nötig – der Rollout erfolgt automatisch. Es empfiehlt sich aber, die bestehende Hauptschlüsselkonfiguration zu überprüfen und interne Dokumentation anzupassen.

📎 Weitere Informationen findest du hier: https://admin.cloud.microsoft/?#/MessageCenter/:/messages/MC1097225

 Quelle: Screenshot aus dem Entra Admin Center.
Zugriff über: Microsoft 365 Admin Center > Home > Security > Authentication methods > Passkey (FIDO2)-Einstellungen 

📈 Fazit

Der Oktober 2025 zeigt deutlich, wohin die Reise bei Microsoft geht: mehr Sicherheit, mehr Automatisierung – aber auch klare Konsequenzen für alte Systeme.

Das Supportende von Windows 10 markiert einen Wendepunkt, der IT-Abteilungen zwingt, jetzt aktiv zu werden. Wer noch auf veraltete Geräte oder Browser wie den Internet Explorer setzt, riskiert Sicherheitslücken und Compliance-Verstöße. Gleichzeitig bringen Updates in Defender für Cloud Apps, Exchange ActiveSync und der umfangreiche Patchday wichtige Verbesserungen, um moderne Umgebungen noch besser zu schützen.

👉 Kurz gesagt:

• Alte Systeme abschalten oder migrieren
• Updates zügig einspielen
• Neue Sicherheitsfeatures gezielt nutzen
• Mit der Einführung der Entra ID Passkey-Profile kommt ein weiterer wichtiger Schritt Richtung kennwortlose Zukunft.

Nur wer konsequent handelt, bleibt resilient gegen aktuelle Bedrohungen – und spart sich langfristig deutlich mehr Aufwand.

Microsoft liefert im Oktober mehrere bedeutende Updates, die Administratoren in Microsoft 365 mehr Kontrolle, neue Funktionen und tiefere Einblicke in den Einsatz von KI-gestützten Agenten geben. Die Neuerungen betreffen Copilot Studio, Purview Insider Risk Management (IRM) und erste Details zu den Entra-Agenten.

💻Copilot Studio: Neuzuweisung von Agent-Besitzern

Ab Ende Oktober 2025 können globale Administratoren und KI-Administratoren den Besitz von gemeinsam genutzten Agents in Microsoft Copilot Studio und dem M365 Agents Toolkit neu zuweisen.

• Administratoren können die Eigentümerschaft von Agents lizenzierten Benutzern übertragen.
• Der neue Besitzer erhält volle Bearbeitungs- und Löschrechte sowie Zugriff auf alle verknüpften Dateien.
• Der bisherige Besitzer verliert den gesamten Zugriff – auch schreibgeschützt.
• Der Rollout startet Ende Oktober 2025 (statt Anfang Oktober) und soll bis Ende November 2025 abgeschlossen sein.

Hinweis: Microsoft hat den Zeitplan am 7. Oktober 2025 aktualisiert.

Tipp: Schaue dir unbedingt auch meinen Microsoft 365 Copilot: Der Ultimative Guide an.

👍 Empfehlungen für Unternehmen:

• Bestehende gemeinsam genutzte Agents prüfen.
• Workflows für Mitarbeiterwechsel vorbereiten.
• Sicherstellen, dass neue Besitzer aktive Microsoft 365 Copilot-Lizenzen besitzen.
• Interne Dokumentation und Supportprozesse aktualisieren.

Hier findest du mehr Infos: https://admin.cloud.microsoft/?#/MessageCenter/:/messages/MC1041756

🔒 Purview IRM: Neue Rolle für Datensicherheitsuntersuchungen

Das zweite Update betrifft Microsoft Purview Insider Risk Management (IRM).

Eine neue Rolle, „Mitwirkender an Datensicherheitsuntersuchungen“, wird der Rollengruppe „Insider Risk Management Investigators“ hinzugefügt.

Diese Funktion ermöglicht es, direkt aus einem IRM-Fall heraus KI-gestützte Datensicherheitsuntersuchungen (Data Security Investigation, DSI) zu starten und u. a.:

• vorfallbezogene Inhalte in Microsoft 365 (E-Mails, Teams-Chats, Copilot-Prompts, Dokumente) effizient zu durchsuchen,
• Vektorsuchen durchzuführen, Beweise zu kategorisieren und Sicherheitsrisiken schneller zu identifizieren,
• Visualisierungen für Zusammenhänge zwischen Daten, Nutzern und Aktivitäten zu nutzen,
• Ergebnisse zur Verbesserung von Richtlinien und Sicherheitspraktiken einzusetzen.

🕖 Angepasster Zeitplan:

• Public Preview: bereits im April 2025 abgeschlossen.
• Allgemeine Verfügbarkeit: startet jetzt Mitte Oktober 2025 (statt Mitte Juli) und soll bis Mitte Dezember 2025(statt Mitte August) abgeschlossen sein.

Für Administratoren ist keine Aktion vorab erforderlich. Unternehmen sollten ihre Konfiguration prüfen und die internen Teams über die neue Rolle informieren.

Mehr dazu findest du hier: https://admin.cloud.microsoft/?#/MessageCenter/:/messages/MC1162291

🌐 Entra-Agenten: 125.000 Agenten und der Conditional Access Optimization Agent

Während eines Vortrags berichtete Alex von Microsoft, dass der Microsoft-Mandant inzwischen fast 125.000 Agenten unterstützt. Details zur Art oder Erstellung dieser Agenten nannte er nicht, betonte jedoch, dass Microsoft großen Wert auf Authentifizierung, Autorisierung und Auditing legt, um die Sicherheit und Kontrolle über die Agenten zu gewährleisten.

Ein besonders interessantes Beispiel ist der Conditional Access Optimization Agent, der entwickelt wurde, um Administratoren beim Management von Richtlinien für den bedingten Zugriff zu unterstützen.

• Der Agent identifiziert Sicherheitslücken in Richtlinien, schlägt Optimierungen und Konsolidierungen vor, um die Verwaltung zu vereinfachen.
• Administratoren benötigen Entra P1-Lizenzen, und der Agent verbraucht Security Compute Units (SCUs), die für Security Copilot abgerechnet werden.
• Auch wenn erfahrene Entra-Admins vieles manuell umsetzen könnten, arbeitet der Agent deutlich schneller und bietet eine „zweite Meinung“ zur Richtlinienqualität.
• Einige Ergebnisse können mit dem kostenlosen Community-Tool Maester verglichen werden, das sich bereits bei der Bewertung von Sicherheitskonfigurationen bewährt hat.

Es wird betont, dass sich diese KI-gestützten Agenten noch in der Vorschau befinden und im Laufe der Zeit weiter verbessert werden sollen, um den Mehrwert der zusätzlichen Lizenz- und Ressourcenkosten zu rechtfertigen.

Hier sind weitere Infos dazu zu finden: https://practical365.com/entra-agents-could-do-more/

📈Fazit

Der Oktober 2025 bringt für Microsoft-365-Administratoren entscheidende Änderungen:

• Copilot Studio: Eigentumsübertragungen für Agents ab Ende Oktober bis Ende November 2025.
• Purview IRM: Neue DSI-Rolle ab Mitte Oktober bis Mitte Dezember 2025.
• Entra-Agenten: Bereits über 125.000 aktive Agenten, darunter der Conditional Access Optimization Agent für die Optimierung von Zugriffsrichtlinien.

Microsoft verschiebt damit mehrere geplante Rollouts in den Oktober und Dezember 2025. Unternehmen sollten diese neuen Zeitpläne beachten und ihre internen Prozesse, Lizenzen und Workflows entsprechend vorbereiten. Die neuen Funktionen bieten bessere Kontrolle, mehr Sicherheit und praxisnahe Unterstützung im Agenten- und Richtlinienmanagement.

Microsoft liefert regelmäßig neue Features, Updates und Hinweise für Admins. In dieser Übersicht haben wir die wichtigsten Neuerungen der vergangenen Tage zusammengefasst – inklusive Empfehlungen, wie du dich optimal vorbereiten kannst.

Bevorstehende Änderungen der standardmäßig sicheren Einstellungen für Exchange- und Teams-APIs

Microsoft kündigt im Rahmen der Secure Future Initiative (SFI) eine wichtige Änderung an, die Administratoren von Microsoft 365 im Blick behalten sollten.

Ab Ende Oktober bis voraussichtlich Ende November 2025 wird für viele Organisationen die Administratoreinwilligung für Drittanbieter-Apps zur Pflicht, wenn diese auf Exchange- oder Teams-Inhalte zugreifen.

Damit setzt Microsoft seinen „Secure by Default“-Ansatz konsequent fort: Die Anpassung betrifft insbesondere Organisationen, die bislang die von Microsoft verwaltete Standardzustimmungsrichtlinie verwenden. Künftig können Benutzer nicht mehr eigenständig Apps zustimmen, die Zugriff auf E-Mails, Kalender, Kontakte, Teams-Chats und Besprechungen benötigen.

🔒 Hintergrund der Änderungen

Microsoft verfolgt seit einiger Zeit das Ziel, die Standardkonfigurationen in Microsoft 365 konsequent auf ein höheres Sicherheitsniveau zu heben.

Nach den bereits umgesetzten Anpassungen bei SharePoint und OneDrive, die die Zustimmung des Administrators für Drittanbieter-Apps eingeführt und veraltete Protokolle blockiert haben, folgen nun Exchange und Teams.

Die neue Regelung bedeutet:

• Drittanbieter-Apps, die über Microsoft Graph, Exchange Web Services (EWS), Exchange ActiveSync (EAS), POP3 oder IMAP4 auf Exchange- und Teams-Inhalte zugreifen wollen, benötigen künftig eine explizite Genehmigung durch den Administrator.
• Bestehende, bereits genehmigte Apps können weiterhin genutzt werden, solange keine zusätzlichen oder neuen Berechtigungen angefordert werden.
• Für Organisationen, die bereits eigene benutzerdefinierte Zustimmungsrichtlinien verwenden, ändert sich nichts.
• Zusätzliche Lizenzen werden nicht benötigt.

⚠️ Was das für Unternehmen bedeutet

Diese Änderung kann insbesondere dann relevant werden, wenn Organisationen Drittanbieter-Tools einsetzen, die auf E-Mails, Kalenderdaten oder Teams-Chats zugreifen.

Wer sich bislang auf die Standardrichtlinie von Microsoft verlassen hat, muss künftig den App-Zugriff aktiv verwalten. Das Ziel ist klar: Mehr Kontrolle für Administratoren und weniger Risiken durch unkontrollierte App-Freigaben durch Endbenutzer.

📌 Empfohlene Schritte zur Vorbereitung

Unternehmen sollten rechtzeitig vor der Umstellung folgende Punkte angehen:

1. Konfigurationen prüfen
   • Bestehende Drittanbieter-Apps, die Zugriff auf Exchange- oder Teams-Inhalte benötigen, sollten identifiziert und bewertet werden.
2. App-Zugriffsrichtlinien anpassen
   • Für Anwendungen, die weiterhin benötigt werden, empfiehlt Microsoft, App-Zugriffsrichtlinien im Vorauszu erstellen.
   • So lassen sich mögliche Unterbrechungen vermeiden.
3. Administratoreinwilligungs-Workflow einrichten
   • Falls noch nicht geschehen, sollte der Workflow für Administratoreinwilligungen aktiviert werden, damit Benutzer bei Bedarf Zugriffsanfragen stellen können.
4. Projektbeteiligte informieren
   • IT-Administratoren, App-Besitzer und Sicherheitsteams müssen über die bevorstehenden Änderungen und neuen Prozesse informiert werden.
5. Interne Dokumentation aktualisieren
   • Onboarding-Prozesse und interne Handbücher sollten die neuen Standardwerte und Einwilligungsprozesse widerspiegeln.

🛡️ Keine Auswirkungen auf bestehende Daten

Die Anpassung ändert nicht, wie Daten verarbeitet oder gespeichert werden.

Allerdings gilt künftig: Nur noch Administratoren können Apps Zugriff auf Exchange- und Teams-Inhalte gewähren. Benutzer verlieren die Möglichkeit, eigenständig ihre Zustimmung zu erteilen.

Bereits genehmigte Apps bleiben funktionsfähig. Neue Nutzer oder neue Berechtigungen erfordern jedoch eine Administratorgenehmigung.

Hier sind noch mehr Infos zu finden: https://admin.cloud.microsoft/?#/MessageCenter/:/messages/MC1163922

Microsoft Secure Score MDE

Ab Mitte Oktober 2025 führt Microsoft neue Secure Score-Empfehlungen für Microsoft Defender für Endpunkt (MDE) ein.

Ziel ist es, Organisationen dabei zu unterstützen, den Schutz ihrer Endpunkte weiter zu verbessern und gängige Angriffstechniken proaktiv zu blockieren.

🔑 Die neuen Empfehlungen im Überblick

Folgende Schutzmaßnahmen werden künftig in Microsoft Secure Score angezeigt und empfohlen:

• Blockieren der Erstellung von Webshells auf Servern
• Blockieren der Verwendung von kopierten oder imitierten Systemtools
• Blockieren des Neustarts eines Computers im abgesicherten Modus

Diese Maßnahmen adressieren konkrete Bedrohungsszenarien, die häufig bei gezielten Angriffen ausgenutzt werden, und helfen dabei, Schwachstellen frühzeitig zu schließen.

Der Secure Score wird auf Grundlage der Umsetzung dieser Empfehlungen automatisch aktualisiert.

⚠️ Was Unternehmen beachten sollten

Die neuen Empfehlungen betreffen Administratoren, die Microsoft Defender für Endpunkt und Microsoft Secure Score verwalten.

Empfohlene Schritte:

1. Neue Empfehlungen prüfen
   • Die Empfehlungen sollten zeitnah nach dem Rollout in Secure Score überprüft werden.
2. Schutzmaßnahmen umsetzen
   • Administratoren sollten die empfohlenen Konfigurationen implementieren, um die Sicherheitslage ihrer Organisation zu stärken.
3. Interne Kommunikation sicherstellen
   • Sicherheits- und Endpunkt-Teams müssen über die neuen Empfehlungen informiert werden, um den Rollout reibungslos zu gestalten.
4. Compliance prüfen
   • Laut Microsoft gibt es keine neuen Compliance-Anforderungen. Unternehmen sollten dennoch ihre eigenen internen Vorgaben überprüfen.

Hier findest du mehr Infos: https://admin.cloud.microsoft/?#/MessageCenter/:/messages/MC1163763

Microsoft Teams Admin Center: Schnellere App-Überprüfungen mit vertrauensbasierten Filtern

Ab Mitte Oktober 2025 führt Microsoft im Teams Admin Center eine neue Funktion ein, die den App-Überprüfungsprozess für IT-Administratoren erheblich vereinfacht.

🔍 Neue Filteroptionen für mehr Transparenz

Die neue Funktion ergänzt die Registerkarte „Sicherheit und Compliance“ im Bereich „Apps verwalten“ um eine zusätzliche Spalte mit Sicherheits- und Complianceinformationen.

Administratorinnen und Administratoren können künftig Apps nach gängigen Standards filtern, darunter:

• SOC 2
• ISO 27001
• HIPAA
• DSGVO

Diese neue Filtermöglichkeit erleichtert die Identifizierung von Apps, die den eigenen Sicherheits- und Datenschutzanforderungen entsprechen, und beschleunigt so die Evaluierung von Drittanbieter-Apps.

Zusätzlich wird eine erweiterte Kachel auf der Seite „Apps verwalten“ eingeführt, die besonders Microsoft 365-zertifizierte Apps hervorhebt, die bereits unterstützende Nachweisdokumente eingereicht haben.

⚠️ Wichtige Hinweise

• Die neuen Filterfunktionen stehen automatisch zur Verfügung und erfordern keine zusätzliche Konfiguration.
• Das Verhalten beim Aktivieren oder Blockieren von Apps ändert sich nicht.
• Unternehmen sollten ihre Administratoren und IT-Teams über diese Verbesserungen informieren und gegebenenfalls die interne Dokumentation aktualisieren.

Hier sind weitere Infos zu finden: https://admin.cloud.microsoft/?#/MessageCenter/:/messages/MC1162959

Fazit

Die Updates im Oktober und November 2025 unterstreichen Microsofts Fokus auf Sicherheit, Transparenz und Kontrolle:

• Strengere Administratoreinwilligung für Exchange- und Teams-APIs
• Neue Secure Score-Empfehlungen für einen besseren Endpunktschutz
• Effizientere App-Überprüfungen im Teams Admin Center

Für Unternehmen bedeutet das:

👉 IT- und Sicherheitsteams sollten die Änderungen frühzeitig prüfen, Zugriffs- und Genehmigungsprozesse anpassen sowie interne Workflows aktualisieren, um von den neuen Funktionen zu profitieren und Sicherheitsrisiken zu minimieren.

Microsoft liefert regelmäßig neue Features, Updates und Hinweise für Admins. In dieser Übersicht haben wir die wichtigsten Neuerungen der vergangenen Tage zusammengefasst – inklusive Empfehlungen, wie du dich optimal vorbereiten kannst.

Microsoft Teams | SlimCore-Architektur in Citrix

Viele Administratoren von Citrix DaaS/CVAD-Umgebungen haben in den letzten Tagen eine wichtige Meldung von Microsoft erhalten. Diese weist darauf hin, dass die Umgebung nicht korrekt für die SlimCore-Architektur konfiguriert ist.

Der Hintergrund:

Sie erhalten diese Meldung, weil wir festgestellt haben, dass Ihre Citrix DaaS/CVAD-Umgebung nicht so konfiguriert ist, dass sie die benutzerdefinierten virtuellen Kanäle zulässt, die von Microsoft Teams benötigt werden, damit Benutzer mit der SlimCore-Architektur optimiert werden können. Wenn die virtuellen Kanäle nicht auf der Whitelist stehen, kann Microsoft Teams nur mit dem alten WebRTC-basierten Offloading optimieren. Da alle neuen Funktionen in der neuen SlimCore-basierten Optimierung eingeführt werden, empfiehlt Microsoft IT-Administratoren dringend, die Citrix Studio-Richtlinien neu zu konfigurieren.

Bedeutung für Administratoren

• SlimCore ist die neue Basis für Teams-Optimierungen.
• Nur mit korrekter Whitelisting-Konfiguration stehen alle neuen Features zur Verfügung.
• Bei Nichtanpassung bleibt lediglich das alte WebRTC-Offloading aktiv – ohne die neuen Funktionen.

Empfehlung

Überprüfe deine Citrix-Richtlinien und passe die Whitelists entsprechend an, um eine reibungslose Optimierung sicherzustellen.

Quelle: https://admin.microsoft.com/AdminPortal/home?#/MessageCenter/:/messages/MC1158908

Quelle: Microsoft Outlook. Zu finden unter Einstellungen > Kalender > Ereignisse aus E-Mails

Microsoft Entra ID | Updates für Conditional Access

Microsoft hat die Conditional Access-Richtlinien weiter ausgebaut. Diese Änderungen betreffen vor allem die Feinsteuerung von Sitzungen, Geräten und Risiken.

Neue Funktionen im Überblick

• Verbesserte Session-Controls: Administratoren können Zugriffe feiner analysieren und steuern.
• Gerätestatus: Richtlinien berücksichtigen jetzt den Compliance-Status noch granularer.
• Risikobasierte Steuerung: Bedrohungsanalysen werden stärker einbezogen, um unsichere Zugriffe abzuwehren.
• Externe Benutzer: Neue Optionen für Gast- und Partnerkonten verbessern die Sicherheit in hybriden Szenarien.

Empfehlung

Prüfe deine bestehenden Conditional Access Policies und passe diese an die neuen Möglichkeiten an. Besonders in Umgebungen mit vielen externen Benutzern oder BYOD-Geräten kann die neue Steuerung entscheidend sein.

Quelle: https://admin.microsoft.com/AdminPortal/home?#/MessageCenter/:/messages/MC1158765

Microsoft Exchange Online | SMTP-Onboarding in App RBAC

Ein weiteres wichtiges Update betrifft Exchange Online. Ab November 2025 wird ein neues Verfahren zur Zuweisung von SMTP.SendAsApp eingeführt. Dieses basiert auf der rollenbasierten App-Zugriffssteuerung (App-RBAC) und ersetzt die bisherige manuelle Berechtigungszuweisung pro Postfach.

Zusammenfassung

• Was ändert sich?
  Administratoren können künftig einer App die SMTP.SendAsApp-Rolle zuweisen. Damit lassen sich gruppenbasierte oder bereichsbezogene Postfachzugriffe realisieren.
• Warum wichtig?
  Das bisherige Verfahren über manuelle Postfach-Berechtigungen ist zeitaufwändig und fehleranfällig. Mit App-RBAC wird das Onboarding von OAuth-SMTP-Clients deutlich effizienter und sicherer.
• Was bleibt gleich?
  Für Endbenutzer gibt es keine Änderungen.

Zeitplan

• Rollout startet Anfang November 2025.
• Abschluss der Einführung wird bis Ende November 2025 erwartet.
• Roadmap-ID: 498356.

Empfehlungen für Admins

Erstelle Sicherheits- oder Verteilergruppen für Postfächer mit erforderlichem Zugriff. Plane die Migration von Einzel-Berechtigungen hin zu gruppenbasierten RBAC-Zuweisungen. Aktualisiere interne Dokumentationen, insbesondere Prozesse zum SMTP-Onboarding. Schule Helpdesk- oder Support-Teams rechtzeitig.

Quelle: https://admin.microsoft.com/AdminPortal/home?#/MessageCenter/:/messages/MC115891

Fazit

Die aktuellen Änderungen zeigen deutlich, dass Microsoft die Automatisierung und Skalierbarkeit in der Verwaltung weiter forciert. Für Admins bedeutet das:

• Bei Teams und Citrix die richtige Konfiguration sicherstellen.
• In Entra ID Conditional Access-Richtlinien prüfen und nachschärfen.
• Bei Exchange Online den Wechsel auf App-RBAC einplanen.

Jetzt ist der richtige Zeitpunkt, die internen Prozesse, Richtlinien und Dokumentationen zu überprüfen und anzupassen.

Hast du Fragen zu den Updates oder benötigst du Hilfe? Dann buche gerne ein Erstgespräch mit mir und wir schauen gemeinsam, wie ich dir weiterhelfen kann.