Plan for Change - Update zum Widerruf von Multifaktor-Authentifizierungssitzungen

Oktober 2025

Änderungsplan - Update zum Widerruf von Multifaktor-Authentifizierungssitzungen
Art: Plan zur Änderung
Dienstkategorie: MFA
Produktfähigkeit: Identity Security & Schutz

Ab Februar 2026 ersetzen wir die derzeitige Schaltfläche "Multifaktor-Authentifizierungssitzungen widerrufen" durch die Schaltfläche "Sitzungen widerrufen" im MicrosoftEntra-Portal.

Die bisherige Aktion "MFA-Sitzungen widerrufen" gilt nur für die MFA-Durchsetzung pro Benutzer, was zu Verwirrung geführt hat. Zur Vereinfachung und zur Sicherstellung eines konsistenten Verhaltens macht die neue Schaltfläche "Sitzungen widerrufen" alle Benutzersitzungen ungültig, einschließlich MFA, unabhängig davon, ob MFA über Conditional Access oder Richtlinien pro Benutzer durchgesetzt wird.

Aktion erforderlich

Admins sollten Workflows und Anleitungen aktualisieren, um "Sitzungen widerrufen" anstelle von "MFA-Sitzungen widerrufen" zu verwenden. Die Option "MFA-Sitzungen widerrufen" wird nach dieser Änderung aus dem Portal entfernt.

Öffentliche Vorschau - Delegiertes Workflow-Management in Lebenszyklus-Workflows
Typ: Neue Funktion
Dienstkategorie: Lebenszyklus-Workflows
Produktfähigkeit: Identitätsmanagement

Lebenszyklus-Workflows können jetzt mit Verwaltungseinheiten (AUs) verwaltet werden, so dass Unternehmen Workflows segmentieren und die Verwaltung an bestimmte Administratoren delegieren können. Diese Erweiterung stellt sicher, dass nur autorisierte Administratoren die für ihren Bereich relevanten Workflows anzeigen, konfigurieren und ausführen können. Kunden sind in der Lage, Workflows mit AUs zu verknüpfen, delegierten Administratoren Berechtigungen zuzuweisen und sicherzustellen, dass sich Workflows nur auf Benutzer innerhalb ihres definierten Bereichs auswirken. Für weitere Informationen siehe: Delegierte Workflow-Verwaltung (Vorschau).

Public Preview - App-basiertes Branding über Branding-Themen in Microsoft Entra External ID
Typ: Neue Funktion
Dienst-Kategorie: B2C - Identitätsmanagement für Verbraucher
Produktfähigkeit: B2B/B2C

Mit Microsoft Entra External ID (EEID) können Kunden ein einziges, mieterweites, individuelles Branding-Erlebnis erstellen, das für alle Anwendungen gilt. Wir führen das Konzept der Branding-"Themen" ein, um Kunden die Möglichkeit zu geben, unterschiedliche Branding-Erlebnisse für bestimmte Anwendungen zu schaffen. Weitere Informationen finden Sie unter https://learn.microsoft.com/en-us/entra/external-id/customers/how-to-customize-branding-themes-apps.

Öffentliche Vorschau - Erweiterte Attributunterstützung in Lifecycle Workflows, die Attributänderungen auslösen
Typ: Geänderte Funktion
Dienstkategorie: Lebenszyklus-Workflows
Produktfähigkeit: Identitätsmanagement

Der Auslöser für Attributänderungen in Lifecycle Workflows unterstützt jetzt zusätzliche Attributtypen und ermöglicht so eine breitere Erkennung von organisatorischen Änderungen. Zuvor war dieser Auslöser auf eine Reihe von Kernattributen beschränkt. Mit diesem Update können Sie Workflows so konfigurieren, dass sie auf die Änderung eines der folgenden Attribute reagieren:

Benutzerdefinierte Sicherheitsattribute
Verzeichniserweiterungsattribute
EmployeeOrgData-Attribute
Vor-Ort-Attribute 1-15
Diese Erweiterung bietet Administratoren mehr Flexibilität bei der Automatisierung von Lebenszyklusprozessen für Umzugsereignisse auf der Grundlage benutzerdefinierter oder erweiterter Attribute und verbessert die Governance für komplexe Organisationsstrukturen und hybride Umgebungen. Weitere Informationen finden Sie unter: Benutzerdefinierte Attributauslöser in Lebenszyklus-Workflows verwenden (Vorschau).

Öffentliche Vorschau - Anmeldung mit Benutzernamen/Alias
Typ: Neue Funktion
Service-Kategorie: B2C - Identitätsmanagement für Verbraucher
Produktfähigkeit: B2B/B2C

In Microsoft Entra External ID (EEID) können sich Benutzer mit einer lokalen E-Mail+Passwort-Anmeldung mit der E-Mail-Adresse als Identifikator anmelden. Wir fügen die Möglichkeit hinzu, dass sich diese Benutzer mit einem alternativen Identifikator wie einer Kunden-/Mitgliedsnummer anmelden können, z. B. Versicherungsnummer, Vielfliegernummer, die über die Graph API oder das Microsoft Entra Admin Center zugewiesen wird. Weitere Informationen finden Sie unter Anmeldung mit einem Alias oder Benutzernamen (Vorschau).

Abkündigung - Die Beta-APIs der Iteration 2 für Microsoft Entra PIM werden nicht mehr verwendet. Migrieren Sie zu Iteration 3 APIs.
Typ: Abgelehnt
Dienstkategorie: Privilegierte Identitätsverwaltung
Produktfähigkeit: Identitätsmanagement

Einführung

Ab dem 28. Oktober 2026 werden alle Anwendungen und Skripte, die Microsoft Entra Privileged Identity Management (PIM) Iteration 2 (Beta) APIs für Azure-Ressourcen, Microsoft Entra-Rollen und -Gruppen aufrufen, fehlschlagen.

Wie sich dies auf Ihre Organisation auswirkt

Nach dem 28. Oktober 2026 werden alle Anwendungen oder Skripte, die Microsoft Entra PIM Iteration 2 (beta) API-Endpunkte aufrufen, fehlschlagen. Diese Aufrufe werden keine Daten mehr zurückgeben, was zu einer Unterbrechung von Arbeitsabläufen oder Integrationen führen kann, die auf diese Endpunkte angewiesen sind. Die APIs der Iteration 3 sind allgemein verfügbare (GA) APIs, die eine verbesserte Zuverlässigkeit und eine breitere Unterstützung von Szenarien bieten.

Was Sie zur Vorbereitung tun müssen

Wir empfehlen dringend, auf die allgemein verfügbaren APIs der Iteration 3 (GA) zu migrieren.

Beginnen Sie so bald wie möglich mit der Planung und dem Testen der Migration.
Stoppen Sie alle neuen Entwicklungen, die APIs der Iteration 2 verwenden.
Prüfen Sie die Dokumentation für Iteration 3-APIs, um die Kompatibilität sicherzustellen.
Erfahren Sie mehr:

API-Konzepte in Privileged Identity Management - Microsoft Entra ID Governance | Microsoft Learn
Privileged Identity Management Iteration 2-APIs
Migrieren Sie von PIM-Iteration 2-APIs zu PIM-Iteration 3-APIs

Öffentliche Vorschau - Soft Delete & Restore für Conditional Access Policies und Named Locations
Typ: Neue Funktion
Dienstkategorie: Bedingter Zugriff
Produktfunktionalität: Identitätssicherheit und -schutz

Wir freuen uns, die Public Preview von Soft Delete und Restore für Conditional Access (CA) Policies und Named Locations in Microsoft Entra ankündigen zu können. Diese neue Funktion erweitert unser bewährtes Soft-Löschmodell auf kritische Sicherheitskonfigurationen in Microsoft Graph APIs (in Beta) und dem Microsoft Entra Admin Center und hilft Administratoren, versehentliche oder böswillige Löschungen schnell wiederherzustellen und die allgemeine Sicherheitslage zu verbessern.

Mit dieser Funktion können Administratoren:

Gelöschte Objekte innerhalb von 30 Tagen in ihrem exakten vorherigen Zustand wiederherstellen
Gelöschte Objekte vor der Wiederherstellung überprüfen
Bei Bedarf dauerhaft löschen
Soft Delete hat sich bereits in großem Umfang in Microsoft Entra bewährt (mehr als 7 Millionen Objekte wurden in den letzten 30 Tagen wiederhergestellt). Die Einführung in die CA-Richtlinien und benannten Standorte gewährleistet eine schnelle Wiederherstellung im Notfall, minimiert die Ausfallzeiten und erhält die Sicherheitsintegrität aufrecht.

Allgemeine Verfügbarkeit - Vorgeschlagene Zugriffspakete können den Benutzern in Mein Zugriff angezeigt werden.
Typ: Neue Funktion
Dienstkategorie: Berechtigungsmanagement
Produktfunktionalität: Berechtigungsmanagement

In Mein Zugang können Benutzer von Microsoft Entra ID Governance eine Liste mit vorgeschlagenen Zugangspaketen sehen. Mit dieser Funktion können Benutzer schnell die für sie relevantesten Zugangspakete anzeigen, die auf den Zugangspaketen ihrer Kollegen und früheren Zuweisungen basieren, ohne durch alle verfügbaren Zugangspakete scrollen zu müssen.

Die Liste der vorgeschlagenen Zugangspakete wird durch die Suche nach Personen erstellt, die mit dem Benutzer in Verbindung stehen (Vorgesetzte, direkte Mitarbeiter, Organisation, Teammitglieder), und es werden Zugangspakete empfohlen, die auf den Zugangspaketen der Kollegen des Benutzers basieren. Dem Benutzer werden auch Zugangspakete vorgeschlagen, die ihm zuvor zugewiesen wurden.

Wir empfehlen Administratoren, die Peer-basierten Einblicke für vorgeschlagene Zugangspakete über diese Einstellung zu aktivieren. Weitere Informationen finden Sie unter: Vorgeschlagene Zugangspakete in Mein Zugang

Allgemeine Verfügbarkeit - Umwandlung von externen Benutzern in interne Mitglieder
Typ: Neue Funktion
Dienstkategorie: Benutzerverwaltung
Produktfähigkeit: Benutzerverwaltung

Die Konvertierung externer Benutzer ermöglicht es Kunden, externe Benutzer in interne Mitglieder umzuwandeln, ohne dass sie Benutzerobjekte löschen und neu anlegen müssen. Durch die Beibehaltung desselben zugrundeliegenden Objekts wird sichergestellt, dass das Benutzerkonto und der Zugriff auf Ressourcen nicht unterbrochen werden und dass die Historie der Aktivitäten des Benutzers intakt bleibt, wenn sich seine Beziehung zur Gastorganisation ändert.

Die Funktion zur Konvertierung externer in interne Benutzer umfasst auch die Möglichkeit, synchronisierte Benutzer vor Ort zu konvertieren.

Allgemeine Verfügbarkeit - Granulare, am wenigsten privilegierte Berechtigungen für UserAuthenticationMethod APIs
Typ: Neue Funktion
Dienstkategorie: MS Graph
Produktfähigkeit: Erfahrung für Entwickler

Zusammenfassung

Wir führen neue, granulare Berechtigungen für die UserAuthenticationMethod APIs in Microsoft Entra ID ein. Dieses Update ermöglicht es Unternehmen, bei der Verwaltung von Authentifizierungsmethoden das Prinzip der geringsten Privilegien anzuwenden, was sowohl die Sicherheit als auch die betriebliche Effizienz unterstützt.

Was ist neu?

Neue Berechtigungen pro Methode: Fein abgestufte Berechtigungen für jede Authentifizierungsmethode (z. B. Kennwort, Microsoft Authenticator, Telefon, E-Mail, Temporary Access Pass, Passkey, Windows Hello for Business, QR+PIN und andere).
Berechtigung für schreibgeschützte Richtlinien: Eine neue Berechtigung ermöglicht den Nur-Lese-Zugriff auf Richtlinien für Authentifizierungsmethoden und verbessert so die Rollentrennung und die Überprüfbarkeit.
Weitere Informationen finden Sie unter Microsoft Graph-Berechtigungsreferenz - Microsoft Graph | Microsoft Learn

Öffentliche Vorschau - Cloud Managed Remote Mailboxes
Typ: Neue Funktion
Dienstkategorie: Benutzerverwaltung
Produktfähigkeit: Microsoft Entra Cloud Sync

Die Source of Authority (SOA) auf Objektebene ermöglicht es Administratoren, bestimmte Benutzer, die von Active Directory (AD) mit Microsoft Entra ID synchronisiert wurden, in Cloud-Objekte zu konvertieren, die nicht mehr mit AD synchronisiert werden und sich so verhalten, als wären sie ursprünglich in der Cloud erstellt worden. Diese Funktion unterstützt einen schrittweisen Migrationsprozess, der die Abhängigkeiten von AD verringert und gleichzeitig die Auswirkungen auf Benutzer und Betrieb minimiert. Sowohl Microsoft Entra Connect Sync als auch Cloud Sync erkennen den SOA-Wechsel für diese Objekte. Die Option, die SOA der synchronisierten Benutzer von AD zu Microsoft Entra ID zu wechseln, ist derzeit in der Public Preview verfügbar. Für weitere Informationen siehe: Umfassen Sie Cloud-first Haltung: Übertragen Sie die Benutzer-SOA (Source of Authority) in die Cloud (Vorschau).

Öffentliche Vorschau - Abruf von Workday-Kündigungsdaten zur Anpassung der Logik zur Kontodeaktivierung
Typ: Festgelegt
Dienstkategorie: Bereitstellung
Produktfähigkeit: Eingehend an Microsoft Entra ID

Dieses Workday-Konnektor-Update behebt Verzögerungen bei der Verarbeitung von Kündigungen, die für Mitarbeiter in den Regionen APAC und ANZ beobachtet wurden. Administratoren können jetzt die Einstellung für die Kündigungsvorschau aktivieren, um Daten im Voraus abzurufen und die Deprovisionierungslogik für Konten in Microsoft Entra ID und im lokalen Active Directory anzupassen. Weitere Informationen finden Sie unter: Konfigurieren der Workday-Beendigungsvorschau (Vorschau).

Allgemeine Verfügbarkeit - Die Möglichkeit, die Quelle der Autorität von synchronisierten lokalen AD-Gruppen in Cloud-Gruppen zu konvertieren, ist jetzt verfügbar
Typ: Neue Funktion
Dienstkategorie: Gruppenverwaltung
Produkt-Fähigkeit: Microsoft Entra Cloud Sync

Mit der Funktion Group SOA können Unternehmen die Verwaltung des Anwendungszugriffs von On-Premises in die Cloud verlagern, indem sie Active Directory-Gruppenberechtigungen mit Connect Sync oder Cloud Sync auf Microsoft Entra ID übertragen. Durch die schrittweise Migration können Administratoren AD-Abhängigkeiten schrittweise reduzieren und Unterbrechungen minimieren. Microsoft Entra ID Governance verwaltet den Zugriff für Anwendungen in der Cloud und vor Ort, die mit Sicherheitsgruppen verknüpft sind, und Kunden beider Sync-Clients können diese Funktion jetzt nutzen. Für weitere Informationen siehe: Quelle der Gruppenautorität.

Plan for Change - Jailbreak-Erkennung in der Authenticator-App
Typ: Plan zur Änderung
Dienstkategorie: Microsoft Authenticator-Anwendung
Produktfähigkeit: Identitätssicherheit und -schutz

Ab Februar 2026 führen wir die Jailbreak/Root-Erkennung für Microsoft Entra-Anmeldeinformationen in der Authenticator-App ein. Dieses Update stärkt die Sicherheit, indem es verhindert, dass Microsoft Entra-Anmeldeinformationen auf Geräten mit Jailbreak oder Root funktionieren. Alle bestehenden Zugangsdaten auf solchen Geräten werden gelöscht, um Ihr Unternehmen zu schützen.

Diese Funktion ist standardmäßig sicher und erfordert keine administrative Konfiguration oder Kontrolle. Die Änderung gilt sowohl für iOS als auch für Android und ist nicht für persönliche Konten oder Konten von Drittanbietern gültig.

Erforderliche Maßnahmen: Benachrichtigen Sie die Endbenutzer über diese bevorstehende Änderung. Authenticator wird für Microsoft Entra-Konten auf Jailbreak- oder Root-Geräten unbrauchbar.

Für weitere Informationen siehe: Über Microsoft Authenticator.

Öffentliche Vorschau - Global Secure Access B2B-Unterstützung mit AVD und W365
Typ: Neue Funktion
Dienst-Kategorie: B2B
Produktfunktionalität: Netzzugang

Gastzugriffsunterstützung für Global Secure Access (GSA) mit W365 und AVD ist jetzt in der öffentlichen Vorschau. Diese B2B-Unterstützung adressiert den sicheren Zugriff mit GSA auf externe Identitäten wie Gäste, Partner, Auftragnehmer mit Windows Cloud - Azure Virtual Desktop (AVD) und Windows 365 (W365). Diese Funktion ermöglicht es Nutzern von Drittanbietern aus einem fremden Tenant, sicher auf Ressourcen innerhalb des Tenants eines Unternehmens zuzugreifen, auch bekannt als Ressourcen-Tenant. Als Administrator eines Ressourcen-Tenants können Sie den privaten Zugang, den Internetzugang und den Microsoft 365-Datenverkehr für diese Drittanbieter aktivieren.

Für weitere Informationen siehe: Erfahren Sie mehr über Global Secure Access B2B Guest Access (Vorschau) - Global Secure Access | Microsoft Learn.

Öffentliche Vorschau - Global Secure Access Internetprofil-Unterstützung für iOS-Client
Typ: Neue Funktion
Dienstkategorie: Internetzugang
Produktfähigkeit: Netzzugang

Kerberos SSO-Erfahrung für Benutzer auf mobilen Geräten mit Global Secure Access wird jetzt unterstützt. Erstellen Sie auf IOS ein Profil für die Single Sign-On-App-Erweiterung und stellen Sie es bereit, siehe: Single Sign-On App-Erweiterung. Auf Android. Sie müssen einen SSO-Client eines Drittanbieters installieren und konfigurieren.