MFA ausrollen in M365: von 50 % auf 100 % in zwei Wochen

MFA ist das günstigste Sicherheits-Upgrade, das du umsetzen kannst — und das am meisten unterschätzte. Hier ist der Rollout-Plan, der Widerstand minimiert und vollständige Abdeckung maximiert.

Wenn du dieses Jahr nur eine einzige Sicherheitsmaßnahme umsetzen kannst: MFA für alle. 99 % der passwortbasierten Angriffe werden durch MFA blockiert. Der Rollout ist die knifflige Sache.

Woche 1: Vorbereitung

\n
• Entscheidung treffen: Microsoft Authenticator App (kostenlos, empfehlenswert) oder YubiKey (ca. 30 €/Stück, stärkste Option). Für KMU ist die Authenticator-App der Standard, YubiKey für privilegierte Konten.
\n
• Security Defaults oder eine Conditional Access-Richtlinie einrichten, die MFA für alle Benutzer erzwingt.
\n
• Kommunizieren: 1 All-Hands-Meeting von 15 Minuten, in dem du erklärst: warum, wann und wie.
\n

Woche 2: Rollout

\n
• Tag 1–3: Self-Enrollment öffnen. Mitarbeitende registrieren ihre App über aka.ms/mfasetup.
\n
• Tag 4: IT unterstützt bei Nachzüglern. Häufig ältere Kolleginnen und Kollegen, die kein Smartphone nutzen möchten — ziehe SMS oder einen unternehmenseigenen FIDO-Key als Alternative in Betracht.
\n
• Tag 7: Durchsetzung wird aktiviert. Wer sich noch nicht registriert hat, wird beim nächsten Login dazu gezwungen.
\n

Privilegierte Konten: zusätzlicher Schritt

Global Admins erhalten ein Hardware-Token oder Number-Matching-MFA. Kein SMS (SIM-Swap-Risiko). Siehe PAM-Artikel.

Die Herausforderung mit ehemaligen Mitarbeitenden

Beim Offboarding: Registrierungen werden gelöscht. Andernfalls bleibt das Smartphone eines ehemaligen Mitarbeitenden bei einer Reaktivierung oder einem Phishing-Vorfall „gültig".

Siehe auch: M365-Pillar, Conditional Access.