Die Verwaltung von Microsoft 365 (M365) Umgebungen erfordert ein hohes Maß an Verantwortungsbewusstsein, insbesondere wenn es um die Sicherheit von Administrator-Konten geht. Die Multi-Faktor-Authentifizierung (MFA) ist der Eckpfeiler dieser Sicherheit und schützt Ihre Organisation effektiv vor den häufigsten Cyberbedrohungen. Doch es kann Situationen geben – beispielsweise ein verlorenes Authentifizierungsgerät, Fehlkonfigurationen oder spezifische Integrationsanforderungen –, in denen Administratoren die **MFA für einen M365 Admin**-Account vorübergehend deaktivieren müssen.
Dieser Artikel ist eine detaillierte Anleitung, wie Sie Multi-Faktor-Authentifizierung für einen Administrator-Account in Ihrer M365-Umgebung deaktivieren können. Es ist jedoch von größter Wichtigkeit, klarzustellen: Diese Anleitung beschreibt das *Wie*, nicht das *Warum*. Das Deaktivieren von MFA, insbesondere für privilegierte Konten, birgt **erhebliche Sicherheitsrisiken** und sollte nur im äußersten Notfall und unter strengster Beachtung von Sicherheitsrichtlinien erfolgen. Wir werden diese Risiken ausführlich beleuchten und Ihnen sicherere Alternativen aufzeigen, die in den meisten Fällen die bessere Wahl darstellen.
1. Einleitung: Warum das Deaktivieren von MFA eine Gratwanderung ist
Die Multi-Faktor-Authentifizierung (MFA) ist ein unverzichtbarer Schutzmechanismus in der heutigen digitalen Welt. Sie verlangt neben dem Passwort einen zweiten Nachweis der Identität, beispielsweise einen Code von einer Authenticator-App, einen Fingerabdruck oder einen Sicherheitsschlüssel. Dies macht es Angreifern erheblich schwerer, sich Zugang zu Konten zu verschaffen, selbst wenn sie das Passwort kennen. Für M365 Admin-Konten, die über weitreichende Berechtigungen verfügen und somit ein primäres Ziel für Cyberkriminelle darstellen, ist MFA absolut kritisch.
Dennoch gibt es Szenarien, in denen die Deaktivierung von MFA als letzte Option in Betracht gezogen wird:
* **Verlust oder Defekt des MFA-Geräts:** Ein Administrator hat sein Smartphone verloren oder es ist defekt, und es gibt keine alternativen Wiederherstellungsoptionen.
* **Fehlkonfiguration:** Die MFA-Einstellungen wurden so konfiguriert, dass sie den Zugang für einen Admin blockieren.
* **Integrationen:** Seltene Fälle, in denen Altsysteme oder Anwendungen keine MFA unterstützen und vorübergehend ohne MFA auf bestimmte Ressourcen zugreifen müssen (obwohl dies meist über Dienstprinzipale oder Service Accounts gelöst werden sollte).
* **Notfallzugriff:** Um einen „Break-Glass”-Zugriff zu ermöglichen, wenn alle anderen Wege versagen. Hierfür gibt es jedoch spezifischere, sicherere Ansätze.
Unabhängig vom Grund sollte die Deaktivierung von MFA immer als eine temporäre Notmaßnahme betrachtet werden, die mit größtmöglicher Vorsicht und einem klaren Plan zur sofortigen Reaktivierung oder Implementierung einer sichereren Alternative einhergeht.
2. Verstehen der Multi-Faktor-Authentifizierung in M365/Entra ID
Bevor wir uns den Schritten widmen, ist es wichtig, die verschiedenen Wege zu verstehen, auf denen MFA in Ihrer M365-Umgebung durchgesetzt werden kann (und die Sie möglicherweise deaktivieren müssen):
* **Pro-Benutzer-MFA (Legacy):** Dies ist die ältere Methode, bei der MFA für einzelne Benutzer direkt aktiviert oder deaktiviert wird. Diese Einstellung finden Sie im Microsoft 365 Admin Center.
* **Sicherheitsstandards (Security Defaults):** Eine grundlegende Sicherheitsrichtlinie, die Microsoft für alle neuen Mandanten standardmäßig aktiviert. Sie erzwingt MFA für alle Administratoren und verlangt von allen Benutzern, sich für MFA zu registrieren.
* **Bedingter Zugriff (Conditional Access):** Dies ist die fortschrittlichste und flexibelste Methode zur Implementierung von MFA in Microsoft Entra ID (ehemals Azure AD). Mit Conditional Access können Sie detaillierte Richtlinien erstellen, die MFA nur unter bestimmten Bedingungen (z.B. Zugriff von außerhalb des Unternehmensnetzwerks, von nicht-vertrauenswürdigen Geräten) erzwingen oder ausschließen.
Je nachdem, welche dieser Methoden in Ihrer Organisation aktiv ist, müssen Sie unterschiedliche Schritte unternehmen, um MFA effektiv zu deaktivieren.
3. Dringende Warnung: Die gravierenden Sicherheitsrisiken
Das Deaktivieren von MFA für ein Administratorkonto öffnet die Tür für eine Vielzahl von Cyberangriffen und Compliance-Problemen. Bevor Sie fortfahren, müssen Sie sich der folgenden Risiken bewusst sein:
* **Kontoübernahme (Account Takeover):** Dies ist das größte und unmittelbarste Risiko. Ein Angreifer, der das Passwort Ihres Administrators kennt oder errät, erhält ohne MFA sofortigen und uneingeschränkten Zugang zu Ihrer gesamten M365-Umgebung.
* **Datenlecks und -verlust:** Ein übernommenes Administratorkonto kann genutzt werden, um sensible Unternehmensdaten zu exfiltrieren, zu löschen oder zu manipulieren.
* **Ransomware-Angriffe:** Angreifer können über ein Admin-Konto Schadsoftware verteilen oder weitreichende Verschlüsselungsoperationen starten, die zum Stillstand Ihrer Geschäftsabläufe führen.
* **Compliance-Verstöße:** Viele Compliance-Vorschriften (z.B. GDPR, HIPAA, ISO 27001) fordern MFA für privilegierte Konten. Das Deaktivieren kann zu schwerwiegenden Audit-Feststellungen, Bußgeldern und Reputationsschäden führen.
* **Reputationsschaden:** Ein Sicherheitsvorfall, der auf die Deaktivierung von MFA zurückzuführen ist, kann das Vertrauen von Kunden und Partnern nachhaltig beschädigen.
* **Finanzielle Verluste:** Neben Bußgeldern und Reputationsschäden können auch Kosten für die Behebung des Vorfalls, forensische Untersuchungen und der Verlust von Geschäftszeiten entstehen.
Betrachten Sie die Deaktivierung von MFA daher immer als eine letzte Option und planen Sie die Wiedereinführung so schnell wie möglich ein.
4. Vorbereitung auf das Deaktivieren von MFA: Das sollten Sie wissen
Bevor Sie beginnen, stellen Sie sicher, dass Sie:
* **Die Notwendigkeit geprüft haben:** Gibt es wirklich keine sicherere Alternative (siehe Abschnitt 7)?
* **Einen klar definierten Zeitraum haben:** Deaktivieren Sie MFA nur für die absolut notwendige Dauer.
* **Einen Wiederherstellungsplan haben:** Wissen Sie genau, wie Sie MFA wieder aktivieren können und welche alternativen Konten Sie im Notfall nutzen können.
* **Alle Änderungen dokumentieren:** Halten Sie fest, wann, warum und für wen MFA deaktiviert wurde.
* **Ein zweites Administratorkonto verfügbar haben:** Arbeiten Sie niemals am einzigen Admin-Konto in Ihrer Umgebung, das Sie gerade möglicherweise aussperren könnten. Nutzen Sie ein zweites, voll funktionsfähiges Admin-Konto für die Durchführung der Änderungen.
5. Schritt-für-Schritt-Anleitung: So deaktivieren Sie MFA für einen M365 Admin
Im Folgenden finden Sie die Methoden, um MFA zu deaktivieren. Sie müssen möglicherweise eine oder mehrere dieser Methoden anwenden, je nachdem, wie MFA in Ihrem Mandanten konfiguriert ist.
5.1 Methode 1: Deaktivierung der Pro-Benutzer-MFA (Legacy-Einstellungen)
Dies ist der grundlegendste Weg und oft der erste Schritt, wenn Sie MFA für einen bestimmten Benutzer deaktivieren möchten.
1. **Melden Sie sich an:** Öffnen Sie Ihren Webbrowser und melden Sie sich als globaler Administrator im **Microsoft 365 Admin Center** an (admin.microsoft.com).
2. **Navigieren Sie zu aktiven Benutzern:** Klicken Sie im linken Navigationsmenü auf „Benutzer” und dann auf „Aktive Benutzer”.
3. **MFA-Setup öffnen:** Klicken Sie im Bereich „Aktive Benutzer” auf die Schaltfläche „Multi-Faktor-Authentifizierung”, die sich normalerweise oben rechts in der Liste der Benutzer befindet. Dies öffnet eine neue Registerkarte oder ein neues Fenster mit der Seite für die Multi-Faktor-Authentifizierung.
4. **Benutzer auswählen:** Suchen Sie in der Liste der Benutzer den Administrator-Account, für den Sie MFA deaktivieren möchten. Sie können die Suchfunktion verwenden, wenn Sie viele Benutzer haben.
5. **MFA-Status ändern:** Wählen Sie den gewünschten Benutzer aus (durch Anklicken des Kontrollkästchens neben dem Namen). Im rechten Bereich oder in einer Aktionsleiste, die nun sichtbar wird, sollten Sie Optionen wie „Deaktivieren”, „Aktivieren” oder „Benutzer blockieren” sehen.
6. **Deaktivieren Sie MFA:** Klicken Sie auf „Deaktivieren”. Bestätigen Sie die Aktion, wenn Sie dazu aufgefordert werden.
**Wichtig:** Diese Methode deaktiviert nur die „Pro-Benutzer-MFA”-Einstellung. Wenn Sicherheitsstandards (Security Defaults) oder Richtlinien für bedingten Zugriff (Conditional Access) aktiv sind, müssen Sie diese ebenfalls anpassen.
5.2 Methode 2: Deaktivierung von Sicherheitsstandards (Security Defaults)
Wenn Security Defaults in Ihrem Mandanten aktiviert sind, erzwingen sie MFA für alle Administratoren und müssen deaktiviert werden, um MFA für einen Admin zu umgehen. Beachten Sie, dass die Deaktivierung von Security Defaults sich auf *alle* Benutzer in Ihrem Mandanten auswirkt und die allgemeine Sicherheit erheblich mindert!
1. **Melden Sie sich an:** Öffnen Sie Ihren Webbrowser und melden Sie sich als globaler Administrator im **Microsoft Entra Admin Center** (entra.microsoft.com) an.
2. **Navigieren Sie zu den Eigenschaften:** Klicken Sie im linken Navigationsmenü auf „Identität” (Identity) und dann auf „Eigenschaften” (Properties).
3. **Sicherheitsstandards verwalten:** Scrollen Sie auf der Seite „Eigenschaften” nach unten, bis Sie den Abschnitt „Sicherheitsstandards verwalten” oder „Sicherheitsstandards aktivieren” finden.
4. **Deaktivieren Sie Sicherheitsstandards:** Klicken Sie auf „Sicherheitsstandards verwalten” (oder den entsprechenden Link). Im sich öffnenden Fenster oder Bereich setzen Sie den Schalter „Sicherheitsstandards aktivieren” auf „Nein”.
5. **Begründung angeben:** Microsoft verlangt möglicherweise, dass Sie einen Grund für die Deaktivierung angeben. Wählen Sie eine passende Option oder geben Sie einen kurzen Kommentar ein.
6. **Speichern Sie die Änderungen:** Klicken Sie auf „Speichern” oder „Speichern”.
**Achtung:** Nach der Deaktivierung der Sicherheitsstandards sollten Sie dringend Conditional Access Policies konfigurieren, um ein angemessenes Sicherheitsniveau wiederherzustellen.
5.3 Methode 3: Anpassen von Richtlinien für bedingten Zugriff (Conditional Access Policies)
Bedingter Zugriff (Conditional Access) ist die leistungsstärkste Methode zur Durchsetzung von MFA. Wenn Sie Richtlinien für bedingten Zugriff haben, die MFA erzwingen, müssen Sie diese anpassen, um MFA für einen bestimmten Administrator zu deaktivieren.
1. **Melden Sie sich an:** Öffnen Sie Ihren Webbrowser und melden Sie sich als globaler Administrator im **Microsoft Entra Admin Center** (entra.microsoft.com) an.
2. **Navigieren Sie zu bedingtem Zugriff:** Klicken Sie im linken Navigationsmenü auf „Schutz” (Protection) und dann auf „Bedingter Zugriff” (Conditional Access).
3. **Richtlinien überprüfen:** Überprüfen Sie alle aktiven Richtlinien, die „Multi-Faktor-Authentifizierung erforderlich” (Require multi-factor authentication) als Zugriffskontrolle unter „Gewähren” (Grant) festgelegt haben.
4. **Optionen zur Anpassung:** Sie haben mehrere Möglichkeiten:
* **Richtlinie vorübergehend deaktivieren (nicht empfohlen für globale Admin-MFA):** Wählen Sie die betroffene Richtlinie aus und setzen Sie deren Status auf „Aus”. Dies deaktiviert die Richtlinie für *alle* betroffenen Benutzer.
* **Benutzer aus der Richtlinie ausschließen:** Dies ist die präziseste Methode. Wählen Sie die Richtlinie aus, die Sie anpassen möchten. Unter „Benutzer oder Workload-Identitäten” (Users or workload identities) fügen Sie den spezifischen Administrator-Account als „Ausschluss” (Exclude) hinzu. Speichern Sie die Änderungen.
* **Bedingungen anpassen (z.B. vertrauenswürdige Orte):** Eine sicherere Alternative wäre, die Richtlinie so anzupassen, dass MFA nur unter bestimmten Bedingungen (z.B. Zugriff von außerhalb eines bestimmten IP-Bereichs) erforderlich ist. Unter „Bedingungen” (Conditions) können Sie „Standorte” (Locations) konfigurieren, um MFA zu umgehen, wenn der Zugriff von einem „vertrauenswürdigen Standort” erfolgt.
**Hinweis:** Die Arbeit mit Conditional Access erfordert ein tiefes Verständnis der Auswirkungen jeder Änderung. Eine Fehlkonfiguration kann dazu führen, dass Benutzer ausgesperrt werden oder Sicherheitslücken entstehen. Testen Sie Änderungen immer sorgfältig.
6. Nach der Deaktivierung: Sofortmaßnahmen und Wiederherstellung
Sobald Sie MFA erfolgreich deaktiviert haben, ergreifen Sie sofort folgende Maßnahmen:
* **Identifizieren Sie die Ursache:** Lösen Sie das Problem, das die Deaktivierung notwendig gemacht hat (z.B. neues MFA-Gerät einrichten, Fehlkonfiguration beheben).
* **Überwachen Sie das Konto:** Überwachen Sie das betroffene Administratorkonto besonders genau auf ungewöhnliche Anmeldeversuche oder Aktivitäten.
* **MFA so schnell wie möglich wieder aktivieren:** Reaktivieren Sie MFA für das Administratorkonto, sobald die Notwendigkeit zur Deaktivierung entfallen ist. Gehen Sie die Schritte in diesem Leitfaden im Grunde rückwärts durch.
* **Audit-Protokolle überprüfen:** Überprüfen Sie regelmäßig die Anmelde- und Audit-Protokolle im Microsoft Entra Admin Center auf verdächtige Aktivitäten.
7. Sicherere Alternativen zum Deaktivieren von MFA
In den meisten Fällen gibt es sicherere Wege, die Notwendigkeit zu umgehen, MFA für einen Admin zu deaktivieren. Diese sollten immer bevorzugt werden:
7.1 Notfallzugriffskonten (Break-Glass Accounts)
Dies sind hochprivilegierte Cloud-only-Konten, die speziell für den Einsatz in Notfallsituationen ohne MFA (oder mit einer sehr robusten, physisch gesicherten MFA-Methode) konzipiert sind.
* **Zweck:** Nur für den Fall, dass alle anderen Administratoren ausgesperrt sind oder MFA-Systeme ausfallen.
* **Konfiguration:** Zwei bis drei solcher Konten einrichten, mit sehr komplexen, eindeutigen Passwörtern, die physisch gesichert (z.B. in einem Tresor) aufbewahrt werden.
* **MFA:** Idealweise sollten diese Konten entweder über kein MFA verfügen (was das Risiko erhöht) oder über eine extrem robuste MFA-Methode wie FIDO2-Sicherheitsschlüssel, die in einem physisch sicheren Behälter aufbewahrt werden.
* **Überwachung:** Jede Anmeldung mit einem Break-Glass-Konto muss sofort einen Alarm auslösen und strengstens überwacht werden.
7.2 Temporäre Zugriffspässe (Temporary Access Pass – TAP)
Ein TAP ist eine von Microsoft Entra ID generierte, zeitlich begrenzte Passcode, der für die Anmeldung ohne herkömmliches MFA-Gerät verwendet werden kann. Dies ist ideal, wenn ein Benutzer sein MFA-Gerät verloren hat oder sich neu registrieren muss.
* **Vorteile:** Ermöglicht den temporären Zugriff ohne das Risiko, MFA dauerhaft zu deaktivieren.
* **Anwendung:** Ein anderer Administrator kann einen TAP für den betroffenen Admin generieren. Der TAP kann einmalig oder für einen kurzen Zeitraum gültig sein.
* **Konfiguration:** Kann über das Microsoft Entra Admin Center unter „Sicherheit” > „Authentifizierungsmethoden” > „Richtlinien” > „Temporärer Zugriffspass” eingerichtet werden.
7.3 Bedingter Zugriff für Ausnahmen
Anstatt MFA vollständig zu deaktivieren, können Sie Conditional Access Policies so konfigurieren, dass sie Ausnahmen zulassen, ohne die allgemeine Sicherheit zu gefährden:
* **Vertrauenswürdige IP-Adressen:** Erstellen Sie eine Richtlinie, die MFA nur für den Zugriff von innerhalb Ihres Unternehmensnetzwerks (vertrauenswürdige IPs) umgeht. Dies setzt voraus, dass Ihr Netzwerk sicher ist.
* **Trusted Devices:** Ermöglichen Sie den Zugriff ohne MFA von Geräten, die als konform und vertrauenswürdig eingestuft wurden (z.B. über Microsoft Intune verwaltet).
* **PIM und JIT-Zugriff:** Für hochprivilegierte Admin-Rollen können Sie Privileged Identity Management (PIM) nutzen. PIM ermöglicht „Just-in-Time” (JIT) und „Just-enough-Access” (JEA) für Admin-Rollen, d.h., Admins erhalten privilegierte Berechtigungen nur bei Bedarf und für eine begrenzte Zeit, und dies in Kombination mit MFA.
8. Fazit: Sicherheit geht vor
Die Deaktivierung von MFA für einen M365 Admin-Account ist ein schwerwiegender Eingriff in die Sicherheit Ihrer Organisation und sollte mit größter Sorgfalt und als absolute Notlösung betrachtet werden. Die potenziellen Konsequenzen, von Datenverlust bis hin zu Reputationsschäden, sind immens.
Wir haben Ihnen die notwendigen Schritte aufgezeigt, wie Sie MFA über verschiedene Wege deaktivieren können – sei es über die Pro-Benutzer-MFA, Sicherheitsstandards oder bedingten Zugriff. Gleichzeitig haben wir unmissverständlich die damit verbundenen Risiken dargelegt und Ihnen **sicherere Alternativen** wie Notfallzugriffskonten, temporäre Zugriffspässe und intelligente Conditional Access Policies vorgestellt.
Ihre oberste Priorität sollte immer die Wiederherstellung eines robusten Sicherheitsniveaus sein, indem Sie MFA schnellstmöglich wieder aktivieren oder eine der sichereren Alternativen implementieren. Ein gut durchdachtes Sicherheitskonzept, das MFA als zentralen Pfeiler nutzt, ist unerlässlich, um Ihre Microsoft 365-Umgebung und Ihre Daten wirksam vor den ständig wachsenden Bedrohungen der Cyberwelt zu schützen.