Microsoft Entra: Anstehende Änderungen der Standardwerte der federatedTokenValidationPolicy

Veröffentlicht am

07

.

05

.

2026

Aktualisiert am

.

.

Lesezeit

3 Minuten

Die Inhalte auf dieser Seite wurden maschinell übersetzt.

< Zurück zum Message Center Archiv
Microsoft Entra wird ab Mitte August 2026 standardmäßig eine strengere federatedTokenValidationPolicy durchsetzen, die föderierte Anmeldungen blockiert, wenn internalDomainFederation nicht mit der UPN-Domäne des Benutzers übereinstimmt. Dies betrifft Mandanten mit vor Dezember 2025 konfigurierten föderierten Domänen und zielt darauf ab, die Sicherheit gegen Risiken bei domänenübergreifenden Anmeldungen zu erhöhen.

[Einführung]

Um die Sicherheit der föderierten Authentifizierung zu erhöhen, wird Microsoft Entra das Standardverhalten der federatedTokenValidationPolicy aktualisieren. Diese Richtlinie regelt, wie Microsoft Entra föderierte Authentifizierungstoken validiert und bestimmt, ob Anmeldungen erlaubt sind, wenn die internalDomainFederation nicht mit der UPN-Domäne des Benutzers übereinstimmt. Bisher war die Durchsetzung dieses Verhaltens eine explizite Mandantenkonfiguration erforderlich, künftig wird dies standardmäßig angewendet, um das Risiko unbeabsichtigter domänenübergreifender Anmeldungen durch falsch konfigurierte oder zu nachsichtige Föderationsvertrauensstellungen zu verringern.

[Zeitpunkt der Umsetzung]

Allgemeine Verfügbarkeit (weltweit, GCC, GCCH und DoD): Der Rollout beginnt Mitte August 2026 und wird voraussichtlich bis Mitte August 2026 abgeschlossen sein.

[Auswirkungen auf Ihre Organisation]

Betroffene

  • Microsoft 365-Mandanten, die föderierte Authentifizierung in Microsoft Entra verwenden
  • Administratoren, die föderierte Domänen verwalten, die vor Dezember 2025 konfiguriert wurden
  • Gilt nur für föderierte Domänen, die ein internalDomainFederation-Objekt besitzen

Was wird passieren

  • Standardmäßig werden föderierte Anmeldungen blockiert, wenn die internalDomainFederation nicht mit der UPN-Domäne des Benutzers übereinstimmt.
  • Das internalDomainFederation-Objekt wird typischerweise automatisch bei der Föderationseinrichtung mit Active Directory Federation Services (AD FS) oder anderen Identitätsanbietern (IdPs) erstellt.
  • Dieses strengere Standardverhalten der federatedTokenValidationPolicy wird bereits für seit Dezember 2025 hinzugefügte föderierte Domänen durchgesetzt.
  • Nach dieser Änderung gilt dasselbe Verhalten für alle bestehenden föderierten Domänen mit einem internalDomainFederation-Objekt.
  • Betroffene Anmeldungen schlagen mit folgender Fehlermeldung fehl:

AADSTS5000820: Sign-in blocked by Federated Token Validation policy. Contact your administrator for details.

  • Es gibt keine Änderung für das Benutzererlebnis, sofern aktuell keine domänenübergreifenden föderierten Anmeldungen stattfinden.

[Empfohlene Vorbereitung]

  • Die meisten Organisationen müssen keine Maßnahmen ergreifen.
  • Domänenübergreifende föderierte Anmeldungen werden im Rahmen dieser Sicherheitsverbesserung automatisch blockiert.
  • Organisationen, die auf domänenübergreifende föderierte Anmeldungen angewiesen sind, sollten ihre bestehenden Föderationskonfigurationen vor dem Rollout überprüfen.
  • (Stark nicht empfohlen) Wenn für die Geschäftskontinuität erforderlich, können Sicherheitsadministratoren, Hybrid Identity Administratoren oder Administratoren externer Identitätsanbieter Microsoft Graph verwenden, um eine benutzerdefinierte federatedTokenValidationPolicy mit rootDomains = none zu erstellen, um domänenübergreifende Anmeldungen zu erlauben.
  • Informieren Sie Identitäts- und Helpdesk-Teams über diese Änderung, um Support-Eskalationen zu minimieren.

Weiterführende Informationen:

[Compliance-Überlegungen]

Frage: Beinhaltet die Änderung eine Administrationssteuerung und kann diese über eine Microsoft Entra ID-Gruppenmitgliedschaft gesteuert werden?

Antwort: Ja. Administratoren können eine benutzerdefinierte federatedTokenValidationPolicy mittels Microsoft Graph konfigurieren, um das Standardverhalten zu überschreiben, was jedoch aufgrund der Sicherheitsrisiken stark nicht empfohlen wird.

Frage: Verändert, unterbricht oder deaktiviert die Änderung Purview-Funktionalitäten wie Data Loss Prevention, Information Protection, Conditional Access, Audit-Logging, eDiscovery, Verschlüsselung oder Aufbewahrungsrichtlinien?

Antwort: Ja. Diese Änderung betrifft das Verhalten der Authentifizierungsdurchsetzung in Microsoft Entra, was indirekt beeinflussen kann, wie Conditional Access-Richtlinien föderierte Anmeldungen bewerten.

Wir sind für Sie da

Haben Sie Fragen oder benötigen Sie Unterstützung? Wir helfen gerne weiter.

Kontakt

Zum originalen Post im Message Center >

© itelio GmbH