Letztes Wochenende (19. – 20. April 2025) wurden in Microsoft 365 Tenants viele Benutzer fälschlicherweise mit einem hohen Risiko versehen. Der Grund: Microsoft hat eine neue Version der automatischen Risikoerkennung ausgerollt, die zu Fehlalarmen geführt hat.
Aktuell (Stand: 22. April 2025) war das nur eine einmalige Sache, die sich nicht wiederholt hat.
Was ist das Microsoft 365 Benutzerrisiko?
Microsoft untersucht ständig, ob Benutzeraccounts einem Risiko ausgesetzt sind. Zu diesen Risiken gehören auch sogenannte „Leaked Credentials“, also abgeflossene Anmeldedaten. Findet Microsoft Passwort-Hashes in der Öffentlichkeit, werden diese mit den Hashes der Microsoft Entra ID Benutzer verglichen. Kommt es zu Treffern, sind die Anmeldedaten öffentlich geworden, die betroffenen Benutzeraccounts werden mit einem „High Risk“ gekennzeichnet.
Neben den „User Risks“ gibt es noch „Sign-in Risks“. Letztere beziehen sich nicht auf die Benutzeraccounts, sondern auf Anmeldevorgänge. Sign-in Risks waren vom Vorfall am Wochenende nicht betroffen.
Sowohl User Risks, als auch Sign-in Risks sind Microsoft Entra ID Premium Plan 1 Features.
Was für Folgen kann die Risikoeinstufung haben?
Unter Umständen können sich Benutzer, deren Account mit einem Risiko versehen sind, bei einzelnen oder allen Microsoft 365 Diensten nicht mehr anmelden. Es kann auch zu Problemen mit anderen Applikationen kommen, wenn diese über Entra ID authentifizieren.
Die Steuerung der Anmeldung erfolgt mit „Conditional Access Policies“, mit denen Anmeldungen ab einer wählbaren Risikostufe geblockt werden können. An sich ist das ein sehr sinnvolles Sicherheitsfeature, da es ohne manuellen Eingriff kompromittierte Benutzeraccounts aussperrt und somit Sicherheitsvorfälle vermeidet.
Wie stelle ich fest, ob Benutzer von der Risikoeinstufung betroffen sind?
Im Entra ID Adminportal unter Identity – Protection – Risky activities kann man eine Liste der mit Risiken versehen Benutzern einsehen. Sollten die Risiken vom letzten Wochenende sein und der Grund „Leaked Credentials“, kann man davon ausgehen, dass es sich wahrscheinlich um einen Fehlalarm handelt.
Benutzer können sich nicht anmelden, wie lässt sich das lösen?
Zuerst ist zu prüfen, ob es an einem Risikostatus liegt. Das lässt sich, wie angegeben, über das Entra ID Adminportal überprüfen. Darüber kann auch der Risikostatus zurückgesetzt werden, eine Anmeldung sollte dann nach wenigen Minuten wieder möglich sein.
Eine Deaktivierung der entsprechenden Conditional Access Policies ist nicht zu empfehlen, da dadurch der gesamte Schutz abgeschaltet wird und sich so eventuelle echte Risikobenutzer anmelden können.
Wie können Probleme, wie Leaked Credentials, proaktiv erkannt werden?
Wir empfehlen ein Monitoring und Alerting für User Risks und Sign-in Risks einzurichten, damit Außergewöhnliches sofort auffällt.
Artikel, die Sie ebenfalls interessieren könnten:
