Technik

Microsoft Entra stellt SMS und Voice um: Was IT-Teams bis Februar 2027 klären müssen

Microsoft beendet in Entra ID die eigene SMS- und Voice-Zustellung. IT-Teams müssen bis Februar 2027 Passkeys, Richtlinien, Pilot und Wiederherstellung sauber vorbereiten.

Von Wolfgang

17. Juli 20267 Min. Lesezeit

Microsoft Entra stellt SMS und Voice um: Was IT-Teams bis Februar 2027 klären müssen

Microsoft beendet in Entra ID die eigene SMS- und Voice-Zustellung. IT-Teams müssen bis Februar 2027 Passkeys, Richtlinien, Pilot und Wiederherstellung sauber vorbereiten.

In vielen Entra-Tenants gilt SMS als zweiter Faktor noch als Selbstverständlichkeit. Oft ist aber nicht sauber dokumentiert, welche Konten daran hängen. Vor Februar 2027 wird genau das zum Betriebsrisiko: Microsoft beendet in Entra ID die selbst bereitgestellte Telekom-Zustellung für SMS und Sprachanrufe. Wer nur diesen Weg nutzen kann, braucht einen erprobten Passkey-Pfad.

Das Wichtigste in 30 Sekunden

  • Ab 1. September 2026 startet Microsoft in Entra ID eine Passkey-Standarderfahrung für SMS- oder Voice-aktivierte Nutzende.
  • Dieser Termin bringt Auto-Enable und einen Registrierungs-Nudge, aber keine sofortige Sperre und keinen garantierten Gleichlauf aller Tenants.
  • Zum 1. Februar 2027 beendet Microsoft die eigene Telekom-Zustellung für SMS und Voice in Entra ID.
  • Hat ein Konto dann nur noch SMS oder Voice als MFA-Methode, verlangt Entra beim Anmelden die Passkey-Registrierung.
  • Für IT-Teams ergibt sich eine klare Reihenfolge: Bestand erfassen, Richtlinien prüfen, Pilot testen, Support vorbereiten und den Restbestand abnehmen.

Zwei Termine mit unterschiedlichen Folgen

Der Plan ist leicht misszuverstehen, weil Microsoft zwei Stufen verknüpft. Ab dem 1. September 2026 aktiviert Entra ID Passkeys in der Authentication Methods Policy für Nutzende, die bisher für SMS oder Voice vorgesehen sind. Bei einer späteren MFA-Anmeldung kann Entra zur Registrierung auffordern. Dieser Nudge soll die Umstellung anstoßen; er schaltet die bisherige Methode nicht ab.

Der verbindliche Einschnitt folgt am 1. Februar 2027. Ab dann beendet Microsoft die von Microsoft bereitgestellte Telekom-Zustellung für SMS und Voice in Entra ID. Für Konten, denen ausschließlich SMS oder Voice als MFA-Methode bleibt, beschreibt Microsoft beim Sign-in ein blockierendes Verhalten: Zuerst muss ein Passkey registriert werden. Einen Opt-out führt die Dokumentation dafür nicht auf.

Zeitpunkt Was in Entra ID passiert Was Teams daraus ableiten sollten
Jetzt SMS-/Voice-Nutzung und Richtlinienstand sind häufig nur unvollständig sichtbar. Betroffene Gruppen, Methoden und Verantwortlichkeiten erfassen.
Ab 1. September 2026 Passkeys werden für SMS-/Voice-aktivierte Nutzende auto-enabled; bei MFA kann ein Registrierungs-Nudge erscheinen. Pilot, Kommunikation und Support nicht auf einen einzigen Stichtag zuspitzen.
Ab 1. Februar 2027 Microsoft-provided telecom delivery für SMS und Voice endet in Entra ID. Nachweisen, dass kein Konto allein auf diesen Methoden angewiesen ist.

Was Microsoft damit nicht abschaltet

Die Änderung betrifft Microsoft Entra ID und Microsofts eigene Telekom-Zustellung. Sie sagt nichts über private Microsoft-Konten, jede SMS-Anmeldung im Unternehmen oder andere externe Dienste aus. Auch der September-Start bedeutet nicht, dass jede Organisation am selben Tag denselben Dialog bekommt. Microsoft nennt einen Rolloutbeginn, keinen gemeinsamen Termin für alle Tenants.

Diese Trennung verhindert zwei typische Fehler: eine hektische Komplettumstellung ohne Test und das Verschieben der Arbeit bis kurz vor Februar 2027. Passkeys sind hier kein Heilsversprechen. Die Aufgabe besteht darin, einen bisher stillen Abhängigkeitsweg im Identitätsbetrieb sichtbar zu machen und geordnet zu ersetzen.

Zwei IT-Fachleute ordnen unbeschriftete Planungskarten neben einem Sicherheitsschlüssel auf einem Tisch
Die beiden angekündigten Termine verlangen Vorbereitung in Etappen: erst Überblick schaffen, dann den eigenen Passkey-Pfad testen.

Die Inventur kommt zuerst

Bevor Teams Schulungen planen, müssen sie den Bestand kennen. Microsoft empfiehlt, SMS- und Voice-Nutzende zu identifizieren; für den beschriebenen Inventurweg nennt die Dokumentation Global Reader, Authentication Policy Administrator oder Security Reader. Diese Rollen helfen bei der Auswertung, sind aber keine allgemeine Berechtigungszusage für jede spätere Änderung im Tenant.

Praktisch hilft eine Liste mit vier Spalten: betroffene Gruppe, verfügbare MFA-Methoden, verantwortliches Team und geplanter Alternativpfad. So werden Sonderfälle sichtbar, etwa externe Mitarbeitende, geteilte Funktionskonten, Schulungsgeräte oder kleine Außenstellen. Solche Gruppen sind nicht automatisch kritisch. Kritisch wird es, wenn niemand ihre Anmeldung vor dem Stichtag einmal unter realen Bedingungen getestet hat.

Welcher Passkey-Pfad passt wohin?

Passkey ist kein einzelnes Produkt. Microsoft unterscheidet synchronisierte Passkeys, gerätegebundene Varianten und FIDO2-Hardware-Schlüssel. Die Entscheidung betrifft deshalb nicht nur Komfort, sondern auch die Geräte, Richtlinien und Anmeldeorte, die im jeweiligen Tenant tatsächlich vorkommen.

Pfad Typischer Nutzen Vor der Freigabe prüfen
Synchronisierter Passkey Kann über einen Credential Manager wie iCloud Keychain oder Google Password Manager auf Geräte einer Person synchronisiert werden. Richtlinie, Zielgruppe und den dokumentierten Registrierungsweg in Entra.
Authenticator- bzw. gerätegebundener Passkey Orientiert sich stärker am vorgesehenen Gerätepfad. Aktivierte Passkey-(FIDO2)-Richtlinie; für den beschriebenen Authenticator-Pfad nennt Microsoft Android 14+ oder iOS 17+.
FIDO2-Hardware-Schlüssel Kann für Gruppen mit einem klar geregelten physischen Schlüsselprozess passen. Richtlinien, Ausgabe, Ersatzprozess und die reale Anmeldung im eigenen Tenant.

Bluetooth, Internetzugang und freigegebene Plattform-Endpunkte erwähnt Microsoft für die Cross-Device-Registrierung und -Anmeldung. Daraus folgt keine Mindestanforderung für jeden Passkey-Pfad. Ebenso wenig ist die Migration älterer MFA- und SSPR-Einstellungen in die Authentication Methods Policy die Passkey-Migration selbst: Microsoft beschreibt einen einheitlicheren Verwaltungsweg, nicht die Übernahme individueller Nutzer-Einstellungen.

Pilot und Support statt Big Bang

Ein Pilot klärt Fragen, die keine Richtlinienseite beantworten kann. Eine kleine, bewusst gemischte Gruppe sollte die vorgesehene Methode registrieren und anschließend eine reale Anmeldung durchführen. Dabei lassen sich Kommunikation, Helpdesk-Ablauf und die Nutzerperspektive gemeinsam prüfen. Wer den Pilot nur als technischen Schalter behandelt, übersieht oft fehlende Geräte, falsch zugeordnete Gruppen oder unverständliche Registrierungsinformationen.

Priorisierte Migrationscheckliste

  1. Inventur: SMS-/Voice-Nutzende und ihre verfügbaren Methoden erfassen.
  2. Richtlinie: Passkey-(FIDO2)-Policy und Zielgruppen gegen den geplanten Pfad prüfen.
  3. Pilot: Mit einer kleinen Gruppe registrieren und anmelden.
  4. Kommunikation: Zeitpunkt, erwarteten Nudge und Supportweg verständlich erklären.
  5. Recovery-Test: Mindestens zwei eigene Notfall- oder Wiederherstellungswege ausprobieren.
  6. Abnahme: Vor Februar dokumentieren, dass niemand ausschließlich auf Microsofts SMS oder Voice angewiesen ist.

Wiederherstellung als Betriebstest

Die erste erfolgreiche Registrierung ist selten der schwierige Moment. Schwieriger wird es, wenn ein Gerät ersetzt wird, ein Schlüssel fehlt oder eine Person kurzfristig keinen Zugriff auf den üblichen Weg hat. Organisationen sollten deshalb mindestens zwei Wiederherstellungs- oder Notfallwege im eigenen Tenant testen. Welche Wege geeignet sind, hängt von den eingerichteten Richtlinien und Abläufen ab; die Quellen geben keine allgemeine Recovery-Garantie her.

Für Schulen, Vereine, Kommunen und kleinere Unternehmen ist das besonders relevant, weil Identitätsbetrieb dort oft nebenbei organisiert wird. Ein dokumentierter Test mit klarer Zuständigkeit ist verlässlicher als eine Annahme über das Verhalten eines einzelnen Geräts. Das gilt auch dann, wenn die neue Methode im Alltag zunächst problemlos funktioniert.

Unmarkierter Hardware-Sicherheitsschlüssel, ausgeschaltetes Smartphone und Aufbewahrungsbehälter auf einem Arbeitstisch
Nicht nur die Registrierung, auch Wiederherstellung und Ersatzwege sollten im eigenen Tenant praktisch geprüft werden.

Wenn SMS oder Voice weiter gebraucht wird

Microsoft verweist für Organisationen, die SMS oder Voice weiter nutzen müssen, auf kundenverwaltete Telekom-Provider im Security Store. Das ist eine eigene Prüfspur, kein fertiger Ersatzplan. Aus den vorliegenden Quellen lassen sich Verfügbarkeit, Kosten, Verträge, Regionen und Compliance nicht pauschal ableiten. Wer diesen Weg erwägt, sollte ihn daher als separate Anbieter- und Betriebsentscheidung behandeln.

Auch Fragen zu Datenschutz, Beschaffung, Betriebsrat oder branchenspezifischen Regeln brauchen eine eigene Bewertung. Der Microsoft-Termin beantwortet sie nicht. Er macht nur deutlich, dass die Abhängigkeit von Microsoft-provided telecom delivery nicht unverändert fortgeführt werden kann.

Die Abnahme vor Februar 2027

Vor dem Stichtag braucht es einen überprüfbaren Abschluss: Welche Gruppen wurden umgestellt? Welche Methoden stehen ihnen zur Verfügung? Welche Pilotfälle sind dokumentiert? Und gibt es noch Konten, die ausschließlich auf SMS oder Voice gesetzt sind? Diese Fragen gehören in eine kurze Abnahme, nicht nur in eine Projektfolie.

Microsofts Umstellung ist damit vor allem ein Identitäts- und Betriebsprojekt. Der Wechsel zu Passkeys ist wichtig, doch er erledigt die organisatorische Arbeit nicht von allein. Wer Bestand, Richtlinien, Pilot und Wiederherstellung früh zusammenbringt, nimmt deutlich Druck aus dem Februar 2027.

Quellen und weiterführende Informationen

Hinweis: Für diesen Artikel wurden KI-gestützte Recherche- und Editierwerkzeuge verwendet. Der Inhalt wurde redaktionell geprüft. Stand: 2026-07-17