Warum sich eine unabhängige MFA-Ebene in Microsoft-Umgebungen lohnt
In den letzten Jahren hat sich ein stiller Wandel vollzogen, mit dem zahlreiche Managed Service Provider (MSP) jetzt umgehen müssen: Denn viele Kunden sind zu Microsoft 365 gewechselt, haben Entra ID als Identitätsanbieter eingeführt und damit angefangen, Microsoft Authenticator für die Multifaktor-Authentifizierung (MFA) zu nutzen. Diese Lösung war naheliegend – einfach, im Lizenzumfang enthalten und funktional.
Doch damit ging gleichzeitig eine implizite strategische Entscheidung einher: Sowohl Identitätsverwaltung, Verzeichnisdienst, Speicherung der Anmeldedaten und MFA fielen in die Hände von Microsoft. Nicht, weil sich nach Abwägung unterschiedlichster Optionen bewusst für eine architektonische Marschroute entschieden wurde, sondern weil es der Weg des geringsten Widerstands war.
Für MSP ergibt sich daraus ein Problem, das über rein technische Aspekte hinausgeht. Wenn die gesamte Identitätsinfrastruktur der Kunden bei einem einzigen Anbieter liegt, hat der Dienstleister keine Kontrolle über den Authentifizierungsprozess, das Set-up der Richtlinien und Wiederherstellungsprozesse. Sobald sich auf Anbieterseite etwas verändert, Preise erhöht werden oder ein Ausfall stattfindet, wirkt sich das direkt auf Kunden aus, ohne dass sich dem etwas entgegensetzen lässt.
Identität gehört zur Infrastruktur und sollte auch so behandelt werden
Kein Unternehmen würde bei Daten auf Backups verzichten oder Systeme ohne Notfallkonzept betreiben. Doch die meisten Organisationen haben keinen Notfallplan für ihre Identitäten. Die gesamte Authentifizierungsebene liegt bei einem einzigen Anbieter. Wenn dieser ausfällt oder seine Strategie nicht mehr zu den jeweiligen Anforderungen passt, gibt es keine Ausweichmöglichkeit.
Diese Eingleisigkeit hat erhebliche Auswirkungen: Laut Microsoft verarbeitet Entra ID als eine der größten Identitätsplattformen der Welt täglich Milliarden von Authentifizierungsanfragen. Damit wird ein überaus großes Vertrauen in eine einzige Plattform gesetzt. Für die überwiegende Mehrheit der Unternehmen, insbesondere kleine und mittlere Betriebe (KMU), ist Microsoft nicht nur ein Teil der Identitätsinfrastruktur – Microsoft ist die Identitätsinfrastruktur.
Die native MFA von Microsoft funktioniert stabil und ist im Lizenzumfang enthalten, das ist nicht das Problem. Das Problem ist, dass die Konfiguration bestehender Funktionen kein Managed Service ist, sondern zur laufenden Wartung zählt. Und wenn Kunden MFA grundsätzlich auch ohne MSP nutzen können, muss der Mehrwert an anderer Stelle entstehen: durch bessere Richtlinien, breitere Abdeckung, zusätzliche Methoden und mehr Kontrolle.
Bei einem MSP, der 30 Kunden in Entra ID mit der nativen MFA von Microsoft verwaltet, kann von einer unabhängigen Authentifizierungsebene keine Rede sein.
Wenn sich eine Richtlinie für den bedingten Zugriff unerwartet verhält, führt der MSP die Fehlerbehebung innerhalb der Microsoft-Konsole mit den Tools von Microsoft durch.
Wenn ein Kunde für eine bestimmte Benutzergruppe ein anderes MFA-Verfahren wünscht, sind die Optionen auf das Angebot von Microsoft beschränkt.
Und wenn der MSP einheitliche Authentifizierungsrichtlinien in Microsoft- und Nicht-Microsoft-Umgebungen (VPN, Endgeräte, Anwendungen von Drittanbietern) anwenden möchte, ist das mit dem Identitäts-Stack eines einzigen Anbieters schlichtweg nicht möglich.
Externe MFA setzt genau hier an
Microsoft hat in Entra ID die externe MFA eingeführt, um Drittanbietern von MFA-Lösungen die direkte Integration in die Plattform zu ermöglichen. Das Prinzip ist einfach: Microsoft bleibt der Identitätsanbieter und übernimmt den ersten Faktor. Wenn eine MFA erforderlich ist, leitet Entra ID den Benutzer für den zweiten Faktor an den externen Anbieter weiter. Nach erfolgreicher Verifizierung wird der Zugriff gewährt.
Für MSP verändert das die Ausgangslage: Sie können eine verwaltete MFA-Lösung anbieten, die innerhalb von Microsoft-Umgebungen funktioniert und darüber hinaus auch VPN, Endpunkte und Drittanbieter-Anwendungen abdeckt. Damit entsteht eine eigene Steuerungsebene für die Authentifizierung – mit einer zentrale App für Endnutzer und auf Basis einer Plattform, die über alle Kunden hinweg verwaltet werden kann. Die Identitätsschicht wird zum Bestandteil des eigenen Serviceangebots und bleibt nicht länger ein Baustein, dessen Konfiguration innerhalb eines fremden Systems erfolgt.
Die entscheidende Frage lautet: Ist die angebotene MFA ein Service, für den Kunden bereit wären zu bezahlen? Geht es darum, diese Option aktiv auswählen und gestalten zu können? Wenn ja, verwandelt sich der Umgang mit Identitäten durch eine unabhängige Authentifizierungsebene von einem Betriebskostenfaktor zu einem Service mit echtem Mehrwert.
Die phishing-resistente Ebene, die den meisten KMU fehlt
Eine unabhängige Authentifizierungsebene erweitert das Angebot über die Grenzen eines einzelnen Identitätsanbieters hinaus.
Herkömmliche MFA-Methoden (Push-Benachrichtigungen, Einmalcodes) wehren den Großteil aller Angriffe ab. Allerdings können durch moderne Phishing-Techniken auf Basis von Echtzeit-Proxy-Angriffen sowohl Passwort als auch MFA-Bestätigung inzwischen im Handumdrehen abgefangen werden. Laut dem Verizon 2025 Data Breach Investigations Report waren gestohlene Anmeldedaten in 22 Prozent der untersuchten Sicherheitsvorfälle der häufigste Einstiegspunkt. 88 Prozent der klassischen Webanwendungsangriffe basierten auf kompromittierten Zugangsdaten. Diese Angriffe sind längst Realität und zielen insbesondere auf privilegierte Nutzer ab: Führungskräfte, Finanzabteilungen und alle Personen mit Zugriff auf sensible Daten.
Phishing-resistente Authentifizierungsverfahren wie Passkeys adressieren dieses Risiko direkt. Sie sind an die tatsächliche Domain der Website gebunden, auf der sich der Nutzer anmeldet, sodass eine Authentifizierung nur auf der echten Website ausgelöst werden kann. Die Bestätigung erfolgt anschließend lokal auf dem Gerät, etwa per Fingerabdruck oder Gesichtserkennung. Die Nutzererfahrung bleibt vertraut (wie beim Entsperren eines Smartphones), während der Schutz gegenüber ausgefeilten Phishing-Angriffen deutlich höher ist.
Für MSP stellt sich weniger die Frage, ob sie eine phishing-resistente Authentifizierung anbieten sollen, sondern wo sie damit anfangen sollen. Nicht jeder Benutzer benötigt das gleiche, maximale Schutzniveau. Führungskräfte und Finanzabteilungen? Unbedingt. Die gesamte Belegschaft ab Tag eins? Eher nicht. Die Möglichkeit, Passkeys parallel zur herkömmlichen MFA einzusetzen und risikobasiert zu entscheiden, wo welche Methode greift, macht den Ansatz praxistauglich für reale Umgebungen.
Was das für MSP bedeutet
Für MSP, die Microsoft-Umgebungen betreuen, liegt die Chance auf der Hand: Identität muss nicht innerhalb einer fremden Plattform konfiguriert werden. Sie kann zum Teil des eigenen Serviceangebots werden. Eine externe MFA-Ebene schafft Kontrolle: Phishing-resistente Methoden wie Passkeys bieten dabei Schutz, der über klassische MFA hinausgeht, und die Kombination aus beidem wird zu einem echten Differenzierungsmerkmal für jeden Kunden, der Microsoft 365 nutzt – nicht zuletzt vor dem Hintergrund, dass auch Cyberversicherer zunehmend zwischen einfacher MFA und phishing-resistenten Methoden unterscheiden. Hier hilft eine unabhängige Authentifizierungsebene mit Passkey-Unterstützung dabei, Anforderungen nicht nur zu erfüllen, sondern ihnen voraus zu sein.
Wer früh handelt, kann den Umgang mit Identitäten von einem Betriebskostenfaktor zu einem Umsatztreiber entwickeln. Wer wartet, konkurriert letztlich über den Preis für Leistungen, die Kunden bereits selbst umsetzen können.
Wie AuthPoint externe MFA in Microsoft-Umgebungen integriert
WatchGuard AuthPoint lässt sich als externe MFA-Instanz in Microsoft Entra ID integrieren und ermöglicht es Partnern, eine verwaltete Authentifizierungslösung anzubieten, die Microsoft-Umgebungen abdeckt und sich auf alle anderen Bereiche erstreckt: VPN, Windows- und macOS-Anmeldung, SAML- und OIDC-Anwendungen von Drittanbietern sowie das AuthPoint-SSO-Portal.
AuthPoint unterstützt Push-Benachrichtigungen, zeitbasierte Einmalpasswörter (TOTP), QR-Code-Verifizierung, Hardware-Token-OTP und FIDO2-Passkey-Authentifizierung. Über Zero-Trust-Richtlinien lässt sich via WatchGuard Cloud steuern, welche Methoden für jede Ressource und Benutzergruppe verfügbar sind. Dies ermöglicht MSP eine detaillierte Kontrolle über das Authentifizierungserlebnis ihrer Kunden.
Das Bereitstellungsmodell ist gezielt auf die Bedürfnisse von MSP ausgerichtet. Dank mehrmandantenfähiger Verwaltung in WatchGuard Cloud profitieren diese von einer zentralen Konsole für alle Kundenkonten, die Richtlinienvererbung sowie delegierte Administration unterstützt. Auf Endnutzerseite hat WatchGuard im vergangenen Jahr die Benutzererfahrung (UX) über alle AuthPoint-Berührungspunkte hinweg modernisiert: in Form eines neuen Agenten für Windows, eines neuen Agenten für macOS sowie einer neu gestalteten mobilen App mit Dark Mode, einheitlicher Token-Verwaltung und vereinfachter Aktivierungsphase. Das Ergebnis ist ein einheitliches, modernes Authentifizierungserlebnis mit weniger Reibung im Onboarding und geringerem Supportaufwand.
Die Unterstützung für Passkey und die externe MFA für Entra ID sind ohne zusätzliche Kosten in den Lizenzen für AuthPoint MFA und AuthPoint Total Identity Security enthalten. Partner, die bereits mit AuthPoint arbeiten, können ihren Kunden diese Funktionen einfach anbieten. Im Zuge der Aktivierung sind keine Lizenzänderungen erforderlich.
Weitere Informationen zur Identitätssicherheit und dazu, wie sich der Zugriff gegenüber Bedrohungen – die auf kompromittierten Anmeldedaten basieren – schützen lässt, finden Sie in diesen Beiträgen in unserem Blog: