DRINGEND: Globaler Administrator-Aussperrung (Lockout) durch Conditional Access Policy – Ticket: 2602260050003239
Sehr geehrte Damen und Herren vom Data Protection Team,
hiermit eskaliere ich das bestehende Ticket 2602260050003239, da in unserem Tenant ein vollständiger Administrations-Lockout vorliegt.
Problembeschreibung: Im Rahmen einer Sicherheitsoptimierung wurde eine Conditional Access Policy (CAP) aktiviert, die für alle Administratoren eine „Phishing-resistente MFA“ (FIDO2 / Windows Hello for Business) erzwingt. Da unsere Administratoren derzeit den Microsoft Authenticator (Push/OTP) nutzen, welcher nicht als phishing-resistent eingestuft wird, ist ein interaktiver Login in das Admin-Portal oder per PowerShell nicht mehr möglich.
Aktueller Status:
Interaktiver Zugriff: Blockiert (Error: Access Denied / Requirement not met).
Programmatischer Zugriff: Eine bestehende App-Registrierung verfügt über keine ausreichenden Berechtigungen (Policy.ReadWrite.ConditionalAccess), um die Richtlinie per Microsoft Graph zu deaktivieren (Status 403).
Break-Glass-Accounts: Der ursprüngliche Initial-Administrator ist deaktiviert oder ebenfalls durch die Policy betroffen.
Hotline-Problem: Die telefonische Unterstützung verweist auf das Portal, zu dem wir keinen administrativen Zugang mehr haben.
Dringlichkeit: Da wir keinerlei administrative Änderungen (Benutzerverwaltung, Lizenzierung, Sicherheitseinstellungen) mehr vornehmen können, ist der Geschäftsbetrieb massiv beeinträchtigt. Bitte stufen Sie dieses Ticket auf Severity A (Kritisch) hoch.
Wir bitten um die manuelle Deaktivierung der betroffenen Conditional Access Policy oder die Aufnahme eines spezifischen administrativen Benutzers in die Exclude-Liste durch Ihr Backend-Team.
Ich stehe für eine Identitätsprüfung (DNS-Validierung, telefonische Verifizierung) jederzeit bereit.
Mir ist bekannt das es sich dabei um einen Fehler meiner Person handelt und ich mich für die Unannehmlichkeiten entschuldigen möchte. Ich hätte es vorher testen sollen.
Kontaktdaten für Rückruf:
Telefonnummer und Domain erhalten sie über die Ticket Nummer.
Mit freundlichen Grüßen
Christian Deck......
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(172.8, 64%, 26%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3ECD%3C/text%3E%3C/svg%3E)
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(233.6, 85%, 32%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EVS%3C/text%3E%3C/svg%3E)