Microsoft will die Sicherheit von Entra ID erhöhen und plant Änderungen für September. Soll Self-Service Password Reset (SSPR) durch Benutzer verwendet werden, müssen ab dem 7. September 2026 registrierte Authentifizierungsmethoden dazu genutzt werden. Das hat Microsoft am 28. Mai 2026 in einer Mitteilung MC1325414 verlauten lassen.
Was ist SSPR?
Das Kürzel SSPR steht für Self-Service Password Reset (deutsch: Self-Service-Kennwortzurücksetzung). Es handelt sich um eine IT-Funktion, die es Benutzern ermöglicht, ihre eigenen Passwörter zurückzusetzen oder gesperrte Konten zu entsperren, ohne den IT-Support (Helpdesk) kontaktieren zu müssen.
Dazu weist der Benutzer während der Verifizierung seine Identität nach. Diese erfolgt typischerweise durch Sicherheitsfragen, eine SMS, eine E-Mail oder über Authenticator-Apps. Nach erfolgreicher Prüfung kann der Benutzer direkt ein neues Passwort vergeben und sich wieder einloggen.
Das soll in Firmen Wartezeit reduzieren, denn Mitarbeiter können ohne IT-Unterstützung sofort weiterarbeiten. Bei Online-Angeboten ist dies die einzige Möglichkeit, Millionen von Benutzern beim Passwort-Reset zu verwalten.
Microsoft ändert Microsoft Entra ID SSPR
Microsoft will die Sicherheit beim SSPR in Microsoft Entrag ID erhöhen. Im Microsoft 365 Message Center ist dazu die Mitteilung MC1325414 – Microsoft Entra ID SSPR will require registered authentication methods starting September 7, 2026 erschienen.
Die Kurzfassung lautet: Ab dem 7. September 2026 verlangt Microsoft Entra ID SSPR explizit registrierte Authentifizierungsmethoden für die Überprüfung bei der Passwortzurücksetzung. Kontaktdaten aus Verzeichnissen sind ab dem Stichtag nur noch zulässig, wenn sie registriert wurden. Eine Registrierungskampagne beginnt am 6. Juli 2026. Unternehmen müssen sicherstellen, dass Benutzer Methoden registrieren, um Fehler bei der Passwortzurücksetzung zu vermeiden.
Was gilt bisher?
Derzeit ermöglicht SSPR Benutzern noch ihre Identität anhand von Kontaktinformationen zu verifizieren, die in Verzeichnisattributen wie Mobiltelefon, Geschäftstelefon und alternativer E-Mail-Adresse gespeichert sind, selbst wenn diese Werte nie ausdrücklich als Authentifizierungsmethoden registriert wurden. Das birgt das Risiko, dass veraltete Daten zur Authentifizierung verwendet werden.
Was ändert sich?
Um die Identitätssicherheit zu erhöhen, wird SSPR künftig ausdrücklich registrierte Authentifizierungsmethoden für die Verifizierung vorschreiben. Diese Änderung ist Teil der "Secure Future Initiative" von Microsoft, schreibt Redmond, und soll sicherstellen, dass die Verifizierung bei der Passwortzurücksetzung auf vertrauenswürdigen, vom Benutzer validierten Methoden basiert und nicht auf Attributen aus dem Verzeichnis.
Wie sieht der Zeitplan zur Umstellung aus?
Microsoft hat einen ziemlich gerafften Zeitplan zur Umsetzung dieser Änderung aufgesetzt, die Nutzern möglicherweise nur einen Tag Zeit lässt, um zu reagieren. Hier die Daten:
- 6. Juli 2026: Die SSPR-Registrierungskampagne startet. Dann werden Benutzer und Administratoren aufgefordert, die gewünschten bzw. zulässigen Authentifizierungsmethoden zu registrieren.
- 7. September 2026: Bereits einen Tag später beginnt die Durchsetzung der Änderung. Das Self-Service Password Reset (SSPR9 akzeptiert keine aus Verzeichnissen stammenden Kontaktinformationen mehr zur Überprüfung.
Laut Microsoft beginnt die allgemeine Verfügbarkeit (weltweit, GCC, GCC High) in Entra ID Anfang September 2026 bis Mitte September 2026.
Wer ist betroffen, was passiert?
Betroffen sind alle Benutzer (einschließlich Administratoren) von Entra ID-Tenants, in denen SSPR aktiviert ist. Das gilt für die Public Cloud und US-Behörden-Clouds (GCC, GCC High, DoD) sowie alle Plattformen/Dienste. Microsoft nennt folgendes Plattformen und Dienste:
- Microsoft Entra ID
- Self-Service Password Reset (SSPR)
- Web- und Admin-Portal-Oberflächen
Ab der Umsetzung werden dann bei der SSPR-Überprüfung ausdrücklich nur noch die vom Benutzer registrierten Authentifizierungsmethoden akzeptiert. Verzeichnisattribute (wie mobilePhone, businessPhone, otherMails) sind nur noch gültig, wenn sie registriert sind.
Microsoft schreibt, dass etwa 86 % der SSPR-Überprüfungen bereits heute registrierte Methoden verwenden. Wer die Umstellung verpasst und als Benutzer ohne registrierte Methoden eine Passwort-Rücksetzung benötigt, kann diese nach Inkrafttreten der Richtlinie nicht mehr per SSPR vornehmen. Der Benutzer wird aufgefordert, Methoden zu Authentifizierung zu registrieren oder einen Administrator zu kontaktieren.
Die IT und Administratoren müssen reagieren
Die IT muss bis zum 7. September 2026 reagieren und folgende Maßnahmen ergreifen.
- Die Abdeckung der registrierten Authentifizierungsmethoden im Microsoft Entra Admin Center unter Authentifizierungsmethoden – Details zur Benutzerregistrierung überprüfen.
- Sicherstellen, dass alle Benutzer (einschließlich Administratoren) mindestens eine registrierte Authentifizierungsmethode haben, die der SSPR-Richtlinie entspricht.
- Die SSPR-Registrierungskampagne zulassen bzw. aktivieren, um Benutzer automatisch zur Registrierung einer SSPR-Methode aufzufordern.
Weiterhin sollte die Ausweichprozesse wie die Registrierung mit Hilfe des Helpdesks, alternative Onboarding-Szenarien für Benutzer, die sich nicht selbst registrieren können, einplanen. Der Ratschlag Microsofts lautet IT-Administratoren und Helpdesk-Teams über diese Änderung zu informieren. Benutzer sollen zur Registrierung einer SSPR-Methode über Meine Sicherheitsinformationen ermutigt werden.
MVP: 2013 – 2016
