Microsoft verschärft Entra ID-Passwort-Reset durch neue Authentifizierung

September 2026 geplant, nachdem am 6. Juli 2026 eine Registrierungskampagne startet, die Benutzer auffordert, im Voraus geeignete Authentifizierungsmethoden einzurichten.

Derzeit ermglicht Microsoft Entra ID Benutzern, ihre Identitt beim Zurcksetzen des Passworts mithilfe wie Mobilfunknummern, Geschftstelefonnummern oder alternativen E-Mail-Adressen zu verifizieren.

Microsoft stärkt die Passwort-Reset-Funktion in Entra ID Diese Werte können im Verzeichnis existieren, ohne explizit als Authentifizierungsmethoden registriert oder validiert worden zu sein, was potenzielle Sicherheitsrisiken birgt. Gemäß der neuen Richtlinie werden nur Authentifizierungsmethoden akzeptiert, die, um die SSPR-Verifizierung durchzuführen.

Technischer Hintergrund

Verzeichnisattribute wie mobilePhone, businessPhone und otherMails werden künftig nicht mehr als gültig anerkannt, es sei denn, sie sind im Rahmen der Authentifizierungsmethoden formell registriert.

Infolgedessen können Nutzer, die diesen Registrierungsprozess nicht abgeschlossen haben, nach Inkrafttreten der Durchsetzung ihre Passwörter nicht mehr zurücksetzen.

Microsoft weist darauf hin, dass etwa 86 Prozent der aktuellen Passwort-Reset-Verifizierungen bereits auf registrierte Methoden zurückgreifen, was darauf hindeutet, dass die meisten Organisationen nur geringe Unterbrechungen erfahren werden.

Die verbleibenden Nutzer, die jedoch auf

Die verbleibenden Nutzer, die jedoch auf nicht registrierte Verzeichnisinformationen angewiesen sind, könnten jedoch Zugangsprobleme erleben, wenn Organisationen keine proaktiven Maßnahmen ergreifen.

Die Aktualisierung gilt weitreichend fr alle Umgebungen, in denen Entra ID bereitgestellt wird, einschlielich ffentlicher Cloud- sowie US-Regierungscloud-Umgebungen wie GCC, GCC High und DoD. Dieser umfassende Geltungsbereich bedeutet, dass sowohl Unternehmen als auch Regierungsorganisationen sich entsprechend vorbereiten mssen.

Aus operativer Sicht wird die nderung alle Benutzer in Mandanten mit aktiviertem SSPR (Self-Service Password Reset) betreffen, einschlielich Administratoren. Organisationen mssen sicherstellen, dass Benutzer vor dem Durchsetzungsfrist mindestens eine konforme Authentifizierungsmethode registriert haben.

Technik und Auswirkungen

Microsoft empfiehlt Administratoren, die Registrierungsabdeckung ber das Entra-Admin-Center zu berprfen, die bevorstehende Registrierungskampagne zu aktivieren, um die Benutzerkonformitt voranzutreiben, und die nderungen klar an IT-Teams, Helpdesk-Personal und Endbenutzer zu kommunizieren.

Darber hinaus wird Organisationen geraten, Rckfalloptionen fr Benutzer einzurichten, die mglicherweise nicht in der Lage sind, sich selbst zu registrieren. Dies umfasst die Implementierung ützung sowie alternativer Onboarding-Verfahren für eingeschränkte oder remote zugreifende Benutzer.

Ohne diese Maßnahmen könnten sich die Helpdesk-Volumina nach der Durchsetzung erheblich erhöhen, da nicht registrierte Benutzer daran gehindert werden, Passwort-Resets abzuschließen. Laut der Mitteilung mit der ID MC1325414 vom 28.

Technischer Hintergrund

Mai 2026 verbessert das Update die Compliance-Kontrollen, indem Passwort-Reset-Prozesse ausschließlich auf verifizierte Authentifizierungsmethoden beschränkt werden. Zudem wird die administrative Übersichtlichkeit durch eine verbesserte Berichterstattung über die Registrierung ärkt.

Insgesamt spiegelt dieses Update einen breiteren Branchentrend wider, der auf eine stärkere Identitätsbestätigung und eine reduzierte Abhängigkeit und Organisationen dabei hilft, Risiken wie Kontenübernahmen und unbefugten Zugriff zu mindern.

Kostenloses Webinar zu OWASP API Top 10 und Leitfaden zur Schließung ücken mit WAAP Der Beitrag „Microsoft verschärft Entra ID-Passwort-Reset mit neuer Authentifizierungsänderung" erschien erstmals auf