Microsoft scherpt wachtwoordresets in Entra ID aan

In dit artikel:

Microsoft verandert per 7 september 2026 de regels voor zelfservice-wachtwoordherstel in Entra ID: alleen nog expliciet geregistreerde en gevalideerde authenticatiemethoden mogen dan worden gebruikt. Het gaat om een aangekondigde aanpassing (Message Center MC1325414) van het Self-Service Password Reset (SSPR)-platform. Contactgegevens die louter als directory-attribuut zijn vastgelegd — zoals mobiel of zakelijk nummer en alternatieve e-mail — volstaan niet meer tenzij de gebruiker die gegevens actief als verificatiemethode heeft geregistreerd.

Om organisaties en gebruikers hierop voor te bereiden start Microsoft op 6 juli een registratiecampagne om niet-geregistreerde accounts te waarschuwen. Enforcement volgt vanaf september; gebruikers zonder geregistreerde methode kunnen hun wachtwoord dan niet zelfstandig resetten en moeten een verificatiemiddel toevoegen of de IT-afdeling inschakelen. Microsoft meldt dat circa 86% van de huidige SSPR-gebruikers al geregistreerde methoden gebruikt, waardoor voor hen niets verandert.

Beheerders worden geadviseerd via het Entra-beheerportaal na te gaan welke accounts nog geen geregistreerde authenticatiemethode hebben, met bijzondere aandacht voor accounts met beheerdersrechten. Ook raadt Microsoft aan noodprocedures klaar te hebben voor gevallen waarin herstel anders niet mogelijk is. De wijziging is bestempeld als een ‘Major Change’ en past in het Secure Future Initiative, waarmee Microsoft de veiligheid en identiteitsbescherming wil versterken door te voorkomen dat verouderde of niet-gecontroleerde contactgegevens misbruikt worden. Organisaties kunnen telefoonnummers en alternatieve e-mails blijven inzetten, mits gebruikers ze expliciet registreren binnen Entra ID.