Microsoft voert later dit jaar een belangrijke wijziging door in de manier waarop gebruikers hun wachtwoord kunnen resetten binnen Entra ID. Vanaf september 2026 accepteert het platform alleen nog expliciet geregistreerde authenticatiemethoden voor selfservice-wachtwoordherstel.
De wijziging werd aangekondigd in Message Center-bericht MC1325414. Momenteel kunnen gebruikers van het Self-Service Password Reset-platform (SSPR) hun identiteit in sommige gevallen verifiëren met contactgegevens die in de directory zijn opgeslagen, zoals een mobiel telefoonnummer, zakelijk telefoonnummer of alternatief e-mailadres. Deze gegevens hoeven niet noodzakelijk als authenticatiemethode te zijn geregistreerd.
Vanaf 7 september verandert dat. Alleen authenticatiemethoden die vooraf expliciet zijn geregistreerd en gevalideerd, kunnen dan nog worden gebruikt voor wachtwoordherstel. Contactgegevens die uitsluitend als directory-attribuut aanwezig zijn, worden niet langer geaccepteerd.
Registratiecampagne vanaf juli
Microsoft start op 6 juli een campagne om gebruikers die nog geen geregistreerde authenticatiemethode hebben in te stellen daarop te attenderen. Vanaf september wordt het nieuwe beleid vervolgens afgedwongen. Gebruikers zonder geregistreerde methode kunnen hun wachtwoord dan niet meer zelfstandig resetten en moeten eerst een authenticatiemiddel toevoegen of contact opnemen met de IT-afdeling.
Volgens Microsoft gebruikt ongeveer 86 procent van de Entra ID-gebruikers die SSPR inzetten al geregistreerde authenticatiemethoden. Voor deze groep verandert er niets.
De wijziging betekent volgens Neowin niet dat telefoonnummers of alternatieve e-mailadressen verdwijnen als verificatiemiddel. Organisaties kunnen deze gegevens blijven gebruiken, mits gebruikers ze expliciet registreren als authenticatiemethode binnen Entra ID.
Microsoft adviseert beheerders om tijdig te controleren welke gebruikers nog geen geregistreerde authenticatiemethode hebben ingesteld. Deze informatie is beschikbaar via het Entra-beheerportaal onder de registratiegegevens voor authenticatiemethoden.
Vooral accounts met beheerdersrechten verdienen daarbij aandacht. Wanneer deze gebruikers geen geldige geregistreerde verificatiemethode hebben, kunnen zij na september problemen ondervinden bij wachtwoordherstel. Microsoft raadt organisaties daarnaast aan om noodprocedures gereed te hebben voor gebruikers die hun account niet meer zelfstandig kunnen herstellen.
Onderdeel van Secure Future Initiative
Microsoft heeft de wijziging aangemerkt als een Major Change. Dit is een classificatie die wordt gebruikt voor aanpassingen met een duidelijke impact op beheer, compliance of gebruikersprocessen.
De aanscherping past binnen het Secure Future Initiative (SFI), het meerjarige beveiligingsprogramma waarmee Microsoft zijn producten en diensten beter wil beschermen tegen aanvallen. Identiteitsbeheer speelt daarin een centrale rol. Entra ID vormt voor veel organisaties de toegangspoort tot cloudapplicaties, bedrijfsdata en interne systemen. Door alleen nog geregistreerde authenticatiemethoden toe te staan voor wachtwoordherstel, verkleint Microsoft de kans dat aanvallers misbruik maken van contactgegevens die ooit zijn vastgelegd maar niet actief worden beheerd of gecontroleerd.