Wichtige Änderung bei Microsoft MFA & SSPR
Logo von Microsoft Entra ID

Am 30. September 2025 zieht Microsoft den Stecker für die alten Konfigurationsmethoden der Mehrstufigen Authentifizierung (MFA) und der Self-Service-Kennwortzurücksetzung (SSPR). Falls du bisher noch auf die „Legacy“-Einstellungen setzt, solltest du jetzt handeln – sonst drohen ab Oktober Sicherheitslücken oder sogar gesperrte Konten.

Was ändert sich?

Bisher konntest du MFA und SSPR getrennt konfigurieren – teils über das alte MFA-Portal, teils über eigene SSPR-Policies. Ab dem 1. Oktober 2025 gilt nur noch die kombinierte Authentifizierungsmethode in Microsoft Entra ID (früher Azure AD).

Das bedeutet konkret:

  • Das alte MFA-Portal wird abgeschaltet.
  • Separate SSPR-Policies funktionieren nicht mehr.
  • Verwaltung von MFA- und SSPR-Methoden erfolgt nur noch zentral im Entra ID Portal unter Entra ID → Authentifizierungsmethoden.
  • Falls du Security Defaults nutzt, erzwingt Microsoft MFA für alle – Ausnahmen sind nur noch über Conditional Access möglich.

Was passiert, wenn du nicht umstellst?

Ab dem 1. Oktober 2025 greifen deine alten MFA- und SSPR-Einstellungen nicht mehr. Die Folgen können gravierend sein:

  • Keine MFA-Aufforderung mehr für Benutzer, die nur in den alten Policies konfiguriert sind – dein Sicherheitsniveau sinkt drastisch.
  • Kein Self-Service-Kennwortreset mehr – vergessene Passwörter landen direkt beim Helpdesk.
  • Erhöhtes Risiko für Kontoübernahmen durch Phishing oder geleakte Passwörter.
  • Zugriffssperren, wenn Conditional Access MFA verlangt, aber keine gültige Methode in der neuen Plattform hinterlegt ist.

Kurz gesagt: Best Case ist ein massiver Sicherheitsverlust, Worst Case sind gesperrte Benutzerkonten und Ausfälle im Betrieb.

Was solltest du jetzt tun?

  1. Kombinierte Registrierung aktivieren Stelle in Entra ID sicher, dass die kombinierte Registrierung für MFA und SSPR aktiv ist.
  2. MFA Methoden vorbereiten Sorge dafür, dass mindestens zwei sichere Methoden (z. B. Authenticator-App, FIDO2, Temporary Access Pass, etc.) konfiguriert sind.
  3. Conditional Access einrichten Prüfe die Konfiguration der Conditional Access Regeln um sicher zu stellen, dass die neuen Methoden für die jeweilige Regel ausreichend sind.
  4. SSPR neu konfigurieren Lege fest, welche Methoden für den Kennwortreset erlaubt sind, und prüfe die Registrierung aller Benutzer.
  5. Kommunikation & Schulung Informiere deine Nutzer rechtzeitig und stelle Anleitungen bereit.

Weitere Informationen hat zur Migration hat Microsoft in einem Learn Artikel verfasst:

https://learn.microsoft.com/de-de/entra/identity/authentication/how-to-authentication-methods-manage

Fazit

Der 30. September 2025 ist kein „weicher“ Termin – ab dann funktionieren die alten MFA- und SSPR-Methoden schlicht nicht mehr. Wenn du jetzt umstellst, sicherst du nicht nur den reibungslosen Betrieb, sondern schützt auch deine Organisation vor unnötigen Risiken.

Bei Fragen oder Problemen, oder wenn du Unterstützung bei der Umstellung brauchst, komm gerne auf mich zu.