Microsoft hat bereits 2022 in Entra ID (ehemals Azure AD) neue Konfigurationsmöglichkeiten für Authentifizierungsmethoden eingeführt. Diese vereinen die bisher getrennt verwalteten Methoden für Multifaktorauthentifizierung (MFA) und Self-Service-Password-Reset (SSPR). Der Rollout der Migration hat am 01. Oktober 2024 begonnen und Microsoft schaltet Legacy-MFA & SSPR-Konfiguration am 30. September 2025 ab.
Was passiert am 30. September 2025?
Bislang konnten MFA und SSPR separat konfiguriert werden – teils über das Legacy-MFA-Portal, teils über eigenständige SSPR-Policies. Diese Vorgehensweise wird vollständig abgelöst. Die Verwaltung von Authentifizierungsmethoden erfolgt künftig zentral unter Entra-ID → Sicherheit → Authentifizierungsmethoden.
Das alte MFA-Portal sowie die separaten SSPR-Einstellungen werden abgeschaltet. Organisationen, die weiterhin auf diese Legacy-Methoden setzen, müssen ihre Konfiguration auf die neue Plattform migrieren.
Welche Maßnahmen sind erforderlich?
- Prüfung nicht mehr kompatibler Legacy-Methoden (bspw. App-Passwörter)
- Vorkonfiguration der neuen Methoden in Entra-ID
- Überprüfung der Conditional-Access-Policies auf Kompatibilität mit neuen Methoden
- Absicherung Break-Glass-Accounts
- Durchführen der Migration in Entra-ID
- Prüfung der SSPR-Einstellungen
Überprüfung des Migrationsstatus
Der Status der Migration ist im Entra-ID-Portal unter Entra-ID → Authentifizierungsmethoden sichtbar. Folgende Status sind möglich:
- (Leer)
- In Progress
- Complete
Wurde die Migration noch nicht begonnen, wird unter Status folgende Meldung angezeigt:
On September 30th, 2025, the legacy multifactor authentication and self-service password reset policies will be deprecated and the settings will be managed here. Use this setting to preemptively manage your migration from legacy policies to the new unified policy.
Sollte der Status bereits auf Complete stehen, ist keine weitere Aktion erforderlich.
Auswirkungen bei fehlender Umstellung
Ab dem 1. Oktober 2025 greifen alte MFA- und SSPR-Policies nicht mehr. Dies kann zu folgenden Problemen führen:
- Wegfall der MFA-Aufforderung für Benutzer, die nur in den alten Policies konfiguriert sind.
- Ausfall der Self-Service-Kennwortzurücksetzung.
- Erhöhtes Risiko für Kontoübernahmen durch Phishing.
- Blockierte Zugriffe, wenn Conditional Access MFA verlangt, aber keine gültige Methode in der neuen Plattform hinterlegt ist.
- Einfache Authentifizierung mit Benutzer + Passwort, bis neue MFA-Methoden konfiguriert sind.
Im besten Fall sinkt das Sicherheitsniveau, im schlimmsten Fall kommt es zu Anmeldeausfällen und Betriebsunterbrechungen.
Herstellerinformationen
Microsoft hat einen ausführlichen Artikel im Learn-Portal verfasst, welcher die Migration beschreibt:
https://learn.microsoft.com/de-de/entra/identity/authentication/how-to-authentication-methods-manage
Fazit
Microsoft schaltet Legacy-MFA & SSPR-Konfiguration ab. Daher ist die Umstellung auf die kombinierte Authentifizierungsmethode zwingend erforderlich, um Sicherheit und Zugriffskontinuität zu gewährleisten. Organisationen sollten die Migration rechtzeitig abschließen, um Sicherheitslücken und Betriebsstörungen zu vermeiden.
Bei Fragen oder wenn Sie Unterstützung bei der Umsetzung benötigen, stehen wir Ihnen selbstverständlich gerne zur Verfügung.
Michael Drüing