С сентября 2026 года Microsoft ужесточит сброс пароля в Entra ID

Microsoft сообщила об изменении правил работы портала самостоятельного сброса паролей (SSPR) в Entra ID. С сентября 2026 года для восстановления доступа к учётной записи можно будет использовать только заранее зарегистрированные и подтверждённые методы аутентификации.

Сейчас пользователи могут сбросить пароль, указав контактные данные из профиля, например телефон или запасной e-mail, даже если они не зарегистрированы как способы входа. Корпорация решила отказаться от такой практики и перейти на более строгую модель.

Нововведение затронет всех пользователей облачных сервисов Microsoft, использующих Entra ID (ранее Azure Active Directory). Теперь перед сбросом пароля система будет проверять, что метод аутентификации (например, номер телефона или адрес электронной почты) прошёл верификацию и привязан к учётной записи.

По данным компании, изменение направлено на усиление безопасности и предотвращение несанкционированного доступа. Использование неподтверждённых контактов могло создавать риски, если злоумышленник получал доступ к профилю пользователя.

Для администраторов и пользователей это означает, что до сентября 2026 года необходимо заранее настроить и подтвердить методы аутентификации. Рекомендуется добавить резервные способы входа, такие как приложение-аутентификатор, SMS или альтернативный e-mail.

Microsoft уточнила, что переход на новые правила будет постепенным. Компания планирует заранее уведомлять администраторов и пользователей о предстоящих изменениях, чтобы все успели подготовиться.