微軟9月強化Entra ID自助式密碼重設,僅允許已註冊驗證方法
微軟將於 2026 年 9 月 7 日強制調整 microsoft-entra-id 的自助式密碼重設(SSPR)流程:使用者只能使用事先完成註冊的驗證方法進行密碼重設驗證,不能再依賴僅存在於目錄屬性中的手機號碼、公司電話或備用電子郵件。
重點
- 生效時程:2026-07-06 起提醒受影響使用者與系統管理員註冊驗證方法;2026-09-07 起正式強制執行。
- 政策方向:SSPR 驗證基礎從可能未持續維護的目錄聯絡資訊,轉為可信任、已註冊且經使用者確認的驗證方法。
- 影響對象:已啟用 SSPR 的 Entra ID 租戶、尚未完成驗證方法註冊的企業使用者,以及系統管理員帳號。
- 營運風險:未完成註冊者屆時將無法自行重設密碼,需先完成註冊或透過服務臺/系統管理員協助。
組織因應
組織應盤點所有使用者的 SSPR 驗證方法註冊狀態,優先確認管理員帳號;同時提前通知 IT 人員與員工,建立服務臺支援流程,以降低政策生效後的帳號存取中斷與支援壓力。
相關頁面
- microsoft — 政策發布廠商
- microsoft-entra-id — 受影響 IAM 產品
- 駭客Storm-2949接管雲端帳號濫用Azure權限滲透正式環境竊取資料 — 近期涉及 Entra ID 與 SSPR 流程風險的雲端身分接管事件