Microsoft hat angekündigt, die Verwaltung der Legacy-MFA- und SSPR-Policies in Microsoft Entra ID endgültig zum 30. September 2025 abzuschalten. Das bedeutet, dass ab diesem Datum die klassischen Einstellungen für Multi-Faktor-Authentifizierung (MFA) und Self-Service Password Reset (SSPR) nicht mehr wie bisher konfigurierbar sein werden. Ursprünglich war diese Umstellung bereits für 2024 geplant, wurde jedoch um ein Jahr auf 2025 verschoben um Administratoren mehr Zeit für die Migration zu gewähren.

Risiken, wenn keine Migration erfolgt

  • Verlust der Steuerung: Legacy-Policies sind nach dem 30.09. nicht mehr änderbar
  • Sicherheitslücken: Kein Zugriff auf moderne, sichere Methoden wie Passkeys oder FIDO2
  • Anmeldeprobleme: Nutzer verlieren ggf. MFA-/SSPR-Funktionalität
  • Keine Gruppensteuerung: Legacy ist tenantweit – keine differenzierte Kontrolle möglich

Migrationsüberblick

  1. Audit: Notiere aktuelle MFA-/SSPR-Methoden
  2. Migration starten: Entra Admin Center → Authentication Methods → Manage migration
  3. Neue Policy konfigurieren: Methoden aktivieren, Gruppen zuweisen
  4. Migration abschließen: Auf „Migration Complete“ setzen
  5. Tests & Cleanup: Funktion prüfen, alte Policies ignorieren

Step-by-Step Anleitung

1. Vorbereitung

  • Legacy-MFA-Einstellungen prüfen: Melden Sie sich im Entra Admin Center an und navigieren Sie zu Entra ID > Users > Per-user MFA > Service Settings. Dort sind die klassischen MFA-Methoden aufgeführt

  • Legacy-SSPR-Einstellungen prüfen: Gehen Sie im Entra Admin Center zu Entra ID > Users > Password Reset > Authentication Methods. Dort sehen Sie, welche Methoden für SSPR zugelassen sind (z. B. Mobile App Code/Notification, E-Mail, Handy/Office Phone, Security Questions). Notieren Sie, welche Methoden aktiviert sind und ob SSPR allen Benutzern oder nur bestimmten Gruppen zur Verfügung steht

  • Aktuelle Authentication Methods Policy (falls vorhanden): Falls Sie die neue Policy bereits testweise genutzt haben, überprüfen Sie deren Einstellungen unter Entra ID > Authentication Methods > Policies

     

2. Migration starten

  • Entra Admin Center → Authentication Methods → Policies
  • Klicke auf Manage migration, wähle Migration in Progress

Manage Migration

3. Policy konfigurieren

  • Starte den Assistenten
    Start-Assistant
  • Übernimm bestehende Methoden und pass die Methoden gezielt an
    Migration Setting

4.Migration abschließen

  • Klicke im Assistenten auf Migrate → Confirm
    migration confirm
  • Der Status wechselt auf Migration Complete

5. Nacharbeiten

  • MFA/SSPR-Login testen

  • Benutzer informieren

  • Legacy-Settings nicht mehr verwenden