[Was und Warum]
Wir aktualisieren den Bot-Schutz in Microsoft Entra Self-Service Password Reset (SSPR), indem wir das veraltete CAPTCHA durch moderne Backend-Drosselung und verhaltensbasierte Missbrauchserkennung ersetzen. Diese Änderung verbessert die Sicherheit, Zugänglichkeit und Zuverlässigkeit, indem sie die Reibung für Benutzer verringert und gleichzeitig den Schutz vor automatisierten Angriffen und Kontenaufzählungen verstärkt. Es sind keine Konfigurationsänderungen erforderlich. Diese Änderung wird vollständig von Microsoft verwaltet.
[Rollout-Zeitplan]
Allgemeine Verfügbarkeit (weltweit): Der Rollout beginnt Ende Juli 2026 und wird voraussichtlich Mitte August 2026 abgeschlossen sein.
[Auswirkungen auf Ihre Organisation]
Wer ist betroffen
- Alle Microsoft Entra-Mandanten, die Self-Service Password Reset (SSPR) verwenden
Plattformen/Dienste
- Microsoft Entra, Self-Service Password Reset (Web-Flow)
Was wird passieren
- Die veraltete CAPTCHA-Herausforderung wird aus dem SSPR-Erlebnis entfernt.
- Benutzer können Passwörter weiterhin wie bisher zurücksetzen, ohne zusätzliche Aufforderungen.
- Backend-Drosselung und verhaltensbasierte Erkennung schützen vor Bots und Missbrauch.
- Kein Benutzer wird daran gehindert, SSPR abzuschließen.
- Es gibt keine Auswirkungen auf die Fähigkeit der Benutzer, Passwörter zurückzusetzen.
- Keine Änderungen an Authentifizierungsmethoden, Richtlinien oder Konfigurationen.
- Es werden keine neuen Administratorsteuerungen eingeführt.
- Das Feature ist standardmäßig aktiviert und wird von Microsoft verwaltet.
[Erforderliche Maßnahmen/Empfehlungen]
Es sind keine Maßnahmen erforderlich.
Als optionale Best Practice:
- Informieren Sie Ihren Helpdesk, dass CAPTCHA-Eingaben in SSPR-Flows nicht mehr angezeigt werden.
- Aktualisieren Sie interne Dokumentationen, wenn dort CAPTCHA bei der Passwortzurücksetzung erwähnt wird.
[Compliance-Aspekte]
Es wurden keine Compliance-Aspekte identifiziert; prüfen Sie dies bitte entsprechend für Ihre Organisation.
