Microsoft hat angekündigt, dass die Legacy-Richtlinien für die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) und die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR), ab dem 30. September 2025 nicht mehr unterstützt werden. Wir müssen die Legacy MFA- und Legacy SSPR-Richtlinien auf die Authentifizierungsmethoden in Microsoft Entra ID migrieren.
Dieser Blogbeitrag erläutert Schritt für Schritt, wie die manuelle Migration von Legacy-MFA- und SSPR-Richtlinien zu den Authentifizierungsmethoden in Microsoft Entra ID erfolgt. Seit der Veröffentlichung dieses Beitrags ist jedoch auch eine automatisierte Migration möglich. Das Vorgehen für die automatische Migration ist in folgendem Microsoft-Beitrag dokumentiert: Migrieren der Richtlinie für Authentifizierungsmethoden – Microsoft Entra ID | Microsoft Learn
Ist eine Migration in meinem Tenant notwendig?
Es lässt sich einfach überprüfen, ob eine Migration der Legacy MFA oder Legacy SSPR-Richtlinien im Tenant notwendig ist.
Option 1
Microsoft sendet allen Tenant-Administratoren die Aufforderung zur Migration per E-Mail.
Option 2
Im Microsoft Entra Admin Center (https://entra.microsoft.com/) unter Schutz > Authentifizierungsmethoden > Richtlinien wird folgende Meldung angezeigt:
Verwalten der Migration (1)
Migrationsprozess starten
Der Migrationsprozess startet im Microsoft Entra Admin Center.
Microsoft Entra Admin Center (https://entra.microsoft.com/) > Schutz > Authentifizierungsmethoden > Richtlinien
Verwalten der Migration (1) anklicken, Option Migration in Bearbeitung (2) auswählen und mit Speichern (3) bestätigen.
Legacy Richtlinien identifizieren
Bevor mit dem Migrationsprozess begonnen werden kann, müssen die für Legacy MFA und Legacy SSPR aktivierten Überprüfungsoptionen identifiziert werden.
Legacy MFA
Die aktivierten Überprüfungsoptionen für Legacy MFA werden unter
Microsoft Entra Admin Center (https://entra.microsoft.com/) > Identität > Benutzer > All Benutzer > MFA pro Benutzer ausgelesen.
Diensteinstellungen (1) auswählen und Überprüfungsoptionen (2) notieren.
Legacy SSPR
Die aktivierten Authentifizierungsmethoden für Legacy SSPR werden unter
Microsoft Entra Admin Center (https://entra.microsoft.com/) > Schutz > Zurücksetzen des Kennworts > Authentifizierungsmethoden ausgelesen.
Authentifizierungsmethoden (1) notieren.
Authentifizierungsmethoden aktivieren
Die identifizierten Überprüfungsoptionen der Legacy-Richtlinien für MFA und SSPR können nun in den Authentifizierungsmethoden aktiviert werden. Sollten bislang weniger sichere Überprüfungsoptionen verwendet worden sein, wird empfohlen, diese nicht mehr zu aktivieren. Als weniger sichere Überprüfungsoptionen gelten im Allgemeinen solche, die auf Telekommunikationstransporten basieren, wie SMS und Sprachanrufe.
Microsoft Entra Admin Center (https://entra.microsoft.com/) > Identität > Schutz > Authentifizierungsmethoden > Richtlinien.
Alle notwendigen Authentifizierungsmethoden aktivieren (1). Standardmässig wird die ausgewählte Authentifizierungsmethode allen Benutzern (all users) zugewiesen. Bei Bedarf kann jede Authentifizierungsmethode individuell vorher definierten Sicherheitsgruppen zugewiesen werden.
Legacy Richtlinien deaktivieren
Es wird empfohlen, jede Legacy-Richtlinie einzeln zu deaktivieren und anschliessend die Authentifizierungsmethode zu prüfen. Auf diese Weise steht immer eine funktionierende, alternative Authentifizierungsmethode zur Verfügung, sollte die Funktionskontrolle nicht erfolgreich sein. Das Vorgehen wird nachfolgend am Beispiel der Benachrichtigung über die Microsoft Authenticator App beschrieben.
Deaktivierung Legacy MFA
Die Benachrichtigung über die Microsoft Authenticator App für Legacy MFA wird unter
Microsoft Entra Admin Center (https://entra.microsoft.com/) > Identität > Benutzer > Alle Benutzer > MFA pro Benutzer deaktiviert.
Diensteinstellungen (1) auswählen, Benachrichtigung über mobile App (2) deaktivieren und mit Speichern (3) speichern.
Wenn alle Überprüfungsoptionen im Legacy MFA deaktiviert sind, erscheint die Meldung:
Disabling all authentication methods could lock out your users. Ensure that you have enough authentication methods enabled in the new authentication methods policy before saving.
Wenn andere Authentifizierungsmethoden vorher erfolgreich getestet wurden, kann die Warnung ignoriert werden.
Deaktivierung Legacy SSPR
Die Benachrichtigung über die über die Microsoft Authenticator App für Legacy SSPR wird unter
Microsoft Entra Admin Center (https://entra.microsoft.com/) > Schutz > Zurücksetzen des Kennworts > Authentifizierungsmethoden deaktivert.
Benachrichtigung über mobile App (1) deaktivieren und mit Speichern (2) speichern.
Wenn alle Überprüfungsoptionen Legacy SSPR deaktiviert sind, erscheint die Meldung:
Disabling all authentication methods could lock out your users. Ensure that you have enough authentication methods enabled in the new authentication methods policy before saving.
Wenn andere Authentifizierungsmethoden vorher erfolgreich getestet wurden, kann die Warnung ignoriert werden.
Authentifizierungsmethoden prüfen
Es wird empfohlen, sowohl die Benutzeranmeldung als auch das Zurücksetzen des Passworts nach jeder deaktivierten Überprüfungsoption mit der neuen Authentifizierungsmethode für Microsoft Entra ID zu prüfen. Wenn der Vorgang erfolgreich verläuft, können die Schritte zur Deaktivierung weiterer Überprüfungsoptionen für Legacy MFA und Legacy SSPR nach demselben Verfahren durchgeführt werden.
Migration abschliessen
Nachdem alle Legacy Richtlinien für MFA und SSPR deaktiviert wurden, kann die Migration abgeschlossen werden.
Microsoft Entra Admin Center (https://entra.microsoft.com/) > Schutz > Authentifizierungsmethoden > Richtlinien
Verwalten der Migration (1) anklicken, Option Migration abgeschlossen (2) auswählen und mit Speichern (3) bestätigen.
Erfolgreicher Abschluss der Migration prüfen
Legacy MFA
Nach der erfolgreichen Migration sind die Überprüfungsoptionen in Legacy MFA ausgegraut.
Microsoft Entra Admin Center (https://entra.microsoft.com/) > Identität > Benutzer > Alle Benutzer > MFA pro Benutzer > Diensteinstellungen
Legacy SSPR
Nach der erfolgreichen Migration sind die Überprüfungsoptionen in Legacy SSPR ausgegraut.
Microsoft Entra Admin Center (https://entra.microsoft.com/) > Schutz > Zurücksetzen des Kennworts > Authentifizierungsmethoden
Migrationsstatus
Nach einiger Zeit wird der Migrationsstatus als Vollständig angezeigt.
Fehlersuche und Fehlerbehebung
Sicherheitsfragen bei SSPR
Zum Zeitpunkt der Erstellung dieses Blogbeitrags sind Sicherheitsfragen für die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) in den Authentifizierungsmethoden nicht verfügbar.
Folge mir auf LinkedIn und BlueSky, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.
War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!