Microsoft hat kürzlich angekündigt, dass die Legacy-Richtlinien für die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) und die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR), ab dem 30. September 2025 nicht mehr unterstützt werden. Wir müssen die Legacy MFA- und Legacy SSPR-Richtlinien auf die Authentifizierungsmethoden in Microsoft Entra ID migrieren.

Dieser Blogbeitrag erklärt Schritt für Schritt, wie man von Legacy MFA- und SSPR-Richtlinien zu Authentifizierungsmethoden in Microsoft Entra ID migriert.

Ist eine Migration in meinem Tenant notwendig?

Es lässt sich einfach überprüfen, ob eine Migration der Legacy MFA oder Legacy SSPR-Richtlinien im Tenant notwendig ist.

Option 1

Microsoft sendet allen Tenant-Administratoren die Aufforderung zur Migration per E-Mail.

Option 2

Im Microsoft Entra Admin Center (https://entra.microsoft.com/) unter Schutz > Authentifizierungsmethoden > Richtlinien wird folgende Meldung angezeigt:
Verwalten der Migration (1)

Migrationsprozess starten

Der Migrationsprozess startet im Microsoft Entra Admin Center.
Microsoft Entra Admin Center (https://entra.microsoft.com/) > Schutz > Authentifizierungsmethoden > Richtlinien

Verwalten der Migration (1) anklicken, Option Migration in Bearbeitung (2) auswählen und mit Speichern (3) bestätigen.

Legacy Richtlinien identifizieren

Bevor mit dem Migrationsprozess begonnen werden kann, müssen die für Legacy MFA und Legacy SSPR aktivierten Überprüfungsoptionen identifiziert werden.

Legacy MFA

Die aktivierten Überprüfungsoptionen für Legacy MFA werden unter
Microsoft Entra Admin Center (https://entra.microsoft.com/) > Identität > Benutzer > All Benutzer > MFA pro Benutzer ausgelesen.

Diensteinstellungen (1) auswählen und Überprüfungsoptionen (2) notieren.

Legacy SSPR

Die aktivierten Authentifizierungsmethoden für Legacy SSPR werden unter
Microsoft Entra Admin Center (https://entra.microsoft.com/) > Schutz > Zurücksetzen des Kennworts > Authentifizierungsmethoden ausgelesen.
Authentifizierungsmethoden (1) notieren.

Authentifizierungsmethoden aktivieren

Die identifizierten Überprüfungsoptionen der Legacy-Richtlinien für MFA und SSPR können nun in den Authentifizierungsmethoden aktiviert werden. Sollten bislang weniger sichere Überprüfungsoptionen verwendet worden sein, wird empfohlen, diese nicht mehr zu aktivieren. Als weniger sichere Überprüfungsoptionen gelten im Allgemeinen solche, die auf Telekommunikationstransporten basieren, wie SMS und Sprachanrufe.

Microsoft Entra Admin Center (https://entra.microsoft.com/) > Identität > Schutz > Authentifizierungsmethoden > Richtlinien.

Alle notwendigen Authentifizierungsmethoden aktivieren (1). Standardmässig wird die ausgewählte Authentifizierungsmethode allen Benutzern (all users) zugewiesen. Bei Bedarf kann jede Authentifizierungsmethode individuell vorher definierten Sicherheitsgruppen zugewiesen werden.

Legacy Richtlinien deaktivieren

Es wird empfohlen, jede Legacy-Richtlinie einzeln zu deaktivieren und anschliessend die Authentifizierungsmethode zu prüfen. Auf diese Weise steht immer eine funktionierende, alternative Authentifizierungsmethode zur Verfügung, sollte die Funktionskontrolle nicht erfolgreich sein. Das Vorgehen wird nachfolgend am Beispiel der Benachrichtigung über die Microsoft Authenticator App beschrieben.

Deaktivierung Legacy MFA

Die Benachrichtigung über die Microsoft Authenticator App für Legacy MFA wird unter
Microsoft Entra Admin Center (https://entra.microsoft.com/) > Identität > Benutzer > Alle Benutzer > MFA pro Benutzer deaktiviert.

Diensteinstellungen (1) auswählen, Benachrichtigung über mobile App (2) deaktivieren und mit Speichern (3) speichern.

Wenn alle Überprüfungsoptionen im Legacy MFA deaktiviert sind, erscheint die Meldung:

Disabling all authentication methods could lock out your users. Ensure that you have enough authentication methods enabled in the new authentication methods policy before saving.

Wenn andere Authentifizierungsmethoden vorher erfolgreich getestet wurden, kann die Warnung ignoriert werden.

Deaktivierung Legacy SSPR

Die Benachrichtigung über die über die Microsoft Authenticator App für Legacy SSPR wird unter
Microsoft Entra Admin Center (https://entra.microsoft.com/) > Schutz > Zurücksetzen des Kennworts > Authentifizierungsmethoden deaktivert.
Benachrichtigung über mobile App (1) deaktivieren und mit Speichern (2) speichern.

Wenn alle Überprüfungsoptionen Legacy SSPR deaktiviert sind, erscheint die Meldung:

Disabling all authentication methods could lock out your users. Ensure that you have enough authentication methods enabled in the new authentication methods policy before saving.

Wenn andere Authentifizierungsmethoden vorher erfolgreich getestet wurden, kann die Warnung ignoriert werden.

Authentifizierungsmethoden prüfen

Es wird empfohlen, sowohl die Benutzeranmeldung als auch das Zurücksetzen des Passworts nach jeder deaktivierten Überprüfungsoption mit der neuen Authentifizierungsmethode für Microsoft Entra ID zu prüfen. Wenn der Vorgang erfolgreich verläuft, können die Schritte zur Deaktivierung weiterer Überprüfungsoptionen für Legacy MFA und Legacy SSPR nach demselben Verfahren durchgeführt werden.

Migration abschliessen

Nachdem alle Legacy Richtlinien für MFA und SSPR deaktiviert wurden, kann die Migration abgeschlossen werden.
Microsoft Entra Admin Center (https://entra.microsoft.com/) > Schutz > Authentifizierungsmethoden > Richtlinien

Verwalten der Migration (1) anklicken, Option Migration abgeschlossen (2) auswählen und mit Speichern (3) bestätigen.

Erfolgreicher Abschluss der Migration prüfen

Nach der erfolgreichen Migration sind die Überprüfungsoptionen in Legacy MFA und Legacy SSPR ausgegraut.

Legacy MFA

Microsoft Entra Admin Center (https://entra.microsoft.com/) > Identität > Benutzer > Alle Benutzer > MFA pro Benutzer > Diensteinstellungen

Legacy SSPR

Microsoft Entra Admin Center (https://entra.microsoft.com/) > Schutz > Zurücksetzen des Kennworts > Authentifizierungsmethoden

Fehlersuche und Fehlerbehebung

Sicherheitsfragen bei SSPR

Zum Zeitpunkt der Erstellung dieses Blogbeitrags sind Sicherheitsfragen für die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) in den Authentifizierungsmethoden nicht verfügbar.


Folge mir auf LinkedIn, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.

Auf LinkedIn folgen