Microsoft strammer Self-Service Password Reset i 2026

SSPR står for Self-Service Password Reset. Det lader brugere nulstille deres egen adgangskode uden at ringe til helpdesk, ved at bekræfte deres identitet med for eksempel en godkender-app, en sms-kode eller en alternativ mailadresse.

Funktionen findes i to varianter, og det er her licensen bliver vigtig:

• •Cloud-only nulstilling (kun for konti der lever i Entra ID): følger med alle Microsoft 365-planer.
• •Nulstilling med tilbageskrivning til lokal Active Directory (password writeback): kræver Entra ID P1. Det er typisk relevant for virksomheder med hybrid opsætning, hvor brugerkonti synkroniseres mellem en lokal server og skyen.

Entra ID P1 (tidligere Azure AD Premium P1) følger med Microsoft 365 Business Premium, Microsoft 365 E3, E5 og E7. Har I kun Business Basic eller Standard, skal P1 tilkøbes separat for at få writeback.

De to ændringer nedenfor gælder selve nulstillingsflowet og rammer derfor begge varianter.

I dag kan SSPR i nogle tilfælde verificere en bruger ud fra kontaktoplysninger, der ligger i kataloget, for eksempel et telefonnummer eller en mailadresse en administrator har indtastet. Det stopper Microsoft.

Fra 7. september 2026 godkender SSPR kun login-metoder, som brugeren selv aktivt har registreret. Oplysninger trukket direkte fra kataloget tæller ikke længere som en gyldig metode.

For at give brugerne tid starter Microsoft en registreringskampagne:

Microsoft oplyser, at omkring 86 procent af alle SSPR-verifikationer allerede i dag bruger registrerede metoder. Det er altså den sidste gruppe uden registrering, I skal have fat i.

Den anden ændring er rent teknisk og kræver ingen handling fra jer. Microsoft fjerner det gamle CAPTCHA (de forvrængede bogstaver, man skal taste af), som brugere møder i SSPR-flowet på nettet.

I stedet bruger Microsoft to ting bag kulisserne:

• •Backend-throttling, der bremser mistænkelig automatiseret trafik.
• •Adfærdsbaseret misbrugsdetektering, der genkender mønstre fra angreb frem for at stille en opgave til mennesket.

Udrulningen sker fra slutningen af juli 2026 og er færdig omkring midten af august 2026. Microsoft understreger, at det ikke påvirker brugernes mulighed for at nulstille deres adgangskode. Brugerne slipper for et ekstra trin, og beskyttelsen mod automatiserede angreb sker uden at I skal sætte noget op.

Den vigtigste deadline er registreringskravet den 7. september. Sådan kommer I klar:

De fleste af disse ændringer rammer alle, uanset licens, fordi de gælder selve nulstillingsflowet. Men hvis I vil have password writeback (nulstilling der også opdaterer en lokal Active Directory i en hybrid opsætning), kræver det Entra ID P1.

Entra ID P1 (det tidligere navn var Azure AD Premium P1) følger med:

Har I Business Basic eller Standard, kan Entra ID P1 tilkøbes separat. Men før I gør det, er det værd at regne på, om et løft til Business Premium giver mere for pengene, for ud over P1 får I også enhedsstyring med Intune og Defender for Business.

Kilder: Microsoft Message Center MC1325414 og MC1400824 samt Microsoft Learn om licenskrav til SSPR.