Microsoft

Microsoft Entra ID: da settembre 2026 solo metodi registrati per il reset password self-service

Dario Fadda Giugno 1, 2026

Cosa sta cambiando nel reset password di Entra ID

Microsoft ha annunciato una modifica sostanziale al funzionamento del portale Self-Service Password Reset (SSPR) di Microsoft Entra ID — il servizio di identity management un tempo noto come Azure Active Directory. A partire dal 7 settembre 2026, gli utenti potranno reimpostare la propria password solo tramite metodi di autenticazione ufficialmente registrati e verificati, non più attraverso semplici attributi di contatto presenti nel profilo.

Per gli amministratori IT, questo cambiamento richiede un’azione preventiva: verificare lo stato di registrazione degli utenti e comunicare la scadenza prima che l’enforcement entri in vigore.

La situazione attuale e il problema di sicurezza

Oggi Entra ID permette agli utenti di usare per l’SSPR dati come numero di telefono o email alternativa anche se questi non sono stati verificati tramite il flusso ufficiale di registrazione MFA/autenticazione. In pratica, un numero di telefono inserito nel profilo utente da un amministratore o importato da un sistema HR viene accettato come metodo valido di reset, senza che l’utente l’abbia mai confermato come proprio.

Questo approccio crea un vettore di attacco: se un attaccante riesce a modificare questi attributi del profilo (tramite compromissione di un account con privilegi di directory write), può dirottare il reset password verso un numero o un’email sotto il proprio controllo.

La nuova policy: solo metodi registrati e verificati

Dal 7 settembre 2026, SSPR accetterà esclusivamente metodi che l’utente ha registrato attivamente attraverso il portale aka.ms/mysecurityinfo o tramite il flusso combinato di registrazione MFA. I metodi validi includono:

  • App di autenticazione (Microsoft Authenticator o TOTP compatibili)
  • Telefono/SMS verificato tramite registrazione attiva
  • Email alternativa verificata tramite registrazione attiva
  • FIDO2 security key
  • Windows Hello for Business

Gli attributi di contatto non verificati nel profilo utente (come mobilePhone o otherMails non passati attraverso il flusso di registrazione) non saranno più considerati metodi validi.

Timeline e notifiche

Microsoft attiverà una campagna di notifiche agli utenti a partire dal 6 luglio 2026, invitandoli a registrare almeno un metodo prima della scadenza. L’enforcement completo scatterà il 7 settembre 2026: da quella data, gli utenti senza metodi registrati non potranno più usare l’SSPR autonomamente e dovranno rivolgersi all’helpdesk.

Secondo i dati Microsoft, circa l’86% degli utenti risulta già conforme. Il restante 14% rappresenta il gruppo a rischio su cui concentrare le azioni correttive.

Come verificare lo stato di conformità degli utenti

L’Entra admin center offre report specifici per verificare chi ha metodi registrati. Il percorso è:

Entra admin center → Protezione → Metodi di autenticazione → Attività di registrazione

È possibile esportare i dati o consultarli via Microsoft Graph API. Ad esempio, per ottenere gli utenti senza metodi di autenticazione registrati:

GET https://graph.microsoft.com/v1.0/reports/authenticationMethods/userRegistrationDetails
$filter=isMfaRegistered eq false and isSsprRegistered eq false

In alternativa, con PowerShell e il modulo Microsoft.Graph:

Connect-MgGraph -Scopes "Reports.Read.All"

Get-MgReportAuthenticationMethodUserRegistrationDetail `
  -Filter "isSsprRegistered eq false" |
  Select-Object UserPrincipalName, IsMfaRegistered, IsSsprRegistered |
  Export-Csv "utenti_senza_sspr.csv" -NoTypeInformation

Azioni raccomandate per gli amministratori

Prima del 6 luglio (inizio campagna di notifiche Microsoft) è opportuno:

  1. Eseguire il report sullo stato di registrazione dei metodi di autenticazione
  2. Identificare gli account critici — specialmente quelli con accesso privilegiato — che non hanno metodi registrati
  3. Comunicare proattivamente agli utenti la necessità di accedere ad aka.ms/mysecurityinfo e registrare almeno un metodo
  4. Configurare le Conditional Access policies per il flusso di registrazione combinato se non già attive, facilitando la registrazione guidata al primo accesso
  5. Verificare i Service Account: gli account non interattivi non usano SSPR, ma è buona pratica escluderli esplicitamente dalle policy SSPR per evitare false anomalie nei report

Come abilitare la registrazione combinata

Se non ancora abilitata, la registrazione combinata MFA + SSPR si attiva da:

Entra admin center → Identità → Panoramica → Proprietà
→ Gestisci impostazioni di sicurezza predefinite (oppure)

Entra admin center → Protezione → Metodi di autenticazione → Criteri
→ Abilitare "Registrazione combinata delle informazioni di sicurezza"

Con la registrazione combinata, la prima volta che un utente accede viene guidato nella configurazione di tutti i metodi richiesti, riducendo l’attrito e aumentando la compliance.

Conclusione

La modifica al SSPR di Entra ID è un passo logico verso un modello di autenticazione più rigoroso: garantire che ogni metodo usato per il reset della password sia stato effettivamente verificato dall’utente riduce significativamente il rischio di account takeover via social engineering o directory poisoning. Il 14% di utenti non conformi rappresenta comunque un numero da non sottovalutare in organizzazioni di grandi dimensioni, e il lavoro di remediation va pianificato con anticipo rispetto alla scadenza di settembre.

Fonte: 4sysops.com

💬 Unisciti alla discussione!


Questo è un blog del Fediverso: puoi trovare quindi questo articolo ovunque con @blog@spcnet.it e ogni commento/risposta apparirà qui sotto.

Se vuoi commentare su Microsoft Entra ID: da settembre 2026 solo metodi registrati per il reset password self-service, utilizza la discussione sul Forum.
Condividi la tua esperienza, confrontati con altri professionisti e approfondisci i dettagli tecnici nel nostro 👉 forum community