← Terug naar blog
Security

Entra ID SSPR-hardening: directory-contactgegevens werken per 7 september 2026 niet meer als hersteloptie

Door Zarioh Digital Solutions6 min leestijd
Delen
Entra ID SSPR-hardening: directory-contactgegevens werken per 7 september 2026 niet meer als hersteloptie

Microsoft sluit per 7 september 2026 een beveiligingsgat in Self-Service Password Reset: telefoonnummers en e-mailadressen die een beheerder in de directory heeft gezet, maar die de gebruiker nooit zelf heeft bevestigd, worden niet meer geaccepteerd als herstelcontact. Aanvallers misbruikten dit patroon actief. Wat verandert er, welke gebruikers lopen risico en welke stappen moeten IT-teams nu zetten?

Wachtwoord vergeten is een dagelijks scenario. Microsoft Entra ID biedt daarvoor een Self-Service Password Reset: gebruikers kunnen zelf hun wachtwoord herstellen zonder de helpdesk te bellen. Handig, schaalbaar en in de meeste Microsoft 365-omgevingen standaard ingeschakeld. Maar er schuilt een beveiligingsrisico in de manier waarop SSPR identiteitsverificatie uitvoert, en Microsoft gaat dat risico nu actief sluiten.

Op 28 mei 2026 publiceerde Microsoft Message Center-notificatie MC1325414, onderdeel van de Secure Future Initiative: per 7 september 2026 accepteert SSPR uitsluitend expliciet geregistreerde herstelcontacten. Telefoon- en e-mailadressen die een beheerder ooit in Active Directory of Entra ID heeft ingevoerd maar die de gebruiker nooit zelf heeft bevestigd, werken dan niet meer als identiteitsbewijs. Voor IT-teams betekent dit een concreet actievenster van nu tot begin september.

Het verschil tussen een directory-attribuut en een geregistreerde methode

Entra ID bevat voor elke gebruiker meerdere contactvelden: mobilePhone, businessPhone en otherMails. Beheerders vullen deze vaak in bulk vanuit HR-systemen of Active Directory-synchronisatie, zonder dat de gebruiker de waarden zelf heeft opgevoerd of geverifieerd. Tot nu toe accepteerde SSPR deze velden als geldig identiteitsbewijs: een eenmalige code naar dat nummer sturen, gebruiker voert de code in, reset voltooid.

Een geregistreerde methode werkt anders. De gebruiker gaat zelf naar de registratieportal via Mijn beveiligingsinformatie, bevestigt het contactgegeven door een code te ontvangen en te valideren, en slaat het actief op als herstelmethode. Daarmee bewijst de gebruiker actief eigenaarschap over dat contact.

Het onderscheid lijkt subtiel maar is beveiligingstechnisch doorslaggevend. Een directory-attribuut bewijst niets: het kan door een beheerder zijn ingevoerd, geïmporteerd vanuit een oud systeem, of al jaren niet meer actueel zijn. Een geregistreerde methode bewijst dat de gebruiker op een specifiek moment actief toegang had tot dat contact en het bewust heeft gekoppeld aan zijn account.

Hoe aanvallers SSPR misbruiken voor accountovername

SSPR-misbruik is geen theoretisch risico. In 2025 en vroeg 2026 documenteerden securityonderzoekers meerdere gevallen waarbij aanvallers Azure-omgevingen compromitteerden via precies deze zwakheid. De aanvalstechniek verloopt doorgaans in drie stappen.

Eerst verzamelt de aanvaller informatie over het doelwit: naam, zakelijk e-mailadres, telefoonnummer. Dit is vaak moeiteloos via LinkedIn, openbare bedrijfspagina's of gelekte databases. Vervolgens start de aanvaller een SSPR-verzoek voor het betreffende account. Als het telefoonnummer in de directory overeenkomt met een nummer dat de aanvaller controleert, via SIM-swapping, portability-fraude of door controle over een zakelijk telecomaccount, ontvangt de aanvaller de verificatiecode en reset hij het wachtwoord volledig zelfstandig.

Het resultaat is volledige toegang tot het Microsoft 365-account, inclusief e-mail, SharePoint-bestanden, Teams-chats en in veel gevallen ook verbonden externe systemen, zonder dat er ooit een phishing-e-mail aan te pas kwam. De helpdesk ziet pas iets wanneer de legitieme gebruiker zich meldt dat zijn account niet meer werkt.

Wat verandert op 7 september 2026

De wijziging omvat twee onderdelen. Allereerst stopt SSPR met het accepteren van contactgegevens uit directory-attributen als geldig identiteitsbewijs. Alleen herstelcontacten die de gebruiker zelf via de registratieportal heeft bevestigd en opgeslagen, worden na de deadline nog geaccepteerd. De velden mobilePhone, businessPhone en otherMails tellen niet meer mee, tenzij de gebruiker ze zelf heeft gevalideerd.

Ten tweede start Microsoft op 6 juli 2026 automatisch een registratiecampagne voor getroffen gebruikers. Accounts die op dit moment uitsluitend afhankelijk zijn van directory-attributen voor SSPR, worden bij elke aanmelding gevraagd om een herstelcontact te registreren. Dit is een nudge, geen blokkade: de gebruiker kan de vraag tijdelijk uitstellen, maar per 7 september werkt SSPR voor hen zonder geregistreerde methode niet meer.

Microsoft geeft aan dat momenteel circa 86 procent van alle SSPR-verzoeken al verloopt via geregistreerde methoden. Dat klinkt geruststellend, maar de resterende 14 procent is in een organisatie van honderd medewerkers al veertien accounts die op de deadline kunnen vastlopen. Juist de accounts die nog afhankelijk zijn van directory-attributen, zijn vaak de kwetsbaarstes: medewerkers die zelden een wachtwoord vergeten, gebruikers van gedeelde functies of accounts die vanuit een migratie zijn meegenomen.

Controleren welke gebruikers risico lopen

De rapportage vindt u in het Microsoft Entra-beheercentrum onder Beveiliging, vervolgens Authenticatiemethoden, dan Gebruikersregistratiedetails. U ziet per gebruiker welke methoden zijn geregistreerd en of SSPR aan de beleidseis voldoet. Exporteer de lijst naar CSV en filter op accounts zonder geregistreerde methode.

Let specifiek op drie gebruikersgroepen. Ten eerste nieuwe medewerkers die recent zijn aangemaakt en de registratieportal nog niet hebben bezocht. Ten tweede medewerkers in functies met weinig pc-gebruik die nooit aanleiding hadden om hun beveiligingsinformatie in te stellen. Ten derde accounts van medewerkers die via hybride synchronisatie vanuit on-premises Active Directory zijn aangemaakt, waarbij de directory-attributen zijn overgenomen maar nooit door de gebruiker zijn bevestigd.

Drie acties voor IT-teams vóór 7 september

Eerste actie: voer de rapportage nu uit en exporteer de lijst van gebruikers zonder geregistreerde methode. Prioriteer accounts met verhoogde rechten zoals beheerders, financieel medewerkers en directieleden, zodat de meest risicovolle accounts als eerste zijn gedekt.

Tweede actie: schakel de registratiecampagne in zonder te wachten op de automatische start van 6 juli. U vindt de instelling in het Entra-beheercentrum onder Authenticatiemethoden, tabblad Registratiecampagne. Stel de maximale snoozetermijn in op zeven dagen of minder, zodat gebruikers de vraag niet eindeloos kunnen uitstellen.

Derde actie: bereid de servicedesk voor op het scenario na 7 september. Gebruikers die de deadline passeren zonder geregistreerde methode kunnen hun wachtwoord niet meer zelfstandig herstellen. Een beheerder moet dan handmatig een tijdelijk wachtwoord instellen en de gebruiker door de registratie begeleiden. Als dit tientallen gebruikers tegelijk zijn, is dat een merkbare pieklast voor de helpdesk. Communiceer vooraf naar medewerkers over de noodzaak van registratie, zodat het volume beheersbaar blijft.

Voor omgevingen die gebruik maken van Conditional Access biedt zich een aanvullende optie aan: een beleid dat registratie in de beveiligingsinformatieportal verplicht voor alle accounts die nog geen methode hebben geregistreerd, gekoppeld aan een Named Location-beleid zodat registratie alleen plaatsvindt op vertrouwde netwerken of beheerde apparaten. Dit sluit het gat voor accounts die de nudge blijven negeren.

Een patroon van gerichte Entra-verharding

De SSPR-wijziging staat niet op zichzelf. Microsoft voerde in juni 2026 ook een aanpassing door in Conditional Access: beleidsregels die gericht zijn op Alle resources worden vanaf 15 juni gehandhaafd ook wanneer resource-uitzonderingen aanwezig zijn. Dit dicht een constructie waarbij specifieke applicaties via een uitzondering buiten beleid vielen terwijl de policy formeel naar alles verwees.

Beide wijzigingen zijn onderdeel van de Secure Future Initiative, het meerjarige Microsoft-programma dat identiteitsbeveiliging structureel aanscherpt na de lessen van grootschalige aanvallen op cloudidentiteiten in 2023 en 2024. Voor IT-teams is het bredere beeld: Microsoft verhoogt de standaard, en organisaties die hun Entra-configuratie al enige tijd niet hebben gereviewd, lopen het risico dat wat jarenlang werkte straks stilletjes stopt te werken.

De SSPR-deadline van 7 september geeft negen weken de tijd om dit op orde te brengen. Dat is voldoende, maar alleen als u nu begint met de rapportage. Wilt u hulp bij het in kaart brengen van uw SSPR-registratiestatus, het activeren van de registratiecampagne of het reviewen van uw Entra ID-beveiligingsconfiguratie? Zarioh helpt organisaties met de volledige Microsoft 365- en Entra-beveiliging. Neem contact op voor een vrijblijvend gesprek.

Was dit artikel nuttig?

Z

Zarioh Digital Solutions

IT-specialisten uit Utrecht. Wij helpen bedrijven door heel Nederland met Microsoft 365, AI agents, hosting en telefonie — en delen hier wekelijks wat we in de praktijk tegenkomen. Volg ons op LinkedIn

Nieuwsbrief

Laatste tech nieuws

Ontvang nieuwe artikelen direct in je inbox.

Geen spam. Afmelden kan altijd.

Lees ook

← Terug naar alle artikelen
Delen