Entra ID SSPR Σεπτέμβριος 2026: Οδηγός Authentication Methods

Από τις 7 Σεπτεμβρίου 2026 το Entra ID SSPR δέχεται μόνο καταχωρημένες authentication methods. Οδηγός για audit χρηστών, registration campaign και password writeback.

Entra ID SSPR Οδηγός 2026

Ενημερώθηκε: 20 Ιουνίου 2026

Από τις 7 Σεπτεμβρίου 2026, το Self-Service Password Reset (SSPR) στο Microsoft Entra ID θα δέχεται μόνο μεθόδους επαλήθευσης που είναι ρητά καταχωρημένες ως authentication methods στο λογαριασμό του χρήστη. Τα παλιά πεδία τηλεφώνου ή εναλλακτικού email από το προφίλ Entra ID δεν θα μετράνε πλέον. Για κάθε IT helpdesk που υποστηρίζει χρήστες Microsoft 365, αυτό σημαίνει τρία πράγματα: εκτεταμένος έλεγχος (audit) χρηστών πριν την προθεσμία, ενεργοποίηση της εκστρατείας εγγραφής (registration campaign) που ξεκινάει στις 6 Ιουλίου 2026 και επικαιροποίηση των διαδικασιών reset για να αποφύγετε κύμα κλήσεων στο help desk τον Σεπτέμβριο.

  • Στις 7 Σεπτεμβρίου 2026 το Entra ID SSPR θα απαιτεί καταχωρημένες μεθόδους authentication. Τα contact info πεδία δεν θα γίνονται αποδεκτά για επαλήθευση ταυτότητας.
  • Η Microsoft ξεκινά αυτόματη registration campaign στις 6 Ιουλίου 2026 για χρήστες χωρίς συμβατή μέθοδο.
  • Οι συμβατές μέθοδοι είναι Microsoft Authenticator (push και OTP), FIDO2 security key, Windows Hello for Business, Email OTP, SMS και Voice call σε καταχωρημένο αριθμό.
  • Ελέγξτε άμεσα τους χρήστες με το φίλτρο "SSPR capable: No" στο Authentication methods, στο User registration details.
  • Σε υβριδικά περιβάλλοντα ενεργοποιήστε password writeback ώστε ο νέος κωδικός να συγχρονίζεται με το on-premises Active Directory.
  • Συνδυάστε την αλλαγή με Conditional Access policies για authentication context και προστασία από MFA fatigue attacks.

Τι αλλάζει στο Entra ID SSPR τον Σεπτέμβριο 2026;

Μέχρι σήμερα, αν ένας χρήστης Entra ID ξεχνούσε τον κωδικό του, το SSPR μπορούσε να επαληθεύσει την ταυτότητά του χρησιμοποιώντας στοιχεία επικοινωνίας από το προφίλ (δηλαδή τα πεδία mobile, otherMails ή businessPhones του Microsoft Graph object), χωρίς αυτά να έχουν περάσει ποτέ από τη διαδικασία εγγραφής μεθόδου authentication. Η Microsoft ανακοίνωσε ότι αυτή η συμπεριφορά αποσύρεται στις 7 Σεπτεμβρίου 2026. Από εκείνη την ημερομηνία και μετά, το SSPR θα δέχεται μόνο μεθόδους που υπάρχουν στο authenticationMethods collection του χρήστη και έχουν περάσει επαλήθευση κατοχής (proof-of-possession) τουλάχιστον μία φορά.

Το πραγματικό κίνητρο είναι η μείωση του account takeover. Στις παραβιάσεις των τελευταίων ετών, αρκετές περιπτώσεις ξεκινούσαν με τη χρήση παρωχημένων στοιχείων: τηλέφωνο πρώην εργαζομένου που είχε επανεκχωρηθεί σε νέο κάτοχο από τον πάροχο, εταιρικό email-only λογαριασμός που δεν συντηρούσε κανείς, εναλλακτικό email που είχε πιραταριστεί. Η ανακοίνωση της Microsoft για την αυστηροποίηση του SSPR αναφέρει ρητά αυτό το threat model.

Ειλικρινά, σε ένα project όπου είχα αναλάβει την μετάβαση 1.200 χρηστών σε Authenticator πέρυσι, βρήκαμε τρεις περιπτώσεις όπου το παλιό κινητό στο προφίλ ανήκε ήδη σε άλλο άτομο. Σκεφτείτε το για λίγο. Αν κάποιος είχε προσπαθήσει επίθεση SSPR, θα είχε ολοκληρωθεί χωρίς καν alert.

Παράλληλα, η Microsoft αλλάζει και την προεπιλογή για το γνωστό switch "Allow users to use security questions for sign-in": για νέους tenants μετά τον Ιούλιο 2026, οι ερωτήσεις ασφαλείας είναι απενεργοποιημένες by default και επιτρέπονται μόνο για on-premises λογαριασμούς. Αν στο tenant σας τις χρησιμοποιείτε ακόμα ως δεύτερη μέθοδο, σχεδιάστε πλάνο αντικατάστασης πριν τον Σεπτέμβριο.

Ποιες μέθοδοι authentication είναι συμβατές με το SSPR;

Το Entra ID χωρίζει τις μεθόδους σε SSPR-capable και μη. Συμβατές με το SSPR θεωρούνται μόνο όσες παρέχουν επιβεβαιωμένη απόδειξη κατοχής. Σύμφωνα με το επίσημο SSPR deep dive της Microsoft, οι αποδεκτές μέθοδοι περιλαμβάνουν:

  • Microsoft Authenticator: push notification ή χρονικά μεταβαλλόμενο OTP code.
  • Authenticator app (third-party TOTP): οποιαδήποτε εφαρμογή που υλοποιεί RFC 6238, π.χ. Google Authenticator, Authy.
  • FIDO2 security key: φυσικά keys όπως YubiKey ή platform authenticators.
  • Windows Hello for Business: PIN ή βιομετρικά, με platform key.
  • Email one-time passcode: προς το καταχωρημένο alternate email του χρήστη.
  • SMS code: προς τον καταχωρημένο αριθμό κινητού (μέθοδος, όχι profile attribute).
  • Voice call: προς τον καταχωρημένο αριθμό εργασίας ή κινητού.

Το password και τα security questions δεν θεωρούνται SSPR-capable methods και δεν μετράνε στις δύο μεθόδους που απαιτούνται για να ολοκληρωθεί επιτυχώς η διαδικασία reset (όταν το policy επιβάλλει two-method reset, που είναι default για το Entra ID). Σημειώστε επίσης ότι τα passwordless certificate-based authentication credentials δεν είναι SSPR-capable, καθώς το reset αφορά password account.

Πώς ελέγχω αν οι χρήστες μου έχουν συμβατή μέθοδο;

Υπάρχουν δύο πρακτικοί τρόποι να εντοπίσετε χρήστες που θα "σπάσουν" στις 7 Σεπτεμβρίου: το γραφικό dashboard στο Entra admin center και ένα ad-hoc Microsoft Graph PowerShell script για bulk export.

Μέσω Entra admin center

  1. Συνδεθείτε στο entra.microsoft.com με Authentication Policy Administrator role τουλάχιστον.
  2. Μεταβείτε σε Protection → Authentication methods → User registration details.
  3. Στο φίλτρο SSPR capable επιλέξτε No.
  4. Εξάγετε τη λίστα σε CSV (κουμπί Download). Αυτή είναι η ομάδα προτεραιότητας.

Μέσω Microsoft Graph PowerShell

Για tenants με πάνω από μερικές εκατοντάδες χρήστες, το CSV export γίνεται δύσχρηστο. Το παρακάτω script συνδέεται με το Graph και επιστρέφει όλους τους ενεργούς χρήστες που δεν είναι SSPR-capable:

# Απαιτείται PowerShell 7+ και Microsoft.Graph module 2.20+
Install-Module Microsoft.Graph -Scope CurrentUser -Force

Connect-MgGraph -Scopes "AuditLog.Read.All","UserAuthenticationMethod.Read.All","User.Read.All"

# Φέρε το user registration details report του τελευταίου refresh
$reports = Get-MgReportAuthenticationMethodUserRegistrationDetail `
  -Filter "isSsprCapable eq false and userType eq 'member'" `
  -All

$reports | Where-Object { $_.IsAdmin -eq $false } |
  Select-Object UserPrincipalName, UserDisplayName,
    @{n='Methods';e={$_.MethodsRegistered -join ','}},
    IsMfaRegistered, IsSsprRegistered, LastUpdatedDateTime |
  Export-Csv -Path .\sspr-noncompliant-users.csv -NoTypeInformation -Encoding UTF8

Write-Host "Exported $($reports.Count) χρήστες χωρίς SSPR-capable method."

Το report ανανεώνεται κάθε ~24 ώρες, οπότε αν μόλις προσθέσατε μεθόδους σε χρήστες, ίσως δείτε καθυστερημένα δεδομένα. Για live έλεγχο μεμονωμένου χρήστη χρησιμοποιήστε Get-MgUserAuthenticationMethod -UserId [email protected].

Πώς ενεργοποιώ το registration campaign;

Το registration campaign είναι ο μηχανισμός με τον οποίο η Microsoft αναγκάζει τους χρήστες να εγγράψουν μια ισχυρότερη μέθοδο όταν συνδέονται. Από τις 6 Ιουλίου 2026 ξεκινάει staged rollout για non-compliant tenants, αλλά είναι σαφώς προτιμότερο να το ενεργοποιήσετε proactively για να ελέγξετε εσείς το πότε και το ποιοι χρήστες θα παρακινηθούν.

  1. Στο Entra admin center πηγαίνετε σε Protection → Authentication methods → Registration campaign.
  2. Αλλάξτε το State σε Microsoft managed ή Enabled.
  3. Στο Days allowed to snooze ορίστε 0 για να ολοκληρωθεί η εγγραφή χωρίς αναβολή. Τιμή 1 έως 14 δίνει στους χρήστες περιθώριο.
  4. Στο Snooze counter ορίστε πόσες φορές μπορούν να αναβάλουν (συνιστώμενο: 3).
  5. Στο Include/Exclude ξεκινήστε με ένα pilot group (π.χ. το IT team) πριν επεκταθείτε σε όλους.

Όταν ένας χρήστης κάνει sign-in με κωδικό συν SMS (χωρίς app), εμφανίζεται προτροπή για εγκατάσταση του Microsoft Authenticator. Το flow είναι παρόμοιο με το γνωστό "More information required" prompt αλλά πιο φιλικό και επιτρέπει snooze.

Password writeback και υβριδικά περιβάλλοντα με Active Directory

Σε υβριδικά setups με Entra Connect Sync ή Cloud Sync, το reset μέσω SSPR επηρεάζει μόνο το cloud object, εκτός αν είναι ενεργό το password writeback. Χωρίς αυτό, ο χρήστης βλέπει νέο κωδικό στο Microsoft 365 αλλά δεν μπορεί να συνδεθεί στο VPN ή στο file server του γραφείου. Μια κλασική πηγή tickets για help desk.

Για ενεργοποίηση password writeback στο Entra Connect Sync:

  1. Ανοίξτε το Microsoft Entra Connect στον sync server.
  2. Επιλέξτε Configure, μετά Customize synchronization options.
  3. Στο βήμα Optional features, τσεκάρετε Password writeback.
  4. Στο on-premises AD δώστε στο sync service account το permission Reset password και Write lockoutTime / pwdLastSet για το OU που συγχρονίζεται.
  5. Στο Entra admin center, Protection → Password reset → On-premises integration, βεβαιωθείτε ότι το toggle Write back passwords to your on-premises directory? είναι Yes.

Επιπλέον, ενεργοποιήστε το flag EnforceCloudPasswordPolicyForPasswordSyncedUsers ώστε οι κανόνες πολυπλοκότητας του Entra ID password protection (π.χ. banned password list, custom banned passwords για το όνομα της εταιρείας) να εφαρμόζονται και σε on-premises originated αλλαγές. Με το PowerShell:

Connect-MgGraph -Scopes "Directory.ReadWrite.All"

# Ενεργοποίηση Cloud Password Policy enforcement για synced users
$body = @{
  onPremisesPasswordSyncBehavior = @{
    cloudPasswordPolicyForPasswordSyncedUsersEnabled = $true
  }
} | ConvertTo-Json

Invoke-MgGraphRequest -Method PATCH `
  -Uri "https://graph.microsoft.com/beta/directory/onPremisesSynchronization" `
  -Body $body

Όσοι διαχειρίζεστε Microsoft 365 administration tasks γενικότερα, μπορεί να σας ενδιαφέρει και ο πλήρης οδηγός για shared mailboxes που δεν εμφανίζονται στο νέο Outlook 2026. Είναι η δεύτερη πιο συχνή πηγή tickets μετά τα password resets σε αρκετά helpdesks που έχω δει.

Conditional Access για το SSPR

Από το Q1 2026, η Microsoft επιτρέπει στόχευση του SSPR registration flow με Conditional Access policies, μέσω της user action Register security information. Αυτό σας δίνει τη δυνατότητα να επιβάλετε π.χ. ότι ο χρήστης πρέπει να βρίσκεται σε compliant device ή σε trusted network για να εγγράψει νέα μέθοδο authentication. Απαραίτητο μέτρο ενάντια σε attacker-in-the-middle σενάρια όπου ο επιτιθέμενος εγγράφει δικό του Authenticator μετά από credential theft.

Παράδειγμα policy:

  • Users: All users (exclude break-glass accounts).
  • Cloud apps or actions: User actions, μετά Register security information.
  • Conditions → Locations: Exclude trusted locations (HQ public IPs, VPN range).
  • Grant: Require multifactor authentication AND require device to be marked as compliant.

Αυτή η policy κάνει αδύνατη την εγγραφή νέου Authenticator από unmanaged device εκτός εταιρικού δικτύου, χωρίς να εμποδίζει τους χρήστες που είναι σε γραφείο ή σε εταιρικό laptop. Δείτε τις λεπτομέρειες στις καταγεγραμμένες αλλαγές του Entra ID SSPR για το 2026.

Troubleshooting συνηθισμένων προβλημάτων SSPR

Παρά τον σχεδιασμό, κάποια προβλήματα θα εμφανιστούν. Τα παρακάτω είναι τα πιο συνηθισμένα tickets που βλέπουμε στα helpdesks μετά από ανάλογες αλλαγές policy.

"We're sorry, we couldn't reset your password"

Σχεδόν πάντα σημαίνει ότι ο χρήστης δεν έχει τις απαιτούμενες δύο καταχωρημένες μεθόδους (το default policy). Στο sign-in log θα δείτε error code 50056. Λύση: από admin, στο Reset password στο user profile, δώστε temporary password και ζητήστε από τον χρήστη να εγγράψει δεύτερη μέθοδο στο επόμενο login.

SSPR ζητάει κωδικό SMS αλλά ο χρήστης δεν τον λαμβάνει

Ελέγξτε ότι ο αριθμός είναι σε διεθνή μορφή +30 69.... Στην Ελλάδα, αρκετοί telco providers φιλτράρουν messages από short codes εξωτερικού. Δοκιμάστε εναλλακτικά voice call ή σπρώξτε τον χρήστη σε Microsoft Authenticator όπου δεν υπάρχει telephony dependency.

Password writeback failures

Αν το SSPR ολοκληρώνεται στο cloud αλλά αποτυγχάνει στο on-premises, ελέγξτε το event log Application and Services Logs → Microsoft → Microsoft Entra Connect στον sync server. Event 33002 σημαίνει συνήθως ότι το ADSync service account δεν έχει το Reset Password permission στο OU του χρήστη. Honestly, σε αυτό το λάθος έχω κολλήσει δύο φορές γιατί ξέχασα να εφαρμόσω το permission σε child OU.

Federated tenants με ADFS

Σε ADFS-federated tenants το SSPR εξακολουθεί να λειτουργεί αλλά τα τοπικά password policies και claims rules μπορεί να επιστρέψουν λάθος. Καλύτερη πρακτική για το 2026 είναι η μετάβαση από ADFS σε Entra ID native authentication (Password Hash Sync ή Pass-Through Authentication). Η Microsoft έχει ανακοινώσει deprecation timeline για το ADFS connector.

Help desk runbook μετά τις 7 Σεπτεμβρίου

Επικαιροποιήστε το script των agents σας ώστε να μην ζητούν πλέον "το κινητό από το προφίλ" όταν επιβεβαιώνουν ταυτότητα. Από τις 7 Σεπτεμβρίου 2026 και μετά, η αλληλουχία ερωτήσεων πρέπει να είναι:

  1. Επιβεβαίωση ταυτότητας με δεύτερο κανάλι (callback στον manager του χρήστη ή video call για βίντεο-id). Μη βασίζεστε σε δεδομένα του προφίλ.
  2. Ρωτήστε τον χρήστη ποιες μεθόδους έχει εγγεγραμμένες. Χρησιμοποιήστε το Get-MgUserAuthenticationMethod για cross-check στο admin terminal.
  3. Αν ο χρήστης έχει χάσει όλες τις μεθόδους, έκδοση Temporary Access Pass (TAP) με διάρκεια 1 ώρα και one-time use, όχι reset password as first option.
  4. Καταγραφή στο ticketing system του λόγου που χάθηκαν οι μέθοδοι (κλεμμένο τηλέφωνο, νέα συσκευή, κ.λπ.). Μπορεί να αναδείξει pattern επίθεσης.
  5. Παρακολούθηση των πρώτων 30 λεπτών μετά το TAP issuance. Event που δείχνει εγγραφή Authenticator από άγνωστη γεωγραφική τοποθεσία αξιολογείται ως security incident.

Για μεγαλύτερους οργανισμούς, σκεφτείτε να αυτοματοποιήσετε τη διαδικασία TAP issuance μέσω Logic App ή Power Automate flow που ενεργοποιείται από εγκεκριμένο service-desk ticket. Έτσι κάθε TAP που εκδίδεται έχει ίχνος audit στο SIEM σας.

Αν αντιμετωπίζετε ταυτόχρονα ζητήματα Windows update που οδηγούν σε boot loop στους clients σας, ίσως φανεί χρήσιμος και ο οδηγός επιδιόρθωσης του Windows 11 KB5077181 boot loop, καθώς μπορεί να συνδυαστούν με recovery flows που εμπλέκουν BitLocker και επανα-εγγραφή authentication methods.

Συχνές Ερωτήσεις

Τι ακριβώς αλλάζει στο Entra ID SSPR στις 7 Σεπτεμβρίου 2026;

Το SSPR θα δέχεται μόνο authentication methods που είναι ρητά καταχωρημένες στο λογαριασμό του χρήστη. Στοιχεία επικοινωνίας από τα προφίλ πεδία (mobile, alternate email) δεν θα γίνονται πλέον αποδεκτά για επαλήθευση ταυτότητας.

Ποιες μέθοδοι authentication μετράνε ως SSPR-capable;

Microsoft Authenticator (push και OTP), third-party TOTP authenticators, FIDO2 security keys, Windows Hello for Business, καταχωρημένος αριθμός κινητού για SMS ή voice, και καταχωρημένο alternate email για OTP. Το password και οι ερωτήσεις ασφαλείας δεν μετράνε.

Πώς ξέρω ποιοι χρήστες θα κολλήσουν τον Σεπτέμβριο;

Στο Entra admin center πηγαίνετε σε Protection → Authentication methods → User registration details και φιλτράρετε με "SSPR capable: No". Εναλλακτικά τρέξτε Get-MgReportAuthenticationMethodUserRegistrationDetail -Filter "isSsprCapable eq false" για bulk export.

Χρειάζομαι password writeback αν χρησιμοποιώ Entra Connect Sync;

Ναι, αν θέλετε ο νέος κωδικός να συγχρονίζεται και στο on-premises Active Directory. Χωρίς password writeback, ο χρήστης μπορεί να συνδεθεί στο Microsoft 365 με τον νέο κωδικό αλλά όχι σε on-premises resources όπως VPN, file servers ή domain-joined συσκευές.

Τι γίνεται με τις ερωτήσεις ασφαλείας μετά τον Σεπτέμβριο 2026;

Για νέους tenants είναι απενεργοποιημένες by default. Σε υπάρχοντες tenants μπορούν να συνεχίσουν να χρησιμοποιούνται, αλλά η Microsoft τις χαρακτηρίζει deprecated. Συνιστάται η μετάβαση σε Authenticator ή FIDO2 πριν τις απενεργοποιήσει εντελώς σε επόμενη ενημέρωση.

Editorial Team
Σχετικά με τον Συγγραφέα Editorial Team

Our team of expert writers and editors.