[What and Why]

We are updating bot protection in Microsoft Entra self-service password reset (SSPR) by replacing the legacy CAPTCHA with modern backend throttling and behavior-based abuse detection. This change improves security, accessibility, and reliability by reducing friction for users while strengthening protection against automated attacks and account enumeration. No configuration changes are required. This change is fully managed by Microsoft.

[Rollout Schedule]

General Availability (Worldwide): Rollout will begin in late July 2026 and is expected to complete by mid-August 2026.

[Impact on Your Organization]

Who is affected

• All Microsoft Entra tenants using self-service password reset (SSPR)

Platforms/Services

• Microsoft Entra, self-service password reset (web flow)

What will happen

• The legacy CAPTCHA challenge will be removed from the SSPR experience.
• Users will continue to reset passwords as they do today without additional prompts.
• Backend throttling and behavior-based detection will protect against bots and abuse.
• No users will be blocked from completing SSPR.
• There is no impact to users’ ability to reset their passwords.
• No changes to authentication methods, policies, or configurations.
• No new admin controls will be introduced.
• The feature is enabled by default and managed by Microsoft.

[Action Required/Recommendations]

No action is required.

As an optional best practice:

• Inform your helpdesk that CAPTCHA prompts will no longer appear in SSPR flows.
• Update internal documentation if it references CAPTCHA during password reset.

[Compliance considerations]

 No compliance considerations identified, review as appropriate for your organization.

【何となぜ】

Microsoft Entraのセルフサービスパスワードリセット(SSPR)を更新し、従来のCAPTCHAを最新のバックエンドスロットリングと行動ベースの悪用検出に置き換えています。この変更により、ユーザーの摩擦を減らすとともに、自動攻撃やアカウント列挙からの保護を強化することで、セキュリティ、アクセス性、信頼性が向上します。設定の変更は一切必要ありません。この変更はMicrosoftが完全に管理しています。

[展開スケジュール]

一般公開(世界): 展開は 2026年7月下旬 に開始され、 2026年8月中旬までに完了する予定です。

[組織への影響]

影響を受ける人物

• すべてのMicrosoft Entraテナントがセルフサービスパスワードリセット(SSPR)を使用している場合

プラットフォーム/サービス

• Microsoft Entra, self-service password reset (web flow)

何が起こるのか

• レガシーのCAPTCHAチャレンジはSSPR体験から削除されます。
• ユーザーは現在と同様に追加のプロンプトなしでパスワードのリセットを続けます。
• バックエンドのスロットリングや行動ベースの検出は、ボットや悪用から守ります。
• ユーザーがSSPRの完了を妨げられることはありません。
• ユーザーのパスワードリセットには影響がありません。
• 認証方法、ポリシー、設定の変更はありません。
• 新たな管理管理は導入されません。
• この機能はデフォルトで有効化されており、Microsoftが管理しています。

[行動が必要/提言]

何の対応も必要ありません。

オプションのベストプラクティスとして:

• ヘルプデスクに、CAPTCHAプロンプトはSSPRフローに表示されなくなることを伝えてください。
• パスワードリセット時にCAPTCHAを参照している場合は内部ドキュメントを更新してください。

[コンプライアンスの考慮事項]

 コンプライアンス上の懸念事項は特定されず、組織に応じてレビューしてください。