[What and Why]

You’re receiving this message because your organization uses Microsoft Entra ID Self-Service Password Reset (SSPR).

Currently, SSPR may allow users to verify their identity using contact information stored in directory attributes such as mobile phone, business phone, and alternate email, even if those values were never explicitly registered as authentication methods.

To strengthen identity security, SSPR will require explicitly registered authentication methods for verification. This change is part of Microsoft’s Secure Future Initiative and ensures password reset verification is based on trusted, user-validated methods rather than directory-sourced attributes.

[Rollout Schedule]

• July 6, 2026: SSPR registration campaign begins prompting users and administrators to register authentication methods.
• September 7, 2026: Enforcement begins. SSPR will no longer accept directory-sourced contact information for verification.
• General Availability (Worldwide, GCC, GCC High): Early September 2026 through mid-September 2026

[Impact on Your Organization]

Who is affected

• All users (including administrators) in tenants with SSPR enabled
• Applies to Public cloud and US Government clouds (GCC, GCC High, DoD)

Platforms/Services

• Microsoft Entra ID
• Self-Service Password Reset (SSPR)
• Web and admin portal experiences

What will happen

• Only explicitly registered authentication methods will be accepted for SSPR verification.
• Directory attributes (such as mobilePhone, businessPhone, otherMails) will no longer be valid unless registered.
• Approximately 86% of SSPR verifications already use registered methods today.
• Users without registered methods at enforcement will be:
  • Unable to complete password resets
  • Prompted to register methods or contact an administrator
• The registration campaign will proactively prompt affected users starting July 6, 2026.

[Action Required / Recommendations]

Action is required before September 7, 2026.

• Review authentication method registration coverage:
  • Go to Microsoft Entra admin center → Authentication methods → User registration details
• Ensure all users (including admins) have at least one registered authentication method that satisfies your SSPR policy.
• Allow or enable the SSPR registration campaign to prompt users automatically.
• Plan fallback processes:
  • Helpdesk-assisted registration
  • Alternative onboarding scenarios for users unable to self-register
• Communicate this change to:
  • IT admins and helpdesk teams
  • Users (encourage registration via My Security Info)

Learn more:

• Manage user authentication methods | Entra admin center
• Microsoft Q&A for Entra ID | Microsoft Security | Microsoft Entra | Microsoft Entra ID | Microsoft Learn
• Password policies and account restrictions in Microsoft Entra ID | Authentication | Microsoft Entra ID | Microsoft Entra | Microsoft Learn
• Prepopulate user authentication contact information for Microsoft Entra self-service password reset (SSPR) | Authentication | Microsoft Entra ID | Microsoft Entra | Microsoft Learn
• Register security information (My Security Info)
• Secure Future Initiative | Microsoft 

[Compliance Considerations]

【何となぜ】

このメッセージが届いているのは、御組織が Microsoft Entra IDセルフサービスパスワードリセット(SSPR)を使用しているためです。

現在、SSPRは、携帯電話、ビジネスフォン、代替メールアドレスなどのディレクトリ属性に保存された連絡先情報を使って、認証方法として明示的に登録されていなくても、ユーザーが本人確認を許可する可能性があります。

身元セキュリティを強化するため、 SSPRは認証のために明示的に登録された認証方法を要求します。この変更はMicrosoftのSecure Future Initiativeの一環であり、パスワードリセットの検証がディレクトリソース属性ではなく、信頼できるユーザー検証方法に基づくことを保証します。

[展開スケジュール]

• 2026年7月6日: SSPR登録キャンペーンが開始され、ユーザーや管理者に認証方法の登録を促されます。
• 2026年9月7日: 取り締まりが始まります。SSPRは、ディレクトリソースの連絡先情報を認証のために受け付けません。
• 一般公開期間(世界、GCC、GCC High): 2026年9月初旬から9月中旬まで

[組織への影響]

影響を受ける人物

• SSPRが有効なテナント内のすべてのユーザー(管理者を含む)
• パブリッククラウドおよび米国政府クラウド(GCC、GCC High、DoD)に適用

プラットフォーム/サービス

• Microsoft Entra ID
• セルフサービスパスワードリセット(SSPR)
• ウェブおよび管理ポータルの経験

何が起こるのか

• SSPR認証には 、明示的に登録された認証方法 のみが認められます。
• ディレクトリの属性(モバイルフォン、ビジネスフォン、otherMailsなど)は 登録されていないと無効になります。
• 現在、SSPR認証の約86%が登録済みの方法を使用しています。
• 登録されていない方法を執行対象にしないユーザーは以下の通りです:
  • パスワードリセットが完了できない
  • メソッドの登録または管理者への連絡を促される
• 登録キャンペーンは2026年7月6日から影響を受けるユーザーに積極的に促されます。

[行動が必要/勧告]

2026年9月7日までに対応が必要です。

• 認証方法の登録範囲を確認してください:
  • Microsoft Entra管理センターに行くべきですか?認証方法について?ユーザー登録の詳細
• すべてのユーザー(管理者を含む)がSSPRポリシーを満たす登録済み認証方法を少なくとも1つ持っていることを確認してください。
• SSPR登録キャンペーンを許可または有効にしてユーザーに自動的にインプンプトを提示してください。
• バックアッププロセスの計画:
  • ヘルプデスク支援登録
  • 自己登録できないユーザー向けの代替オンボーディングシナリオ
• この変更を以下の方に伝えてください:
  • IT管理者とヘルプデスクチーム
  • ユーザー( My Security Infoによる登録を推奨)

詳しくはこちら:

• ユーザー認証方法の管理 |Entra管理センター
• Microsoft Q&A for Entra ID |Microsoft セキュリティ |Microsoft Entra |Microsoft Entra ID |Microsoft Learn
• Microsoft Entra IDにおけるパスワードポリシーとアカウント制限 |認証 |Microsoft Entra ID |Microsoft Entra |Microsoft Learn
• Microsoft Entraセルフサービスパスワードリセット(SSPR)のユーザー認証連絡先情報を事前に入力する|認証 |Microsoft Entra ID |Microsoft Entra |Microsoft Learn
• セキュリティ情報登録(My Security Info)
• セキュア・フューチャー・イニシアティブ |マイクロソフト 

[コンプライアンスの考慮事項]