Entra ID

Microsoft Entra ID zpřísní CSP na přihlašovacích stránkách

3 min čtení

Shrnutí

Microsoft od poloviny až konce října 2026 zpřísní Content Security Policy na přihlašovacích stránkách Microsoft Entra ID na login.microsoftonline.com, aby blokoval neschválené externí i inline skripty a snížil riziko útoků při ověřování identity. Pro většinu organizací půjde o transparentní bezpečnostní zlepšení, ale firmy využívající vlastní skripty nebo úpravy na přihlašovací stránce by měly včas ověřit kompatibilitu, protože tyto zásahy mohou přestat fungovat.

Potřebujete pomoc s Entra ID?Mluvte s odborníkem

Úvod

Microsoft posiluje přihlašování do Microsoft Entra ID v rámci iniciativy Secure Future Initiative (SFI). Nadcházející vynucení Content Security Policy (CSP) je navrženo tak, aby zabránilo vkládání externích skriptů během ověřování identity—oblasti, na kterou útočníci často cílí—tím, že omezí, které skripty se mohou na přihlašovací stránce načítat a spouštět.

Co je nového

Microsoft přidá a bude vynucovat přísnější hlavičku CSP pro přihlašování do Entra ID na login.microsoftonline.com. Klíčové změny zahrnují:

  • Stahování skriptů omezené na důvěryhodné domény Microsoft CDN Načítat se budou moci pouze skripty ze sítí pro doručování obsahu schválených Microsoftem.

  • Spouštění inline skriptů omezené na důvěryhodné zdroje Microsoftu (nonce-based) Inline skripty budou řízeny pomocí CSP nonce vzorů, což zabrání spuštění libovolného inline kódu.

  • Rozsah omezen na přihlášení v prohlížeči na login.microsoftonline.com Týká se to interaktivních přihlašovacích stránek v prohlížeči.

  • Bez dopadu na Microsoft Entra External ID Microsoft uvádí, že prostředí Entra External ID nejsou touto aktualizací ovlivněna.

Časový plán

  • Globální vynucení: Microsoft Entra ID bude vynucovat aktualizované CSP od poloviny až konce října 2026.
  • Komunikace: Microsoft bude před nasazením posílat průběžné aktualizace.

Dopad na IT administrátory a koncové uživatele

Pro většinu organizací půjde o „tiché“ bezpečnostní zlepšení. Prostředí, která používají rozšíření prohlížeče, skripty nebo nástroje třetích stran vkládající kód do přihlašovací stránky, však mohou očekávat, že tato vkládaná funkcionalita přestane fungovat.

Důležitá nuance: Microsoft uvádí, že i když vložené nástroje přestanou fungovat, uživatelé se stále mohou přihlásit—ale jakékoli překryvné prvky (overlay), instrumentace, přizpůsobení nebo pomocná logika závislá na vkládání kódu může selhat.

Typické položky k prověření zahrnují:

  • Správce hesel nebo „security“ rozšíření, která upravují přihlašovací stránky
  • Helpdesk nebo SSO troubleshooting overlay
  • Vlastní branding nebo UX úpravy realizované přes vkládání kódu
  • Monitorovací nebo analytické nástroje, které se napojují na sign-in UI pomocí skriptování v prohlížeči

Doporučené kroky / další postup

  1. Zmapujte a omezte závislosti na vkládání kódu do přihlašovací stránky Microsoft výslovně doporučuje vyhnout se rozšířením nebo nástrojům, které vkládají kód do přihlašování do Entra.

  2. Otestujte přihlašovací toky s otevřenými Developer Tools Projděte běžné scénáře přihlášení (spravovaná zařízení, nespravovaná zařízení, různé prohlížeče, varianty conditional access) s otevřenou vývojářskou konzolí prohlížeče a hledejte CSP violations (obvykle se zobrazují červeně).

  3. Vyhodnoťte různé persony uživatelů a toky Protože porušení se mohou objevit jen u konkrétních týmů nebo nastavení uživatelů (kvůli rozšířením či lokálním nástrojům), testujte s více skupinami uživatelů a konfiguracemi zařízení.

  4. Nahraďte dotčené nástroje alternativami bez vkládání kódu Pokud najdete pro byznys kritické nástroje spoléhající na vkládání skriptů, začněte už nyní vyhodnocovat alternativy—vkládání skriptů do přihlašovací stránky už po zahájení vynucení nebude podporováno.

Proč je to důležité

Ověřovací stránky jsou vysoce hodnotným cílem. Vynucení CSP na hranici přihlášení je významným krokem ke snížení plochy útoku pro vložené nebo škodlivé skripty a zvyšuje odolnost vůči moderním webovým útokům na identitu, aniž by narušilo uživatelské přihlašování u vyhovujících konfigurací.

Potřebujete pomoc s Entra ID?

Naši odborníci vám pomohou implementovat a optimalizovat vaše Microsoft řešení.

Mluvte s odborníkem

Buďte v obraze o technologiích Microsoft

Přečtěte si původní článek od AnkurPatel
Entra IDauthenticationContent Security PolicyCSPSecure Future Initiative

Související články

Entra ID

Microsoft Entra Backup and Recovery Enters Preview

Microsoft has launched Microsoft Entra Backup and Recovery in public preview, giving organizations a Microsoft-managed way to restore critical identity objects and configurations to a known-good state. The service helps IT teams recover faster from accidental admin changes, provisioning errors, and malicious modifications that could otherwise disrupt access and security.

Entra ID

Microsoft Entra External MFA Now Generally Available

Microsoft has announced general availability of external MFA in Microsoft Entra ID, allowing organizations to integrate trusted third-party MFA providers using OpenID Connect. The feature lets IT teams keep Microsoft Entra ID as the central identity control plane while maintaining Conditional Access, risk evaluation, and unified authentication method management.

Entra ID

Microsoft Entra RSAC 2026 Identity Security Updates

At RSAC 2026, Microsoft announced major Microsoft Entra updates aimed at securing not only users and devices but also AI agents, workloads, and modern multi-tenant environments. The new capabilities—such as expanded Entra Agent ID governance, shadow AI detection, prompt injection protection, passkey enhancements, and adaptive risk-based access—matter because they strengthen Zero Trust identity security as organizations adopt AI and face more dynamic access risks.

Entra ID

Microsoft Entra Secure Access Report 2026 on AI Risk

Microsoft’s Entra Secure Access Report 2026 says AI adoption is significantly increasing identity and network access risk, with 97% of organizations reporting an access-related incident in the past year and 70% tying incidents to AI activity. The report argues that fragmented identity and network tools are making the problem worse, which matters because more organizations are now moving toward consolidated access platforms to better secure AI tools, agents, and machine identities.

Entra ID

Microsoft Entra Conditional Access: All resources změna

Microsoft změní od 27. března 2026 způsob vynucování Conditional Access v Entra ID: zásady cílené na „All resources“ se nově budou uplatňovat i u přihlášení, která dříve mohla kvůli omezeným OIDC nebo directory scopes obejít vyhodnocení, a to i pokud zásada obsahuje výjimky na prostředky. Je to důležité hlavně pro organizace, které mají CA politiky pro všechny cloudové aplikace s výjimkami, protože uživatelé mohou nově častěji narážet na MFA, kontrolu shody zařízení nebo další podmínky přístupu.

Entra ID

Microsoft Entra Access Priorities: zabezpečení AI

Microsoft spouští čtyřdílnou sérii Microsoft Entra Access Priorities, která IT týmům ukáže praktické kroky pro vybudování sjednoceného a bezpečného řízení přístupu včetně ochrany uživatelů, aplikací, zařízení i AI agentů. Novinka je důležitá proto, že identita se stává klíčovou bezpečnostní vrstvou a organizace potřebují konkrétní návody, jak zavést phishing-resistant autentizaci, least privilege a Zero Trust postupy i pro nové AI scénáře.