Entra ID

Microsoft Entra ID CSP på logonsider blokerer scripts

3 min læsning

Resumé

Microsoft vil fra midt til sidst i oktober 2026 håndhæve en strengere Content Security Policy på Entra ID-logonsider på login.microsoftonline.com, så kun scripts fra betroede Microsoft-CDN’er og nonce-godkendte inline scripts kan køre. Det styrker sikkerheden mod script-injektion under login, men kan påvirke organisationer, der bruger tilpasninger eller tredjepartsscripts på logonsiderne, og derfor bør IT-administratorer gennemgå deres opsætning i god tid.

Brug for hjælp med Entra ID?Tal med en ekspert

Introduktion

Microsoft forstærker Microsoft Entra ID-logonoplevelsen som en del af Secure Future Initiative (SFI). Den kommende håndhævelse af Content Security Policy (CSP) er designet til at forhindre ekstern script-injektion under godkendelse—et område, der ofte er mål for angribere—ved at begrænse hvilke scripts der kan indlæses og eksekveres på logonsiden.

Hvad er nyt

Microsoft tilføjer og håndhæver en strengere CSP-header for Entra ID-logonoplevelsen på login.microsoftonline.com. Vigtige ændringer inkluderer:

  • Script-downloads begrænses til betroede Microsoft CDN-domæner Kun scripts, der stammer fra Microsoft-godkendte content delivery networks, vil kunne indlæses.

  • Eksekvering af inline scripts begrænses til betroede Microsoft-kilder (nonce-baseret) Inline scripts vil blive styret via CSP-nonce-mønstre, som forhindrer vilkårlig inline-kode i at køre.

  • Omfanget er begrænset til browserbaserede logon på login.microsoftonline.com Dette gælder specifikt for interaktive logonsider i en browser.

  • Ingen påvirkning af Microsoft Entra External ID Microsoft oplyser, at Entra External ID-oplevelser ikke påvirkes af denne opdatering.

Tidslinje

  • Global håndhævelse: Microsoft Entra ID vil håndhæve den opdaterede CSP midt til sidst i oktober 2026.
  • Kommunikation: Microsoft sender periodiske opdateringer forud for udrulningen.

Påvirkning for IT-administratorer og slutbrugere

For de fleste organisationer vil dette være en “stille” sikkerhedsforbedring. Miljøer, der bruger browserudvidelser, scripts eller tredjepartsværktøjer, som injicerer kode i logonsiden, bør dog forvente, at den injicerede funktionalitet kan gå i stykker.

Vigtig nuance: Microsoft angiver, at selv hvis injicerede værktøjer holder op med at virke, kan brugerne stadig logge på—men eventuelle overlays, instrumentering, tilpasninger eller hjælpelogik, der afhænger af injektion, kan fejle.

Typiske områder, der bør gennemgås, omfatter:

  • Password managers eller “security”-udvidelser, der ændrer logonsider
  • Helpdesk- eller SSO-fejlsøgnings-overlays
  • Custom branding eller UX-ændringer implementeret via injektion
  • Overvågnings- eller analytics-værktøjer, der hooker ind i logon-UI via browser scripting

Anbefalede handlinger / næste skridt

  1. Kortlæg og reducer afhængigheder af injektion på logonsiden Microsoft anbefaler eksplicit at undgå udvidelser eller værktøjer, der injicerer kode i Entra-logonoplevelsen.

  2. Test logonflows med Developer Tools åbne Gennemfør jeres mest almindelige logonscenarier (managed devices, unmanaged devices, forskellige browsere, conditional access-variationer) med browserens dev console åben, og se efter CSP violations (typisk vist med rødt).

  3. Vurdér forskellige brugerpersonas og flows Da overtrædelser muligvis kun opstår for bestemte teams eller brugeropsætninger (pga. udvidelser eller lokale værktøjer), bør I teste med flere brugergrupper og device-konfigurationer.

  4. Erstat påvirkede værktøjer med alternativer uden injektion Hvis I finder forretningskritiske værktøjer, der er afhængige af script-injektion, bør I begynde at evaluere alternativer nu—script-injektion på logonsiden vil ikke længere være understøttet, når håndhævelsen starter.

Hvorfor det er vigtigt

Godkendelsessider er mål med høj værdi. Håndhævelse af CSP ved logongrænsen er et vigtigt skridt til at reducere angrebsfladen for injicerede eller ondsindede scripts og forbedre robustheden mod moderne webbaserede identitetsangreb, samtidig med at logonoplevelsen for brugerne forbliver intakt for kompatible konfigurationer.

Brug for hjælp med Entra ID?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af AnkurPatel
Entra IDauthenticationContent Security PolicyCSPSecure Future Initiative

Relaterede indlæg

Entra ID

Microsoft Entra Backup og gendannelse i preview

Microsoft har lanceret Microsoft Entra Backup og gendannelse i offentlig preview, hvilket giver organisationer en Microsoft-administreret måde at gendanne kritiske identitetsobjekter og konfigurationer til en kendt, velfungerende tilstand. Tjenesten hjælper IT-teams med at komme sig hurtigere efter utilsigtede administratorændringer, provisioneringsfejl og ondsindede ændringer, som ellers kunne forstyrre adgang og sikkerhed.

Entra ID

Microsoft Entra ekstern MFA nu generelt tilgængelig

Microsoft har annonceret generel tilgængelighed af ekstern MFA i Microsoft Entra ID, så organisationer kan integrere betroede tredjeparts MFA-leverandører via OpenID Connect. Funktionen gør det muligt for IT-teams at bevare Microsoft Entra ID som det centrale identitetskontrolplan, samtidig med at de fastholder Conditional Access, risikovurdering og samlet administration af godkendelsesmetoder.

Entra ID

Microsoft Entra sikkerhed på RSAC 2026: AI-agenter

Microsoft annoncerer på RSAC 2026 nye Entra-funktioner, der udvider identitetssikkerhed til også at omfatte AI-agenter, workloads og multi-tenant-miljøer. Det er vigtigt, fordi organisationer får stærkere governance, Conditional Access og risikobaserede kontroller til både agentidentiteter og medarbejderadgang, herunder beskyttelse mod Shadow AI, prompt injection og mere moderne passwordløse loginmetoder.

Entra ID

Microsoft Entra-rapport: AI ændrer enterprise-adgang

Microsofts nye Entra-rapport viser, at AI markant øger presset på virksomheders adgangssikkerhed: 97 % af organisationerne har haft en identity- eller network access-hændelse det seneste år, og 70 % knytter hændelser til AI-relateret aktivitet. Det er vigtigt, fordi generativ AI og autonome agenter skaber flere machine identities og mere kompleks adgangsstyring, hvilket får mange virksomheder til at søge mod konsoliderede, integrerede sikkerhedsplatforme.

Entra ID

Microsoft Entra Conditional Access og All resources

Microsoft ændrer håndhævelsen af Entra Conditional Access, så politikker, der målretter “All resources”, også bliver anvendt konsekvent i sign-ins, hvor klientapps kun anmoder om OIDC-scopes eller et begrænset sæt directory-scopes — selv hvis politikken har ressourceekskluderinger. Det er vigtigt, fordi det lukker et hul i sikkerheden og kan betyde, at flere brugere fra 27. marts 2026 vil blive mødt med MFA, enhedskrav eller andre adgangskontroller i flows, der tidligere kunne slippe uden om CA-politikker.

Entra ID

Microsoft Entra Access Priorities: sikker AI-adgang

Microsoft lancerer Microsoft Entra Access Priorities Series, en webinarserie i fire dele, der hjælper IT-teams med at implementere sikker adgang i praksis til medarbejdere, apps, enheder og AI-agenter. Serien fokuserer på phishing-resistent godkendelse, adaptiv adgang, least privilege og en Access Fabric-tilgang, hvilket er vigtigt, fordi identitet i stigende grad er blevet det centrale kontrolpunkt for sikkerhed i AI-æraen.