Entra ID

Microsoft Entra ID CSP auf Anmeldeseiten ab Okt 2026

3 Min. Lesezeit

Zusammenfassung

Microsoft führt ab Mitte bis Ende Oktober 2026 eine strengere Content Security Policy für browserbasierte Entra ID-Anmeldungen auf login.microsoftonline.com ein. Dadurch dürfen nur noch Skripte aus vertrauenswürdigen Microsoft-CDNs und nonce-geschützte Inline-Skripte ausgeführt werden, was das Risiko von Script-Injection bei Anmeldungen deutlich senkt. Für Unternehmen ist das wichtig, weil sicherheitsrelevante Anpassungen oder eingebundene Drittinhalte auf den Anmeldeseiten rechtzeitig geprüft werden müssen; Entra External ID ist laut Microsoft nicht betroffen.

Brauchen Sie Hilfe mit Entra ID?Mit einem Experten sprechen

Einführung

Microsoft härtet die Microsoft Entra ID-Anmeldeerfahrung im Rahmen der Secure Future Initiative (SFI). Die kommende Durchsetzung der Content Security Policy (CSP) soll externe Script-Injection während der Authentifizierung verhindern—ein Bereich, der häufig von Angreifern ins Visier genommen wird—indem eingeschränkt wird, welche Scripts auf der Anmeldeseite geladen und ausgeführt werden dürfen.

Was ist neu

Microsoft wird einen strengeren CSP-Header für die Entra ID-Anmeldeerfahrung auf login.microsoftonline.com hinzufügen und durchsetzen. Wichtige Änderungen umfassen:

  • Script-Downloads auf vertrauenswürdige Microsoft-CDN-Domains beschränkt Es dürfen nur Scripts geladen werden, die von von Microsoft genehmigten Content Delivery Networks stammen.

  • Ausführung von Inline-Scripts auf vertrauenswürdige Microsoft-Quellen beschränkt (nonce-basiert) Inline-Scripts werden über CSP-Nonce-Muster gesteuert, wodurch die Ausführung beliebigen Inline-Codes verhindert wird.

  • Geltungsbereich auf browserbasierte Anmeldungen auf login.microsoftonline.com beschränkt Dies gilt spezifisch für interaktive Anmeldeseiten im Browser.

  • Keine Auswirkungen auf Microsoft Entra External ID Microsoft gibt an, dass Entra External ID-Erfahrungen von diesem Update nicht betroffen sind.

Zeitplan

  • Weltweite Durchsetzung: Microsoft Entra ID wird die aktualisierte CSP Mitte bis Ende Oktober 2026 durchsetzen.
  • Kommunikation: Microsoft wird vor dem Rollout regelmäßige Updates senden.

Auswirkungen auf IT-Administratoren und Endbenutzer

Für die meisten Organisationen wird dies eine „stille“ Sicherheitsverbesserung sein. Umgebungen, die jedoch Browser-Erweiterungen, Scripts oder Drittanbieter-Tools verwenden, die Code in die Anmeldeseite injizieren, sollten mit Ausfällen dieser injizierten Funktionalität rechnen.

Wichtige Nuance: Microsoft weist darauf hin, dass Nutzer sich auch dann weiterhin anmelden können, wenn injizierte Tools nicht mehr funktionieren—aber Overlays, Instrumentierung, Anpassungen oder Hilfslogik, die auf Injection angewiesen sind, können ausfallen.

Typische Punkte zur Prüfung sind:

  • Passwort-Manager oder „Security“-Erweiterungen, die Anmeldeseiten verändern
  • Helpdesk- oder SSO-Fehlerbehebungs-Overlays
  • Custom Branding oder UX-Änderungen, die per Injection umgesetzt werden
  • Monitoring- oder Analytics-Tools, die sich per Browser-Scripting in die Sign-in-UI einklinken

Empfohlene Maßnahmen / nächste Schritte

  1. Abhängigkeiten von Injection auf Anmeldeseiten inventarisieren und reduzieren Microsoft empfiehlt ausdrücklich, Erweiterungen oder Tools zu vermeiden, die Code in die Entra-Anmeldeerfahrung injizieren.

  2. Anmeldeflows mit geöffneten Developer Tools testen Durchlaufen Sie Ihre gängigen Anmeldeszenarien (verwaltete Geräte, nicht verwaltete Geräte, verschiedene Browser, Conditional Access-Varianten) mit geöffnetem Browser-Dev-Console und achten Sie auf CSP-Verstöße (typischerweise rot markiert).

  3. Unterschiedliche User-Personas und Flows bewerten Da Verstöße möglicherweise nur bei bestimmten Teams oder User-Setups auftreten (bedingt durch Erweiterungen oder lokale Tools), testen Sie mit mehreren Nutzergruppen und Gerätekonfigurationen.

  4. Betroffene Tools durch Alternativen ohne Injection ersetzen Wenn Sie geschäftskritische Tools finden, die auf Script-Injection angewiesen sind, beginnen Sie jetzt mit der Bewertung von Alternativen—Script-Injection in die Anmeldeseite wird nach Beginn der Durchsetzung nicht mehr unterstützt.

Warum das wichtig ist

Authentifizierungsseiten sind besonders wertvolle Ziele. Die Durchsetzung von CSP an der Sign-in-Grenze ist ein wichtiger Schritt, um die Angriffsfläche für eingeschleuste oder bösartige Scripts zu reduzieren und die Widerstandsfähigkeit gegen moderne webbasierte Identity-Angriffe zu verbessern—während die Anmeldeerfahrung für konforme Konfigurationen erhalten bleibt.

Brauchen Sie Hilfe mit Entra ID?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von AnkurPatel lesen
Entra IDauthenticationContent Security PolicyCSPSecure Future Initiative

Verwandte Beiträge

Entra ID

Microsoft Entra Backup and Recovery in der Preview

Microsoft hat Microsoft Entra Backup and Recovery in der Public Preview gestartet und bietet Organisationen damit eine von Microsoft verwaltete Möglichkeit, kritische Identitätsobjekte und Konfigurationen in einen bekannten, funktionsfähigen Zustand zurückzuversetzen. Der Dienst hilft IT-Teams, sich schneller von versehentlichen Admin-Änderungen, Provisioning-Fehlern und böswilligen Modifikationen zu erholen, die sonst Zugriff und Sicherheit beeinträchtigen könnten.

Entra ID

Microsoft Entra externe MFA jetzt allgemein verfügbar

Microsoft hat die allgemeine Verfügbarkeit von externer MFA in Microsoft Entra ID angekündigt. Damit können Organisationen vertrauenswürdige Drittanbieter für MFA über OpenID Connect integrieren. Die Funktion ermöglicht IT-Teams, Microsoft Entra ID als zentrale Identitätssteuerung beizubehalten und gleichzeitig Conditional Access, Risikobewertung und die einheitliche Verwaltung von Authentifizierungsmethoden zu nutzen.

Entra ID

Microsoft Entra RSAC 2026: Schutz für AI-Identitäten

Microsoft hat auf der RSAC 2026 neue Entra-Funktionen vorgestellt, um neben Benutzern und Geräten auch AI-Agenten, Workloads und Multi-Tenant-Umgebungen besser abzusichern. Im Fokus stehen Entra Agent ID mit Governance- und Conditional-Access-Erweiterungen sowie neue Schutzmechanismen wie Shadow-AI-Erkennung und Prompt-Injection-Schutz. Das ist wichtig, weil Unternehmen ihre Identitätssicherheit im AI-Zeitalter auf ein Zero-Trust-Modell ausweiten müssen, das Risiken in Echtzeit bewertet und Zugriffe dynamisch steuert.

Entra ID

Microsoft Entra-Bericht 2026: AI erzwingt Umdenken beim Zugriff

Der Microsoft Entra-Bericht 2026 zeigt, dass KI den Druck auf Identity- und Netzwerkzugriffe massiv erhöht: 97 % der befragten Organisationen meldeten Vorfälle in diesem Bereich, 70 % sogar mit direktem KI-Bezug. Das ist wichtig, weil generative KI und autonome Agents neue Machine Identities mit weitreichenden Rechten schaffen und damit klassische, verstreute Sicherheitsmodelle an ihre Grenzen bringen – weshalb viele Unternehmen nun auf konsolidierte, integrierte Zugriffsplattformen setzen.

Entra ID

Entra Conditional Access: All resources ab März 2026

Microsoft verschärft ab dem 27. März 2026 die Durchsetzung von Entra Conditional Access: Richtlinien mit „All resources“ greifen künftig auch dann zuverlässig, wenn Ressourcenausschlüsse vorhanden sind und Anwendungen nur OIDC- oder wenige Directory-Scopes anfordern. Das ist wichtig, weil damit bisher mögliche Lücken in der Richtlinienauswertung geschlossen werden und Nutzer in mehr Anmeldeflows konsequent MFA, Geräte-Compliance oder andere Zugriffskontrollen auslösen können.

Entra ID

Microsoft Entra Access Priorities: Sichere AI-Zugriffe

Microsoft startet mit der „Entra Access Priorities Series“ eine vierteilige Webinarreihe, die IT-Teams konkrete Hilfen wie Demos, Vorlagen und Checklisten für moderne Zugriffs- und Identitätssicherheit bietet. Im Fokus stehen phishing-resistente Authentifizierung, adaptive Zugriffskontrollen, Zero Trust und die Absicherung von AI-Services – wichtig, weil Identitäten zunehmend die zentrale Sicherheits- und Steuerungsebene für Mitarbeitende, Anwendungen, Geräte und AI-Agenten werden.