Entra ID

Microsoft Entra ID: CSP più rigorosa nelle pagine di accesso

3 min di lettura

Riepilogo

Microsoft introdurrà da metà a fine ottobre 2026 una Content Security Policy più rigorosa nelle pagine di accesso browser di Microsoft Entra ID su login.microsoftonline.com, consentendo solo script da CDN Microsoft approvate e limitando gli script inline tramite nonce. La novità è importante perché riduce il rischio di iniezione di codice durante l’autenticazione, una delle fasi più sensibili per la sicurezza, senza impattare Microsoft Entra External ID.

Hai bisogno di aiuto con Entra ID?Parla con un esperto

Introduzione

Microsoft sta rafforzando l’esperienza di accesso di Microsoft Entra ID nell’ambito della Secure Future Initiative (SFI). La prossima applicazione della Content Security Policy (CSP) è progettata per impedire l’iniezione di script esterni durante l’autenticazione—un’area frequentemente presa di mira dagli attaccanti—limitando quali script possono essere caricati ed eseguiti nella pagina di accesso.

Novità

Microsoft aggiungerà e applicherà un header CSP più rigoroso per l’esperienza di accesso di Entra ID su login.microsoftonline.com. Le principali modifiche includono:

  • Download degli script limitati a domini CDN Microsoft attendibili Saranno consentiti solo gli script provenienti da content delivery network approvate da Microsoft.

  • Esecuzione di script inline limitata a fonti Microsoft attendibili (basata su nonce) Gli script inline saranno regolati tramite pattern di nonce CSP, impedendo l’esecuzione di codice inline arbitrario.

  • Ambito limitato agli accessi via browser su login.microsoftonline.com Si tratta specificamente delle pagine di accesso interattive in un browser.

  • Nessun impatto su Microsoft Entra External ID Microsoft afferma che le esperienze di Entra External ID non sono interessate da questo aggiornamento.

Tempistiche

  • Applicazione globale: Microsoft Entra ID applicherà la CSP aggiornata da metà a fine ottobre 2026.
  • Comunicazioni: Microsoft invierà aggiornamenti periodici prima del rollout.

Impatto per amministratori IT e utenti finali

Per la maggior parte delle organizzazioni, si tratterà di un miglioramento di sicurezza “silenzioso”. Tuttavia, gli ambienti che utilizzano estensioni del browser, script o strumenti di terze parti che iniettano codice nella pagina di accesso dovrebbero aspettarsi l’interruzione di tale funzionalità iniettata.

Un aspetto importante: Microsoft indica che, anche se gli strumenti iniettati smettono di funzionare, gli utenti possono comunque accedere—ma qualsiasi overlay, strumentazione, personalizzazione o logica di supporto che dipende dall’iniezione potrebbe non funzionare.

Elementi tipici da verificare includono:

  • Password manager o estensioni “di sicurezza” che modificano le pagine di accesso
  • Overlay di helpdesk o troubleshooting SSO
  • Branding personalizzato o modifiche UX implementate tramite iniezione
  • Strumenti di monitoraggio o analytics che si agganciano alla UI di accesso tramite scripting nel browser

Azioni consigliate / prossimi passi

  1. Inventariare e ridurre le dipendenze dall’iniezione nella pagina di accesso Microsoft raccomanda esplicitamente di evitare estensioni o strumenti che iniettano codice nell’esperienza di accesso di Entra.

  2. Testare i flussi di accesso con Developer Tools aperti Eseguite i vostri scenari di accesso più comuni (dispositivi gestiti, dispositivi non gestiti, browser diversi, varianti di conditional access) con la console dev del browser aperta e cercate violazioni CSP (tipicamente mostrate in rosso).

  3. Valutare diverse tipologie di utenti e flussi Poiché le violazioni possono comparire solo per team o configurazioni utente specifiche (a causa di estensioni o strumenti locali), testate con più gruppi di utenti e configurazioni dei dispositivi.

  4. Sostituire gli strumenti impattati con alternative che non usano iniezione Se individuate strumenti business-critical che dipendono dall’iniezione di script, iniziate a valutare alternative fin da ora—l’iniezione di script nella pagina di accesso non sarà più supportata una volta avviata l’applicazione.

Perché è importante

Le pagine di autenticazione sono obiettivi di alto valore. Applicare la CSP al confine dell’accesso è un passo significativo per ridurre la superficie d’attacco per script iniettati o malevoli, migliorando la resilienza contro i moderni attacchi di identità basati sul web e mantenendo intatta l’esperienza di accesso per configurazioni conformi.

Hai bisogno di aiuto con Entra ID?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di AnkurPatel
Entra IDauthenticationContent Security PolicyCSPSecure Future Initiative

Articoli correlati

Entra ID

Microsoft Entra Backup e Recovery in anteprima

Microsoft ha lanciato Microsoft Entra Backup and Recovery in anteprima pubblica, offrendo alle organizzazioni un modo gestito da Microsoft per ripristinare oggetti e configurazioni di identità critici a uno stato noto e valido. Il servizio aiuta i team IT a recuperare più rapidamente da modifiche amministrative accidentali, errori di provisioning e modifiche dannose che altrimenti potrebbero compromettere accesso e sicurezza.

Entra ID

Microsoft Entra external MFA ora disponibile GA

Microsoft ha annunciato la disponibilità generale di external MFA in Microsoft Entra ID, consentendo alle organizzazioni di integrare provider MFA di terze parti affidabili tramite OpenID Connect. La funzionalità permette ai team IT di mantenere Microsoft Entra ID come piano di controllo centrale per le identità, preservando Conditional Access, la valutazione del rischio e la gestione unificata dei metodi di autenticazione.

Entra ID

Microsoft Entra RSAC 2026: protezione AI agent e tenant

Al RSAC 2026 Microsoft ha annunciato importanti novità per Entra, estendendo la protezione delle identità a AI agent, workload e scenari multi-tenant con controlli come Agent ID, Conditional Access avanzato e decisioni basate sul rischio in tempo reale. Questi aggiornamenti contano perché aiutano i team IT e sicurezza ad applicare un modello identity-first e Zero Trust anche nell’era dell’AI, riducendo i rischi legati a accessi non autorizzati, Shadow AI e nuovi vettori di attacco.

Entra ID

Microsoft Entra report 2026: AI e accesso enterprise

Il report Microsoft Entra 2026 evidenzia come la rapida adozione di AI generativa e agenti autonomi stia mettendo sotto pressione i modelli tradizionali di gestione di identità e accessi: il 97% delle organizzazioni ha registrato incidenti legati a identità o accesso di rete, e il 70% ne ha subiti di collegati ad attività AI. La notizia è importante perché mostra che le nuove identità macchina create dall’AI ampliano la superficie di attacco, spingendo sempre più aziende a consolidare strumenti frammentati verso piattaforme integrate di Identity and Access Management.

Entra ID

Microsoft Entra Conditional Access: novità All resources

Microsoft aggiornerà Entra Conditional Access dal 27 marzo 2026 per garantire che i criteri impostati su “All resources” vengano applicati anche quando esistono esclusioni di risorse, eliminando una lacuna che poteva lasciare fuori alcune autenticazioni con soli scope OIDC o directory limitati. La novità è importante perché rende l’enforcement di MFA, conformità del dispositivo e altri controlli più coerente e sicuro, ma può anche introdurre nuove challenge di accesso per utenti e applicazioni che prima non le ricevevano.

Entra ID

Microsoft Entra Access Priorities: webinar AI e accesso

Microsoft ha annunciato la nuova Entra Access Priorities Series, una serie di quattro webinar pensata per aiutare i team IT a implementare in modo pratico le strategie di accesso sicuro in Entra ID, con focus su Access Fabric, Zero Trust, autenticazione resistente al phishing e protezione dell’accesso nell’era dell’AI. È rilevante perché mostra come Microsoft stia spostando l’identità al centro della sicurezza moderna, offrendo linee guida, demo e checklist utili per proteggere utenti, applicazioni, dispositivi e workload AI.