Microsoft Entra IDの厳格CSP強制でサインイン保護強化

はじめに

Microsoft は Secure Future Initiative (SFI) の一環として、Microsoft Entra ID のサインイン エクスペリエンスを強化しています。今後の Content Security Policy (CSP) の強制適用は、攻撃者に狙われやすい認証領域における外部スクリプトのインジェクションを防ぐことを目的としており、サインイン ページ上で読み込み・実行できるスクリプトを制限します。

変更点

Microsoft は login.microsoftonline.com 上の Entra ID サインイン エクスペリエンスに対して、より厳格な CSP ヘッダーを追加し、強制します。主な変更点は次のとおりです。

• 信頼された Microsoft CDN ドメインからのスクリプト ダウンロードに制限 Microsoft が承認した content delivery network から提供されるスクリプトのみが読み込み可能になります。

• 信頼された Microsoft ソースに限りインライン スクリプト実行を制限（nonce ベース） インライン スクリプトは CSP nonce パターンにより制御され、任意のインライン コードの実行を防止します。

• 対象は login.microsoftonline.com におけるブラウザー ベースのサインインに限定 ブラウザー内の対話型サインイン ページに固有の変更です。

• Microsoft Entra External ID への影響なし Microsoft によると、Entra External ID のエクスペリエンスは本更新の影響を受けません。

タイムライン

• グローバルでの強制適用: Microsoft Entra ID は、更新された CSP を 2026 年 10 月中旬〜下旬 に強制します。
• 告知: 展開に先立ち、Microsoft は定期的に更新情報を送付します。

IT 管理者とエンド ユーザーへの影響

ほとんどの組織にとって、これは「気付かれない」セキュリティ改善になります。ただし、サインイン ページにコードを注入する browser extensions、スクリプト、またはサードパーティ製ツール を利用している環境では、注入された機能が動作しなくなることが想定されます。

重要な注意点: Microsoft は、注入系ツールが動作しなくなっても ユーザーは引き続きサインインできる 一方で、インジェクションに依存するオーバーレイ、計測、カスタマイズ、補助ロジックは失敗する可能性があるとしています。

見直すべき典型例は次のとおりです。

• ログイン ページを改変する password manager や「セキュリティ」拡張機能
• ヘルプデスクや SSO トラブルシューティング用オーバーレイ
• インジェクションで実装されたカスタム ブランディングや UX 改変
• ブラウザー スクリプトでサインイン UI にフックする監視・分析ツール

推奨対応 / 次のステップ

1. サインイン ページへのインジェクション依存を棚卸しし、削減する Microsoft は、Entra サインイン エクスペリエンスにコードを注入する拡張機能やツールの使用を避けるよう明確に推奨しています。

2. Developer Tools を開いた状態でサインイン フローをテストする 一般的なサインイン シナリオ（管理対象デバイス、非管理デバイス、異なるブラウザー、条件付きアクセスのバリエーション）を、ブラウザーの dev console を開いた状態で実行し、CSP violations（通常は赤で表示）を確認します。

3. ユーザー属性とフローの違いを評価する 違反は特定のチームやユーザー構成（拡張機能やローカル ツールの差異）でのみ発生する場合があるため、複数のユーザー グループとデバイス構成でテストしてください。

4. 影響を受けるツールを、インジェクション不要の代替策に置き換える スクリプト インジェクションに依存する業務上重要なツールが見つかった場合は、今すぐ代替策の評価を開始してください。強制適用開始後は、サインイン ページへのスクリプト インジェクションはサポートされなくなります。

なぜ重要なのか

認証ページは価値の高い標的です。サインイン境界で CSP を強制することは、注入または悪意のあるスクリプトによる攻撃面を低減する有効な一歩であり、準拠した構成におけるユーザーのサインイン エクスペリエンスを維持しつつ、最新の Web ベースの ID 攻撃に対するレジリエンスを向上させます。