Entra ID

Microsoft Entra ID CSP op aanmeldpagina’s strenger

3 min leestijd

Samenvatting

Microsoft gaat midden tot eind oktober 2026 een strengere Content Security Policy afdwingen op de Entra ID-aanmeldpagina’s van login.microsoftonline.com. Daarmee worden alleen vertrouwde Microsoft-scripts en nonce-gebaseerde inline scripts toegestaan, wat het risico op scriptinjectie en aanvallen tijdens authenticatie verkleint. Dit is belangrijk voor IT-beheerders omdat browsergebaseerde aanmeldflows en eventuele maatwerkintegraties hiermee rekening moeten houden, terwijl Entra External ID buiten scope blijft.

Hulp nodig met Entra ID?Praat met een expert

Introductie

Microsoft versterkt de Microsoft Entra ID-aanmelding als onderdeel van de Secure Future Initiative (SFI). De aankomende afdwinging van Content Security Policy (CSP) is bedoeld om externe scriptinjectie tijdens authenticatie te voorkomen—een gebied dat vaak door aanvallers wordt geviseerd—door te beperken welke scripts op de aanmeldpagina mogen laden en uitvoeren.

Wat is er nieuw

Microsoft voegt een strengere CSP-header toe en gaat deze afdwingen voor de Entra ID-aanmelding op login.microsoftonline.com. Belangrijke wijzigingen zijn:

  • Scriptdownloads beperkt tot vertrouwde Microsoft CDN-domeinen Alleen scripts die afkomstig zijn van door Microsoft goedgekeurde content delivery networks mogen laden.

  • Uitvoering van inline scripts beperkt tot vertrouwde Microsoft-bronnen (nonce-gebaseerd) Inline scripts worden beheerd via CSP nonce-patronen, waardoor willekeurige inline code niet kan worden uitgevoerd.

  • Scope beperkt tot browsergebaseerde aanmeldingen op login.microsoftonline.com Dit is specifiek voor interactieve aanmeldpagina’s in een browser.

  • Geen impact op Microsoft Entra External ID Microsoft geeft aan dat Entra External ID-ervaringen niet worden beïnvloed door deze update.

Tijdlijn

  • Wereldwijde afdwinging: Microsoft Entra ID gaat de bijgewerkte CSP afdwingen midden tot eind oktober 2026.
  • Communicatie: Microsoft stuurt periodieke updates voorafgaand aan de uitrol.

Impact op IT-beheerders en eindgebruikers

Voor de meeste organisaties is dit een “stille” beveiligingsverbetering. Omgevingen die echter browserextensies, scripts of tools van derden gebruiken die code injecteren in de aanmeldpagina moeten rekening houden met het wegvallen van die geïnjecteerde functionaliteit.

Belangrijke nuance: Microsoft geeft aan dat zelfs als geïnjecteerde tools stoppen met werken, gebruikers nog steeds kunnen aanmelden—maar overlays, instrumentatie, aanpassingen of helperlogica die afhankelijk zijn van injectie kunnen falen.

Typische onderdelen om te beoordelen zijn:

  • Password managers of “security”-extensies die aanmeldpagina’s aanpassen
  • Helpdesk- of SSO-troubleshooting-overlays
  • Custom branding of UX-aanpassingen die via injectie zijn geïmplementeerd
  • Monitoring- of analytics-tools die via browser scripting inhaken op de aanmeld-UI

Aanbevolen acties / volgende stappen

  1. Inventariseer en verminder afhankelijkheden van injectie op de aanmeldpagina Microsoft raadt expliciet aan om extensies of tools te vermijden die code injecteren in de Entra-aanmelding.

  2. Test aanmeldflows met Developer Tools geopend Doorloop je gebruikelijke aanmeldscenario’s (beheerde apparaten, niet-beheerde apparaten, verschillende browsers, variaties in conditional access) met de dev console van de browser geopend en let op CSP-violations (meestal rood weergegeven).

  3. Beoordeel verschillende user persona’s en flows Omdat overtredingen mogelijk alleen zichtbaar worden voor specifieke teams of gebruikersopstellingen (door extensies of lokale tooling), test met meerdere gebruikersgroepen en apparaatconfiguraties.

  4. Vervang getroffen tools door alternatieven zonder injectie Als je bedrijfskritische tooling vindt die afhankelijk is van scriptinjectie, begin dan nu met het evalueren van alternatieven—scriptinjectie in de aanmeldpagina wordt niet langer ondersteund zodra de afdwinging start.

Waarom dit belangrijk is

Authenticatiepagina’s zijn doelwitten met hoge waarde. CSP afdwingen aan de aanmeldgrens is een betekenisvolle stap om het aanvalsoppervlak voor geïnjecteerde of kwaadaardige scripts te verkleinen, en de weerbaarheid tegen moderne webgebaseerde identity-aanvallen te verbeteren, terwijl de gebruikersaanmelding intact blijft voor conforme configuraties.

Hulp nodig met Entra ID?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van AnkurPatel
Entra IDauthenticationContent Security PolicyCSPSecure Future Initiative

Gerelateerde artikelen

Entra ID

Microsoft Entra Backup en Recovery in preview

Microsoft heeft Microsoft Entra Backup and Recovery gelanceerd in public preview en geeft organisaties daarmee een door Microsoft beheerde manier om kritieke identiteitsobjecten en configuraties te herstellen naar een bekende, goede status. De service helpt IT-teams sneller te herstellen van onbedoelde adminwijzigingen, provisioningfouten en kwaadaardige aanpassingen die anders toegang en beveiliging kunnen verstoren.

Entra ID

Microsoft Entra externe MFA nu algemeen beschikbaar

Microsoft heeft de algemene beschikbaarheid aangekondigd van externe MFA in Microsoft Entra ID, waarmee organisaties vertrouwde MFA-providers van derden kunnen integreren via OpenID Connect. Met deze functie kunnen IT-teams Microsoft Entra ID als centraal identity control plane behouden, terwijl Conditional Access, risicobeoordeling en uniform beheer van verificatiemethoden behouden blijven.

Entra ID

Microsoft Entra RSAC 2026: AI-beveiliging en MFA

Microsoft kondigde op RSAC 2026 nieuwe Entra-beveiligingsfuncties aan om niet alleen gebruikers en apparaten, maar ook AI-agents, workloads en multi-tenant-omgevingen beter te beschermen. Belangrijke updates zijn uitgebreid identiteitsbeheer voor AI-agents, detectie van ongeautoriseerde AI-apps, bescherming tegen prompt injection en bredere inzet van passkeys en MFA, wat organisaties helpt om Zero Trust-toegang consistenter en in real time af te dwingen.

Entra ID

Microsoft Entra AI-toegang dwingt enterprise herziening

Microsofts nieuwste Entra-onderzoek laat zien dat de snelle inzet van generatieve AI en autonome agents de druk op identity- en netwerktoegang sterk verhoogt: 97% van de organisaties meldde het afgelopen jaar een incident, waarvan 70% AI-gerelateerd. Dit is belangrijk omdat AI niet alleen meer menselijke toegang vraagt, maar ook veel nieuwe machine-identiteiten met brede rechten creëert, waardoor bedrijven hun versnipperde toegangsmodellen moeten consolideren naar geïntegreerde identity- en accessplatforms.

Entra ID

Entra Conditional Access: ‘All resources’ in 2026

Microsoft past Entra Conditional Access in 2026 aan zodat beleid dat op ‘All resources’ is gericht voortaan ook wordt afgedwongen bij aanmeldingen via apps die alleen OIDC- of beperkte directory-scopes aanvragen, zelfs als er resource-uitsluitingen zijn geconfigureerd. Dit is belangrijk omdat hiermee een bestaande handhavingskloof wordt gedicht, waardoor organisaties consistenter MFA, apparaatcompliance en andere toegangscontroles kunnen afdwingen; de gefaseerde uitrol start op 27 maart 2026 en loopt naar verwachting door tot juni 2026.

Entra ID

Microsoft Entra Access Priorities: veilige AI-toegang

Microsoft introduceert de Entra Access Priorities Series: een webinarreeks van vier sessies die IT-teams helpt om identity, netwerktoegang en AI-beveiliging praktisch in te richten met demo’s, templates en checklists. Dit is relevant omdat identity steeds meer het centrale controlepunt wordt voor veilige toegang van medewerkers, apps, devices en AI-agents, en organisaties hiermee concreet stappen kunnen zetten richting Zero Trust en een toekomstbestendige Access Fabric.