Entra ID

Microsoft Entra ID CSP blokkerer script-injeksjon

3 min lesing

Sammendrag

Microsoft vil fra midten til slutten av oktober 2026 håndheve en strengere Content Security Policy på Entra ID-pålogginger på login.microsoftonline.com for å blokkere ekstern script-injeksjon. Dette styrker sikkerheten i autentiseringsflyten, men kan påvirke organisasjoner som har tilpassede eller tredjeparts scripts knyttet til nettleserbasert pålogging, og derfor bør IT-administratorer gjennomgå slike avhengigheter i god tid.

Trenger du hjelp med Entra ID?Snakk med en ekspert

Introduksjon

Microsoft forsterker påloggingsopplevelsen i Microsoft Entra ID som en del av Secure Future Initiative (SFI). Den kommende håndhevingen av Content Security Policy (CSP) er utformet for å forhindre ekstern script-injeksjon under autentisering—et område som ofte målrettes av angripere—ved å begrense hvilke scripts som kan lastes og kjøres på påloggingssiden.

Hva er nytt

Microsoft vil legge til og håndheve en strengere CSP-header for Entra ID-påloggingsopplevelsen på login.microsoftonline.com. Viktige endringer inkluderer:

  • Nedlasting av scripts begrenses til pålitelige Microsoft CDN-domener Bare scripts som leveres fra Microsoft-godkjente content delivery networks vil få lastes inn.

  • Kjøring av inline scripts begrenses til pålitelige Microsoft-kilder (nonce-basert) Inline scripts styres via CSP nonce-mønstre, som hindrer vilkårlig inline-kode i å kjøre.

  • Omfang begrenset til nettleserbaserte pålogginger på login.microsoftonline.com Dette gjelder spesifikt interaktive påloggingssider i en nettleser.

  • Ingen påvirkning på Microsoft Entra External ID Microsoft oppgir at Entra External ID-opplevelser ikke påvirkes av denne oppdateringen.

Tidslinje

  • Global håndheving: Microsoft Entra ID vil håndheve den oppdaterte CSP-en midten til slutten av oktober 2026.
  • Kommunikasjon: Microsoft vil sende periodiske oppdateringer i forkant av utrullingen.

Konsekvenser for IT-administratorer og sluttbrukere

For de fleste organisasjoner vil dette være en “stille” sikkerhetsforbedring. Miljøer som bruker nettleserutvidelser, scripts eller tredjepartsverktøy som injiserer kode i påloggingssiden bør imidlertid forvente at den injiserte funksjonaliteten slutter å fungere.

Viktig nyanse: Microsoft indikerer at selv om injiserte verktøy slutter å fungere, kan brukere fortsatt logge på—men eventuelle overlegg, instrumentering, tilpasninger eller hjelpelogikk som er avhengig av injeksjon kan feile.

Typiske ting å gjennomgå inkluderer:

  • Passordadministratorer eller “sikkerhets”-utvidelser som endrer påloggingssider
  • Helpdesk- eller SSO-feilsøkingsoverlegg
  • Egendefinert branding eller UX-endringer implementert via injeksjon
  • Overvåkings- eller analyseverktøy som kobler seg på påloggings-UI via nettleserscripting

Anbefalte tiltak / neste steg

  1. Kartlegg og reduser avhengigheter til injeksjon på påloggingssiden Microsoft anbefaler eksplisitt å unngå utvidelser eller verktøy som injiserer kode i Entra-påloggingsopplevelsen.

  2. Test påloggingsflyter med Developer Tools åpne Gå gjennom vanlige påloggingsscenarioer (administrerte enheter, uadministrerte enheter, ulike nettlesere, variasjoner i Conditional Access) med nettleserens dev-konsoll åpen, og se etter CSP violations (vises vanligvis i rødt).

  3. Vurder ulike brukerpersonas og flyter Siden brudd kan oppstå bare for bestemte team eller brukeroppsett (på grunn av utvidelser eller lokale verktøy), test med flere brukergrupper og enhetskonfigurasjoner.

  4. Erstatt berørte verktøy med alternativer som ikke injiserer Hvis du finner forretningskritiske verktøy som er avhengige av script-injeksjon, begynn å vurdere alternativer nå—script-injeksjon i påloggingssiden vil ikke lenger være støttet når håndhevingen starter.

Hvorfor dette er viktig

Autentiseringssider er høyt verdsatte mål. Å håndheve CSP ved påloggingsgrensen er et viktig tiltak for å redusere angrepsflaten for injiserte eller ondsinnede scripts, og forbedrer robustheten mot moderne, nettbaserte identitetsangrep, samtidig som påloggingsopplevelsen forblir intakt for konfigurasjoner som følger kravene.

Trenger du hjelp med Entra ID?

Våre eksperter kan hjelpe deg med å implementere og optimalisere dine Microsoft-løsninger.

Snakk med en ekspert

Hold deg oppdatert om Microsoft-teknologier

Les originalartikkelen av AnkurPatel
Entra IDauthenticationContent Security PolicyCSPSecure Future Initiative

Relaterte innlegg

Entra ID

Microsoft Entra Backup and Recovery Enters Preview

Microsoft has launched Microsoft Entra Backup and Recovery in public preview, giving organizations a Microsoft-managed way to restore critical identity objects and configurations to a known-good state. The service helps IT teams recover faster from accidental admin changes, provisioning errors, and malicious modifications that could otherwise disrupt access and security.

Entra ID

Microsoft Entra External MFA Now Generally Available

Microsoft has announced general availability of external MFA in Microsoft Entra ID, allowing organizations to integrate trusted third-party MFA providers using OpenID Connect. The feature lets IT teams keep Microsoft Entra ID as the central identity control plane while maintaining Conditional Access, risk evaluation, and unified authentication method management.

Entra ID

Microsoft Entra RSAC 2026 Identity Security Updates

At RSAC 2026, Microsoft announced major Microsoft Entra updates aimed at securing not only users and devices but also AI agents, workloads, and modern multi-tenant environments. The new capabilities—such as expanded Entra Agent ID governance, shadow AI detection, prompt injection protection, passkey enhancements, and adaptive risk-based access—matter because they strengthen Zero Trust identity security as organizations adopt AI and face more dynamic access risks.

Entra ID

Microsoft Entra Secure Access Report 2026 on AI Risk

Microsoft’s Entra Secure Access Report 2026 says AI adoption is significantly increasing identity and network access risk, with 97% of organizations reporting an access-related incident in the past year and 70% tying incidents to AI activity. The report argues that fragmented identity and network tools are making the problem worse, which matters because more organizations are now moving toward consolidated access platforms to better secure AI tools, agents, and machine identities.

Entra ID

Microsoft Entra Conditional Access: «Alle ressurser» endres i 2026

Microsoft endrer hvordan Entra Conditional Access håndheves for policyer som gjelder «All resources»: fra 27. mars 2026 vil disse policyene også trigges i pålogginger som tidligere kunne slippe unna, selv når policyen har ressursunntak og appen bare ber om OIDC- eller begrensede directory-scopes. Dette er viktig fordi organisasjoner med slike CA-oppsett kan oppleve flere MFA- og enhetssamsvarsutfordringer, og bør gjennomgå policyene sine før utrullingen fullføres innen juni 2026.

Entra ID

Microsoft Entra Access Priorities: sikker AI-tilgang

Microsoft lanserer Entra Access Priorities Series, en webinarserie i fire deler som skal hjelpe IT-team å bygge en mer samlet og sikker tilgangsmodell for ansatte, apper, enheter og AI-agenter. Serien fokuserer på phishing-resistent autentisering, adaptive kontroller, least privilege og Zero Trust-praksis, noe som er viktig fordi identitet nå blir selve kontrollplanet for sikkerhet i en AI-drevet virksomhet.