Entra ID

Microsoft Entra ID CSP: blokada skryptów logowania

3 min czytania

Podsumowanie

Microsoft zaostrzy zabezpieczenia logowania do Entra ID, wprowadzając od połowy do końca października 2026 r. rygorystyczną politykę Content Security Policy na login.microsoftonline.com, która ograniczy ładowanie i uruchamianie skryptów tylko do zaufanych źródeł Microsoft. To ważna zmiana dla bezpieczeństwa, bo utrudni wstrzykiwanie złośliwego kodu na stronach logowania, a administratorzy powinni sprawdzić, czy ich obecne integracje lub modyfikacje nie będą kolidować z nowymi zasadami.

Potrzebujesz pomocy z Entra ID?Porozmawiaj z ekspertem

Wprowadzenie

Microsoft wzmacnia doświadczenie logowania do Microsoft Entra ID w ramach Secure Future Initiative (SFI). Nadchodzące egzekwowanie Content Security Policy (CSP) ma zapobiegać wstrzykiwaniu zewnętrznych skryptów podczas uwierzytelniania — obszaru często atakowanego — poprzez ograniczenie tego, jakie skrypty mogą się ładować i wykonywać na stronie logowania.

Co nowego

Microsoft doda i będzie egzekwować bardziej rygorystyczny nagłówek CSP dla doświadczenia logowania Entra ID na login.microsoftonline.com. Kluczowe zmiany obejmują:

  • Pobieranie skryptów ograniczone do zaufanych domen Microsoft CDN Ładowanie będzie dozwolone wyłącznie dla skryptów pochodzących z zatwierdzonych przez Microsoft sieci dostarczania treści.

  • Wykonywanie skryptów inline ograniczone do zaufanych źródeł Microsoft (nonce-based) Skrypty inline będą kontrolowane za pomocą wzorców CSP nonce, co uniemożliwi uruchamianie dowolnego kodu inline.

  • Zakres ograniczony do logowań przeglądarkowych na login.microsoftonline.com Dotyczy to interaktywnych stron logowania w przeglądarce.

  • Brak wpływu na Microsoft Entra External ID Microsoft informuje, że doświadczenia Entra External ID nie są objęte tą aktualizacją.

Harmonogram

  • Globalne egzekwowanie: Microsoft Entra ID będzie egzekwować zaktualizowane CSP od połowy do końca października 2026 r.
  • Komunikacja: Microsoft będzie wysyłać okresowe aktualizacje przed wdrożeniem.

Wpływ na administratorów IT i użytkowników końcowych

Dla większości organizacji będzie to „ciche” usprawnienie bezpieczeństwa. Jednak środowiska, które korzystają z rozszerzeń przeglądarki, skryptów lub narzędzi firm trzecich wstrzykujących kod na stronę logowania, powinny spodziewać się awarii tej wstrzykiwanej funkcjonalności.

Ważny niuans: Microsoft wskazuje, że nawet jeśli wstrzyknięte narzędzia przestaną działać, użytkownicy nadal mogą się zalogować — ale wszelkie nakładki, instrumentacja, personalizacje lub logika pomocnicza zależna od wstrzykiwania może nie zadziałać.

Typowe elementy do weryfikacji obejmują:

  • Menedżery haseł lub rozszerzenia „security” modyfikujące strony logowania
  • Nakładki helpdesku lub SSO do rozwiązywania problemów
  • Niestandardowe brandowanie lub modyfikacje UX wdrożone poprzez wstrzykiwanie
  • Narzędzia monitorujące lub analityczne, które podpinają się pod UI logowania poprzez skrypty przeglądarkowe

Zalecane działania / kolejne kroki

  1. Zidentyfikuj i ogranicz zależności od wstrzykiwania na stronie logowania Microsoft wprost rekomenduje unikanie rozszerzeń lub narzędzi wstrzykujących kod do doświadczenia logowania Entra.

  2. Testuj przepływy logowania z otwartymi Developer Tools Przejdź przez typowe scenariusze logowania (urządzenia zarządzane, niezarządzane, różne przeglądarki, warianty conditional access) z otwartą konsolą dev w przeglądarce i wypatruj naruszeń CSP (zwykle oznaczanych na czerwono).

  3. Oceń różne persony użytkowników i przepływy Ponieważ naruszenia mogą pojawiać się tylko dla konkretnych zespołów lub konfiguracji użytkowników (z powodu rozszerzeń lub lokalnych narzędzi), testuj z wieloma grupami użytkowników i konfiguracjami urządzeń.

  4. Zastąp narzędzia dotknięte zmianą alternatywami niewstrzykującymi kodu Jeśli znajdziesz krytyczne dla biznesu narzędzie, które polega na wstrzykiwaniu skryptów, zacznij już teraz oceniać alternatywy — wstrzykiwanie skryptów na stronę logowania nie będzie już wspierane po rozpoczęciu egzekwowania.

Dlaczego to ma znaczenie

Strony uwierzytelniania są celami o wysokiej wartości. Egzekwowanie CSP na granicy logowania to istotny krok w ograniczaniu powierzchni ataku dla wstrzykniętych lub złośliwych skryptów, zwiększający odporność na nowoczesne, webowe ataki na tożsamość, przy jednoczesnym zachowaniu doświadczenia logowania dla zgodnych konfiguracji.

Potrzebujesz pomocy z Entra ID?

Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.

Porozmawiaj z ekspertem

Bądź na bieżąco z technologiami Microsoft

Przeczytaj oryginalny artykuł autorstwa AnkurPatel
Entra IDauthenticationContent Security PolicyCSPSecure Future Initiative

Powiązane artykuły

Entra ID

Microsoft Entra Backup and Recovery w wersji Preview

Microsoft uruchomił publiczną wersję preview usługi Microsoft Entra Backup and Recovery, dając organizacjom zarządzany przez Microsoft sposób przywracania krytycznych obiektów tożsamości i konfiguracji do znanego, poprawnego stanu. Usługa pomaga zespołom IT szybciej odzyskiwać sprawność po przypadkowych zmianach administracyjnych, błędach provisioningu i złośliwych modyfikacjach, które mogłyby zakłócić dostęp i bezpieczeństwo.

Entra ID

Microsoft Entra external MFA już ogólnie dostępne

Microsoft ogłosił ogólną dostępność external MFA w Microsoft Entra ID, umożliwiając organizacjom integrację zaufanych zewnętrznych dostawców MFA przy użyciu OpenID Connect. Funkcja pozwala zespołom IT zachować Microsoft Entra ID jako centralną płaszczyznę kontroli tożsamości, jednocześnie utrzymując Conditional Access, ocenę ryzyka i ujednolicone zarządzanie metodami uwierzytelniania.

Entra ID

Microsoft Entra RSAC 2026: nowe zabezpieczenia AI

Microsoft na RSAC 2026 zapowiedział nowe funkcje Microsoft Entra, które rozszerzają ochronę tożsamości na agentów AI, workloady i środowiska wielodzierżawne, wzmacniając model Zero Trust oparty na ciągłej ocenie ryzyka. To ważne dla firm, ponieważ wraz z rosnącym wykorzystaniem AI potrzebują one narzędzi do wykrywania shadow AI, ochrony przed prompt injection oraz egzekwowania spójnych zasad dostępu dla użytkowników i agentów działających w ich imieniu.

Entra ID

Microsoft Entra: AI zmienia dostęp w przedsiębiorstwach

Raport Microsoft Entra pokazuje, że rozwój AI znacząco zwiększa ryzyko związane z tożsamością i dostępem w firmach: 97% organizacji odnotowało incydenty w tym obszarze, a 70% wiąże je z aktywnością AI. To ważne, ponieważ generatywna AI i agenci tworzą nowe tożsamości maszynowe oraz zwiększają złożoność środowisk IT, co skłania firmy do konsolidacji narzędzi i wyboru zintegrowanych platform bezpieczeństwa.

Entra ID

Microsoft Entra Conditional Access: „All resources” 2026

Microsoft zmieni sposób egzekwowania zasad Conditional Access w Entra ID: od 27 marca 2026 polityki ustawione na „All resources” będą stosowane także w scenariuszach logowania, które wcześniej mogły omijać ocenę zasad, nawet jeśli zawierają wykluczenia zasobów. To ważne, bo może spowodować pojawienie się nowych wyzwań dostępu, takich jak MFA czy wymóg zgodności urządzenia, dlatego organizacje powinny wcześniej przejrzeć swoje polityki i przygotować się na wpływ na logowania użytkowników oraz aplikacje klienckie.

Entra ID

Microsoft Entra Access Priorities: bezpieczny dostęp do AI

Microsoft uruchamia serię czterech praktycznych webinarów „Entra Access Priorities”, które pokazują, jak budować bezpieczny dostęp oparty na tożsamości w erze AI — od phishing-resistant authentication i Zero Trust po adaptive access oraz least privilege. To ważne, ponieważ pomaga działom IT przełożyć strategię Access Fabric na konkretne wdrożenia chroniące użytkowników, aplikacje, urządzenia i rosnącą liczbę workloadów oraz agentów AI.