Entra ID

Microsoft Entra ID reforça CSP no início de sessão

3 min de leitura

Resumo

A Microsoft vai reforçar a segurança do início de sessão no Microsoft Entra ID com uma Content Security Policy mais rigorosa em login.microsoftonline.com, limitando o carregamento de scripts a CDNs Microsoft aprovadas e controlando scripts inline por nonce. A mudança, prevista para implementação global entre meados e o final de outubro de 2026, é importante porque reduz o risco de injeção de scripts e ataques durante a autenticação, uma das fases mais sensíveis para a proteção de contas.

Precisa de ajuda com Entra ID?Fale com um especialista

Introdução

A Microsoft está a reforçar a experiência de início de sessão do Microsoft Entra ID como parte da Secure Future Initiative (SFI). A próxima aplicação da Content Security Policy (CSP) foi concebida para impedir a injeção de scripts externos durante a autenticação — uma área frequentemente visada por atacantes — ao limitar que scripts podem carregar e executar na página de início de sessão.

O que há de novo

A Microsoft vai adicionar e aplicar um cabeçalho CSP mais rigoroso para a experiência de início de sessão do Entra ID em login.microsoftonline.com. As principais alterações incluem:

  • Downloads de scripts restringidos a domínios de CDN Microsoft de confiança Apenas scripts obtidos a partir de content delivery networks aprovadas pela Microsoft serão autorizados a carregar.

  • Execução de scripts inline restringida a fontes Microsoft de confiança (baseado em nonce) Scripts inline serão controlados através de padrões de nonce no CSP, impedindo a execução de código inline arbitrário.

  • Âmbito limitado a inícios de sessão via browser em login.microsoftonline.com Isto é específico das páginas de início de sessão interativas num browser.

  • Sem impacto no Microsoft Entra External ID A Microsoft afirma que as experiências do Entra External ID não são afetadas por esta atualização.

Cronograma

  • Aplicação global: o Microsoft Entra ID irá aplicar o CSP atualizado de meados até ao final de outubro de 2026.
  • Comunicações: a Microsoft irá enviar atualizações periódicas antes do rollout.

Impacto para administradores de TI e utilizadores finais

Para a maioria das organizações, isto será uma melhoria de segurança “silenciosa”. No entanto, ambientes que utilizem extensões de browser, scripts ou ferramentas de terceiros que injetem código na página de início de sessão devem esperar falhas nessa funcionalidade injetada.

Uma nuance importante: a Microsoft indica que, mesmo que ferramentas injetadas deixem de funcionar, os utilizadores ainda conseguem iniciar sessão — mas qualquer overlay, instrumentação, personalização ou lógica de apoio que dependa de injeção poderá falhar.

Itens típicos a rever incluem:

  • Gestores de palavras-passe ou extensões de “segurança” que modificam páginas de login
  • Overlays de helpdesk ou troubleshooting de SSO
  • Branding personalizado ou alterações de UX implementadas via injeção
  • Ferramentas de monitorização ou analytics que se ligam ao UI de início de sessão via scripting no browser

Ações recomendadas / próximos passos

  1. Inventariar e reduzir dependências de injeção na página de início de sessão A Microsoft recomenda explicitamente evitar extensões ou ferramentas que injetem código na experiência de início de sessão do Entra.

  2. Testar fluxos de início de sessão com as Developer Tools abertas Execute os seus cenários comuns de início de sessão (dispositivos geridos, dispositivos não geridos, diferentes browsers, variações de conditional access) com a consola de dev do browser aberta e procure violações de CSP (normalmente apresentadas a vermelho).

  3. Avaliar diferentes personas e fluxos de utilizador Como as violações podem surgir apenas para equipas específicas ou configurações específicas de utilizador (devido a extensões ou tooling local), teste com vários grupos de utilizadores e configurações de dispositivos.

  4. Substituir ferramentas afetadas por alternativas que não injetem Se identificar tooling crítico para o negócio que dependa de injeção de scripts, comece a avaliar alternativas agora — a injeção de scripts na página de início de sessão deixará de ser suportada quando a aplicação começar.

Porque isto é importante

Páginas de autenticação são alvos de elevado valor. Aplicar CSP no limite do início de sessão é um passo relevante para reduzir a superfície de ataque de scripts injetados ou maliciosos, melhorando a resiliência contra ataques modernos de identidade baseados na web, mantendo intacta a experiência de início de sessão do utilizador para configurações conformes.

Precisa de ajuda com Entra ID?

Nossos especialistas podem ajudá-lo a implementar e otimizar suas soluções Microsoft.

Fale com um especialista

Fique atualizado sobre as tecnologias Microsoft

Ler o artigo original de AnkurPatel
Entra IDauthenticationContent Security PolicyCSPSecure Future Initiative

Posts relacionados

Entra ID

Microsoft Entra Backup and Recovery Enters Preview

Microsoft has launched Microsoft Entra Backup and Recovery in public preview, giving organizations a Microsoft-managed way to restore critical identity objects and configurations to a known-good state. The service helps IT teams recover faster from accidental admin changes, provisioning errors, and malicious modifications that could otherwise disrupt access and security.

Entra ID

Microsoft Entra External MFA Now Generally Available

Microsoft has announced general availability of external MFA in Microsoft Entra ID, allowing organizations to integrate trusted third-party MFA providers using OpenID Connect. The feature lets IT teams keep Microsoft Entra ID as the central identity control plane while maintaining Conditional Access, risk evaluation, and unified authentication method management.

Entra ID

Microsoft Entra RSAC 2026 Identity Security Updates

At RSAC 2026, Microsoft announced major Microsoft Entra updates aimed at securing not only users and devices but also AI agents, workloads, and modern multi-tenant environments. The new capabilities—such as expanded Entra Agent ID governance, shadow AI detection, prompt injection protection, passkey enhancements, and adaptive risk-based access—matter because they strengthen Zero Trust identity security as organizations adopt AI and face more dynamic access risks.

Entra ID

Microsoft Entra Secure Access Report 2026 on AI Risk

Microsoft’s Entra Secure Access Report 2026 says AI adoption is significantly increasing identity and network access risk, with 97% of organizations reporting an access-related incident in the past year and 70% tying incidents to AI activity. The report argues that fragmented identity and network tools are making the problem worse, which matters because more organizations are now moving toward consolidated access platforms to better secure AI tools, agents, and machine identities.

Entra ID

Microsoft Entra: Acesso Condicional em Todos os recursos

A Microsoft vai corrigir uma lacuna no Entra ID em que políticas de Acesso Condicional configuradas para “Todos os recursos” podiam não ser aplicadas em certos logins com scopes OIDC ou scopes limitados de diretório, mesmo quando existiam exclusões de recursos. A mudança, com início a 27 de março de 2026, é importante porque garante uma aplicação mais consistente de controlos como MFA e conformidade do dispositivo, reduzindo riscos de segurança e podendo introduzir novos desafios de autenticação em fluxos que antes não os exigiam.

Entra ID

Microsoft Entra Access Priorities: acesso seguro à IA

A Microsoft anunciou a série Microsoft Entra Access Priorities, um conjunto de quatro sessões práticas para ajudar equipas de IT a implementar acesso seguro, governança e princípios de Zero Trust num contexto cada vez mais marcado pela IA. A iniciativa importa porque posiciona a identidade como base do controlo de acesso a utilizadores, apps, dispositivos e agentes de IA, oferecendo orientações concretas, demos e checklists para reduzir risco e modernizar a segurança.