Entra ID

Microsoft Entra ID: строгая CSP на страницах входа

3 мин. чтения

Кратко

Microsoft ужесточит Content Security Policy на страницах входа Microsoft Entra ID на login.microsoftonline.com, чтобы блокировать загрузку скриптов только с доверенных Microsoft CDN и ограничить выполнение inline-скриптов через nonce. Это важно, потому что снижает риск атак на процесс аутентификации, но организациям нужно заранее проверить свои сценарии браузерного входа и возможные кастомизации до начала принудительного применения в октябре 2026 года.

Нужна помощь с Entra ID?Поговорить с экспертом

Введение

Microsoft усиливает защищённость процесса входа Microsoft Entra ID в рамках Secure Future Initiative (SFI). Предстоящее принудительное применение Content Security Policy (CSP) призвано предотвратить инъекции внешних скриптов во время аутентификации — области, которую злоумышленники часто выбирают целью, — ограничивая, какие скрипты могут загружаться и выполняться на странице входа.

Что нового

Microsoft добавит и начнёт применять более строгий заголовок CSP для процесса входа Entra ID на login.microsoftonline.com. Ключевые изменения:

  • Загрузка скриптов ограничена доверенными доменами Microsoft CDN Будут разрешены к загрузке только скрипты из утверждённых Microsoft сетей доставки контента.

  • Выполнение inline-скриптов ограничено доверенными источниками Microsoft (на основе nonce) Inline-скрипты будут контролироваться через шаблоны CSP nonce, что предотвратит выполнение произвольного inline-кода.

  • Область действия ограничена браузерным входом на login.microsoftonline.com Это относится к интерактивным страницам входа в браузере.

  • Нет влияния на Microsoft Entra External ID Microsoft заявляет, что сценарии Entra External ID не затронуты этим обновлением.

Сроки

  • Глобальное принудительное применение: Microsoft Entra ID начнёт применять обновлённый CSP в середине—конце октября 2026 года.
  • Коммуникации: Microsoft будет периодически отправлять обновления перед началом развёртывания.

Влияние на IT-администраторов и конечных пользователей

Для большинства организаций это будет «незаметным» улучшением безопасности. Однако в средах, где используются расширения браузера, скрипты или сторонние инструменты, внедряющие код в страницу входа, следует ожидать нарушения работы такой внедрённой функциональности.

Важный нюанс: Microsoft указывает, что даже если внедрённые инструменты перестанут работать, пользователи всё равно смогут войти — но любые оверлеи, инструментация, кастомизация или вспомогательная логика, зависящие от инъекций, могут отказать.

Типичные элементы для проверки:

  • Менеджеры паролей или «security»-расширения, изменяющие страницы входа
  • Оверлеи helpdesk или инструменты устранения неполадок SSO
  • Пользовательский брендинг или изменения UX, реализованные через инъекции
  • Инструменты мониторинга или аналитики, которые «подключаются» к UI входа через браузерные скрипты

Рекомендуемые действия / дальнейшие шаги

  1. Проведите инвентаризацию и сократите зависимости от инъекций на странице входа Microsoft прямо рекомендует избегать расширений или инструментов, которые внедряют код в процесс входа Entra.

  2. Протестируйте сценарии входа с открытыми Developer Tools Пройдите ваши типовые сценарии входа (управляемые устройства, неуправляемые устройства, разные браузеры, варианты conditional access) с открытой консолью dev tools и ищите нарушения CSP (обычно отображаются красным).

  3. Оцените разные роли пользователей и потоки Поскольку нарушения могут проявляться только у отдельных команд или конфигураций пользователей (из-за расширений или локальных инструментов), тестируйте с несколькими группами пользователей и разными конфигурациями устройств.

  4. Замените затронутые инструменты альтернативами без инъекций Если вы обнаружите критически важные для бизнеса инструменты, зависящие от инъекции скриптов, начните оценивать альтернативы уже сейчас — инъекции скриптов в страницу входа больше не будут поддерживаться после начала принудительного применения.

Почему это важно

Страницы аутентификации — цели высокой ценности. Применение CSP на границе входа — значимый шаг к сокращению поверхности атаки для внедрённых или вредоносных скриптов, повышающий устойчивость к современным веб-атакам на идентичность и при этом сохраняющий пользовательский опыт входа неизменным для соответствующих конфигураций.

Нужна помощь с Entra ID?

Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.

Поговорить с экспертом

Будьте в курсе технологий Microsoft

Читать оригинальную статью от AnkurPatel
Entra IDauthenticationContent Security PolicyCSPSecure Future Initiative

Похожие статьи

Entra ID

Microsoft Entra Backup and Recovery в preview

Microsoft запустила Microsoft Entra Backup and Recovery в публичной preview, предоставив организациям управляемый Microsoft способ восстанавливать критически важные объекты идентификации и конфигурации до заведомо корректного состояния. Сервис помогает ИТ-командам быстрее восстанавливаться после случайных изменений администраторов, ошибок provisioning и вредоносных модификаций, которые иначе могли бы нарушить доступ и безопасность.

Entra ID

Microsoft Entra external MFA стала общедоступной

Microsoft объявила о выходе в общую доступность external MFA в Microsoft Entra ID, что позволяет организациям интегрировать доверенных сторонних провайдеров MFA с помощью OpenID Connect. Эта возможность помогает ИТ-командам сохранить Microsoft Entra ID как центральную плоскость управления идентификацией, одновременно поддерживая Conditional Access, оценку рисков и единое управление методами аутентификации.

Entra ID

Microsoft Entra RSAC 2026: защита AI-агентов и MFA

На RSAC 2026 Microsoft представила крупные обновления Entra, расширив защиту идентичностей на AI-агентов, рабочие нагрузки и мультиарендные среды. Компания добавила новые механизмы Agent ID, защиту от Shadow AI и prompt injection, а также усилила безпарольную аутентификацию и MFA, что важно для организаций, переходящих к модели identity-first и Zero Trust в условиях роста AI-рисков.

Entra ID

Microsoft Entra: как AI меняет корпоративный доступ

Исследование Microsoft Entra показало, что с ростом использования генеративного AI и AI-агентов компании сталкиваются с резким увеличением рисков в сфере удостоверений и сетевого доступа: 97% организаций уже пережили такие инциденты, а 70% — случаи, связанные с AI. Это важно, потому что AI создает множество новых machine identities и усложняет управление правами, поэтому бизнес все активнее отказывается от разрозненных решений в пользу единой интегрированной платформы доступа и идентификации.

Entra ID

Microsoft Entra: Conditional Access «All resources» в 2026

Microsoft изменит поведение Conditional Access в Entra ID: с 27 марта 2026 года политики, нацеленные на «All resources», начнут применяться даже при наличии исключений ресурсов в сценариях входа, где раньше проверка могла не сработать из-за только OIDC или ограниченных directory scopes. Это важно, потому что закрывает потенциальный пробел в безопасности и может привести к тому, что пользователи чаще будут видеть требования MFA, проверки соответствия устройства и другие меры доступа там, где ранее их не было.

Entra ID

Microsoft Entra Access Priorities: вебинары по AI и доступу

Microsoft запустила серию из четырёх практических вебинаров Microsoft Entra Access Priorities, посвящённых построению современной модели доступа: от phishing-resistant authentication и adaptive access до Zero Trust, least privilege и защиты AI-сервисов. Это важно, потому что идентичность становится ключевым уровнем управления безопасностью для сотрудников, приложений, устройств и AI-агентов, а серия помогает ИТ-командам внедрять стратегию Access Fabric с готовыми демонстрациями, шаблонами и чек-листами.