Entra ID

Microsoft Entra ID CSP stroža zaštita prijave 2026

3 min čitanja

Sažetak

Microsoft će od sredine do kraja oktobra 2026. uvesti strožu Content Security Policy zaštitu za browser prijavljivanja na login.microsoftonline.com u okviru Microsoft Entra ID, čime će dozvoliti samo skripte sa pouzdanih Microsoft CDN lokacija i strogo kontrolisati inline skripte putem nonce mehanizma. Ovo je važno jer dodatno smanjuje rizik od ubacivanja zlonamernih skripti tokom autentifikacije, pa IT administratori i partneri koji imaju prilagođena rešenja oko prijave treba na vreme da provere moguću kompatibilnost.

Trebate pomoć sa Entra ID?Razgovarajte sa stručnjakom

Uvod

Microsoft dodatno učvršćuje Microsoft Entra ID iskustvo prijavljivanja u okviru inicijative Secure Future Initiative (SFI). Predstojeće sprovođenje Content Security Policy (CSP) osmišljeno je da spreči ubacivanje eksternih skripti tokom autentifikacije — oblasti koja je često na meti napadača — ograničavanjem toga koje skripte mogu da se učitaju i izvrše na stranici za prijavljivanje.

Šta je novo

Microsoft će dodati i primenjivati strože CSP zaglavlje za Entra ID iskustvo prijavljivanja na login.microsoftonline.com. Ključne promene uključuju:

  • Preuzimanje skripti ograničeno na pouzdane Microsoft CDN domene Biće dozvoljeno učitavanje samo skripti koje potiču sa Microsoft-odobrenih content delivery network-ova.

  • Izvršavanje inline skripti ograničeno na pouzdane Microsoft izvore (nonce-based) Inline skripte će biti kontrolisane putem CSP nonce obrazaca, čime se sprečava pokretanje proizvoljnog inline koda.

  • Opseg ograničen na browser-based prijavljivanja na login.microsoftonline.com Ovo se odnosi isključivo na interaktivne stranice za prijavljivanje u browser-u.

  • Nema uticaja na Microsoft Entra External ID Microsoft navodi da Entra External ID iskustva nisu pogođena ovim ažuriranjem.

Vremenski okvir

  • Globalna primena: Microsoft Entra ID će primenjivati ažurirani CSP od sredine do kraja oktobra 2026..
  • Komunikacije: Microsoft će slati periodična ažuriranja pre početka uvođenja.

Uticaj na IT administratore i krajnje korisnike

Za većinu organizacija, ovo će biti „tiho” bezbednosno poboljšanje. Međutim, okruženja koja koriste browser ekstenzije, skripte ili third-party alate koji ubacuju kod u stranicu za prijavljivanje treba da očekuju prekid rada te ubačene funkcionalnosti.

Važna nijansa: Microsoft navodi da čak i ako ubačeni alati prestanu da rade, korisnici i dalje mogu da se prijave — ali bilo kakav overlay, instrumentacija, prilagođavanje ili pomoćna logika koja zavisi od ubacivanja može da zakaže.

Tipične stavke koje treba preispitati uključuju:

  • Password manager-e ili „security” ekstenzije koje menjaju login stranice
  • Helpdesk ili SSO troubleshooting overlay-e
  • Custom branding ili UX modifikacije implementirane putem ubacivanja
  • Monitoring ili analytics alate koji se „kače” na UI prijavljivanja putem browser skriptovanja

Preporučene radnje / sledeći koraci

  1. Popišite i smanjite zavisnosti od ubacivanja na stranicu za prijavljivanje Microsoft eksplicitno preporučuje izbegavanje ekstenzija ili alata koji ubacuju kod u Entra iskustvo prijavljivanja.

  2. Testirajte tokove prijavljivanja sa otvorenim Developer Tools Prođite kroz uobičajene scenarije prijavljivanja (managed uređaji, unmanaged uređaji, različiti browser-i, varijacije conditional access-a) sa otvorenom browser dev konzolom i potražite CSP violations (obično prikazane crvenom bojom).

  3. Procenite različite korisničke persone i tokove Pošto se kršenja mogu pojaviti samo za određene timove ili korisničke postavke (zbog ekstenzija ili lokalnih alata), testirajte sa više korisničkih grupa i konfiguracija uređaja.

  4. Zamenite pogođene alate alternativama bez ubacivanja Ako pronađete poslovno kritične alate koji se oslanjaju na ubacivanje skripti, počnite da procenjujete alternative već sada — ubacivanje skripti u stranicu za prijavljivanje više neće biti podržano kada primena započne.

Zašto je ovo važno

Stranice za autentifikaciju su mete visoke vrednosti. Primena CSP-a na granici prijavljivanja predstavlja značajan korak ka smanjenju attack surface-a za ubačene ili maliciozne skripte, povećavajući otpornost na moderne web-bazirane identity napade, uz zadržavanje korisničkog iskustva prijavljivanja netaknutim za usaglašene konfiguracije.

Trebate pomoć sa Entra ID?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od AnkurPatel
Entra IDauthenticationContent Security PolicyCSPSecure Future Initiative

Povezani članci

Entra ID

Microsoft Entra Backup and Recovery u preview fazi

Microsoft je pokrenuo Microsoft Entra Backup and Recovery u public preview fazi, pružajući organizacijama Microsoft-managed način za vraćanje ključnih identity objekata i konfiguracija u poznato ispravno stanje. Servis pomaže IT timovima da se brže oporave od slučajnih administratorskih izmena, grešaka u provisioningu i zlonamernih modifikacija koje bi inače mogle da naruše pristup i bezbednost.

Entra ID

Microsoft Entra eksterni MFA sada je GA

Microsoft je objavio opštu dostupnost eksternog MFA u Microsoft Entra ID, omogućavajući organizacijama da integrišu pouzdane MFA provajdere trećih strana koristeći OpenID Connect. Ova funkcija omogućava IT timovima da zadrže Microsoft Entra ID kao centralnu kontrolnu ravan identiteta uz očuvanje Conditional Access, procene rizika i objedinjeno upravljanje metodama autentifikacije.

Entra ID

Microsoft Entra RSAC 2026: AI zaštita i passwordless

Microsoft je na RSAC 2026 predstavio važna Entra unapređenja za zaštitu AI agenata, zaposlenih i pristupa u kompleksnim multi-tenant okruženjima, uz jače identity-first i Zero Trust kontrole. Najvažnije novosti uključuju upravljanje identitetom AI agenata, otkrivanje neodobrenih AI alata, zaštitu od prompt injection napada i širu podršku za passwordless pristup kroz passkeys, što je važno jer organizacije moraju da obezbede i nove AI identitete, a ne samo korisnike i uređaje.

Entra ID

Microsoft Entra izveštaj: AI menja enterprise pristup

Najnoviji Microsoft Entra izveštaj pokazuje da AI ubrzano menja način na koji kompanije upravljaju identitetima i pristupom, pri čemu je 97% organizacija prijavilo identity ili network access incident, a 70% incidente povezane sa AI aktivnostima. Ovo je važno jer generativni AI i autonomni agenti uvode nove machine identitete i dodatno šire attack surface, zbog čega firme sve više napuštaju fragmentisana rešenja i prelaze na konsolidovane, integrisane platforme za identity i access management.

Entra ID

Microsoft Entra Conditional Access: All resources 2026

Microsoft će od 27. marta 2026. postepeno promeniti Entra Conditional Access tako da se politike koje ciljaju „All resources“ dosledno primenjuju čak i kada postoje izuzeci resursa, uključujući prijave koje danas mogu da zaobiđu procenu zbog ograničenih OIDC ili directory scope-ova. Ovo je važno jer zatvara bezbednosnu prazninu i može dovesti do toga da korisnici češće dobijaju MFA, proveru usklađenosti uređaja i druge CA kontrole, pa organizacije treba na vreme da provere svoje CA politike i uticaj na tokove prijavljivanja.

Entra ID

Microsoft Entra Access Priorities webinar serija 2026

Microsoft pokreće Microsoft Entra Access Priorities Series za 2026. godinu, seriju od četiri praktične webinar sesije koje pomažu IT timovima da primene savremene pristupe identitetu i pristupu, uključujući phishing-resistant autentifikaciju, adaptive access i Zero Trust smernice. Ovo je važno jer organizacije moraju da obezbede pristup ne samo za zaposlene, već i za aplikacije, uređaje i AI radna opterećenja, a serija nudi konkretne korake, demonstracije i kontrolne liste za lakšu implementaciju.