Entra ID

Microsoft Entra ID skärper CSP på inloggningssidor

3 min läsning

Sammanfattning

Microsoft kommer att införa en striktare Content Security Policy för Entra ID:s webbaserade inloggningssidor på login.microsoftonline.com, med global tillämpning planerad till mitten/slutet av oktober 2026. Det är viktigt eftersom det minskar risken för skriptinjektion och attacker under autentisering, men organisationer som anpassat inloggningssidor eller förlitar sig på externa/inbäddade skript kan behöva se över sina lösningar i god tid.

Behöver du hjälp med Entra ID?Prata med en expert

Introduktion

Microsoft stärker Microsoft Entra ID-inloggningsupplevelsen som en del av Secure Future Initiative (SFI). Den kommande tillämpningen av Content Security Policy (CSP) är utformad för att förhindra extern skriptinjektion under autentisering—ett område som ofta är måltavla för angripare—genom att begränsa vilka skript som får laddas och köras på inloggningssidan.

Vad är nytt

Microsoft kommer att lägga till och tillämpa en striktare CSP-header för Entra ID-inloggningsupplevelsen på login.microsoftonline.com. Viktiga förändringar inkluderar:

  • Nedladdning av skript begränsas till betrodda Microsoft CDN-domäner Endast skript som hämtas från Microsoft-godkända content delivery networks kommer att tillåtas att laddas.

  • Körning av inline-skript begränsas till betrodda Microsoft-källor (nonce-baserat) Inline-skript kommer att styras via CSP nonce-mönster, vilket förhindrar att godtycklig inline-kod körs.

  • Omfattning begränsad till webbläsarbaserade inloggningar på login.microsoftonline.com Detta gäller specifikt interaktiva inloggningssidor i en webbläsare.

  • Ingen påverkan på Microsoft Entra External ID Microsoft uppger att Entra External ID-upplevelser inte påverkas av den här uppdateringen.

Tidslinje

  • Global tillämpning: Microsoft Entra ID kommer att tillämpa den uppdaterade CSP:n mitten till slutet av oktober 2026.
  • Kommunikation: Microsoft kommer att skicka regelbundna uppdateringar inför utrullningen.

Påverkan på IT-administratörer och slutanvändare

För de flesta organisationer blir detta en ”tyst” säkerhetsförbättring. Miljöer som använder webbläsartillägg, skript eller tredjepartsverktyg som injicerar kod på inloggningssidan bör dock förvänta sig att den injicerade funktionaliteten slutar fungera.

Viktig nyans: Microsoft anger att även om injicerade verktyg slutar fungera kan användare fortfarande logga in—men eventuella överlägg, instrumentering, anpassningar eller hjälplogik som är beroende av injektion kan fallera.

Typiska saker att granska inkluderar:

  • Lösenordshanterare eller ”säkerhets”-tillägg som modifierar inloggningssidor
  • Helpdesk- eller SSO-felsökningsöverlägg
  • Anpassad branding eller UX-modifieringar som implementeras via injektion
  • Övervaknings- eller analystverktyg som kopplar in sig i inloggnings-UI via webbläsarskript

Rekommenderade åtgärder / nästa steg

  1. Inventera och minska beroenden av injektion på inloggningssidan Microsoft rekommenderar uttryckligen att undvika tillägg eller verktyg som injicerar kod i Entra-inloggningsupplevelsen.

  2. Testa inloggningsflöden med Developer Tools öppna Kör igenom era vanliga inloggningsscenarier (hanterade enheter, ohanterade enheter, olika webbläsare, variationer i conditional access) med webbläsarens dev console öppen och leta efter CSP violations (visas vanligtvis i rött).

  3. Utvärdera olika användarpersonas och flöden Eftersom överträdelser kan uppträda endast för specifika team eller användarupplägg (på grund av tillägg eller lokala verktyg), testa med flera användargrupper och enhetskonfigurationer.

  4. Ersätt påverkade verktyg med alternativ som inte injicerar Om ni hittar verksamhetskritiska verktyg som är beroende av skriptinjektion, påbörja utvärdering av alternativ redan nu—skriptinjektion på inloggningssidan kommer inte längre att stödjas när tillämpningen inleds.

Varför detta är viktigt

Autentiseringssidor är högvärdiga mål. Att tillämpa CSP vid inloggningsgränsen är ett viktigt steg för att minska attackytan för injicerade eller skadliga skript, förbättra motståndskraften mot moderna webbaserade identitetsattacker och samtidigt behålla användarens inloggningsupplevelse intakt för kompatibla konfigurationer.

Behöver du hjälp med Entra ID?

Våra experter kan hjälpa dig att implementera och optimera dina Microsoft-lösningar.

Prata med en expert

Håll dig uppdaterad om Microsoft-teknologier

Läs originalartikeln av AnkurPatel
Entra IDauthenticationContent Security PolicyCSPSecure Future Initiative

Relaterade inlägg

Entra ID

Microsoft Entra Backup and Recovery Enters Preview

Microsoft has launched Microsoft Entra Backup and Recovery in public preview, giving organizations a Microsoft-managed way to restore critical identity objects and configurations to a known-good state. The service helps IT teams recover faster from accidental admin changes, provisioning errors, and malicious modifications that could otherwise disrupt access and security.

Entra ID

Microsoft Entra External MFA Now Generally Available

Microsoft has announced general availability of external MFA in Microsoft Entra ID, allowing organizations to integrate trusted third-party MFA providers using OpenID Connect. The feature lets IT teams keep Microsoft Entra ID as the central identity control plane while maintaining Conditional Access, risk evaluation, and unified authentication method management.

Entra ID

Microsoft Entra RSAC 2026 Identity Security Updates

At RSAC 2026, Microsoft announced major Microsoft Entra updates aimed at securing not only users and devices but also AI agents, workloads, and modern multi-tenant environments. The new capabilities—such as expanded Entra Agent ID governance, shadow AI detection, prompt injection protection, passkey enhancements, and adaptive risk-based access—matter because they strengthen Zero Trust identity security as organizations adopt AI and face more dynamic access risks.

Entra ID

Microsoft Entra Secure Access Report 2026 on AI Risk

Microsoft’s Entra Secure Access Report 2026 says AI adoption is significantly increasing identity and network access risk, with 97% of organizations reporting an access-related incident in the past year and 70% tying incidents to AI activity. The report argues that fragmented identity and network tools are making the problem worse, which matters because more organizations are now moving toward consolidated access platforms to better secure AI tools, agents, and machine identities.

Entra ID

Microsoft Entra Conditional Access: All resources 2026

Microsoft ändrar hur Entra Conditional Access tillämpas för policyer som riktar sig mot ”All resources”, så att de även gäller konsekvent vid vissa inloggningar som tidigare kunde undgå policyutvärdering när resursundantag fanns. För organisationer med sådana CA-policyer innebär detta att användare från och med 27 mars 2026 oftare kan möta krav som MFA och enhetskompatibilitet, vilket stärker säkerheten men också gör det viktigt att testa och förbereda berörda inloggningsflöden innan utrullningen är klar i juni 2026.

Entra ID

Microsoft Entra Access Priorities för säker AI-åtkomst

Microsoft lanserar Microsoft Entra Access Priorities Series, en ny webbinarieserie i fyra delar som hjälper IT-team att omsätta företagets strategi för identitet, Zero Trust och AI-säkerhet i praktiska införandesteg. Serien fokuserar på phishing-resistent autentisering, adaptiv åtkomst, least privilege och säkring av åtkomst för både medarbetare och AI-agenter, vilket är viktigt när identitet blir den centrala kontrollpunkten för säker åtkomst till appar, enheter och AI-tjänster.