Microsoft Entra ID: Schutz der Authentifizierungserfahrung durch Blockieren externer Skripteinbindung verbessern

Veröffentlicht am

03

.

12

.

2025

Aktualisiert am

.

.

Lesezeit

3 Minuten

Die Inhalte auf dieser Seite wurden maschinell übersetzt.

< Zurück zum Message Center Archiv
Microsoft Entra ID verbessert die Authentifizierungssicherheit durch die Durchsetzung einer Content Security Policy, die das Einfügen externer Skripte blockiert und nur vertrauenswürdige Microsoft-Skripte zulässt. Die Einführung beginnt Mitte Oktober 2026 und betrifft browserbasierte Anmeldungen auf login.microsoftonline.com, ohne Auswirkungen auf Entra External ID-Mandanten.

Introduction

Im Rahmen von Microsofts Secure Future Initiative aktualisieren wir unsere Content Security Policy für das Microsoft Entra ID-Anmeldeerlebnis. Diese Änderung fügt eine zusätzliche Schutzebene hinzu, indem nur Skripte von vertrauenswürdigen Microsoft-Domains während der Authentifizierung ausgeführt werden dürfen. Unautorisierter oder eingefügter externer Code wird somit blockiert. Diese proaktive Maßnahme hilft, Benutzer vor Bedrohungen wie Cross-Site Scripting (XSS) zu schützen und stärkt die Sicherheit für Ihre Organisation weiter.

Wann dies geschieht

Allgemeine Verfügbarkeit (Produktion/weltweit):

  • Einführung beginnt Mitte Oktober 2026
  • Voraussichtlicher Abschluss Ende Oktober 2026

Periodische Informationen werden näher am Release verschickt.

Wie sich das auf Ihre Organisation auswirkt

Wer betroffen ist:

  • Organisationen, die browserbasierte Anmeldeerlebnisse über URLs mit dem Präfix login.microsoftonline.com verwenden.
  • Keine Auswirkungen auf Microsoft Entra External ID-Mandanten.

Was passieren wird:

  • Ein neuer Content Security Policy-Header wird zu den Microsoft Entra-Anmeldeseiten hinzugefügt.
  • Skripte werden nur von Microsoft vertrauenswürdigen CDN-Domains erlaubt.
  • Inline-Skriptausführung wird nur von vertrauenswürdigen Microsoft-Quellen zugelassen.
  • Browser-Erweiterungen oder Tools, die Code in die Anmeldeseite injizieren, funktionieren nicht mehr, Benutzer können sich jedoch weiterhin anmelden.

Was Sie zur Vorbereitung tun können

  • Wenn Sie keine Tools oder Erweiterungen verwenden, die Code in das Anmeldeerlebnis injizieren, sind keine Maßnahmen erforderlich.
  • Falls Sie solche Tools verwenden, wechseln Sie zu Alternativen, die keinen Code injizieren.
  • Testen Sie Ihre Anmeldeabläufe vor der Einführung gründlich, um mögliche Probleme frühzeitig zu erkennen und zu beheben. Anweisungen zum Testen finden Sie in unserem CSP-Leitfaden für Microsoft Entra ID.

Weitere Informationen:

Compliance-Aspekte

Es wurden keine spezifischen Compliance-Aspekte identifiziert; prüfen Sie dies jedoch entsprechend für Ihre Organisation.

Wir sind für Sie da

Haben Sie Fragen oder benötigen Sie Unterstützung? Wir helfen gerne weiter.

Kontakt

Zum originalen Post im Message Center >

© itelio GmbH