Aktualisiert am 13. März 2026: Wir haben den Zeitplan aktualisiert. Vielen Dank für Ihre Geduld.
Wir verbessern die Sicherheit von SharePoint Online durch Durchsetzung der Content Security Policy (CSP). Derzeit wird CSP im Berichtsmodus angewendet, aber ab dem 1. März 2026 wird die Content Security Policy durchgesetzt, was das Laden von Skripten (z. B. JavaScript) aus nicht erlaubten Quellen verhindert. Dieser Message Center-Beitrag ersetzt MC1055557 (April 2024).
Diese Änderung steht im Zusammenhang mit der Microsoft 365-Roadmap-ID: 485797
[Wann wird dies passieren:]
Die Umsetzung beginnt am 1. März 2026 und soll bis zum 20. März 2026 abgeschlossen sein.
[Wie dies Ihre Organisation beeinflusst:]
Wenn Ihre Organisation SharePoint Online mit SPFx erweitert hat, könnten die erstellten benutzerdefinierten SPFx-Lösungen Skripte aus nicht erlaubten Quellen laden. In den meisten Fällen verwenden und laden SPFx-Lösungen Skripte aus erlaubten Quellen, aber das ist nicht immer der Fall. Jegliche Skripte aus nicht erlaubten Quellen werden blockiert, dies gilt ebenso für die Verwendung von Inline-Skripten. SPFx-Lösungen, deren Skripte blockiert werden, funktionieren nicht mehr wie vorgesehen, was Geschäftsszenarien beeinträchtigen kann, die von diesen Lösungen abhängen.
Um zu verhindern, dass Lösungen fehlschlagen, müssen Sie:
- sicherstellen, dass alle verwendeten Skriptquellen vertrauenswürdige Skriptquellen sind. Dies kann ohne Aktualisierung der SPFx-Lösung erfolgen
- alle Inline-Skripte in Skriptdateien verschieben, die dann als vertrauenswürdige Quelle definiert werden können. Dies erfordert eine Aktualisierung der SPFx-Lösung!
Wenn Sie mehr Zeit zur Überprüfung Ihrer SPFx-Lösungen benötigen, besteht die Möglichkeit, die Durchsetzung der CSP um 90 Tage über das folgende PowerShell-Cmdlet im SPO Management Shell aufzuschieben.
Set-SPOTenant -DelayContentSecurityPolicyEnforcement $true
Hinweis:
Diese Option ist in der SPO Management Shell Version 16.0.26712.12000 (November 2025) oder höher verfügbar.
[Was Sie zur Vorbereitung tun müssen:]
Zusätzlich zu den Standard-CSP-Einstellungen fügt SharePoint Online die im Bereich „Trusted Script Sources“ des SharePoint Online Admin Centers aufgeführten Speicherorte als gültige CSP-Speicherorte hinzu, sodass Skripte von diesen Quellen geladen werden können. Um einen Eintrag hinzuzufügen, rufen Sie im Browser den Bereich Trusted Script Sources über SharePoint Online Admin Center > Erweitert > Skriptquellen auf.
Um zu verstehen, welche Skriptquellen Sie hinzufügen müssen, gibt es zwei Möglichkeiten. Die erste besteht darin, Ihre SPFx-Lösungen mit geöffneten Entwicklertools im Browser zu testen. Da CSP bis zum 1. März 2026 im Berichtsmodus ist, werden Meldungen angezeigt, die auf Skripte hinweisen, die beim Durchsetzen von CSP blockiert würden. Diese Meldungen beginnen mit „Loading the script \'<Pfad zum Skript>\' violates the following…“ oder „Executing inline script violates the following Content Security Policy directive…“.
Wann immer der Browser einen CSP-Verstoß protokolliert, wird dieser Verstoß auch in Microsoft Purview aufgezeichnet. Navigieren Sie im Browser zur Audit-Lösung in Microsoft Purview über das Microsoft 365 Admin Center. Suchen Sie auf der Suchseite nach dem Aktivitätsnamen „Violated Content Security Policy“ oder nach dem Aktivitätsoperationsnamen „ViolatedContentSecurityPolicy“:
Durch Auswahl eines Suchergebnisses öffnet sich das Seitenpanel mit den Auditdetails. Achten Sie auf folgende Eigenschaften:
- DocumentUrl: Gibt die Seite in der SharePoint Online-Site an, auf der der CSP-Verstoß aufgetreten ist.
- BlockedUrl: Gibt die URL des Skripts an, das gegen die CSP-Konfiguration verstoßen hat, oder enthält den Wert „inline“, wenn der Verstoß durch Inline-Skripte entstanden ist.
Wichtig
Im Fall von Inline-Skripten erfordert die Behebung eine Aktualisierung der SPFx-Lösung, indem Inline-Skripte in separate Skriptdateien verschoben werden, die dann als vertrauenswürdige Quelle hinzugefügt werden können.
Weitere Informationen: Support für Content Security Policy (CSP) in SharePoint Online
