Microsoft ставит ультиматум администраторам: отключите скрипты или потеряете доступ к интерфейсу

Microsoft ужесточает защиту входа в аккаунты Microsoft Entra ID: компания планирует полностью заблокировать выполнение сторонних скриптов на странице аутентификации, оставив доступ только для собственных доменов и доверенных inline-скриптов. Это изменение станет частью инициативы Secure Future Initiative и нацелено на то, чтобы перекрыть злоумышленникам один из любимых векторов атак — внедрение вредоносного кода прямо в процесс входа пользователя.

Начиная с середины – конца октября 2026 года Microsoft Entra ID начнёт глобально применять обновлённый заголовок Content Security Policy (CSP) для браузерных сценариев входа на адресах, которые начинаются с login.microsoftonline.com. Новая политика разрешит загрузку JavaScript только с доверенных CDN-доменов Microsoft и выполнение только тех встроенных скриптов, которые помечены специальным одноразовым nonce. Любые внешние либо непомеченные куски кода будут блокироваться ещё на уровне браузера.

По сути, Microsoft выстраивает дополнительный защитный барьер от атак типа cross-site scripting (XSS), когда злоумышленники внедряют в веб-страницу собственные скрипты, чтобы перехватывать пароли, токены или подменять содержимое интерфейса. Чем более массовыми становятся облачные сервисы и корпоративные платформы авторизации, тем привлекательнее они для атакующих — и тем важнее для поставщика жёстко контролировать, какой именно код выполняется во время входа пользователя.

Однако под удар попадут не только откровенно вредоносные сценарии, но и легитимные инструменты, которые «вклиниваются» в процесс аутентификации. Microsoft прямо предупреждает: если вы используете браузерные расширения, плагины, отладочные тулбары или корпоративные надстройки, которые внедряют JavaScript в страницу входа Entra ID, после включения новой CSP они просто перестанут работать. Это может затронуть, например, внутренние решения для мониторинга UX, дополнительной аналитики, A/B-тестов или кастомных визуальных элементов на экране логина.

При этом сами пользователи по-прежнему смогут входить в систему — CSP блокирует только выполнение стороннего кода, а не процесс аутентификации как таковой. Изменения касаются исключительно браузерного входа через login.microsoftonline.com и не затрагивают Microsoft Entra External ID и сторонние сценарии, работающие вне этой страницы. Для компаний, которые не полагаются на скриптовые «надстройки» над страницей логина, поведение системы останется прежним, но защищённым сильнее.

Администраторам и инженерам безопасности Microsoft рекомендует заранее провести аудит своих схем аутентификации. Проверить, есть ли нарушения новой политики CSP в конкретном тенанте, можно прямо через инструменты разработчика в браузере: достаточно пройти процесс входа с открытой консолью и посмотреть, не появляются ли в ней сообщения о блокировке ресурсов, отмеченные красным. Важно протестировать разные сценарии входа и разные типы пользователей — если проблемный скрипт используется только одной командой или конкретным специалистом, предупреждения вы увидите только в их потоках.

Microsoft подчёркивает, что цель изменений — не сломать привычные инструменты администраторов, а закрыть окно возможностей для скрытых атак, которые пользователи даже не замечают. Однако ответственность за подготовку к переходу лежит на самих организациях: у тех, кто вовремя не откажется от инжекта кодов в страницу входа Entra ID или не подберёт альтернативу, к моменту включения CSP часть интеграций и надстроек просто перестанет функционировать. Чем раньше компании начнут тестирование и адаптацию, тем более гладким будет переход к новой, более жёсткой модели безопасности.