Kleiner Nachtrag von letzter Woche, der Administratoren in Unternehmensumgebungen tangieren kann. Microsoft will die Sicherheit der Microsoft Entra ID-Authentifizierung verbessern. Dazu sollen indem externe Skriptinjektionen blockiert werden, wie ein Entwickler in einem Blog-Beitrag im Microsoft Entra-Blog erklärt hat.
Der Beitrag Enhance protection of Microsoft Entra ID authentication by blocking external script injection vom 25. November 2025 (via) erklärt das Ganze. Microsoft aktualisiert dazu die Content Security Policy (CSP) im Rahmen seiner Secure Future Initiative, um Benutzer zusätzlich vor aktuellen Sicherheitsrisiken wie Cross-Site-Scripting (XSS) schützen.
Sobald die neue Content Security Policy (CSP) aktiv ist, dürfen nur Skripte von vertrauenswürdigen Microsoft-Domänen während der Authentifizierung unter der URL login.microsoftonline.com ausgeführt werden. Die Ausführung von nicht autorisiertem oder injiziertem Code während der Anmeldung wird dagegen blockiert.
Das Ganze soll eigentlich bereits seit Mitte Oktober 2025 global umgesetzt werden, obwohl der obige Supportbeitrag erst Ende November 2025 erschienen ist. Microsoft schreibt, dass keine Browsererweiterungen oder Tools, die Code oder Skripte in die Microsoft Entra-Anmeldung einfügen, eingesetzt werden sollen. Ohne diese Tools soll sich, nach meiner Lesart, an der Microsoft Entra ID-Authentifizierung nichts ändern.
MVP: 2013 – 2016
