Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Inhaltssicherheitsrichtlinie (Content Security Policy, CSP) ist ein Browsersicherheitsheader, der nur vertrauenswürdige Skripts und Ressourcen zum Laden zulässt. Die Microsoft Entra-ID erzwingt CSP auf Anmeldeseiten als proaktive Maßnahme, um nicht autorisierte Skripts aus externen Quellen zu blockieren und das Risiko von Sicherheitsrisiken zu verringern, die von Skripteinfügungsangriffen wie cross-Site Scripting (XSS) ausgehen.
Von Bedeutung
Die CSP-Durchsetzung wird Mitte bis Ende Oktober 2026 weltweit beginnen.
Gilt nur für browserbasierte Anmeldung bei login.microsoftonline.com. Microsoft Entra Externe ID-Kunden, die benutzerdefinierte Domänen und MSAL/API-Flüsse verwenden, sind nicht betroffen.
Microsoft empfiehlt, keine Browsererweiterungen oder -tools zu verwenden, die Code in die Microsoft Entra-Anmeldeumgebung einfügen. Wenn Sie diesem Rat folgen, bleibt Ihre Erfahrung unverändert, und es ist keine weitere Aktion erforderlich.
Wenn Sie Tools oder Browsererweiterungen verwenden, die Code in die Microsoft Entra-Anmeldeseite einfügen, wechseln Sie zu alternativen Tools, die keinen Code einfügen, bevor diese Änderung veröffentlicht wird.
Ausführliche Informationen zur Vorbereitung der CSP-Erzwingung finden Sie unter Vorbereiten der CSP-Erzwingung.
Risiko einer Skript- oder Codeeinfügung
Skript- oder Codeeinfügung tritt auf, wenn bösartige Skripts ohne Autorisierung im Browser eines Benutzers ausgeführt werden. Diese Sicherheitsanfälligkeit kann zu Folgendem führen:
- Datendiebstahl: Angreifer können vertrauliche Informationen wie Anmeldeinformationen oder Token stehlen.
- Session Hijacking: Injizierte Skripts können die Kontrolle über aktive Sitzungen übernehmen.
- Schadsoftwareübermittlung: Bösartiger Code kann schädliche Software auf Benutzergeräten installieren.
- Vertrauensverlust: Kompromittierte Anmeldeseiten schaden dem Vertrauen der Benutzer und dem Markenauftritt.
XSS ist einer der häufigsten Injektionsangriffe. Es ermöglicht Angreifern, bösartige Skripts im Browser eines Benutzers auszuführen, die Anmeldeinformationen stehlen, Sitzungen hijacken und vertrauliche Daten kompromittieren können.
CSP hilft außerdem, diese Angriffe abzuschirmen, indem sie einschränken, welche Skripts im Browser ausgeführt werden können. Durch das Erzwingen von CSP lässt Microsoft Entra-ID nur Skripts aus vertrauenswürdigen Microsoft-Domänen während der Authentifizierung auszuführen.
CSP ist eine tiefgehende Verteidigung
CSP fügt eine wichtige Schutzebene gegen Skripteinfügungsangriffe wie XSS hinzu. Heute implementieren Microsoft Entra und moderne Browser bereits Mechanismen, um zu verhindern, dass bösartige Skripts als erste und primäre Verteidigungsebene in eine Website eingefügt werden. In Fällen, in denen ein Skript trotz dieser Mechanismen eingefügt werden kann , z. B. durch eine vom Benutzer installierte schädliche Browsererweiterung oder eine Zero-Day-Sicherheitsanfälligkeit, verhindert CSP, dass dieses Skript ausgeführt wird. CSP erreicht dies, indem nur vertrauenswürdige Skript-Nonces und Ursprünge aufgelistet und alles andere standardmäßig blockiert wird. Dieser tiefgreifende Verteidigungsansatz stärkt bestehende Sicherheitsmaßnahmen.
CSP-Erzwingungsbereich und wichtige Details
Durch die CSP-Erzwingung wird die Sicherheit der Microsoft Entra-Anmeldeumgebung weiter verbessert, indem skripts nur von vertrauenswürdigen Microsoft-Domänen ausgeführt werden können. Dadurch werden Chancen für nicht autorisierte externe Skripteinfügungen minimiert. Unsere Analyse zeigt, dass die meisten Verletzungen von externen Browsererweiterungen oder eingefügten Skripts stammen, die mit Drittanbietertools verknüpft sind.
Hier erfahren Sie, was Sie über den Umfang und die wichtigsten Details der CSP-Erzwingung wissen müssen:
-
Headererzwingungsbereich: Die CSP-Erzwingung gilt nur für browserbasierte Anmeldeerfahrungen unter
login.microsoftonline.com. Andere Domänen und Nichtbrowserauthentifizierungsflüsse sind nicht betroffen. - Microsoft Authentication Library (MSAL) und API-Authentifizierung: MSAL-basierte Authentifizierungsflüsse, die mit Microsoft Entra Security Token Service (STS)-APIs interagieren, bleiben nicht betroffen, da die Erzwingung auf die Browseranmeldungs-URL beschränkt ist.
- Externe Microsoft Entra-ID und benutzerdefinierte Domänen: Externe ID-Kunden, die benutzerdefinierte Domänen oder CIAM-Domänen für die Anmeldung verwenden, sind nicht betroffen.
Nicht-Microsoft-Tools mit CSP-Verstößen
Einige Drittanbietertools können Skripts in Anmeldeseiten einfügen, was zu CSP-Verstößen führen kann. Wenn CSP erzwungen login.microsoftonline.com wird, werden diese Skripts am Ausführen gehindert. Benutzer können sich weiterhin normal anmelden, dies kann jedoch bestimmte Anmelde- oder Überwachungsworkflows stören.
Kunden, die Tools verwenden, die auf eingefügten Skripts basieren, sollten direkt mit ihren Lieferanten zusammenarbeiten, um Korrekturen zu identifizieren und zu implementieren, die den CSP-Anforderungen entsprechen.
So bereiten Sie sich auf die Durchsetzung der CSP-Richtlinien vor.
Überprüfen Sie Ihre Anmeldeerfahrung frühzeitig. Entfernen oder Migrieren von Browsererweiterungen und -tools, die Skripts in die Microsoft Entra-Anmeldeseite einfügen. Wenn Ihre Organisation auf solche Tools angewiesen ist, arbeiten Sie mit Anbietern zusammen, um vor dem Rollout kompatible Alternativen zu übernehmen.
Testen Sie Anmeldeabläufe vorab, um Verstöße zu identifizieren und zu beheben, Unterbrechungen zu minimieren und die Benutzerfreundlichkeit nahtlos zu halten. Verwenden Sie die nachstehenden Anweisungen, um den genauen Effekt in Ihrem Mandanten zu identifizieren.
Schritt 1: Durchlaufen Sie einen Anmeldeablauf mit geöffneter Dev-Konsole, um Verstöße zu identifizieren.
Schritt 2: Überprüfen Sie die Informationen zu der Verletzung, die rot angezeigt wird. Wenn ein bestimmtes Team oder eine bestimmte Person den Verstoß verursacht hat, erscheint es nur in ihren Abläufen. Um die Genauigkeit zu gewährleisten, bewerten Sie unterschiedliche Anmeldeszenarien in Ihrer Organisation gründlich. Hier ist ein Beispiel für eine Verletzung:
Dieses Update für unseren CSP fügt eine zusätzliche Schutzebene hinzu, indem nicht autorisierte Skripts blockiert werden, wodurch Ihre Organisation vor sich entwickelnden Sicherheitsbedrohungen geschützt wird. Um einen reibungslosen Rollout zu gewährleisten, testen Sie den Anmeldeablauf vorab. Auf diese Weise können Sie probleme frühzeitig erfassen und beheben, damit Ihre Benutzer geschützt bleiben und Ihre Anmeldeerfahrung nahtlos bleibt.