Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Política de Segurança de Conteúdo (CSP) é um cabeçalho de segurança do navegador que permite apenas o carregamento de scripts e recursos de confiança. O Microsoft Entra ID aplica o CSP nas páginas de início de sessão como uma medida proativa para bloquear scripts não autorizados de fontes externas e reduzir o risco de vulnerabilidades resultantes de ataques de injeção de scripts, como o Cross-Site Scripting (XSS).
Importante
A aplicação do CSP começará a nível global em meados ou final de outubro de 2026.
Aplica-se apenas ao início de sessão no navegador em login.microsoftonline.com. Os clientes Microsoft Entra External ID que utilizam domínios personalizados e fluxos MSAL/API não são afetados.
A Microsoft recomenda não usar extensões de navegador ou ferramentas que injetem código na experiência de login do Microsoft Entra. Se seguir este conselho, a sua experiência permanecerá inalterada e não será necessária mais nenhuma ação.
Se usar ferramentas ou extensões de navegador que injetam código na página de login do Microsoft Entra, mude para ferramentas alternativas que não injetam código antes desta alteração ser lançada.
Para detalhes sobre como preparar-se para a aplicação da CSP, veja Como preparar-se para a aplicação da CSP.
Risco de injeção de script ou código
A injeção de scripts ou código ocorre quando scripts maliciosos são executados no navegador do utilizador sem autorização. Esta vulnerabilidade pode levar a:
- Roubo de dados: Os atacantes podem roubar informações sensíveis, como credenciais ou tokens.
- Sequestro de sessões: Scripts injetados podem controlar sessões ativas.
- Entrega de malware: Código malicioso pode instalar software prejudicial nos dispositivos dos utilizadores.
- Perda de confiança: Páginas de login comprometidas prejudicam a confiança dos utilizadores e a reputação da marca.
O XSS é um dos ataques de injeção mais comuns. Permite que atacantes executem scripts maliciosos no navegador do utilizador, que podem roubar credenciais, sequestrar sessões e comprometer dados sensíveis.
O CSP ajuda ainda a proteger-se contra estes ataques ao restringir que scripts podem ser executados no navegador. Ao aplicar o CSP, o Microsoft Entra ID permite que apenas scripts de domínios Microsoft confiáveis sejam executados durante a autenticação.
CSP representa uma defesa em profundidade
O CSP acrescenta uma camada importante de defesa contra ataques de injeção de scripts como o XSS. Hoje, o Microsoft Entra e os navegadores modernos já implementam mecanismos para impedir que scripts maliciosos sejam injetados num site como primeira e principal camada de defesa. No entanto, nos casos em que um script pode ser injetado apesar desses mecanismos — como através de uma extensão maliciosa instalada pelo utilizador ou uma vulnerabilidade zero-day — o CSP impede que esse script seja executado. CSP consegue isto ao permitir a listagem apenas de nonces e origens de scripts confiáveis, bloqueando tudo o resto por defeito. Esta abordagem de defesa em profundidade reforça as medidas de segurança existentes.
Âmbito da aplicação do CSP e detalhes chave
A aplicação do CSP reforça ainda mais a segurança da experiência de login Microsoft Entra ao permitir que scripts sejam executados apenas a partir de domínios Microsoft confiáveis. Isto minimiza as oportunidades de injecção não autorizada de scripts externos. A nossa análise mostra que a maioria das violações provém de extensões externas de navegador ou scripts injetados ligados a ferramentas de terceiros.
Aqui está o que precisa de saber sobre o âmbito e os detalhes chave da aplicação do CSP:
-
Escopo de aplicação do cabeçalho: A aplicação do CSP aplica-se apenas a experiências de início de sessão baseadas em navegador em
login.microsoftonline.com. Outros domínios e fluxos de autenticação que não são do navegador não são afetados. - Biblioteca de Autenticação Microsoft (MSAL) e autenticação por API: Os fluxos de autenticação baseados em MSAL que interagem com as APIs do serviço de tokens de segurança (STS) do Entra da Microsoft permanecem inalterados porque a restrição está limitada ao URL de login do navegador.
- Microsoft Entra ID Externo e domínios personalizados: Clientes de ID Externo que utilizam domínios personalizados ou domínios CIAM para login não são afetados.
Ferramentas não-Microsoft com violações do CSP
Algumas ferramentas de terceiros podem injetar scripts nas páginas de início de sessão, o que pode causar violações de CSP. Quando o CSP é aplicado em login.microsoftonline.com, estes scripts serão bloqueados da execução. Os utilizadores continuarão a conseguir iniciar sessão normalmente, mas isso pode perturbar certos fluxos de trabalho de login ou monitorização.
Os clientes que utilizam ferramentas que dependem de scripts injetados devem trabalhar diretamente com os seus fornecedores para identificar e implementar correções que cumpram os requisitos do CSP.
Como preparar-se para a aplicação do CSP
Reveja a sua experiência de início de sessão com antecedência. Remova ou migre extensões e ferramentas do navegador que injetam scripts na página de início de sessão do Microsoft Entra. Se a sua organização depende dessas ferramentas, trabalhe com os fornecedores para adotar alternativas conformes antes da implementação.
Teste os fluxos de início de sessão com antecedência para identificar e resolver violações, minimizar perturbações e manter a experiência dos seus utilizadores fluida. Use as instruções abaixo para identificar o efeito exato no seu inquilino.
Passo 1: Passe por um fluxo de login com a consola de desenvolvimento aberta para identificar quaisquer violações.
Passo 2: Rever a informação sobre a infração apresentada a vermelho. Se uma equipa ou pessoa específica causou a violação, ela aparece apenas nos seus fluxos. Para garantir a precisão, avalie cuidadosamente diferentes cenários de login dentro da sua organização. Aqui está um exemplo de violação:
Esta atualização do nosso CSP acrescenta uma camada extra de proteção ao bloquear scripts não autorizados, ajudando ainda mais a proteger a sua organização contra ameaças de segurança em evolução. Para garantir uma implementação suave, teste cuidadosamente o fluxo de início de sessão com antecedência. Isto ajuda-o a detetar e resolver quaisquer problemas cedo, para que os seus utilizadores se mantenham protegidos e a sua experiência de início de sessão se mantenha fluida.