- В октябре 2026 года Microsoft усилит защиту входа в систему Entra ID, ограничив загрузку скриптов только доверенными доменами и источниками.
- Обновленная политика безопасности будет применяться к браузерным входам через URL login.microsoftonline.com и отключит поддержку внешних расширений, внедряющих код.
- Эти меры являются частью инициативы Microsoft «Безопасное будущее», направленной на повышение общей безопасности продуктов и сервисов компании.
Компания Microsoft объявила о планах значительно усилить защиту системы аутентификации Entra ID от атак с внедрением внешних скриптов. В октябре 2026 года будет внедрена новая политика безопасности контента, которая позволит загружать и выполнять скрипты только с доверенных доменов и источников Microsoft. Такая мера призвана исключить возможность запуска вредоносного кода во время входа в систему.
Обновления будут применяться исключительно к браузерным сессиям авторизации, проходящим по URL-адресам, начинающимся с login.microsoftonline.com. При этом внешние идентификаторы Microsoft Entra изменений не претерпят. Эксперты компании рекомендуют организациям заранее протестировать свои сценарии входа до 20 октября 2026 года, чтобы выявить и устранить возможные зависимости от сторонних расширений и инструментов, которые внедряют код на страницах авторизации.
Microsoft подчеркнула, что после вступления изменений в силу расширения браузера, внедряющие скрипты на страницы входа, перестанут функционировать и не будут поддерживаться. Для удобства разработчиков в консоли браузера заблокированные скрипты будут выделяться красным цветом.
Данные меры являются частью более широкой инициативы Microsoft «Безопасное будущее» (Secure Future Initiative), запущенной в ноябре 2023 года и направленной на повышение уровня информационной безопасности продуктов компании. В рамках этой инициативы ранее уже были отключены элементы управления ActiveX в Microsoft 365 и Office 2024 для Windows, а также запланированы изменения настроек безопасности в Microsoft 365, направленные на блокировку устаревших протоколов аутентификации. Кроме того, Microsoft начала внедрять функции ограничения функционала в Teams для повышения конфиденциальности, например блокировку создания скриншотов во время совещаний.
Таким образом, компания последовательно работает над улучшением механизмов защиты пользовательских данных и предотвращением возможных векторов атак, что является важным шагом в условиях растущих угроз информационной безопасности.
