セキュリティ強化の背景と概要

マイクロソフトは、Microsoft Entra IDのサインインエクスペリエンスにおいて、外部スクリプトの実行をブロックするという重要なセキュリティ変更を発表しました。これは、不正または注入されたコードがログインページで実行されるのを防ぐことを目的としており、マイクロソフトの「Secure Future Initiative」の一環として、クラウドIDプラットフォームの堅牢化を進めるものです。

コンテンツセキュリティポリシー（CSP）の導入

この変更により、Microsoft Entra IDのサインインページには、より厳格なコンテンツセキュリティポリシー（CSP）が適用されます。このポリシーが施行されると、認証中に実行が許可されるのは、信頼されたマイクロソフトドメインからロードされたスクリプトのみとなります。ブラウザ拡張機能、サードパーティツール、または侵害されたWebコンテンツによって注入されたスクリプトは、すべて実行がブロックされます。

この措置は、クロスサイトスクリプティング（XSS）など、攻撃者が正規のWebページに悪意のあるコードを注入する一般的なWeb攻撃から組織を保護することを目的としています。マイクロソフトは、実行可能なスクリプトを厳密に制御することで、資格情報の窃盗、セッションハイジャック、その他の認証関連の脅威のリスクを低減することを目指しています。

変更の適用範囲と技術的詳細

新しいCSPの適用は、2026年10月中旬から下旬にかけてグローバルに展開される予定です。このポリシーは、login.microsoftonline.comで始まるURLを使用するブラウザベースのサインインフローにのみ適用され、Microsoft Entra External IDには影響しません。

これらのログインページでは、マイクロソフトは以下のスクリプトダウンロードのみを許可します。

• 信頼されたコンテンツデリバリーネットワーク（CDN）ドメインからのスクリプト
• nonceベースの制御など、マイクロソフトの承認された方法で検証されたインラインスクリプト

組織への影響と推奨事項

ほとんどの組織にとって、この変更による特別な対応は不要とされています。これは、ブラウザ拡張機能やツールがMicrosoft Entraサインインエクスペリエンスにコードを注入していない限り、通常通りサインインが機能するためです。

しかし、ログインページにスクリプトを修正または注入するツールやプラグインに依存している組織は影響を受けます。これらのツールはCSPが施行されると機能しなくなりますが、ユーザーは引き続きサインインプロセスを完了できます。マイクロソフトは、認証フローにコードを注入しない代替ツールへの切り替えを推奨しています。

潜在的な影響を把握するため、管理者は事前にサインインフローをテストし、ブラウザの開発者コンソールでCSP違反が赤色で表示されていないかを確認するようアドバイスされています。組織は、さまざまなサインインパスをテストすることで、予期せぬ違反を特定できるでしょう。

マイクロソフトは、このCSPアップデートが、進化し続ける脅威からアカウントを保護し、サインインエクスペリエンスを安全かつ信頼性の高いものに保つためのさらなる防御層を追加すると述べています。組織は、2026年の施行開始前に環境を確認し、円滑な移行を確保することが強く求められています。

---

元記事: https://gbhackers.com/microsoft-blocks-external-scripts-in-entra-id-logins/