A Microsoft anunciou uma atualização importante de segurança que afetará a forma como os usuários acessam seus serviços por meio do login da Entra ID, nova identidade corporativa que substitui o Azure Active Directory. A partir de 2026, a empresa vai bloquear a execução de scripts não autorizados na página de login via navegador, como parte de uma nova política de segurança de conteúdo, conhecida como CSP (Content Security Policy).
A medida tem como objetivo principal impedir ataques baseados em injeção de código, nos quais agentes maliciosos tentam inserir scripts não confiáveis diretamente na página de autenticação. Esses ataques são usados para capturar credenciais, redirecionar sessões ou comprometer dispositivos com malware. Com a mudança, apenas scripts hospedados em domínios controlados pela Microsoft serão autorizados a rodar durante o processo de login. Scripts inline ou carregados de fontes externas, mesmo que usados por extensões legítimas ou integrações personalizadas, serão automaticamente bloqueados.
A nova política busca eliminar um vetor comum de ataque, especialmente em ambientes corporativos que utilizam múltiplas ferramentas de autenticação e segurança baseadas em navegador. A política será aplicada exclusivamente aos fluxos de login acessados via navegador, utilizando a URL login.microsoftonline.com. Outros métodos de autenticação, como o uso de aplicativos móveis, integrações via API ou sistemas federados, não devem ser afetados diretamente pela mudança. Essa atualização está alinhada com a estratégia de segurança da Microsoft baseada em Zero Trust, que parte do princípio de nunca confiar implicitamente em nenhum ponto da rede, mesmo dentro do perímetro corporativo.
