Introduction

As part of Microsoft’s Secure Future Initiative, we’re updating our Content Security Policy for the Microsoft Entra ID sign-in experience. This change adds an extra layer of protection by allowing only scripts from trusted Microsoft domains to run during authentication, blocking unauthorized or injected external code. This proactive measure helps safeguard users against threats like cross-site scripting (XSS), further strengthening security for your organization.

When this will happen

General Availability (Production/Worldwide only):

• Rollout begins mid-October 2026
• Expected completion by late October 2026

Periodic communications will be sent closer to release.

How this affects your organization

Who is affected:

• Organizations using browser-based sign-in experiences on URLs starting with login.microsoftonline.com.
• No impact to Microsoft Entra External ID tenants.

What will happen:

• A new Content Security Policy header will be added to Microsoft Entra sign-in pages.
• Scripts will only be allowed from Microsoft trusted CDN domains.
• Inline script execution will only be allowed from trusted Microsoft sources.
• Browser extensions or tools that inject code into the sign-in page will stop working, though users can still sign in.

What you can do to prepare

• If you do not use tools or extensions that inject code into the sign-in experience, no action is required.
• If you do use such tools, switch to alternatives that don’t inject code.
• Test your sign-in flows thoroughly before rollout to identify and resolve any issues early. Testing instructions can be found on our CSP Guide for Microsoft Entra ID.

Learn more:

• Content Security Policy Overview for Microsoft Entra ID 
• Microsoft Entra ID Content Security Policy Public Blog Post on Techcommunity
• Microsoft Secure Future Initiative
• The CSP nonce guide | Content Security Policy (CSP) quick reference guide
• The CSP script-src directive guide | Content Security Policy (CSP) quick reference guide
• Why XSS still matters: MSRC’s perspective on a 25-year-old threat | Microsoft Blog

Compliance considerations

No compliance considerations identified; review as appropriate for your organization.

紹介

Microsoftの Secure Future Initiativeの一環として、 Microsoft Entra IDサインイン体験のコンテンツセキュリティポリシーを更新しています。この変更により、認証時に信頼できるMicrosoftドメインのスクリプトのみが実行可能となり、不正または注入された外部コードをブロックするという追加の保護層が加わります。この積極的な対策により、クロス サイトスクリプティング(XSS)などの脅威からユーザーを守り、組織のセキュリティをさらに強化します。

それがいつ起こるのか

一般公開(生産/世界限定):

• 展開は2026年10月中旬から始まります
• 2026年10月下旬までに完成予定

リリース前には定期的に連絡が送られます。

これがあなたの組織に与える影響

影響を受ける人物:

• 組織は login.microsoftonline.com から始まるURLでブラウザベースのサインイン体験を利用しています。
• Microsoft Entraの外部IDテナントには影響がありません。

今後の展開:

• Microsoft Entraのサインインページには新しいコンテンツセキュリティポリシーヘッダーが追加されます。
• スクリプトはMicrosoftの信頼されたCDNドメインからのみ許可されます。
• インラインスクリプトの実行は、信頼できるMicrosoftソースからのみ許可されます。
• サインインページにコードを注入するブラウザ拡張機能やツールは動作しなくなりますが、ユーザーはサインインは可能です。

準備のためにできること

• サインイン体験にコードを注入するツールや拡張機能を使わなければ、何のアクションも必要ありません。
• もしそういったツールを使うなら、コードを注入しない代替ツールに切り替えてください。
• 展開前にサインインフローを十分にテストし、問題を早期に特定・解決しましょう。テスト手順は Microsoft Entra IDのCSPガイドでご覧いただけます。

詳細情報：

• Microsoft Entra ID のコンテンツセキュリティポリシー概要
• Microsoft Entra IDコンテンツセキュリティポリシー Techcommunityに関する公開ブログ投稿
• Microsoft Secure Future Initiative
• CSPのノンスガイド|コンテンツセキュリティポリシー(CSP)クイックリファレンスガイド
• CSPスクリプト-src指令ガイド |コンテンツセキュリティポリシー(CSP)クイックリファレンスガイド
• XSSが今なお重要な理由:25年前の脅威に対するMSRCの見解 |マイクロソフトブログ

コンプライアンスの考慮事項

コンプライアンス上の考慮事項は特定されませんでした。あなたの組織に適したレビューをしてください。