В октябре 2026 года Microsoft планирует усилить безопасность системы аутентификации Entra ID для защиты от внешних атак с внедрением скриптов, сообщает BleepingComputer.
В этом обновлении будет реализована усиленная политика безопасности контента, которая разрешает загрузку скриптов только из доверенных Microsoft доменов сети доставки контента, а выполнение встроенных скриптов — только из доверенных Microsoft источников во время входа в систему.
Политика обновлений будет применяться только к браузерным входам в систему по URL-адресам, начинающимся с login.microsoftonline.com. Внешний идентификатор Microsoft Entra не будет затронут.
Microsoft призвала организации протестировать сценарии входа в систему до 20 октября 2026 года, чтобы выявить и устранить любые зависимости от инструментов для внедрения кода. Microsoft также посоветовала корпоративным клиентам отказаться от использования расширений браузера и инструментов, которые внедряют код или скрипты на страницы входа. После того, как изменения вступят в силу, такие расширения больше не будут поддерживаться и перестанут работать.
Этот шаг является частью инициативы Microsoft «Безопасное будущее» (Secure Future Initiative, SFI) — общекорпоративной программы, запущенной в ноябре 2023 года. В рамках этой инициативы Microsoft отключила все элементы управления ActiveX в версиях приложений Microsoft 365 и Office 2024 для Windows. Также компания объявила, что начнёт обновлять настройки безопасности по умолчанию для всех клиентов Microsoft 365 в июле 2025 года, чтобы заблокировать доступ к файлам SharePoint, OneDrive и Office через устаревшие протоколы аутентификации.
Ранее компания начала внедрять новую функцию Teams, предназначенную для блокировки попыток сделать снимок экрана во время совещаний.
