Entra ID op slot: Microsoft blokkeert externe scripts vanaf najaar 2026

De aanpassing is onderdeel van Microsofts Secure Future Initiative en behelst een strengere Content Security Policy (CSP). Deze beleidswijziging staat alleen scripts van vertrouwde Microsoft-domeinen toe om te draaien tijdens de authenticatie, waardoor ongeautoriseerde of kwaadaardige code geen kans krijgt om te worden uitgevoerd tijdens het inlogproces.

"Dit is een proactieve maatregel die uw gebruikers verder beschermt tegen huidige beveiligingsrisico's, zoals cross-site scripting (XSS), waarbij aanvallers kwaadaardige code in websites kunnen invoegen," aldus Microsoft op 25 november 2025.

Actie vereist voor sommige organisaties

De nieuwe CSP wordt globaal afgedwongen en geldt voor alle browsergebaseerde inlogervaringen op URL's die beginnen met login.microsoftonline.com.

Organisaties die gebruikmaken van browserextensies of tools die code of scripts injecteren in de Entra ID-inlogpagina, moeten overstappen op alternatieve oplossingen. Zonder aanpassing zullen deze tools na de handhaving niet langer werken.

Wat verandert er specifiek op login.microsoftonline.com:

• Alleen scriptdownloads van vertrouwde Microsoft CDN-domeinen worden toegestaan.
• Alleen inline script-executie van vertrouwde Microsoft-bronnen wordt toegestaan.

Microsoft raadt organisaties aan om hun inlogstromen grondig te testen om mogelijke schendingen te identificeren. Dit kan door in te loggen met de ontwikkelaarsconsole van de browser geopend. Eventuele CSP-schendingen worden dan in het rood weergegeven.

“De veiligheid en betrouwbaarheid van de gegevens van Nederlandse burgers zijn niet onderhandelbaar,” stelt de softwaregigant, die gebruikers aanmoedigt om vroegtijdig te testen om een naadloze overgang te garanderen.