Microsoft reforça segurança do Microsoft Entra ID e vai bloquear scripts não autorizados em logins via navegador a partir de 2026

A Microsoft anunciou uma atualização de segurança que mudará a forma como os usuários acessam seus serviços via Entra ID — a identidade corporativa que substitui o antigo Azure Active Directory. A partir de meados a final de 2026, a empresa vai aplicar uma política de Content Security Policy (CSP) reforçada nos fluxos de login realizados pelo navegador. Essa política permitirá apenas scripts originados de domínios oficiais da própria Microsoft, bloqueando scripts inline ou carregados de fontes externas, inclusive aqueles utilizados por extensões, ferramentas personalizadas ou integrações corporativas.

A medida tem como objetivo impedir ataques baseados em injeção de código, como cross-site scripting (XSS), utilizados para capturar credenciais, sequestrar sessões ou instalar malware nos dispositivos. Com o bloqueio, qualquer tentativa de executar scripts não confiáveis durante o processo de autenticação será automaticamente interrompida, fortalecendo um dos pontos mais críticos de segurança: a página de login.

Essa mudança afetará somente os fluxos de autenticação realizados via navegador. Métodos alternativos — como aplicativos móveis, uso de APIs, autenticação federada ou integrações server-side — não devem sofrer impacto direto. A iniciativa faz parte da estratégia de segurança mais ampla da Microsoft, alinhada ao modelo Zero Trust, que estabelece que nenhum elemento deve ser considerado confiável por padrão, mesmo dentro do ambiente corporativo.

A empresa recomenda que administradores e equipes de TI revisem qualquer customização que dependa de injeção de código, testem seus fluxos de login antecipadamente e ajustem ferramentas que não estejam em conformidade com a nova política. Com a mudança, extensões ou soluções que utilizem scripts na página de login podem deixar de funcionar, exigindo adaptação antes do prazo final.