Microsoft đã công bố một nâng cấp an ninh đáng kể cho quy trình xác thực Microsoft Entra ID, là một phần của Sáng kiến Tương lai An toàn (Secure Future Initiative) rộng lớn hơn của công ty. Nâng cấp này bao gồm việc cập nhật Chính sách Bảo mật Nội dung (Content Security Policy – CSP) để chặn thực thi các script bên ngoài trong quá trình người dùng đăng nhập. Biện pháp chủ động này được thiết kế để bảo vệ các tổ chức khỏi các mối đe dọa mạng đang phát triển, đặc biệt là các cuộc tấn công Cross-Site Scripting (XSS), nơi tin tặc cố gắng tiêm mã độc hại vào các trang web hợp pháp.
Tăng Cường Bảo Mật Quy Trình Đăng nhập Microsoft Entra ID
Hiện tại, một số tiện ích mở rộng trình duyệt hoặc công cụ có thể tiêm script vào trang đăng nhập để thay đổi hành vi hoặc giao diện của nó. Bắt đầu từ giữa đến cuối tháng 10 năm 2026, Microsoft sẽ thực thi một chính sách nghiêm ngặt hơn trên login.microsoftonline.com.
Theo quy tắc mới này, chỉ các script từ các miền Microsoft đáng tin cậy mới được phép chạy. Bất kỳ mã trái phép hoặc mã bên ngoài nào cố gắng thực thi trong quá trình đăng nhập sẽ tự động bị chặn. Thay đổi này đảm bảo rằng trải nghiệm đăng nhập vẫn là một môi trường khép kín, an toàn, ngăn chặn kẻ tấn công khai thác các lỗ hổng trong các script của bên thứ ba.
Cơ Chế CSP Mới và Ngăn Chặn XSS
Chính sách CSP mới hoạt động như một lớp phòng thủ quan trọng bằng cách kiểm soát chặt chẽ các tài nguyên (bao gồm script) mà một trang web được phép tải và thực thi. Bằng cách giới hạn nguồn gốc của script chỉ trong các miền Microsoft đã được phê duyệt, CSP giảm đáng kể bề mặt tấn công cho các cuộc tấn công XSS.
Khi một cuộc tấn công XSS xảy ra, kẻ tấn công thường chèn mã JavaScript độc hại vào một trang web, sau đó mã này sẽ chạy trong trình duyệt của người dùng. Với CSP được tăng cường, những script này, nếu không đến từ miền Microsoft đáng tin cậy, sẽ bị trình duyệt từ chối thực thi, qua đó vô hiệu hóa cuộc tấn công.
Phạm Vi Áp Dụng và Thời Gian Thực Thi
Cập nhật này chỉ áp dụng cho các phiên đăng nhập dựa trên trình duyệt trên URL đăng nhập Microsoft cụ thể là login.microsoftonline.com. Điều quan trọng cần lưu ý là Microsoft Entra External ID sẽ không bị ảnh hưởng bởi thay đổi này. Các tổ chức sử dụng Entra External ID có thể tiếp tục với cấu hình hiện tại mà không cần điều chỉnh liên quan đến chính sách CSP này.
Thời điểm chính sách bắt đầu có hiệu lực toàn cầu là từ giữa đến cuối tháng 10 năm 2026. Điều này mang lại cho các tổ chức một khoảng thời gian đáng kể để chuẩn bị và kiểm tra các hệ thống của mình.
Hướng Dẫn Chuẩn Bị cho Quản Trị Viên IT
Để đảm bảo quá trình chuyển đổi suôn sẻ khi chính sách được thực thi, Microsoft khuyên các tổ chức nên ngừng sử dụng bất kỳ tiện ích mở rộng trình duyệt hoặc công cụ tùy chỉnh nào sửa đổi trang đăng nhập Entra ID thông qua việc tiêm script. Mặc dù quá trình đăng nhập sẽ tiếp tục hoạt động đối với người dùng, bất kỳ công cụ nào dựa vào việc tiêm mã sẽ ngừng hoạt động khi bản cập nhật được thực thi.
Các quản trị viên IT nên kiểm tra các luồng đăng nhập của họ trước thời hạn năm 2026. Việc xác định các vấn đề tiềm ẩn có thể thực hiện ngay bây giờ bằng cách mở developer console trong trình duyệt trong khi đăng nhập. Nếu tổ chức của bạn sử dụng các công cụ vi phạm chính sách mới, các thông báo lỗi sẽ xuất hiện bằng văn bản màu đỏ trong console.
Kiểm Tra và Khắc Phục Sớm
Quản trị viên cần chủ động rà soát các môi trường của mình để đảm bảo một quá trình chuyển đổi không gián đoạn. Việc kiểm tra sớm giúp phát hiện và khắc phục các vấn đề tương thích trước khi chính sách bảo mật Microsoft Entra ID mới có hiệu lực.
Megna Kokkalera, Product Manager II tại Microsoft, nhấn mạnh rằng bản cập nhật này bổ sung một lớp phòng thủ quan trọng cho danh tính người dùng. Bằng cách loại bỏ rủi ro từ các script không xác minh, Microsoft đảm bảo rằng các tổ chức luôn dẫn đầu các mối đe dọa an ninh mạng đang nổi lên, đồng thời duy trì trải nghiệm đăng nhập liền mạch và an toàn.
