[Einführung]
Wir führen ein Sicherheitsupdate für Microsoft Entra Connect und Cloud Sync ein, um privilegierte cloudverwaltete Konten besser zu schützen. Derzeit versucht der Dienst bei der Hinzufügung neuer Objekte aus dem Active Directory über Entra Connect oder Cloud Sync eine „Hard Match“-Übereinstimmung, indem der sourceAnchor des Objekts mit der onPremisesImmutableId vorhandener Cloud-Konten verglichen wird. Bei Übereinstimmung übernimmt der Dienst die Quelle der Autorität (SoA) und aktualisiert das Cloud-Objekt mit den Attributen aus dem Active Directory.
Ab Anfang Juni 2026 wird Microsoft Entra ID Hard-Match-Versuche blockieren, die auf cloudverwaltete Benutzer abzielen, die Microsoft Entra-Rollen besitzen. Diese Änderung soll verhindern, dass Angreifer privilegierte Konten durch Manipulation von lokalen Attributen übernehmen.
[Zeitpunkt der Umsetzung]
Allgemeine Verfügbarkeit (weltweit, DoD, GCC und GCCH): Die Einführung beginnt Anfang Juni 2026 und soll bis Anfang Juli 2026 abgeschlossen sein.
[Auswirkungen auf Ihre Organisation]
Wer betroffen ist
- Organisationen, die Microsoft Entra Connect Sync oder Cloud Sync verwenden
- Administratoren, die sich auf Hard-Matching verlassen, um die Lebenszyklen von cloudverwalteten Konten mit Microsoft Entra-Rollen zu verwalten
Was passieren wird
- Hard-Match-Vorgänge, die auf cloudverwaltete Benutzer mit Microsoft Entra-Rollen abzielen, werden ab Anfang Juni 2026 blockiert.
- Entra Connect Sync oder Cloud Sync übernimmt nicht mehr die SoA für einen cloudverwalteten Benutzer, der eine onPremisesImmutableId (sourceAnchor) gesetzt hat und eine Microsoft Entra-Rolle besitzt.
- Hard-Match für Benutzer ohne Entra-Rollen bleibt unverändert.
- Das Verhalten von Soft-Match sowie die laufende Synchronisierung zuvor hard-gematchter Objekte bleiben unverändert.
[Vorbereitungsmöglichkeiten]
Wenn Ihre Umgebung auf Hard-Matching von Konten mit Microsoft Entra-Rollen angewiesen ist, kann nach Inkrafttreten dieser Änderung ein InvalidHardMatch-Fehler auftreten.
Empfohlene Maßnahmen:
- Überprüfen Sie jegliche Automatisierungen oder Workflows, die Hard-Matching für privilegierte oder administrative Konten nutzen.
- Validieren Sie die Lebenszyklusprozesse für Konten mit Microsoft Entra-Rollen, um sicherzustellen, dass sie nicht vom Hard-Match abhängen.
- Wenn Sie nach dem 1. Juni 2026 einen InvalidHardMatch-Fehler erhalten, befolgen Sie die entsprechenden Anleitungen zur Fehlerbehebung in der Microsoft Entra ID-Dokumentation.
- Aktualisieren Sie interne Dokumentationen und informieren Sie gegebenenfalls Ihre Identitäts-Operations-Teams.
Weitere Informationen:
- Microsoft Entra Connect Sicherheitsupdate zur Blockierung von Hard Match für Benutzer mit Microsoft Entra-Rollen
- Konflikt mit bestehender Admin-Rolle – Fehler bei Microsoft Entra Synchronisierung verstehen | Hybrid | Microsoft Entra ID | Microsoft Learn
- Hard-Match vs Soft-Match – Microsoft Entra Connect: Vorgehensweise bei bestehendem Mandanten | Hybrid | Microsoft Entra ID | Microsoft Learn
- InvalidHardMatch – Fehler bei Microsoft Entra Synchronisierung verstehen | Hybrid | Microsoft Entra ID | Microsoft Learn
- Microsoft Entra integrierte Rollen | Rollenzugriffssteuerung | Microsoft Entra ID | Microsoft Learn
[Compliance-Überlegungen]
Es wurden keine Compliance-Bedenken identifiziert. Bitte prüfen Sie dies entsprechend den Anforderungen Ihrer Organisation.
