Microsoft Entra: Sicherheitsverstärkung zum Schutz vor Kontenübernahmen in Microsoft Entra Connect Sync

Veröffentlicht am

27

.

03

.

2026

Aktualisiert am

.

.

Lesezeit

3 Minuten

Die Inhalte auf dieser Seite wurden maschinell übersetzt.

< Zurück zum Message Center Archiv
Microsoft Entra Connect Sync erzwingt ab dem 1. Juli 2026 Sicherheitsverschärfungen, die Updates am OnPremisesObjectIdentifier blockieren, um unautorisierte Benutzerzuordnungen zu verhindern. Auditprotokolle werden Änderungen verfolgen, und eine neue Graph-API unterstützt legitime Neu-Zuordnungen. Organisationen sollten die Richtlinien prüfen, Auditprotokolle überwachen und Prozesse entsprechend anpassen.

[Einführung]

Microsoft verstärkt die Sicherheit in Microsoft Entra Connect Sync, um die Übernahme von Benutzerkonten durch Missbrauch von Hard Match zu verhindern. Diese Updates verbessern die Integrität der Identitätszuordnung zwischen dem lokalen Active Directory und Microsoft Entra ID und erweitern die Prüfprotokollsichtbarkeit für Administratoren.

[Wann dies geschieht]

  • Durchsetzung dieser Änderung beginnt am 1. Juli 2026.
  • Allgemeine Verfügbarkeit (weltweit, DoD, GCC, GCC High): Rollout beginnt Anfang Juli 2026 und wird bis Ende September 2026 abgeschlossen sein.

[Auswirkungen auf Ihre Organisation]

Wer ist betroffen

Organisationen, die Microsoft Entra Connect Sync verwenden, um Benutzeridentitäten vom lokalen Active Directory zu Microsoft Entra ID zu synchronisieren

Was passiert

Funktionsweise von Hard Match:

Wenn Microsoft Entra Connect neue Objekte aus dem Active Directory hinzufügt, vergleicht es den sourceAnchor-Wert mit dem OnPremisesImmutableId eines vorhandenen Cloud-verwalteten Benutzers. Stimmen diese Werte überein, erfolgt ein Hard Match und das Cloud-Objekt wird von Microsoft Entra Connect Sync übernommen.

Sicherheitsverstärkende Änderungen:

  • Microsoft Entra wird Entra Connect daran hindern, OnPremisesObjectIdentifier zu aktualisieren, sobald dieser einem synchronisierten Benutzerobjekt zugeordnet wurde.
  • Dies verhindert eine unbefugte Neu-Zuordnung eines vorhandenen Cloud-Benutzers zu einer anderen lokalen Identität.
  • Blockierte Operationen geben folgende Meldung zurück:

Hard Match Operation aufgrund der Sicherheitsverstärkung blockiert. Überprüfen Sie die Zuordnung des OnPremisesObjectIdentifier.

  • Prüfprotokolle umfassen nun Änderungen an:
    • OnPremisesObjectIdentifier
    • DirSyncEnabled
  • Eine neue Microsoft Graph API unterstützt kontrollierte Wiederherstellungsszenarien, die legitime Neu-Zuordnungen erfordern.
  • Für den Benutzer ändert sich nichts, es sei denn, ein Neu-Zuordnungsversuch wird blockiert.

[Was Sie zur Vorbereitung tun können]

  • Überprüfen Sie die aktualisierten Sicherheitsrichtlinien für Entra Connect.
  • Verwenden Sie Prüfprotokolle, um Benutzer zu identifizieren, bei denen sich der OnPremisesObjectIdentifier kürzlich geändert hat, und beheben Sie dies vor der Durchsetzung.
  • Testen Sie den neuen, auf Microsoft Graph API basierenden Wiederherstellungsablauf für legitime Neu-Zuordnungsszenarien.
  • Aktualisieren Sie interne Betriebsdokumentationen und informieren Sie Ihre Identitätsmanagement-Teams.

Weitere Informationen: 

[Compliance-Überlegungen]

Keine Compliance-Bedenken identifiziert. Bitte prüfen Sie dies entsprechend für Ihre Organisation.

Wir sind für Sie da

Haben Sie Fragen oder benötigen Sie Unterstützung? Wir helfen gerne weiter.

Kontakt

Zum originalen Post im Message Center >

© itelio GmbH