コンテンツにスキップ
Reports
Jpazureid Entra Connect Hardmatch

Microsoft Entra Connect のハードマッチの動作変更について

  • URL: https://jpazureid.github.io/blog/azure-active-directory-connect/hardmatch-security-hardening/
  • 日付: 2026-06-05
  • Tier: Tier 1
  • 要旨: 2026年7月1日から、Entra ConnectのハードマッチにOnPremisesObjectIdentifier属性の検証が追加される。オンプレADユーザーをEntra IDアカウントと紐づける際、一度同期済みのアカウントへのハードマッチには事前にOnPremisesObjectIdentifierをクリアする操作が必要になる。

詳細

変更後のハードマッチ成功条件(3つすべて必要):

  1. EntraIDアカウントのImmutableIdと同期元オンプレADのsourceAnchorが一致
  2. テナントのBlockCloudObjectTakeoverThroughHardMatchがFalse
  3. 新規追加: 対象EntraIDアカウントのOnPremisesObjectIdentifier属性が空

一度でも同期済みのユーザーにはOnPremisesObjectIdentifierが設定されているため、そのまま再ハードマッチはできない。

対処手順:

  1. Entra Connectの定期同期を一時無効化
  2. Graph APIベータ版でユーザーのonPremisesObjectIdentifierをnullに設定(必要権限:User-OnPremisesSyncBehavior.ReadWrite.All+User.ReadWrite.All
  3. オンプレADオブジェクトのmS-DS-ConsistencyGuidを操作
  4. 差分同期を実行

フォレスト移行・出向などでオンプレADユーザーの同期元変更が必要なケースで影響が大きい変更。

Jpazureid Baseline Scopes ChangeJpazureid Entra Private Access Intro