Microsoft は 2026年6月1日(本日)より、Entra Connect Sync および Cloud Sync において、Entra ID の特権ロールを持つクラウドユーザーへの「ハードマッチ」操作をブロックする施策を段階的に有効化した。オンプレミスの Active Directory(AD)を経由してクラウド特権アカウントを乗っ取る「SyncJacking」攻撃を封じるセキュリティ強化で、ハイブリッドID環境を運用するすべての組織が影響を受ける可能性がある。
ハードマッチとは何か
ハードマッチとは、Entra ID 上にすでに存在するクラウド専用ユーザーと、オンプレミス AD のオブジェクトを紐付けるための仕組みだ。
典型的なシナリオは次のとおり。最初はクラウドファーストで組織を立ち上げ、Entra ID 上にユーザーを直接作成して M365 ライセンスや管理ロールを割り当てた。その後オンプレミス AD を導入し、既存のクラウドユーザーをハイブリッドIDとして統合したい——という場面だ。
このとき Entra Connect は AD 側のオブジェクトとクラウド側のオブジェクトを自動的に結びつけることができない。そこで管理者が AD ユーザーの sourceAnchor 属性にクラウドユーザーの onPremisesImmutableId と同じ値を書き込むことで、次回の同期サイクル時に「ハードマッチ」が成立し、AD がそのアカウントのソースオブソリティ(権限の源泉)となる。
SyncJacking——攻撃者が悪用した仕組み
このハードマッチの仕組みが攻撃に転用されたのが「SyncJacking」だ。セキュリティ企業 Semperis が 2022 年に開示し、Microsoft のセキュリティ対応センター(MSRC)が 2025年5月に「重要な特権昇格の脆弱性」として公式認定した。
攻撃の流れはシンプルだ。
- 攻撃者がオンプレミス AD のオブジェクトへの書き込み権限を取得する
- 標的となるクラウド特権ユーザー(グローバル管理者など)の
onPremisesImmutableIdを調べる - AD オブジェクトの
sourceAnchorにその値を書き込む - 次の同期サイクルで正規のハードマッチが発生し、AD がそのグローバル管理者アカウントを掌握する
- 攻撃者は Entra ID に直接触れることなく、AD 経由でクラウド特権を完全掌握する
オンプレミス AD への侵入を足がかりにクラウドの最高権限を奪取できる、ハイブリッド環境特有の危険な攻撃ベクターだ。
2段階の強化内容と影響範囲
今回の対策は 2 段階で適用される。
フェーズ1:2026年6月1日(本日)
Entra ID が、Entra ID ロールを保持するクラウドユーザーへのハードマッチをブロックする。対象の条件は次の 2 つを同時に満たすケースだ。
- 対象クラウドユーザーに
onPremisesImmutableIdがすでに設定されている - そのユーザーに何らかの Entra ID ロールが割り当てられている
ブロック時には以下のエラーが返る。
出典: この記事は Microsoft Entra ID to Block Hard-Match Sync for Privileged Role Accounts Starting June 1, 2026 の内容をもとに、筆者の見解を加えて独自に執筆したものです。