Le hard-match (ou correspondance forte) dans Microsoft Entra ID consiste à associer un compte cloud existant avec un compte Active Directory local en utilisant un identifiant unique appelé ImmutableID. Cet identifiant est généralement dérivé de l’attribut sourceAnchor (souvent objectGUID). Cette technique est utilisée dans les environnements hybrides pour rattacher un objet existant dans le cloud à un objet on-premise.
Aujourd’hui, Entra Connect et Cloud Sync permettent de réaliser ce hard-match automatiquement lorsqu’un objet cloud possède un ImmutableID correspondant à celui généré depuis l’annuaire local. Cela peut être utilisé pour réattacher des comptes après migration ou correction d’erreurs.
Microsoft introduit , une évolution consistant à bloquer ou restreindre le hard-match automatique dans certains cas. L’objectif est vous l’aurez compris, de renforcer la sécurité et d’éviter les associations involontaires ou malveillantes entre identités cloud et locales.
Les raisons de sa mise en place sont donc les suivantes :
– Sécurité : prévenir les attaques où un compte local pourrait être lié à un compte cloud existent
– Maîtrise des identités : éviter les collisions ou rattachements incorrects
– Gouvernance : garantir que seules des associations contrôlées et validées soient effectuées
– Protection contre les erreurs humaines lors des migrations ou synchronisations
Ce changement modifie donc les pratiques de gestion des identités hybrides. Les administrateurs doivent par conséquent adapter leurs processus de provisioning et de migration.
En ce qui concerne les compte a priviléges synchronisés c’est une organisation a bannir. Beuacoup d’organisme vous le déconseille
Le blocage du hard-match s’inscrit dans une démarche globale de sécurisation des identités dans Microsoft Entra ID. Bien que ce changement puisse nécessiter des ajustements opérationnels, il permet de réduire significativement les risques liés aux associations incorrectes ou malveillantes des comptes.
Quelques liens complémentaires :
Travailler ensemble 