Como Bloquear Soft Match e Hard Match no Microsoft Entra ID

Publicado em por chesleysilva

Em arquiteturas híbridas que integram o Active Directory local ao Microsoft Entra ID (anteriormente Azure AD), o processo de sincronização de identidades depende de mecanismos de correlação entre objetos locais e identidades já existentes na nuvem. Entre esses mecanismos, destacam-se o Soft Match e o Hard Match, fundamentais para cenários de migração e coexistência.

Embora legítimos do ponto de vista operacional, esses métodos podem introduzir riscos relevantes quando permanecem ativos sem necessidade. A seguir, detalhamos seu funcionamento, implicações de segurança e estratégias recomendadas para mitigação utilizando o Microsoft Graph PowerShell.

Conceitos de Correspondência de Identidade

Durante a sincronização realizada pelo Microsoft Entra Connect, o serviço precisa determinar se um objeto proveniente do diretório local já possui um equivalente no ambiente cloud. Essa associação ocorre por meio de dois modelos distintos:

Soft Match (Correspondência baseada em atributos)

O Soft Match estabelece vínculo entre objetos com base em atributos lógicos, como:

  • User Principal Name (UPN)
  • Endereço SMTP primário (campo proxyAddresses com SMTP em maiúsculo)

Quando há correspondência entre esses atributos, o Entra ID considera ambos os objetos como pertencentes à mesma identidade.

Esse comportamento é particularmente útil em cenários onde contas foram inicialmente provisionadas diretamente no Microsoft 365 e posteriormente passam a ser gerenciadas via diretório local, evitando recriação de usuários e perda de dados associados.

Hard Match (Correspondência baseada em identificador imutável)

O Hard Match utiliza um identificador único e persistente para realizar a associação: o sourceAnchor, normalmente derivado dos atributos ObjectGUID ou mS-DS-ConsistencyGuid no Active Directory.

Esse valor é convertido para Base64 e armazenado como ImmutableId no Entra ID. Quando há equivalência entre esses identificadores, o objeto local assume a autoridade sobre o objeto na nuvem (source of authority).

Por sua natureza determinística, o Hard Match é mais preciso — porém, também amplia o impacto potencial em cenários de uso indevido.

Riscos de Segurança Associados

A exploração indevida do Hard Match pode permitir a apropriação de identidades na nuvem, incluindo contas privilegiadas. Esse vetor é conhecido como SyncJacking, caracterizado pela manipulação do atributo sourceAnchor para corresponder ao ImmutableId de uma conta existente no Entra ID.

Um cenário típico envolve:

  1. Comprometimento do Active Directory local ou obtenção de privilégios elevados
  2. Identificação do ImmutableId de uma conta sensível no Entra ID
  3. Alteração ou criação de um objeto local com o mesmo identificador
  4. Sincronização automática via Entra Connect
  5. Transferência de controle da identidade cloud para o objeto local manipulado

Esse tipo de ataque se torna ainda mais crítico em ambientes onde contas administrativas ainda são sincronizadas a partir do diretório local — prática que contraria recomendações modernas de segurança.

Como medida preventiva, recomenda-se restringir esses mecanismos sempre que não forem estritamente necessários. Controles mais recentes da plataforma já caminham nessa direção, incluindo bloqueios automáticos para cenários sensíveis.

Cenários em que os Mecanismos São Necessários

Apesar dos riscos, há situações legítimas em que o uso de Soft Match ou Hard Match é requerido:

  • Transição de contas cloud-only para modelo híbrido
  • Recuperação de sincronização após falhas ou reinstalação
  • Projetos de consolidação entre tenants (fusões/aquisições)

Nesses casos, a melhor prática é habilitar os recursos de forma temporária, executar a correspondência necessária, validar os resultados e desativá-los imediatamente após a conclusão.

Requisitos para Gerenciamento via PowerShell

Antes de realizar alterações, é necessário:

  • Permissões administrativas adequadas (Hybrid Identity Administrator ou superior)
  • PowerShell atualizado (preferencialmente versão 7+)
  • Módulo Microsoft Graph instalado e atualizado
  • Conectividade com os serviços do Microsoft Graph

Gerenciamento com Microsoft Graph PowerShell

Instalação e atualização do módulo

Install-Module Microsoft.Graph -Scope CurrentUser -ForceUpdate-Module Microsoft.Graph

Conexão ao ambiente

Connect-MgGraph -Scopes "OnPremisesPublishingProfiles.ReadWrite.All"

Verificação do estado atual

Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features

Os parâmetros relevantes são:

  • BlockSoftMatchEnabled
  • BlockCloudObjectTakeoverThroughHardMatchEnabled

Bloqueio do Soft Match

$config = @{    'Features' = @{        'BlockSoftMatchEnabled' = $true    }}Update-MgDirectoryOnPremiseSynchronization `    -BodyParameter $config `    -OnPremisesDirectorySynchronizationId (Get-MgDirectoryOnPremiseSynchronization).Id

Bloqueio do Hard Match

$config = @{    'Features' = @{        'BlockCloudObjectTakeoverThroughHardMatchEnabled' = $true    }}Update-MgDirectoryOnPremiseSynchronization `    -BodyParameter $config `    -OnPremisesDirectorySynchronizationId (Get-MgDirectoryOnPremiseSynchronization).Id

Bloqueio simultâneo (abordagem recomendada)

$config = @{    'Features' = @{        'BlockCloudObjectTakeoverThroughHardMatchEnabled' = $true        'BlockSoftMatchEnabled'                           = $true    }}Update-MgDirectoryOnPremiseSynchronization `    -BodyParameter $config `    -OnPremisesDirectorySynchronizationId (Get-MgDirectoryOnPremiseSynchronization).Id

Reversão controlada (uso temporário)

$config = @{    'Features' = @{        'BlockCloudObjectTakeoverThroughHardMatchEnabled' = $false        'BlockSoftMatchEnabled'                           = $false    }}Update-MgDirectoryOnPremiseSynchronization `    -BodyParameter $config `    -OnPremisesDirectorySynchronizationId (Get-MgDirectoryOnPremiseSynchronization).Id

Após a utilização, recomenda-se restabelecer imediatamente o bloqueio.

Boas Práticas de Segurança

Para complementar a proteção do ambiente híbrido:

  • Evitar sincronização de contas privilegiadas — administrar identidades críticas diretamente na nuvem
  • Adotar MFA e PIM (Privileged Identity Management)
  • Monitorar alterações sensíveis no Active Directory, especialmente no atributo mS-DS-ConsistencyGuid
  • Utilizar soluções de detecção como Microsoft Defender for Identity
  • Revisar regularmente erros de sincronização e inconsistências
  • Aplicar o princípio do menor privilégio em contas de serviço

Considerações Finais

Soft Match e Hard Match são componentes essenciais do ecossistema híbrido, mas exigem governança rigorosa. Quando utilizados de forma indiscriminada, podem ampliar significativamente a superfície de ataque, especialmente em cenários envolvendo identidades privilegiadas.

A desativação desses mecanismos, quando não necessários, representa uma medida de hardening de alto impacto e baixo esforço. Aliada a práticas modernas de gestão de identidade, essa abordagem contribui para um modelo mais resiliente e alinhado às recomendações atuais de segurança.

Deixe uma resposta