Hibrit kimlik yöneten her kurumu doğrudan ilgilendiren üç ayrı değişiklik 2026 yılı içinde devreye giriyor. Birincisi senkronizasyon servislerini tamamen durduracak sert bir son tarih, ikincisi bir güvenlik açığını kapatan Hardening, üçüncüsü ise yeni bir senkronizasyon mimarisine geçiş çağrısıdır. Bu haberde her üç değişikliği de resmi Microsoft kaynaklarına dayanarak en ince ayrıntısına kadar ele alıyoruz.
Microsoft Entra Connect Sync, eski adıyla Azure AD Connect, On-Premises Active Directory ile Microsoft Entra ID arasında kullanıcı, parola ve grup senkronizasyonunu üstlenen kritik bir köprü konumunda. Bir sorun çıkana kadar varlığı çoğu zaman fark edilmeyen bu bileşen, 2026 yılında üç ayrı resmi değişiklikle aynı anda gündeme geliyor. Söz konusu değişiklikler nitelik olarak birbirinden tamamen farklı ve bunların birbirine karıştırılması ciddi planlama hatalarına yol açabilir.
İlk değişiklik, eski sürümlerin tamamen çalışmayı durduracağı zorunlu bir yükseltme son tarihi. İkincisi, SyncJacking olarak bilinen bir hesap ele geçirme tekniğinin önünü kesen, Hard Match davranışına yönelik bir güvenlik Hardening çalışması. Üçüncüsü ise Connect Sync'ten Cloud Sync'e geçiş için başlatılan kademeli bir bildirim süreci. Aşağıda bunları tek tek inceliyoruz.
1- Zorunlu Yükseltme ve 30 Eylül 2026 Son Tarihi
Microsoft'un resmi dokümantasyonuna göre, Microsoft Entra Connect Sync'in en az 2.5.79.0 sürümünde olmayan tüm kurulumlarında senkronizasyon servisleri 30 Eylül 2026 tarihinde çalışmayı durduracak. Bu, isteğe bağlı bir öneri değil, zorunlu bir gereklilik. Söz konusu sürüm Mayıs 2025'te, Microsoft'un servislerini sıkılaştıran bir Backend Service değişikliğiyle birlikte yayınlandı. Dolayısıyla bu tarihe kadar tamamlanmayan her yükseltme, doğrudan senkronizasyon kesintisine yol açacak.
Son tarihe kadar yükseltme yapılmazsa, en güncel sürüme geçilene kadar tüm senkronizasyon servisleri başarısız olur. Pratikte bu, parola değişikliklerinin, yeni kullanıcı oluşturma işlemlerinin ve grup üyeliği güncellemelerinin On-Premises ile Microsoft 365 arasında akmayı durdurması anlamına gelir. Kesinti, yükseltme tamamlanana kadar sürer. Yani 30 Eylül 2026 ile yükseltmenin yapıldığı an arasında geçen sürede senkronizasyon işlemez halde kalır.
2.5.79.0 sürümünün altındaki tüm kurulumlarda senkronizasyon, 30 Eylül 2026 tarihinden sonra çalışmayı durdurur ve ancak güncel sürüme yükseltildikten sonra kaldığı yerden devam eder. Bu, isteğe bağlı bir öneri değil zorunlu bir gerekliliktir.
Yükseltme öncesinde dikkat edilmesi gereken bir dağıtım değişikliği daha var. Microsoft Entra Connect Sync .msi kurulum dosyasına artık yalnızca Microsoft Entra Admin Center üzerinden erişiliyor. Eski Microsoft Download Center bağlantıları artık geçerli değil. Kurulum için minimum gereksinimler arasında ise .NET Framework 4.7.2 ve TLS 1.2 bulunuyor. Microsoft Entra Connect V2'den eski tüm sürümler de halihazırda kullanımdan kaldırılmış durumda.
Burada önemli bir nüans Auto Upgrade mekanizmasında ortaya çıkıyor. Microsoft, Eylül 2023'ten bu yana önlem amaçlı bir güvenlik servis değişikliği kapsamında uygun müşterileri otomatik olarak güncel sürümlere taşıyor. Auto Upgrade ile güncellenen kurumlar bu servis değişikliğinden etkilenmeyecek. Ancak Auto Upgrade'i kapatmış ya da Auto Upgrade işlemi başarısız olmuş kurumların, 30 Eylül 2026'ya kadar mutlaka manuel yükseltme yapması gerekiyor. Dolayısıyla asıl risk, Auto Upgrade'i kapalı veya başarısız olan ortamlarda yoğunlaşıyor.
2- Hard Match Hardening ve SyncJacking
İkinci değişiklik, hibrit kimlik güvenliği açısından çok daha kritik bir konuyu, Hard Match suistimalini hedef alıyor. Hard Match, Microsoft Entra Connect ya da Cloud Sync'in Active Directory'den gelen bir nesnenin sourceAnchor değerini, Entra ID'deki mevcut Cloud-Managed nesnelerin OnPremisesImmutableId değeriyle eşleştirmesi ve eşleşme bulunduğunda o nesnenin Source of Authority sahipliğini Active Directory tarafına devralması anlamına gelir. Microsoft, bu mekanizmanın suistimaliyle gerçekleşen hesap ele geçirme riskini azaltmak için iki ayrı tarihte devreye girecek değişiklikler hayata geçiriyor. Resmi Microsoft Learn dokümantasyonunda bu Hardening, iki ayrı tarih üzerinden okunuyor.
1 Haziran 2026 Tarihli Hard Match Takeover Engeli
Resmi açıklamaya göre, 1 Haziran 2026'dan itibaren Microsoft Entra ID, Connect Sync veya Cloud Sync'in Active Directory'den gelen yeni bir kullanıcı nesnesini, Microsoft Entra rolü taşıyan mevcut bir Cloud-Managed kullanıcı nesnesiyle Hard Match etme girişimlerini engelleyecek. Bu engel, bir Cloud-Managed kullanıcıya zaten OnPremisesImmutableId değeri atanmış ve aynı kullanıcıya bir Microsoft Entra rolü atanmış olduğunda devreye giriyor. Böyle bir durumda Connect Sync ya da Cloud Sync, Active Directory'den gelen bir kullanıcı nesnesiyle Hard Match yaparak o kullanıcının Source of Authority sahipliğini artık devralamıyor. Bu önlem, saldırganların Active Directory'deki kullanıcı niteliklerini manipüle ederek Entra'daki ayrıcalıklı kullanıcıları ele geçirmesinin önüne geçiyor.
Bu fazda neyin etkilenmediği de resmi olarak açıklanmış durumda. Microsoft Entra rolü taşımayan kullanıcılara yönelik Hard Match işlemleri etkilenmiyor. Soft Match davranışı etkilenmiyor. Daha önce Hard Match edilmiş nesnelerin Active Directory'den Entra ID'ye süregelen senkronizasyonu da etkilenmiyor. Dolayısıyla 1 Haziran 2026 düzenlemesi, ayrıcalıklı hesap ele geçirme senaryosuna yönelik hedefli bir önlem niteliği taşıyor.
1 Temmuz 2026 Tarihli Remapping (Yeniden Eşleme) Engeli
İkinci ve daha geniş kapsamlı değişiklik ise 1 Temmuz 2026 tarihinde yürürlüğe giriyor. Bu tarihten itibaren Microsoft Entra, bir senkronize kullanıcı nesnesine zaten eşlenmiş olan OnPremisesObjectIdentifier değerinin Connect Sync tarafından değiştirilmesi girişimlerini engelleyecek. Bu sayede mevcut bir Entra ID kullanıcısının Remapping (yeniden eşlenme) yoluyla farklı bir On-Premises kimliğe bağlanması önleniyor. Entra'daki mevcut senkronize nesneleri farklı bir On-Premises nesneye Remap etmeye çalışan senkronizasyon işlemleri başarısız oluyor ve Hard match operation blocked due to security hardening. Review OnPremisesObjectIdentifier mapping. hatasını veriyor.
İki tarih arasındaki farkı şöyle özetleyebiliriz. 1 Haziran 2026 tarihi, yalnızca Microsoft Entra rolü taşıyan ayrıcalıklı hesapları (Privaliged Accounts) kapsıyor ve bir saldırganın bu hesapları Active Directory üzerinden Hard Match yoluyla ele geçirmesinin önüne geçiyor. 1 Temmuz 2026 ise tüm senkronize nesneleri kapsayan çok daha geniş bir düzenleme; zaten bir On-Premises nesneye bağlı olan bir Entra nesnesinin başka bir On-Premises nesneye bağlanmasını, yani Remapping işlemini engelliyor.
Bu değişikliğin temelinde, Semperis'in SyncJacking adını verdiği bir saldırı tekniği yatıyor. Saldırıda, On-Premises tarafında kontrol edilen bir Active Directory nesnesinin sourceAnchor değeri, ayrıcalıklı bir hesabın kimlik tanımlayıcısıyla eşleşecek biçimde ayarlanıyor. Bir sonraki Sync Cycle işleminde gerçekleşen Hard Match ile o hesabın Source of Authority (SOA) sahipliği Active Directory tarafına geçiyor ve saldırgan hesabı dolaylı olarak ele geçiriyor.
Burada kritik bir kavramsal netleştirme yapmak gerekiyor. Hard Match tamamen kaldırılmıyor. Microsoft, OnPremisesImmutableId kullanılarak Cloud nesnelerin Hard Match edilmesi ve devralınması işleminin desteklenmeye devam ettiğini açıkça vurguluyor. Engellenen şey mekanizmanın kendisi değil, zaten eşlenmiş bir nesnenin başka bir On-Premises nesneye Remap edilmesi. Daha önce hiç eşlenmemiş, yani OnPremisesObjectIdentifier değeri henüz atanmamış bir nesnenin ilk kez Hard Match edilmesi ise desteklenmeye devam ediyor.
Microsoft, meşru senaryolar için kapıyı tamamen kapatmış değil. Mevcut bir senkronize Entra nesnesinin başka bir On-Premises nesneye Remap (yeniden eşleme) edilmesi gerektiği durumlarda, kontrollü kurtarma işlemlerine izin veren bir Graph API devreye giriyor. Kurtarma akışında yönetici önce Entra nesnesi üzerindeki OnPremisesObjectIdentifier değerini null yapıyor, ardından Hard Match ve devralma işlemini yeniden deniyor. Resmi dokümantasyonda belirtilen Graph çağrısı şu şekilde.
PATCH https://graph.microsoft.com/beta/users/{userId}
{
"onPremisesObjectIdentifier": null
} |
Önemli bir kısıt olarak API yalnızca bu alanın null yapılmasına izin veriyor, başka bir değer atama girişimlerini ise engelliyor. Bu kurtarma işlemi için gereken izinler de resmi olarak tanımlanmış durumda. Çağrıyı yapan uygulamanın User-OnPremisesSyncBehavior.ReadWrite.All iznine sahip olması gerekiyor. Ayrıca çağrıyı yapan kişinin Global Administrator veya Hybrid Identity Administrator rollerinden birine sahip olması zorunlu. Uygulamaya bu izin verilmemişse, Global ya da Hybrid yönetici dahil hiç kimse bu alanı Graph üzerinden sıfırlayamıyor. OnPremisesObjectIdentifier alanının null yapılması sonraki Sync işlerini olumsuz etkilemiyor. Alan null yapıldıktan sonra nesne yeniden senkronize edildiğinde yeni bir GUID atanıyor ve hem Cloud Sync hem de Connect Sync nesneyi senkronize etmeyi sürdürüyor.
Görünürlük tarafında da iyileştirme yapılmış. Denetim kayıtları, artık OnPremisesObjectIdentifier ve DirSyncEnabled değişikliklerini de yakalayacak şekilde geliştirildi. Bir kullanıcı nesnesi her değiştiğinde Microsoft Entra denetim kayıtlarına "Update user" adıyla bir işlem kaydı düşüyor. Kurumlar, düzenleme başlamadan önce bu "Update user" kayıtlarındaki OnPremisesObjectIdentifier değişikliklerini gözden geçirerek potansiyel olarak etkilenecek kullanıcıları önceden tespit edebilir ve yeni Graph API tabanlı kurtarma akışını 1 Temmuz 2026 öncesinde test edebilir.
Son olarak tarihsel bir ayrıntıya da değinmek gerekiyor. Bu Hardening'e ilişkin Aralık 2025 dönemindeki ilk duyurular, Mart 2026 tarihiyle yapılmıştı. Microsoft bu tarihi sonradan revize etti, Remapping (yeniden eşlenme) engelini 1 Temmuz 2026'ya çekti ve rol taşıyan hesaplara yönelik ayrı bir 1 Haziran 2026 düzenlemesini ek olarak dokümante etti. Yine de kurumların kendi Tenant'larına özel kesin takvimi Microsoft 365 Message Center bildirimlerinden teyit etmesinde fayda var, çünkü Microsoft bu tür değişiklikleri genellikle Tenant bazında kademeli olarak devreye alıyor.
3- Cloud Sync Geçişi ve Temmuz 2026 Bildirimleri
Üçüncü değişiklik, mevcut bir aracın yamalanması değil, yeni bir senkronizasyon mimarisine geçiş anlamına geliyor. Microsoft, kimlik güvenliğini güçlendirme ve Zero Trust stratejilerini ilerletme hedefiyle, Connect Sync'ten bulut tabanlı Cloud Sync'e geçişi başlatıyor. Bu geçişin amacı, On-Premises karmaşıklığını azaltırken güvenliği, güvenilirliği ve günlük yönetilebilirliği iyileştirmek.
Resmi açıklamaya göre Microsoft, Temmuz 2026'dan itibaren müşterileri kendi geçiş takvimleri konusunda Microsoft 365 Message Center, Entra Connect Health ve hedefli e-postalar üzerinden bilgilendirmeye başlayacak. Geçiş kademeli olarak yürütülecek ve her kuruma kendi geçiş penceresi geldiğinde doğrudan ulaşılacak. Yani bu, anlık ve toplu bir zorunluluk değil, Tenant başına değişen kademeli bir süreç.
Kademelendirmenin sırası da resmi olarak açıklandı. İlk dalgalarda Microsoft, Cloud Sync'in tüm senkronizasyon ihtiyaçlarını zaten karşıladığı Tenant'lara odaklanacak. Gelişmiş özelliklere ihtiyaç duyan ya da büyük dizine sahip kuruluşlar ilk hedef gruplarda yer almayacak. Bu kurumlar, Cloud Sync'in yetenekleri genişledikçe sonraki dalgalarda bilgilendirilecek.
Geçişle birlikte değişmeyecek bir nokta da resmi olarak belirtildi. Cloud Sync'e geçildikten sonra, On-Premises kimlik bilgilerinin bulut kaynaklarına erişimde kullanılmasını sağlayan hibrit kimlik doğrulama özellikleri kullanılmaya devam edecek. Geçiş tamamlandığında Cloud Sync, Active Directory ile Entra ID arasındaki kimlik senkronizasyonunun birincil mekanizması haline gelecek ve Connect Sync aracındaki kimlik senkronizasyonu işlevinin yerini alacak.
Geçiş öncesinde değerlendirilebilecek bir hazırlık adımı olarak Microsoft, Source of Authority yeteneklerine dikkat çekiyor. Bu yetenekler, mevcut Connect Sync kurulumlarını çalıştırmayı sürdürürken kullanıcı ve grup yönetimini buluta kaydırma imkanı veriyor. User SOA ile kullanıcılar, Entra ID üzerinde doğrudan yönetilirken hibrit birlikte çalışma korunuyor. Group SOA ile de gerektiğinde On-Premises etkisi olan bulut yönetimli gruplar elde ediliyor. Microsoft bunun Cloud Sync'e geçiş için bir ön koşul olmadığını, ancak kurumlara kendi hızlarında hazırlanma fırsatı tanıdığını belirtiyor.
Önemli bir uyarı ise Cloud Sync ile Connect Sync arasındaki özellik denkliğiyle ilgili. Cloud Sync henüz Connect Sync ile tam denklikte değil. Microsoft'un karşılaştırma kılavuzuna göre hemen geçiş için aranan kriterler arasında Active Directory Domain başına 150.000'den az nesne, grup başına 50.000'den az üye, Hybrid Azure AD Join kullanılmaması ya da Cloud Kerberos Trust geçişine istekli olunması, Password Hash Sync kullanımı ya da ADFS ve PTA yapılandırmalarının ayrı yönetilmesi, OU bazlı filtreleme ve tek orman veya bağlı ormanlar bulunuyor. Bu kriterler içinde pratikte en sık karşılaşılan engel cihaz tarafı, çünkü Cloud Sync şu an Device Synchronization yani Hybrid Azure AD Join desteklemiyor. Microsoft'un yeni senkronizasyon yeteneklerine yönelik geliştirme odağı Cloud Sync üzerinde olsa da, gelişmiş senaryolar için geçiş uygunluğunun önceden teyit edilmesi gerekiyor.
Son olarak şunu da belirtmek gerek. Microsoft, Connect Sync için resmi bir emeklilik tarihi henüz açıklamadı. Temmuz 2026'da başlayacak olan bir kapatma değil, bir geçiş bildirim süreci. Connect Sync'in nihai emekliliği ise Cloud Sync'in tam özellik denkliğine ulaşmasının ardından bekleniyor.
Yöneticiler İçin Yapılması Gerekenler
Üç değişikliği de kapsayan, öncelik sırasına göre düzenlenmiş bir kontrol listesini aşağıda bulabilirsiniz. Bu adımlar resmi Microsoft yönlendirmeleri doğrultusunda derlendi ve son tarihler yaklaşmadan tamamlanması öneriliyor.
✅ Mevcut sürümü belirleyin.
Windows Denetim Masası üzerinden Programlar ve Özellikler bölümünde "Microsoft Entra Connect" satırına bakarak sürümü kontrol edin. 2.5.79.0'ın altındaysanız 30 Eylül 2026'dan önce yükseltin.
✅ Auto Upgrade durumunu doğrulayın.
Auto Upgrade kapalıysa ya da başarısız olduysa, manuel yükseltme planlayın. .msi dosyasının yalnızca Entra Admin Center'dan indirilebildiğini unutmayın.
✅ Hard Match etkisini denetleyin.
1 Haziran 2026 düzenlemesinin kapsamına giren, Microsoft Entra rolü taşıyan hesaplarınızı ve 1 Temmuz 2026 düzenlemesini ilgilendiren, denetim kayıtlarındaki son OnPremisesObjectIdentifier değişikliklerini inceleyerek etkilenebilecek nesneleri tespit edin ve Graph API tabanlı kurtarma akışını önceden test edin.
✅ Cloud Sync uygunluğunu değerlendirin.
Tenant'ınızın Cloud Sync uygunluğunu önceden değerlendirin. Özellikle büyük dizin veya gelişmiş özellik bağımlılıklarınız varsa erken dalgalarda yer almayacağınızı göz önünde bulundurun.
✅ Message Center bildirimlerini izleyin.
Hem Hard Match düzenlemesi hem de Cloud Sync geçişi için Tenant'a özel kesin tarihler Message Center üzerinden iletilecek. Bu bildirimleri aktif olarak takip edin.
Sonuç
2026 yılı, hibrit kimlik yöneten kurumlar için Microsoft Entra Connect Sync etrafında üç ayrı ve nitelik olarak farklı değişikliği bir araya getiriyor. Birincisi, 30 Eylül 2026'da yürürlüğe girecek, kaçırılması durumunda senkronizasyonu tamamen durduracak sert ve zorunlu bir yükseltme son tarihi. İkincisi, iki ayrı tarihte, yani 1 Haziran 2026'da rol taşıyan hesaplara ve 1 Temmuz 2026'da tüm senkronize nesnelere yönelik devreye girecek, SyncJacking açığını kapatan ve Hard Match Remapping davranışını kısıtlayan bir güvenlik Hardening çalışması. Üçüncüsü ise Temmuz 2026'dan itibaren kademeli bildirimlerle başlayacak, Connect Sync'ten Cloud Sync'e geçiş süreci.
Bu üç değişikliğin ortak noktası, hepsinin arka planda sessizce çalışan bir bileşeni doğrudan etkilemesi ve her birinin kendine özgü bir hazırlık penceresi gerektirmesi. Kurumların bu tarihleri kendi bakım ve proje takvimlerine şimdiden işlemesi, son tarihler yaklaştığında işin acil bir krize dönüşmesini önleyecek en sağlıklı yaklaşım olacaktır.
Referanslar
Giriş
🔗 Introduction to Microsoft Entra Connect V2
1- Zorunlu Yükseltme ve 30 Eylül 2026 Son Tarihi
🔗 Microsoft Entra Connect, Upgrade from a previous version
🔗 Microsoft Entra Connect, Version release history
2- Hard Match Hardening ve SyncJacking
🔗 Microsoft Entra releases and announcements, What's new
🔗 Microsoft Entra roles, permissions reference
🔗 Troubleshoot Microsoft Entra Connect Sync errors
🔗 Semperis, SyncJacking Could Enable Entra ID Account Takeover
3- Cloud Sync Geçişi ve Temmuz 2026 Bildirimleri
🔗 Microsoft Entra releases and announcements, What's new
🔗 Connect to Cloud Sync Decision Guide
🔗 What is Microsoft Entra Cloud Sync
Yöneticiler İçin Yapılması Gerekenler
🔗 Migrate Microsoft Entra Connect Sync to Microsoft Entra Cloud Sync
Bu haber, Microsoft Learn ve Microsoft Entra resmi dokümantasyonu temel alınarak hazırlanmıştır. Tenant'a özel takvim için Microsoft 365 Message Center bildirimlerinin esas alınması önerilir.