Exchange Online Shared Application
Microsoft schaltet im Oktober 2026 den Zugriff per EWS in Exchange Online ab. Aber ein Jahr früher gibt (Okt 25) es eine zweite Änderung, die Exchange Hybrid stört, wenn Sie nicht handeln.
Diese Änderung kann umgesetzt werden, sobald sie das April 2025 HU für Exchange
2016CU23 oder Exchange 2019 CU14/CU15 installiert haben:
Released: April 2025 Exchange Server Hotfix Updates | Microsoft Community Hub
https://techcommunity.microsoft.com/blog/exchange/released-april-2025-exchange-server-hotfix-updates/4402471
Worum geht es?
Wenn Sie Exchange OnPremises und Exchange Online parallel nutzen und den Hybrid-Mode konfiguriert haben, dann greifen die jeweiligen Server auf die jeweils andere Seite zu und müssen sich dazu authentifizieren. Hier geht es um den Zugriff von Exchange OnPremises auf Informationen in Exchange Online. Dazu hat sich Exchange OnPremises per OAUTH als "Exchange Server" ausgegeben und mit einer globalen App-Permission auf die Exchange Online Daten zugegriffen. Sie finden Sie im Azure Portal, wenn Sie nach "Office 365 Exchange Online" oder der GUID "00000002 0000-0ff1-ce00-000000000000" suchen:
Mehr Details und insbesondere die Berechtigungen sind nicht zu sehen und von Microsoft vorgegeben und jedem im Tenant hinterlegt. Diese Applikation wird im Oktober 2025 nicht mehr zugelassen sein. Dies wirkt sich auf folgende Hybrid Komponenten aus:
Komponente | Beschrebung | Status |
---|---|---|
Identity Sync , Empfängermanagement |
Der Abgleich der AD/Entra ID-Objekte mit ADSync oder Cloud Sync ist durch diese Änderung nicht betroffen. Beachten Sie aber, dass es auch für ADSync ein Update gibt, welches bis zum 7. April umgesetzt werden sollte, wenn Sie danach weiter ADSync konfigurieren wollen:
|
![]() |
SMTP-Routing |
Die Übertragung von Mails zwischen dem lokalen Exchange Server und Exchange Online ist durch diese Umstellung nicht betroffen. Hier werden Source-IP oder idealerweise Zertifikate zur Authentifizierung genutzt. Allerdings gibt es das SMTP-Throttling für Server, die zu alt sind. |
![]() |
Free/Busy OnPrem->Online |
Die Abfrage der Frei/Belegt-Zeiten von Exchange OnPremises zu Exchange Online ist nicht mehr möglich |
![]() |
Free/Busy Online->OnPrem |
Die Abfrage der Frei/Belegt-Zeiten von Exchange Online zu Exchange OnPremises ist nicht betroffen. |
![]() |
MailTipps OnPrem->Online |
Funktionieren ausgehend von Exchange OnPremises zu Exchange Online erst wieder nach der Änderung der Konfiguration |
![]() |
MailTipps Online->OnPrem |
Keine Veränderung der Funktion. |
![]() |
Postfachmigration Bidirektional |
Hier verbindet sich der Mailbox Replication Service (MRS) von Exchange Online zum lokalen Server über https. Diese Funktion ist nicht betroffen. |
![]() |
Profilbilder |
Wenn Benutzer mit einem lokalen Postfach das Profilbild eines Exchange Online Benutzers erhalten sollen, muss die Konfiguration angepasst werden. |
|
Wenn die gelben Funktionen auch nach dem Oktober 2025 weiter funktionieren sollen, müssen SIe als Administrator im Zeitraum von April 2025 bis Oktober 2025 aktiv werden.
Warum?
Der Wechsel auf eine eigene "Exchange Online Shared Application" hat zwei Gründe:
- Sicherheit
Aktuell greifen alle Exchange OnPremises Server mit der generischen "Exchange Online Application", die zu viele Berechtigungen hat. Das ist sprichwörtlich eine Altlast. Die neue Application hat deutlich weniger Berechtigungen. - Microsoft Graph
Ab Okt 2026 müssen alle Hybrid-Anfragen über Microsoft Graph erfolgen. Spätestens dann wäre eine eigene Application erforderlich, die mit passenden Berechtigungen ausgestattet sind.
Es geht also wieder mal um Sicherheit und dazu gehört auch, dass jeder Dienst seine eigenen Zugangsdaten und granularen Berechtigungen bekommt und eben nicht viele Dienste mit einem Sammelkonto arbeiten.
Diesmal braucht es aber die Mithilfe der Administratoren, denn Exchange OnPremises wird zukünftig mit einer neue Application Permission auf Exchange Online zugreifen. Dazu brauchen wir eine Konfiguration auf beiden Seiten, die ab Oktober 2025 umgesetzt sein muss.
Zeitraum
Die Zeiten der Umsetzung sind relativ kurzfristig. Vielleicht gibt es ja einen Angriffsvektor in Exchange Online über die generische Exchange Online Application, die nicht zu fixen ist und erst mit der Abschaltung im Oktober 25 geschlossen wird. Das ist aber reine Spekulation.
Letztlich haben Exchange Administratoren seit April 2025 die Möglichkeit, die Authentifizierung des lokalen Exchange Servers gegen den Tenant durch ein individuelles Zertifikat abzusichern.
Zeitpunkt | Beschreibung | Erledigt |
---|---|---|
Jetzt |
Microsoft hat die erforderlichen Änderungen zur neue Anmeldung auf ihrem Blog veröffentlicht. Zudem gibt es schon lange Aussagen zum Ende von EWS in Exchange Online. Für Exchange Administratoren gibt es nun zwei Dinge zu starten:
|
![]() |
Okt 2025 |
Exchange Online erlaubt keine Zugriff von Exchange OnPremises über die alte "Exchange Online Application" mehr. Mailflow und Anmeldungen funktionieren weiter aber Frei/Belegt-Zeiten, Profilbilder, Mailtipps und andere EWS-Zugriffe funktionieren nicht mehr, bis sie in ihrem Tenant die Änderung umgesetzt haben. |
![]() |
Okt 2026 |
EWS in Exchange Online wird abgeschaltet. Bis dahin müssen alle 3rd Party Apps auf Graph umgestellt sein Server auf Exchange Server SE . Ob dann Exchange 2016/2019 noch die Daten im Hybrid -Mode über Graph abrufen können, |
![]() |
Damit ergeht ein Aufruf an alle Exchange Administratoren und Dienstleister, ihre aktuellen Hybrid Umgebungen bis zum Oktober 2025 anzupassen.
Konfiguration
Damit stellt sich die Frage, wie das zu erfolgen hat. Technisch sind dazu folgende Änderungen erforderlich:
- Kompatible Exchange Version
Es muss 2019 CU15 oder Exchange 2016/2019 April 2025 HU und alle neuere Versionen sein. Exchange 2013 und ältere Versionen können am Okt 2025 diese Daten nicht mehr abrufen und beim SMTP-Verstand werden diese sehr alten Versionen ebenfalls "gedrosselt". Aktualisieren Sie daher daher ihre Exchange Server - Exchange OAUTH Zertifikate
Für den nächsten Schritt der Einrichtung und die spätere Nutzung muss ihre Exchange Umgebung ein Zertifikat zur Authentifizierung vorweisen. Das war aber schon bisher der Fall, denn das gleiche Zertifikate wurde auch zur Anmeldung mit der bisherigen AppID verwenden. - Application in Entra ID
Dann muss in ihrem Tenant eine neue App-Registation angelegt werden, die drei Berechtigungen benötigt und zur Anmeldung mit den Zertifikat des vorherigen Schritts dessen Public-Key als ClientSecret eingerichtet wird. - Organization Relationship
Zuletzt müssen Sie die Konfiguration der Organization Relationship anpassen, damit Exchange OnPremises nicht mehr das generische Application Konto nutzt, sondern sich mit dem Exchange Authentication Zertifikat ihrer anmeldet.
Sie können all diese Einstellungen natürlich manuell durchführen aber Microsoft stellt mit April HU zuerst ein PowerShell-Script bereit, welches alle erforderlichen Einstellungen vornimmt. Sie können als GlobalAdmin und Exchange Admin mit einem Befehl alle Änderungen vornehmen lassen.
ConfigureExchangeHybridApplication.ps1
https://microsoft.github.io/CSS-Exchange/Hybrid/ConfigureExchangeHybridApplication/
Das Skript muss in einer Admin-PowerShell gestartet werden und führt ohne weiteren Parameter keine Änderungen aus.
Wenn Sie die lokalen Exchange Anpassungen durchführen wollen, dann muss das Skript in einer Exchange Admin PowerShell auf einem Exchange Server ausgeführt werden, damit es z.B. das Auth-Zertifikat lesen kann. Um gleich alle Konfigurationen anzupassen ist folgender Aufruf erforderlich.
.\ConfigureExchangeHybridApplication -FullyConfigureExchangeHybridApplication
Das geht natürlich nur, wenn Sie alle erforderlichen Berechtigungen haben, d.h. lokale Exchange Admin aber auch Admin im Tenant zum Anlegen der Application. Sie können aber auch die einzelnen Schritte separat ausführen und damit der delegierten Administration Rechnung tragen. So kann der Entra ID Application Admin" oder notfalls auch der "Global Admin" die Application einrichten, damit danach der Exchange Administrator die lokale Konfiguration anpasst.
Etwas später wird auch der HCW - Hybrid Configuration Wizard ein entsprechendes Update erfahren, damit er die Konfiguration ebenfalls umsetzen. kann. Wer sich nicht sicher ist, welche Änderungen ein neuer HCW vielleicht noch umsetzt, der ist vielleicht mit dem PowerShell Script besser bedient.
Die genauen Schritte und Abhängigkeiten hat Microsoft auf ihrem Blog-Post veröffentlicht:
Es ändert sich aber nichts an der generellen Funktion für HTTPS-Anfragen, d.h. Proxy-Einstellungen, Namensauflösung, Firewall-Freischaltungen bleiben wie gehabt. Exchange OnPremises startet eine Exchange - Autodiscover-Anfrage gegen die TargetAddress der RemoteMailbox (Siehe auch MOERA - Microsoft Online Email Routing Address) und bekommt den EWS-Endpunkt in Exchange Online (meist outlook.office.com) und verbindet sich dann per HTTPS mit Exchange Online, meldet sich dann mit der neuen Application an und erhält hoffentlich die vom Client gewünschten Daten.
- Deploy dedicated Exchange hybrid app | Microsoft Learn
https://learn.microsoft.com/en-us/Exchange/hybrid-deployment/deploy-dedicated-hybrid-app
https://aka.ms/ConfigureExchangeHybridApplication-Docs
https://aka.ms/ConfigureExchangeHybridApplication
- ConfigureExchangeHybridApplication.ps1
https://microsoft.github.io/CSS-Exchange/Hybrid/ConfigureExchangeHybridApplication/
Details zur Konfiguration
Die Authentifizierung des lokalen Exchange Servers gegenüber Exchange Online erfolgt mit dem Exchange OAuth-Zertifikat mit dem CN="cn=Microsoft Exchange Server Auth Certificate", welches seit Exchange 2013 bei der Installation automatisch ausgestellt wird. Es ist ein "SelfSigned"-Zertifikat, welches fünf Jahre gültig ist aber von Hand erneuert werden muss. Das übernimmt weder das PowerShell-Script noch der HCW.
Exchange 2013 Setup creates a self-signed certificate with the friendly name Microsoft Exchange Server Auth Certificate. The certificate is replicated to all front-end servers in the Exchange 2013 organization. Quelle: https://technet.microsoft.com/de-de/library/jj150480(v=exchg.160).aspx
In Entra ID wird dann eine neue Application angelegt, bei der der Public Key des Exchange Server Auth-Zertifikats hinterlegt wird. Das können Sie mit der PowerShell sehr einfach umsetzen
Das PowerShell-Script legt die App übrigens direkt ohne z.B.: die MGGraph-PowerShell an.
Wer also in den Source-Code des PowerShell-Skripts schaut, kann schön sehen, wie es sich ein Access-Token als "Azure PowerShell besorgt. Mit fast 6000 Lines of Code ist es wieder ein nettes Beispiel um sich Tricks abzuschauen.
Die Application sehen Sie z.B. im Entra ID Portal: Ihre App hat natürlich eine andere AppID
In der ersten Stufe bekommt die Application sehr umfangreiche EWS-Rechte:
Feiner abgestufe Graph-Rechte sind hier noch nicht konfiguriert worden. Ich vermute mal, dass dies erst mit der Installation von Exchange SE im Oktober 2025 oder später kommt und sich auf Kalender, Mails und das Profilfoto beschränken dürfte
Szenario EWS-Rechte (Bis Okt 2026) Graph Berechtigungen ======================================================================= Free/Busy : Full_Access_As_App Calendars.ReadBasic Mailtips : Full_Access_As_App Mail.Read UserPhotos: Full_Access_As_App ProfilePhoto.Read.All
Die EWS-Rechte entfallen auf jeden Fall, wenn Exchange Online den Support für EWS in der Cloud (geplant Okt 2026) einstellt. Leider gibt es kein eigenes Recht für "Mailtipps", so dass auch dann noch "Mail.Read" recht umfangreich ist.
Details zur Funktion
Ob ihr OnPremises Server nun schon den neuen Weg korrekt nutzt, können Sie nur indirekt prüfen. Ein Outlook-Client fragt natürlich per HTTPS den lokalen Exchange Server´, der dann wieder zur Cloud weiter zugreift. Aber in die HTTPS-Kommunikation zwischen Exchange OnPremises und Exchange Online können sie nur mit einem HTPS-Proxy eingreifen, wenn Sie Exchange dazu bringen, den Proxy zu nutzen. In Wireshark und Co könnten sie also nur generell erkennen, dass es die entsprechenden DNS-Anfragen und TCP/HTTPS-Verbindungen gibt.
Als einfache Option würde ich in Entra ID kontrollieren, ob die neu eingerichtete Anwendung für Anmeldungen genutzt wird. Das geht am einfachsten über "https://portal.azure.com" und die Enterprise Applications.
Ich werde die Seite weiter aktualisieren, wenn Microsoft die Konfiguration ändert.
Weitere Links
- HCW - Hybrid Configuration Wizard
- Autodiscover
- TargetAddress
- EXO EWS 2025/2026
- EWS und OAUTH2
- EWS Online Throttling
- EXO Throttling und Blocking
- OnPremises Connector
- MonitorExchangeAuthCertificate
- Exchange OAuth
- Released: April 2025 Exchange Server Hotfix Updates | Microsoft Community
Hub
https://techcommunity.microsoft.com/blog/exchange/released-april-2025-exchange-server-hotfix-updates/4402471 - Exchange Server Security Changes for Hybrid Deployments
https://techcommunity.microsoft.com/blog/exchange/exchange-server-security-changes-for-hybrid-deployments/4396833 - Secure Future Initiative
https://www.microsoft.com/en-us/trust-center/security/secure-future-initiative - Retirement of Exchange Web Services in Exchange Online
https://techcommunity.microsoft.com/blog/exchange/retirement-of-exchange-web-services-in-exchange-online/3924440 - EWS (Exchange Web Services) to Microsoft Graph Migration Guide Series.
https://techcommunity.microsoft.com/t5/exchange-team-blog/ews-exchange-web-services-to-microsoft-graph-migration-guide/ba-p/3957158