MSXFAQ MeetNow aktiv: Komm doch einfach dazu.

Exchange Online Shared Application

Microsoft schaltet im Oktober 2026 den Zugriff per EWS in Exchange Online ab. Aber ein Jahr früher gibt (Okt 25) es eine zweite Änderung, die Exchange Hybrid stört, wenn Sie nicht handeln.

Diese Änderung kann umgesetzt werden, sobald sie das April 2025 HU für Exchange 2016CU23 oder Exchange 2019 CU14/CU15 installiert haben:
Released: April 2025 Exchange Server Hotfix Updates | Microsoft Community Hub
https://techcommunity.microsoft.com/blog/exchange/released-april-2025-exchange-server-hotfix-updates/4402471

Worum geht es?

Wenn Sie Exchange OnPremises und Exchange Online parallel nutzen und den Hybrid-Mode konfiguriert haben, dann greifen die jeweiligen Server auf die jeweils andere Seite zu und müssen sich dazu authentifizieren. Hier geht es um den Zugriff von Exchange OnPremises auf Informationen in Exchange Online. Dazu hat sich Exchange OnPremises per OAUTH als "Exchange Server" ausgegeben und mit einer globalen App-Permission auf die Exchange Online Daten zugegriffen. Sie finden Sie im Azure Portal, wenn Sie nach "Office 365 Exchange Online" oder der GUID "00000002 0000-0ff1-ce00-000000000000" suchen:

Mehr Details und insbesondere die Berechtigungen sind nicht zu sehen und von Microsoft vorgegeben und jedem im Tenant hinterlegt. Diese Applikation wird im Oktober 2025 nicht mehr zugelassen sein. Dies wirkt sich auf folgende Hybrid Komponenten aus:

Komponente  Beschrebung Status

Identity Sync , Empfängermanagement

Der Abgleich der AD/Entra ID-Objekte mit ADSync oder Cloud Sync ist durch diese Änderung nicht betroffen. Beachten Sie aber, dass es auch für ADSync ein Update gibt, welches bis zum 7. April umgesetzt werden sollte, wenn Sie danach weiter ADSync konfigurieren wollen:

  

SMTP-Routing 

Die Übertragung von Mails zwischen dem lokalen Exchange Server und Exchange Online ist durch diese Umstellung nicht betroffen. Hier werden Source-IP oder idealerweise Zertifikate zur Authentifizierung genutzt. Allerdings gibt es das SMTP-Throttling für Server, die zu alt sind.

  
Free/Busy
OnPrem->Online

Die Abfrage der Frei/Belegt-Zeiten von Exchange OnPremises zu Exchange Online ist nicht mehr möglich 

  
Free/Busy
Online->OnPrem

Die Abfrage der Frei/Belegt-Zeiten von Exchange Online zu Exchange OnPremises ist nicht betroffen.

  
MailTipps
OnPrem->Online

Funktionieren ausgehend von Exchange OnPremises zu Exchange Online erst wieder nach der Änderung der Konfiguration

  
MailTipps
Online->OnPrem

Keine Veränderung der Funktion. 

  
Postfachmigration
Bidirektional

Hier verbindet sich der Mailbox Replication Service (MRS) von Exchange Online zum lokalen Server über https. Diese Funktion ist nicht betroffen.

  

Profilbilder 

Wenn Benutzer mit einem lokalen Postfach das Profilbild eines Exchange Online Benutzers erhalten sollen, muss die Konfiguration angepasst werden.

  
 

Wenn die gelben Funktionen auch nach dem Oktober 2025 weiter funktionieren sollen, müssen SIe als Administrator im Zeitraum von April 2025 bis Oktober 2025 aktiv werden.

Warum?

Der Wechsel auf eine eigene "Exchange Online Shared Application" hat zwei Gründe:

  • Sicherheit
    Aktuell greifen alle Exchange OnPremises Server mit der generischen "Exchange Online Application", die zu viele Berechtigungen hat. Das ist sprichwörtlich eine Altlast. Die neue Application hat deutlich weniger Berechtigungen.
  • Microsoft Graph
    Ab Okt 2026 müssen alle Hybrid-Anfragen über Microsoft Graph erfolgen. Spätestens dann wäre eine eigene Application erforderlich, die mit passenden Berechtigungen ausgestattet sind.

Es geht also wieder mal um Sicherheit und dazu gehört auch, dass jeder Dienst seine eigenen Zugangsdaten und granularen Berechtigungen bekommt und eben nicht viele Dienste mit einem Sammelkonto arbeiten.

Diesmal braucht es aber die Mithilfe der Administratoren, denn Exchange OnPremises wird zukünftig mit einer neue Application Permission auf Exchange Online zugreifen. Dazu brauchen wir eine Konfiguration auf beiden Seiten, die ab Oktober 2025 umgesetzt sein muss.

Zeitraum

Die Zeiten der Umsetzung sind relativ kurzfristig. Vielleicht gibt es ja einen Angriffsvektor in Exchange Online über die generische Exchange Online Application, die nicht zu fixen ist und erst mit der Abschaltung im Oktober 25 geschlossen wird. Das ist aber reine Spekulation.

Letztlich haben Exchange Administratoren seit April 2025 die Möglichkeit, die Authentifizierung des lokalen Exchange Servers gegen den Tenant durch ein individuelles Zertifikat abzusichern.

Zeitpunkt Beschreibung Erledigt

Jetzt

Microsoft hat die erforderlichen Änderungen zur neue Anmeldung auf ihrem Blog veröffentlicht.

Zudem gibt es schon lange Aussagen zum Ende von EWS in Exchange Online. Für Exchange Administratoren gibt es nun zwei Dinge zu starten:

  • Exchange Hybrid Bereitstellung anzupassen
    Sie müssen bis Oktober 2025 eine Exchange App in Entra ID anlegen und den Public Key ihres Exchange OAuth-Zertifikats in Entra ID hinterlegen, damit zukünftig die Hybrid-Funktion von Exchange OnPremises zu Exchange Online auch nach dem Oktober 2025 weiter funktionieren.
  • EWS 3rd Party Apps auf Graph umzustellen
    Auch wenn Sie noch viele Monate Zeit haben, sollten Sie auch realisieren, dass nach dem Oktober 2026 kein Zugriff per EWS mehr möglich ist. Im Februar 2025 hat Microsoft hat schon die Application Impersonation-Rechte in Exchange Online angepasst (Siehe EXO EWS 2025/2026)
  • Update auf Exchange 2019CU14/CU15, Exchange 2016 / CU23
    Auch wenn ältere Versionen von Exchange 2016/2019 schon nicht mehr supportet sind, so werden sie sicher noch verwendet. Ältere Versionen können aber nicht auf das neue Verfahren umgestellt werden. Hier ist ein Update erforderlich.
  • Installation Exchange April 2025 HU
    Released: April 2025 Exchange Server Hotfix Updates | Microsoft Community Hub https://techcommunity.microsoft.com/blog/exchange/released-april-2025-exchange-server-hotfix-updates/4402471

Okt 2025

Exchange Online erlaubt keine Zugriff von Exchange OnPremises über die alte "Exchange Online Application" mehr. Mailflow und Anmeldungen funktionieren weiter aber Frei/Belegt-Zeiten, Profilbilder, Mailtipps und andere EWS-Zugriffe funktionieren nicht mehr, bis sie in ihrem Tenant die Änderung umgesetzt haben.

Okt 2026

EWS in Exchange Online wird abgeschaltet. Bis dahin müssen alle 3rd Party Apps auf Graph umgestellt sein Server auf Exchange Server SE . Ob dann Exchange 2016/2019 noch die Daten im Hybrid -Mode über Graph abrufen können,

Damit ergeht ein Aufruf an alle Exchange Administratoren und Dienstleister, ihre aktuellen Hybrid Umgebungen bis zum Oktober 2025 anzupassen.

Konfiguration

Damit stellt sich die Frage, wie das zu erfolgen hat. Technisch sind dazu folgende Änderungen erforderlich:

  • Kompatible Exchange Version
    Es muss 2019 CU15 oder Exchange 2016/2019 April 2025 HU und alle neuere Versionen sein. Exchange 2013 und ältere Versionen können am Okt 2025 diese Daten nicht mehr abrufen und beim SMTP-Verstand werden diese sehr alten Versionen ebenfalls "gedrosselt". Aktualisieren Sie daher daher ihre Exchange Server
  • Exchange  OAUTH Zertifikate
    Für den nächsten Schritt der Einrichtung und die spätere Nutzung muss ihre Exchange Umgebung ein Zertifikat zur Authentifizierung vorweisen. Das war aber schon bisher der Fall, denn das gleiche Zertifikate wurde auch zur Anmeldung mit der bisherigen AppID verwenden.
  • Application in Entra ID
    Dann muss in ihrem Tenant eine neue App-Registation angelegt werden, die drei Berechtigungen benötigt und zur Anmeldung mit den Zertifikat des vorherigen Schritts dessen Public-Key als ClientSecret eingerichtet wird.
  • Organization Relationship
    Zuletzt müssen Sie die Konfiguration der Organization Relationship anpassen, damit Exchange OnPremises nicht mehr das generische Application Konto nutzt, sondern sich mit dem Exchange Authentication Zertifikat ihrer anmeldet.

Sie können all diese Einstellungen natürlich manuell durchführen aber Microsoft stellt mit April HU zuerst ein PowerShell-Script bereit, welches alle erforderlichen Einstellungen vornimmt. Sie können als GlobalAdmin und Exchange Admin mit einem Befehl alle Änderungen vornehmen lassen.

ConfigureExchangeHybridApplication.ps1
https://microsoft.github.io/CSS-Exchange/Hybrid/ConfigureExchangeHybridApplication/

Das Skript muss in einer Admin-PowerShell gestartet werden und führt ohne weiteren Parameter keine Änderungen aus.

Wenn Sie die lokalen Exchange Anpassungen durchführen wollen, dann muss das Skript in einer Exchange Admin PowerShell auf einem Exchange Server ausgeführt werden, damit es z.B. das Auth-Zertifikat lesen kann. Um gleich alle Konfigurationen anzupassen ist folgender Aufruf erforderlich.

.\ConfigureExchangeHybridApplication -FullyConfigureExchangeHybridApplication 

Das geht natürlich nur, wenn Sie alle erforderlichen Berechtigungen haben, d.h. lokale Exchange Admin aber auch Admin im Tenant zum Anlegen der Application. Sie können aber auch die einzelnen Schritte separat ausführen und damit der delegierten Administration Rechnung tragen. So kann der Entra ID Application Admin" oder notfalls auch der "Global Admin" die Application einrichten, damit danach der Exchange Administrator die lokale Konfiguration anpasst.

Etwas später wird auch der  HCW - Hybrid Configuration Wizard ein entsprechendes Update erfahren, damit er die Konfiguration ebenfalls umsetzen. kann. Wer sich nicht sicher ist, welche Änderungen ein neuer HCW vielleicht noch umsetzt, der ist vielleicht mit dem PowerShell Script besser bedient.

Die genauen Schritte und Abhängigkeiten hat Microsoft auf ihrem Blog-Post veröffentlicht:


Quelle: https://techcommunity.microsoft.com/blog/exchange/exchange-server-security-changes-for-hybrid-deployments/4396833 

Es ändert sich aber nichts an der generellen Funktion für HTTPS-Anfragen, d.h. Proxy-Einstellungen, Namensauflösung, Firewall-Freischaltungen bleiben wie gehabt. Exchange OnPremises startet eine Exchange - Autodiscover-Anfrage gegen die TargetAddress der RemoteMailbox (Siehe auch MOERA - Microsoft Online Email Routing Address) und bekommt den EWS-Endpunkt in Exchange Online (meist outlook.office.com) und verbindet sich dann per HTTPS mit Exchange Online, meldet sich dann mit der neuen Application an und erhält hoffentlich die vom Client gewünschten Daten.

https://aka.ms/ConfigureExchangeHybridApplication

Details zur Konfiguration

Die Authentifizierung des lokalen Exchange Servers gegenüber Exchange Online erfolgt mit dem Exchange OAuth-Zertifikat mit dem CN="cn=Microsoft Exchange Server Auth Certificate", welches seit Exchange 2013 bei der Installation automatisch ausgestellt wird. Es ist ein "SelfSigned"-Zertifikat, welches fünf Jahre gültig ist aber von Hand erneuert werden muss. Das übernimmt weder das PowerShell-Script noch der HCW.

Exchange 2013 Setup creates a self-signed certificate with the friendly name Microsoft Exchange Server Auth Certificate. The certificate is replicated to all front-end servers in the Exchange 2013 organization. Quelle: https://technet.microsoft.com/de-de/library/jj150480(v=exchg.160).aspx  

In Entra ID wird dann eine neue Application angelegt, bei der der Public Key des Exchange Server Auth-Zertifikats hinterlegt wird. Das können Sie mit der PowerShell sehr einfach umsetzen

Das PowerShell-Script legt die App übrigens direkt ohne z.B.: die MGGraph-PowerShell an.

Wer also in den  Source-Code des PowerShell-Skripts schaut, kann schön sehen, wie es sich ein Access-Token als "Azure PowerShell besorgt. Mit fast 6000 Lines of Code ist es wieder ein nettes Beispiel um sich Tricks abzuschauen.

Die Application sehen Sie z.B. im Entra ID Portal: Ihre App hat natürlich eine andere AppID

In der ersten Stufe bekommt die Application sehr umfangreiche EWS-Rechte:

Feiner abgestufe Graph-Rechte sind hier noch nicht konfiguriert worden. Ich vermute mal, dass dies erst mit der Installation von Exchange SE im Oktober 2025 oder später kommt und sich auf Kalender, Mails und das Profilfoto beschränken dürfte

Szenario     EWS-Rechte (Bis Okt 2026)      Graph Berechtigungen
=======================================================================
Free/Busy :  Full_Access_As_App             Calendars.ReadBasic
Mailtips  :  Full_Access_As_App             Mail.Read
UserPhotos:  Full_Access_As_App             ProfilePhoto.Read.All

Die EWS-Rechte entfallen auf jeden Fall, wenn Exchange Online den Support für EWS in der Cloud (geplant Okt 2026) einstellt. Leider gibt es kein eigenes Recht für "Mailtipps", so dass auch dann noch "Mail.Read" recht umfangreich ist.

Details zur Funktion

Ob ihr OnPremises Server nun schon den neuen Weg korrekt nutzt, können Sie nur indirekt prüfen. Ein Outlook-Client fragt natürlich per HTTPS den lokalen Exchange Server´, der dann wieder zur Cloud weiter zugreift. Aber in die HTTPS-Kommunikation zwischen Exchange OnPremises und Exchange Online können sie nur mit einem HTPS-Proxy eingreifen, wenn Sie Exchange dazu bringen, den Proxy zu nutzen. In Wireshark und Co könnten sie also nur generell erkennen, dass es die entsprechenden DNS-Anfragen und TCP/HTTPS-Verbindungen gibt.

Als einfache Option würde ich in Entra ID kontrollieren, ob die neu eingerichtete Anwendung für Anmeldungen genutzt wird. Das geht am einfachsten über "https://portal.azure.com" und die Enterprise Applications.

Ich werde die Seite weiter aktualisieren, wenn Microsoft die Konfiguration ändert. 

Weitere Links