Wer eine Exchange-Hybridumgebung nutzt und weiterhin Rich-Coexistence-Features wie Free/Busy-Lookups, MailTips und Profilbilder zwischen On-Premises- und Exchange-Online-Postfächern erforderlich hat, sollte den neuen Termin im Oktober 2026 vormerken. Bis dahin muss der Umstieg von Exchange Web Services auf Microsoft Graph abgeschlossen sein. Für Nutzer von Exchange 2016 oder 2019 stellt sich hierbei ein echtes Problem, da für diese Versionen ein solcher Wechsel nicht möglich ist.
Mit dem Mai 2026 Hotfix-Update für Exchange Server SE hat Microsoft die zweite Phase der Hybrid-Sicherheitsmodernisierung eingeleitet. Wer bis jetzt noch nichts unternommen hat, sollte das zügig nachholen.
Hintergrund
Die Geschichte hinter diesem Change beginnt eigentlich schon früher. Im April 2025 kündigte das Exchange-Team im Rahmen der Secure Future Initiative (SFI) zwei miteinander verknüpfte Änderungen für Exchange-Hybridumgebungen an.
Stufe 1 war die Ablösung des geteilten Service-Principals. Bisher nutzten Exchange Server-Hybridumgebungen für Rich Coexistence dieselbe Entra-ID-Anwendung wie Exchange Online selbst: die App Office 365 Exchange Online mit der bekannten Application-ID 00000002-0000-0ff1-ce00-000000000000. Das ist aus Sicherheitssicht schon länger unbefriedigend, weil On-Premises-Admins damit über das Organisationszertifikat potenziell Zugriff auf diese gemeinsam genutzte Anwendung erhalten können. Die Lösung bestand in der Einführung einer dedizierten Exchange-Hybrid-App im Tenant. Diese Umstellung musste bis Oktober 2025 abgeschlossen sein und ist Voraussetzung für alles, was danach kommt.
Stufe 2 ist aktuell: der Umstieg von EWS-Calls auf Microsoft Graph. Bisher hat Exchange Server für Rich-Coexistence-Funktionen bei On-Premises-Anfragen an Exchange Online EWS verwendet. Doch EWS in Exchange Online wird deaktiviert. Die erste feste Frist ist im Oktober 2026. Ab Oktober wird EWS standardmäßig deaktiviert. Das endgültige Aus ist im April 2027, wenn EWS in Exchange Online dauerhaft abgeschaltet wird.
Was sich verändert
Das Hotfix-Update vom Mai 2026 ermöglicht die Umstellung der Exchange Server Hybrid Rich Coexistence von EWS auf REST-basierte Microsoft Graph API-Calls. Es wurde als HU6 veröffentlicht, trägt die KB-Nummer KB5081755 und ist ausschließlich für Exchange Server SE verfügbar. Das Update enthält keine Sicherheitsfixes.
Was bedeutet das konkret? Nach der Installation des HU6 auf allen Exchange-SE-Servern muss die spezielle Exchange-Hybrid-Anwendung neu konfiguriert werden, da sich das Berechtigungsmodell ändert. Anstelle der bisherigen EWS-Berechtigungen werden detailliertere Graph-API-Berechtigungen verwendet.
Wichtig zu beachten: Falls die dedizierte Exchange-Hybrid-App bereits eingerichtet wurde, muss das Skript ConfigureExchangeHybridApplication.ps1 erneut ausgeführt werden, um den neuen Workflow basierend auf Graph zu aktivieren.
Exchange 2016 und 2019: Das Ende ist nah
Hier kommt der Teil, den ich für besonders wichtig halte, weil er in der täglichen Admin-Praxis gerne verdrängt wird.
Exchange 2016 und 2019 sind nicht mehr im Support. Microsoft veröffentlicht keine Updates für diese Versionen, um Graph-API-Hybrid-Calls zu unterstützen. Auch Updates im Rahmen des ESU-Programms für Exchange 2016 oder 2019 enthalten diese Funktionalität nicht. Wer noch Exchange 2016 oder 2019 für On-Premises-Postfächer nutzt, muss EWS im Tenant über Oktober 2026 hinaus ermöglichen und alle Server bis April 2027 auf Exchange SE migrieren, solange EWS in Exchange Online deaktiviert bleibt. Ab April 2027 werden die Rich-Coexistence-Features auf diesen nicht unterstützten Versionen dauerhaft nicht mehr funktionieren.
Das ist ein klares Bekenntnis: Wer noch Exchange 2016 oder 2019 nutzt und Rich Coexistence benötigt, muss auf Exchange SE migrieren. Wichtig ist nur, ob diese Migration rechtzeitig vor April 2027 abgeschlossen wird. Wer bis Oktober 2026 nicht auf SE umgestellt und das HU Mai 2026 installiert hat, steckt mindestens in der unangenehmen Position. EWS im Tenant aktiv aktiviert zu lassen, ist eine bewusste Sicherheitsentscheidung.
Meine persönliche Einschätzung: Exchange 2016 und 2019 sollten ohnehin nicht mehr in Produktionsumgebungen laufen, da Exchange SE seit 2025 verfügbar ist. Wer jetzt noch keine Migrationsplanung ausgearbeitet hat, ist spät dran.
Der Ablauf im Überblick: Zwei Stufen, zwei Zeitfenster
Um den Gesamtkontext zu verdeutlichen: Diese Anforderungen richten sich ausschließlich an Organisationen, die sowohl On-Premises-Postfächer als auch Exchange-Online-Postfächer nutzen, also an klassische Hybridumgebungen mit gemischter Mailbox-Population. Szenarien, bei denen nur Mail-Relay oder Recipient-Management ohne Rich Coexistence verwendet werden, fallen nicht unter diese Pflichten.
Wer Rich Coexistence benötigt, muss bis Oktober 2025 die Stufe 1 abschließen: die Hybrid-App konfigurieren und den Wechsel vom geteilten Service-Principal vollziehen. Bis Oktober 2026 ist Stufe 2 erforderlich: den Exchange SE auf das HU Mai 2026 aktualisieren und die Hybrid-App auf das neue Graph-Berechtigungsmodell umstellen.
Umsetzung
Die Umstellung gliedert sich in folgende Schritte, sobald Stufe 1 bereits abgeschlossen ist:
Schritt 1: Mai 2026 HU auf allen Exchange SE-Servern installieren
Das Update ist als KB5081755 über Windows Update oder manuell als Standalone-Installer (ExchangeSE-KB5081755-x64-en.exe) verfügbar. Das HU6 superseded das Februar 2026 Security Update (KB5074992), kann also direkt angewendet werden.
# Prüfung der installierten Exchange Server Version
Get-ExchangeServer | Sort-Object Name | Format-Table Name, Edition, AdminDisplayVersion -Autosize
Nach der Installation sollten alle Exchange SE-Server dieselbe aktuelle Build-Nummer aufweisen. Solange noch Server auf einem älteren Stand sind, sollte die Umstellung auf Graph nicht gestartet werden. Das PowerShell-Skript prüft, ob die Exchange Server in der Organisation alle Voraussetzungen erfüllen. Sollte dies nicht der Fall sein, bricht das Skript die Ausführung ab.
Schritt 2: ConfigureExchangeHybridApplication.ps1 erneut ausführen
Das Skript erkennt automatisch den aktuellen Status der dedizierten Hybrid-App und passt das Berechtigungsmodell entsprechend an, um Graph-basierte Workflows zu aktivieren. Die detaillierten Informationen zum Skript findest du in der Online-Dokumentation. Vor der Ausführung empfiehlt sich ein Blick in die Release-Notes vom Mai 2026, da Microsoft dort spezifische Hinweise für Edge-Fälle bereitstellt.
# Konfiguration der Exchange Hybrid-App
.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication
Zu beachten ist außerdem: Die Unterstützung für Graph-basierte Workflows gilt derzeit für WW-Tenants (Worldwide). GCC und DoD werden aktuell noch nicht unterstützt.
Empfehlung
Die Roadmap ist klar, und die Fristen sind verbindlich. Ab Oktober 2026 wird EWS in Exchange Online standardmäßig deaktiviert, und wer dann noch Rich Coexistence über EWS nutzt, muss mit Ausfällen rechnen. Das endgültige Ende ist im April 2027.
Für alle, die Exchange SE bereits nutzen und Stufe 1 abgeschlossen haben, ist jetzt der geeignete Zeitpunkt, die Installation von HU Mai 2026 zu planen und durchzuführen. Die Umstellung auf MS Graph ist kein Nice-to-have. Die Umstellung ist für den zukünftigen Koexistenzbetrieb verpflichtend.
Für alle, die weiterhin Exchange 2016 oder 2019 verwenden und Rich Coexistence brauchen: Die Migration auf Exchange SE ist keine Option mehr, sondern eine Notwendigkeit. Sie sollte nicht auf die letzte Minute verschoben werden.
