Exchange for IT Pros Logo
Youtube Linkedin

Dedizierte Entra-App bis Oktober: Pflicht für Exchange-Hybrid

Microsoft stellt die Hybrid-Authentifizierung zwischen lokalen Exchange Servern und Exchange Online um. Statt des bisherigen Shared Service Principals („Office 365 Exchange Online“, App-ID 00000002-0000-0ff1-ce00-000000000000) brauchst du künftig eine dedizierte Entra-Unternehmensapplikation in deinem Tenant.

Ohne diese App fallen ab dem 31. Oktober 2025 wichtige Hybrid-Features (Free/Busy, MailTips, Profilfotos) dauerhaft weg. Zusätzlich blockiert Microsoft im September und Oktober diese Funktionen jeweils temporär für einige Tage – als Warnsignal, dass du handeln musst.

Links

Warum Microsoft diese Änderung einführt

Die Authentifizierung über den Shared Service Principal ist ein Überbleibsel aus alten Tagen. Dort konnten Organisationen eigene Zertifikate hochladen, die dann global für alle Tenants gültig waren. Genau das ist ein unnötiges Sicherheitsrisiko.

Ein kompromittiertes Zertifikat könnte theoretisch missbraucht werden, um Identitäten zu fälschen. Microsoft zieht deshalb einen klaren Strich: Jeder Tenant bekommt seine eigene dedizierte App, die ausschließlich für die Hybrid-Authentifizierung genutzt wird.

Damit erreichst du:

  • Saubere Trennung zwischen Microsoft 365-Tenants

  • Bessere Sicherheit durch eigene Schlüssel/Zertifikate

  • Klarheit bei Zertifikatsverwaltung und Ablaufüberwachung

Was passiert, wenn du nichts machst

Wenn du bis Ende Oktober keine dedizierte App eingerichtet hast, gehen ab dem 1. November 2025 diese Features verloren:

  • Free/Busy-Abfragen von On-Premises-Mailboxen in Richtung Cloud-Mailboxen
  • MailTips (z. B. Abwesenheitshinweise, Größenwarnungen, externe Empfänger)
  • Profilfotos

Dies sind die sog. Rich Coexistence-Funktionen, die eine ausgehende HTTPS-Verbindung von deiner On-Premises-Exchange-Organisation zu Exchange Online nutzen. Alle anderen Hybrid-Funktionalitäten, wie Mailflow, Migrationen und Empfängerverwaltung, sind nicht betroffen.

Aber: Besonders Free/Busy ist im Alltag unverzichtbar. Ohne diese Funktion wird die Terminplanung zwischen On-Premises und Cloud zur reinen Glückssache.

Wichtig: Die Hybridverbindung von Exchange Online zur lokalen Organisation bleibt vollständig funktionsfähig. Betroffen ist ausschließlich die Richtung On-Premises → Cloud für die genannten Rich-Coexistence-Features.

Temporäre Blockaden als Warnsignal

Microsoft setzt zwei Sperrfenster vor die Deadline:

  • 16.–17. September 2025: Blockade für 2 Tage
  • 7.–9. Oktober 2025: Blockade für 3 Tage

In diesen Zeiträumen stehen Free/Busy, MailTips und Profil-Fotos nicht zur Verfügung, wenn du noch auf den Shared Principal setzt. Diese Sperren sind kein Bug, sondern Absicht. Sie sollen dich dezent darauf hinweisen, dass du dringend handeln musst. Danach folgt ab dem 31. Oktober die endgültige Abschaltung.

Voraussetzungen auf Exchange-Servern

Damit deine Umgebung die dedizierte App unterstützt, musst du auf folgenden Builds sein:

  • Exchange 2016 CU23 mit April 2025 HU oder neuer (15.1.2507.55+)

  • Exchange 2019 CU14 mit April 2025 HU oder neuer (15.2.1544.25+)

  • Exchange 2019 CU15 mit April 2025 HU oder neuer (15.2.1748.24+)

  • Exchange SE ab RTM (15.2.2562.17+)

Ohne diese Versionen fehlt die technische Unterstützung für das neue Authentifizierungsmodell.

Tipp: Prüfe deine aktuelle Version mit:

PowerShell
				Get-ExchangeServer | Format-Table Name, Edition, AdminDisplayVersion -Autosize

Zwei Wege zur Einrichtung

Du hast zwei Optionen, um die App anzulegen und nutzbar zu machen:

PowerShell-Skript (empfohlen)

Das Skript ConfigureExchangeHybridApplication.ps1 (von Microsoft im Exchange CSS-Portal bereitgestellt) erledigt in einem Durchlauf:

  • Erstellung der dedizierten App im Entra-Tenant
  • Hochladen der Authentifizierungszertifikate
  • Setzen des Setting Override in deiner On-Prem-Organisation
  • Optional: Bereinigung des Shared Service Principals

Beispielaufruf:

PowerShell
				\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication

Das Skript fragt dich nach Anmeldedaten für Microsoft 365 und setzt anschließend alle notwendigen Objekte.

Für diesen Aufruf muss das Skript auf einem Exchange Server ausgeführt werden, der eine HTTPS-Verbindung zu Exchange Online und zu Entra herstellen kann. Weitere Konfigurationsoptionen findest du in der Skript-Beschreibung.

Hybrid Configuration Wizard (HCW)

Der aktualisierte HCW kann ebenfalls die App erstellen und Admin-Consent einholen. Aber:

  • Die Aktivierung (Setting Override) erfolgt nicht automatisch, sondern muss per Hand aktiviert werden.
  • Der HCW räumt den Shared Service Principal nicht auf.
Beispiel für das manuelle Setzen des Overrides nach HCW:
PowerShell
				$newSettingOverrideParams = @{
    Name       = "EnableExchangeHybrid3PAppFeature"
    Component  = "Global"
    Section    = "ExchangeOnpremAsThirdPartyAppId"
    Parameters = "Enabled=true"
    Reason     = "Created by YOURNAME on $(Get-Date)"
}
New-SettingOverride @newSettingOverrideParams -ErrorAction Stop

Der aktualisierte HCW kann ebenfalls die App erstellen und Admin-Consent einholen. Aber:

  • Die Aktivierung (Setting Override) erfolgt nicht automatisch, sondern muss per Hand aktiviert werden.
  • Der HCW räumt den Shared Service Principal nicht auf.

Typische Fehler und Stolperfallen

  • HCW ausgeführt, aber Override vergessen: Dann nutzt Exchange weiter den Shared Principal → deine Tests schlagen fehl.

  • App erstellt, aber kein Admin-Consent: Ohne Consent blockt Entra den Zugriff → keine Authentifizierung.

  • Nicht alle Server aktualisiert: Ältere Exchange-Builds unterstützen die neue App nicht → Mischbetrieb funktioniert nicht.

  • Shared Principal nicht bereinigt: Kein technisches Problem, aber erhöhtes Risiko und sorgt für unnötige Altlasten.

Blick in die Zukunft: Microsoft Graph

Die dedizierte App ist nur der erste Schritt. Microsoft plant, die bisher auf EWS basierenden Hybrid-Funktionen langfristig auf Microsoft Graph REST-APIs umzustellen. Das bedeutet:

  • Granulare Berechtigungen pro Funktion

  • Bessere Überwachung über Entra-Logs

  • Weniger Abhängigkeit von Alt-Technologien

Geplant ist ein Umstieg ab Q3/2025, mit finaler Umsetzung bis Oktober 2026. Wer die dedizierte App heute sauber einrichtet, hat die Basis für diesen nächsten Schritt gelegt.

Dein Fahrplan bis 31.10.2025

  1. Heute: Exchange-Version prüfen und ggf. Updates einplanen.

  2. In den nächsten Tagen: Skript oder HCW ausführen, App erstellen, Consent einholen.

  3. Unmittelbar danach: Setting Override setzen und Clean-Up des Shared Principals durchführen.

  4. Vor dem 16. September: Tests abgeschlossen, damit dich die erste Blockade nicht erwischt.

  5. Vor dem 7. Oktober: Restarbeiten erledigen, um auch die zweite Blockade zu überstehen.

  6. Spätestens am 31. Oktober: Alles abgeschlossen, dokumentiert und in Betrieb.

Fazit

Die Deadline ist hart und endgültig. Richte die dedizierte Entra-App vor dem 16. September ein, damit dich die temporären Blockaden nicht treffen. Spätestens zum 31. Oktober musst du vollständig umgestellt sein. Ohne diese Umstellung sind Koexistenzfunktionen wie Frei-/Gebuchtzeiten, MailTips und Profilfotos Geschichte.

Weitere Artikel

Banner des "Exchange Summit 2026". Termin 24./25. Februar 2026 mit Link zur Anmeldung auf exchange-summit.de