Exchange Server Hybrid-Kunden aufgepasst: Hotfix mit grundlegenden Neuerungen (Update April 2025) veröffentlicht
Mit dem Hotfix Update vom April 2025 beginnt eine tiefgreifende Umstellung in der Architektur hybrider Exchange-Umgebungen. Anders als bei klassischen Sicherheitsupdates handelt es sich hierbei um ein funktionales Update, das im ersten Moment als optional eingestuft ist – tatsächlich ist es für viele Umgebungen aber essenziell. Im Rahmen der Secure Future Initiative führt Microsoft erstmals eine dedizierte Exchange Hybrid-Unternehmensanwendung in Microsoft Entra ID ein. Damit löst sie die bisher genutzte generische „Office 365 Exchange Online“-Applikation ab, die in allen Microsoft 365-Mandanten identisch war.
The_Exchange_Team
Hintergründe und was es zu beachten gibt
Eine Exchange Hybrid-Bereitstellungen wird typischerweise über den Hybrid Configuration Wizard (HCW) eingerichtet, um eine Kommunikation zwischen der lokalen Exchange-Organisation und Exchange Online zu ermöglichen. Die Authentifizierung erfolgt derzeit per OAuth unter Verwendung eines Zertifikats der lokalen Organisation. Dieses Zertifikat und die Konfigurationsdetails, darunter URLs der Exchange-Dienste, werden mit der genannten generischen Anwendung in Microsoft 365 verknüpft. Diese Architektur brachte bisher jedoch gewisse sicherheitstechnische Herausforderungen mit sich – insbesondere durch die Mandanten-übergreifende Natur des Shared Service Principals.
Die neue dedizierte Hybrid-App in Entra ID
Mit dem April-Hotfix wird erstmals die Möglichkeit geschaffen, eine eigene, mandantenspezifische Exchange Hybrid-Anwendung in Microsoft Entra ID zu registrieren. Die Authentifizierung erfolgt künftig über eine dedizierte Entra ID-App, die vollständig unabhängig von anderen Mandanten agiert. Dies stellt einen bedeutenden Fortschritt in puncto Sicherheit dar und bildet gleichzeitig die Grundlage für den Wechsel von den Exchange Web Services (EWS) zur modernen Microsoft Graph API.
Die Umstellung auf die neue Hybrid-App muss im Zeitraum zwischen April und Oktober 2025 erfolgen. Ab Oktober 2025 ist die Nutzung der bisherigen EWS-basierten Hybridfunktionen über den bisherigen Shared Service Principal nicht mehr möglich. Die vollständige Abschaltung von EWS in Exchange Online erfolgt schließlich im Oktober 2026.
Zwischen Juli und September 2025 gibt es eine Übergangsphase, in der sowohl EWS als auch Graph API parallel genutzt werden können – jedoch nur dann, wenn die neue dedizierte Hybrid-App bereits eingerichtet ist. Ohne diese Umstellung drohen erhebliche Einschränkungen in hybriden Funktionen wie der Frei-/Gebucht-Anzeige, MailTips oder der Profilbildanzeige – insbesondere dann, wenn eine sogenannte Rich Coexistence zwischen On-Premises und Exchange Online im Einsatz ist.
Was bedeutet das für Exchange-Administratoren?
Für Organisationen mit einer vollwertigen Hybridstellung ist das Update aus meiner Sicht verpflichtend. Neben der eigentlichen Einrichtung der Hybrid-App steht auch die Bereinigung der bisherigen Konfiguration an. Microsoft liefert hierfür ein PowerShell-Skript für den Service Principal Cleanup, das die alte Anwendung ordnungsgemäß im Mandanten entfernt. In einem späteren Update des HCW soll dann auch die Konfiguration dieser App direkt im Wizard verfügbar sein, sodass der manuelle Weg entfällt.
Für welche Versionen gibt es das Update?
Das Update steht für Exchange Server 2019 CU14 und CU15 sowie für Exchange Server 2016 CU23 zur Verfügung. Die April-Hotfixes enthalten keine neuen sicherheitsrelevanten Korrekturen (soweit aktuell bekannt), bringen jedoch die bereits angesprochene wichtige funktionale Verbesserungen im Kontext hybrider Szenarien mit sich.
Bekannte Probleme im Zusammenhang mit dem Update
Ein bereits bekanntes Problem betrifft den Edge Transport-Dienst, der in bestimmten Fällen beim Entschlüsseln von externen, durch Azure RMS geschützten E-Mails nicht wie erwartet funktioniert und neu startet.
