Was sind Exchange Online Legacy Tokens – und warum schaltet Microsoft sie jetzt ab?

Exchange Online Legacy Tokens sind ein veralteter Mechanismus zur Authentifizierung von Outlook-Add-Ins gegenüber Exchange Online. Diese Tokens wurden ursprünglich eingeführt, um Add-Ins eine einfache Möglichkeit zu geben, im Namen eines Benutzers auf Daten wie E-Mails, Kalender oder Kontakte zuzugreifen. Sie ermöglichten es, ohne moderne Sicherheitsprotokolle wie OAuth 2.0 oder Entra ID auf Ressourcen zuzugreifen. Die Legacy Tokens basierten auf einem vereinfachten Modell, das heute als unsicher gilt, da es keine Multi-Faktor-Authentifizierung unterstützt, schwer zu widerrufen ist und anfällig für Missbrauch sein kann.

Warum Microsoft die Tokens deaktiviert

Microsoft hat sich daher entschieden, diese Legacy Tokens vollständig aus dem Microsoft 365-Ökosystem zu entfernen. Der Fokus liegt heute auf moderner Authentifizierung, insbesondere der sogenannten Nested App Authentication. Diese nutzt Entra ID, um sichere, kurzlebige Tokens auszustellen, die klaren Consent-Richtlinien folgen, besser überwacht und zentral verwaltet werden können. Die Deaktivierung der Legacy Tokens ist ein logischer Schritt zur Verbesserung der Sicherheit und zur Vereinheitlichung der Authentifizierungsmechanismen über Microsoft-Dienste hinweg.

Im Rahmen der Secure Future Initiative hat Microsoft bereits im Februar 2025 mit der Abschaltung von Exchange user identity tokens und callback tokens für alle Exchange Online-Tenants begonnen. Diese beiden Arten von Legacy Tokens wurden in der Vergangenheit häufig von Outlook-Add-Ins verwendet, um entweder die Identität des Benutzers zu verifizieren oder einen serverseitigen Zugriff auf das Exchange-Postfach über EWS oder das Outlook REST API zu ermöglichen. Diese Tokens gelten nun offiziell als veraltet und werden bis Juni 2025 vollständig deaktiviert.

A new world of security: Microsoft’s Secure Future Initiative - Microsoft On the Issues

In recent months, we’ve concluded within Microsoft that the increasing speed, scale, and sophistication of cyberattacks call for a new response. Therefore, we’re launching today across the company a new initiative to pursue our next generation of cybersecurity protection – what we’re calling our Secure Future Initiative (SFI).

Microsoft On the IssuesBrad Smith

Microsoft empfiehlt ausdrücklich, alle Outlook-Add-Ins, die derzeit noch auf Legacy Tokens angewiesen sind, auf das moderne Authentifizierungsmodell Nested App Authentication umzustellen. Diese ermöglicht nicht nur eine sichere Token-Ausstellung über Entra ID, sondern bietet auch eine nahtlose Integration in Microsofts Identitäts- und Berechtigungsmanagement.

Warum viele Add-Ins betroffen sind

Besonders betroffen sind Organisationen, die Outlook-Add-Ins einsetzen, die entweder von Drittanbietern stammen oder intern entwickelt wurden. Viele dieser Add-Ins wurden vor Jahren erstellt und setzen noch immer auf die alten Exchange Tokens. In der Praxis zeigt sich aktuell ein starker Anstieg von Supportanfragen, weil Add-Ins plötzlich nicht mehr funktionieren oder keine Authentifizierung mehr erhalten. Das Problem liegt in der fehlenden Umstellung auf die moderne Entra ID-basierte Authentifizierung.

Empfehlungen für Entwickler und Administratoren

Für Entwickler bedeutet dies, dass sie ihre Add-Ins dringend überarbeiten müssen. Wichtig zu wissen ist, dass Tokens, die bereits vor der Deaktivierung ausgestellt wurden, weiterhin bis zu ihrem Ablaufdatum funktionieren. Neue Tokens werden jedoch nicht mehr ausgestellt.

PowerShell-Befehle zur Steuerung der Legacy Tokens

Um die Legacy Tokens manuell zu deaktivieren, kann folgender PowerShell-Befehl verwendet werden:

Set-AuthenticationPolicy –BlockLegacyExchangeTokens -Identity "LegacyExchangeTokens"

Sollten Organisationen dennoch kurzfristig auf die Legacy Tokens angewiesen sein, etwa weil ein wichtiger Anbieter noch kein Update bereitgestellt hat, können sie diese bis Juni 2025 erneut aktivieren:

Set-AuthenticationPolicy –AllowLegacyExchangeTokens -Identity "LegacyExchangeTokens"

Der aktuelle Status lässt sich mit diesem Befehl überprüfen:

Get-AuthenticationPolicy -AllowLegacyExchangeTokens

Dieser Befehl zeigt an, ob die Verwendung von Legacy Tokens aktuell erlaubt, blockiert oder bisher nicht konfiguriert wurde. Ist der Status auf „Not Set“, werden die Tokens ab dem 17. Februar 2025 dennoch automatisch deaktiviert – auch ohne vorherige administrative Änderung. Nur wenn die Nutzung explizit aktiviert wurde, bleiben sie über dieses Datum hinaus weiterhin funktionsfähig – jedoch nur bis Ende Juni 2025. Ab Juli 2025 ist eine Reaktivierung von Legacy Tokens nur noch über ein manuelles Ausnahmeantragsverfahren bei Microsoft möglich. Mit dem endgültigen Stichtag am 1. Oktober 2025 wird die Unterstützung vollständig entfernt. Ab diesem Zeitpunkt sind Legacy Tokens dauerhaft deaktiviert – unabhängig von etwaigen Sonderregelungen oder Anträgen.

Microsoft weiß welche Add-Ins betroffen sind

Microsoft stellt zudem eine Excel-Datei bereit, die einen Überblick über bekannte Outlook-Add-Ins gibt, die Legacy Tokens nutzen. Diese Liste ist über GitHub öffentlich verfügbar. Administratoren sollten diese Informationen nutzen, um eine Bestandsaufnahme der im Tenant verwendeten Add-Ins durchzuführen und mit Entwicklern oder Herstellern Rücksprache zu halten. Viele Anbieter, darunter auch große ISVs, haben bereits auf die neue Authentifizierungstechnologie umgestellt. In anderen Fällen ist eine Eigenentwicklung oder ein Ersatzprodukt notwendig.

Die Abschaltung zeigt, wie wichtig es ist, alte Sicherheitsmodelle rechtzeitig abzulösen. Wer sich jetzt nicht mit der Migration seiner Add-Ins beschäftigt, riskiert im zeitnah massive Funktionseinschränkungen in produktiven Umgebungen. Der Umstieg auf moderne Authentifizierungsverfahren ist nicht nur ein sicherheitsrelevanter Schritt, sondern langfristig auch die Voraussetzung für Kompatibilität mit zukünftigen Versionen von Microsoft 365.