Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Übersicht
Exchange-Hybridfeatures wie Frei/Gebucht, E-Mail-Infos und Fotos erfordern eine dedizierte Anwendung in Entra ID für die sichere Kommunikation zwischen Exchange Server und Exchange Online. In diesem Artikel wird erläutert, wie Sie die dedizierte Exchange-Hybridanwendung erstellen, konfigurieren und verwalten.
Wichtig
Ab dem 31. Oktober 2025 ist der EWS-Zugriff über den gemeinsamen Dienstprinzipal dauerhaft blockiert. Umfangreiche Hybridfeatures für die Koexistenz (Frei/Gebucht, E-Mail-Infos und Profilbildfreigabe) funktionieren nicht mehr über den älteren Workflow für den gemeinsamen Dienstprinzipal. Alle Exchange-Server müssen einen unterstützten Build ausführen und die dedizierte Exchange-Hybridanwendung verwenden, damit diese Features funktionieren. Weitere Informationen finden Sie im Blogbeitrag Dedicated Hybrid App: temporary enforcements, new HCW and possible hybrid functionality disruptions (Dedizierte Hybrid-App: temporäre Erzwingungen, neues HCW und mögliche Unterbrechungen der Hybridfunktionalität ).
Hintergrund: Warum diese Änderung vorgenommen wurde
Zuvor Exchange Server einen gemeinsamen Dienstprinzipal mit Exchange Online für die sichere Kommunikation verwendet, und der Hybridkonfigurations-Assistent (HCW) hat das aktuelle Authentifizierungszertifikat in den freigegebenen Dienstprinzipal hochgeladen, um diesen Prozess zu ermöglichen. Aufgrund der Einstellung von Exchange-Webdiensten in Exchange Online und der Entfernung von EWS-Abhängigkeiten von Erstanbieter-Apps und -Diensten verwendet Exchange Server jetzt eine dedizierte Anwendung in Entra ID für Hybridszenarien anstelle des gemeinsam genutzten Dienstprinzipals.
Diese dedizierte Anwendung wird ausschließlich von Exchange Server für die Hybridkommunikation verwendet und weist keine Abhängigkeiten vom gemeinsamen Dienstprinzipal auf. Standardmäßig ist sie mit EWS-API-Berechtigungen konfiguriert. Ab dem Hotfixupdate vom Mai 2026 können Graph-API Berechtigungen auch als Ersatz für EWS-API-Berechtigungen in den meisten Hybridszenarien konfiguriert werden. Weitere Informationen finden Sie unter Konfigurieren Graph-API Berechtigungen.
Weitere Informationen zu dieser Änderung und ihren Auswirkungen finden Sie im Blogbeitrag Exchange Server Sicherheitsänderungen für Hybridbereitstellungen.
Wenn Sie die dedizierte Exchange-Hybrid-App bereits konfiguriert haben oder zuvor über eine Hybridkonfiguration verfügten, wird dringend empfohlen, das Skript im Dienstprinzipal-Clean-Up-Modus auszuführen, um alle Zertifikate zu entfernen, die in den Dienstprinzipal des Erstanbieters keyCredentials hochgeladen und nicht bereinigt wurden.
Bevor Sie beginnen
Bevor Sie die dedizierte Exchange-Hybridanwendung konfigurieren, müssen Sie zunächst mit dem Hybridkonfigurations-Assistenten entweder classic full oder Modern Full hybrid einrichten.
Unterstützte Exchange Server Versionen
Die folgenden Exchange Server-Builds unterstützen die dedizierte Exchange-Hybridanwendung:
| Version | Buildnummer | Unterstützter EWS-API-Workflow | Graph-API-Workflow unterstützt |
|---|---|---|---|
| Exchange Server SE RTM mit MAI 2026 HU | 15.2.2562.41 | Ja | Ja |
| Exchange Server SE RTM | 15.2.2562.17 | Ja | Nein |
| Exchange Server 2019 CU15 mit HU vom April 2025 | 15.2.1748.24 | Ja | Nein |
| Exchange Server 2019 CU14 mit HU vom April 2025 | 15.2.1544.25 | Ja | Nein |
| Exchange Server 2016 CU23 mit HU vom April 2025 | 15.1.2507.55 | Ja | Nein |
Erforderliche Berechtigungen
In der folgenden Tabelle sind die berechtigungen zusammengefasst, die für die einzelnen Aufgaben erforderlich sind:
| Aufgabe | Rollen mit den geringsten Berechtigungen | Rolle mit höheren Berechtigungen |
|---|---|---|
| Erstellen der Anwendung in Entra ID | Application Administrator |
Global Administrator |
| Konfigurieren des Authentifizierungsservers und Aktivieren des Features in Exchange |
View-Only Configuration
UndOrganization Client AccessUndOrganization Configuration |
Organization Management |
| Bereinigen des Gemeinsamen Dienstprinzipals | — | Global Administrator |
Weitere Informationen zu Entra-ID-Rollen finden Sie in der Dokumentation zu Microsoft Entra integrierten Rollen. Informationen Exchange Server Rollen finden Sie in der Dokumentation zur Organisationsverwaltung.
Führen Sie das Skript auf einem Server mit installierter Postfachrolle und einem Build aus, der dieses Feature unterstützt , um den Authentifizierungsserver zu konfigurieren und die Einstellungsüberschreibung zu erstellen.
Anforderungen an die Netzwerkkonnektivität
Das Skript verwendet die Microsoft-Graph-API, um Anwendungen in Entra ID zu erstellen und zu verwalten. Das System, auf dem das Skript ausgeführt wird, erfordert ausgehende Verbindungen mit Graph-API und Entra-ID-Endpunkten.
- Im All-in-One-Konfigurationsmodus benötigt der Exchange-Server, auf dem das Skript ausgeführt wird, diese ausgehende Konnektivität.
- Im Konfigurationsmodus für die geteilte Ausführung benötigt das System, das zum Erstellen oder Verwalten der Anwendung in Entra ID verwendet wird, diese ausgehende Konnektivität (dieses System muss kein Exchange-Server sein).
Wählen Sie den Endpunkt aus, der dem Speicherort Ihres Mandanten entspricht, z Global. B. . Weitere Informationen finden Sie in der Dokumentation National Microsoft Entra ID Endpoints and National Microsoft Graph Endpoints .For more information, see the National Microsoft Entra ID Endpoints and National Microsoft Graph Endpoints.For more information, see the National Microsoft Entra ID Endpoints and National Microsoft Graph Endpoints.
Verwenden Sie das Cmdlet Test-NetConnection, um die Konnektivität mit den Graph- und Entra-ID-Endpunkten zu überprüfen. In diesem Beispiel wird die Verbindung mithilfe der Global Endpunkte überprüft:
Test-NetConnection -ComputerName login.microsoftonline.com -Port 443
Test-NetConnection -ComputerName graph.microsoft.com -Port 443
Wenn Sie den Graph-API-basierten Hybridflow verwenden möchten, stellen Sie sicher, dass Ihre Exchange-Server über ausgehende Verbindungen mit dem Graph-API Endpunkt verfügen.
Konfigurieren der dedizierten Exchange-Hybridanwendung
Microsoft stellt das ConfigureExchangeHybridApplication.ps1 Skript zum Konfigurieren der dedizierten Exchange-Hybridanwendung bereit. Eine ausführliche Dokumentation für das Skript und seine Parameter finden Sie in der ConfigureExchangeHybridApplication.ps1-Skriptdokumentation.
Wählen Sie den Konfigurationspfad aus, der Ihrer Umgebung entspricht:
| Ihr Szenario | Konfigurationspfad |
|---|---|
| Der Postfachserver verfügt über Internetzugriff, und Sie verfügen über Entra-ID-Berechtigungen. | All-in-One-Modus (empfohlen) |
| Der Postfachserver hat keinen Internetzugriff, oder Sie müssen Entra-ID und Exchange-Aufgaben trennen. | Aufteilungsausführungsmodus |
| Sie haben HCW bereits zum Erstellen der App verwendet. | Aktivieren Sie das Feature nach der Verwendung von HCW. Um Graph-API Berechtigungen hinzuzufügen, führen Sie das Skript nach Abschluss von HCW aus. |
Wenn Ihre lokale organization hybride Beziehungen mit mehreren Mandanten (1:N) hat, führen Sie das Skript einmal für jeden Mandanten aus, indem Sie ein Konto aus diesem Mandanten verwenden. Wenn Sie zum Graph-API-basierten Workflow wechseln möchten, bereiten Sie die dedizierte Exchange-Hybridanwendung in jedem Mandanten vor, bevor Sie den Graph-API-basierten Workflow über die Einstellungsüberschreibung aktivieren. Wenn Sie den Workflow aktivieren, bevor die Graph-API Berechtigungen erteilt und in jedem Mandanten genehmigt werden, funktionieren Hybridfeatures für Mandanten nicht mehr, ohne die ordnungsgemäß konfigurierten Graph-API Berechtigungen.
Je nach Größe Ihres organization kann es bis zu 60 Minuten dauern, bis die dedizierte Exchange-Hybridanwendungskonfiguration vom zuständigen Exchange Server-Prozessen erkannt wird. Während dieser Zeit sind Features wie Frei/Gebucht, E-Mail-Infos und Fotos möglicherweise vorübergehend nicht verfügbar.
Die neueste Version des Hybridkonfigurations-Assistenten (HCW) unterstützt auch die Konfiguration der dedizierten Exchange-Hybridanwendung mit EWS-API-Berechtigungen. HcW aktiviert das Feature jedoch nicht automatisch. Wenn Sie HCW verwendet haben, führen Sie die Schritte unter Aktivieren des Features nach verwendung von HCW aus, um es zu aktivieren. HCW sauber auch Zertifikate, die zuvor in den Dienstprinzipal des Erstanbieters keyCredentialshochgeladen wurden, nicht automatisch. Führen Sie das Skript im Dienstprinzipal Clean-Up Modus aus, um diese sauber durchzuführen und CVE-2025-53786 zu beheben.
All-in-One-Konfigurationsmodus
Für die meisten Kunden ist der All-in-One-Konfigurationsmodus die empfohlene Methode zum Konfigurieren dieses Features. Führen Sie das Skript auf einem Postfachserver mit ausgehender Konnektivität aus, wie im Abschnitt Netzwerkkonnektivitätsanforderungen beschrieben. Der Server muss einen Exchange Server Build ausführen, der dieses Feature unterstützt.
Wichtig
Der All-in-One-Konfigurationsmodus ist nicht mit Windows Server Core kompatibel. Wenn Sie Windows Server Core verwenden, befolgen Sie die Anweisungen im Abschnitt Konfigurationsmodus für die Aufteilung der Ausführung.
Führen Sie den folgenden Befehl aus:
.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication
Standardmäßig wird das Skript in der Microsoft 365 Worldwide Cloud ausgeführt. Wenn sich Ihr Microsoft 365-Mandant in einer anderen Cloud befindet, verwenden Sie den AzureEnvironment Parameter. Im folgenden Beispiel wird die Anwendung in der Microsoft 365 operated by 21Vianet Cloud erstellt:
.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication -AzureEnvironment "ChinaCloud"
Das Skript führt alle erforderlichen Schritte aus: Erstellen der Anwendung in Entra ID, Konfigurieren des Authentifizierungsservers und Aktivieren des Features über Einstellungsüberschreibung. Während der Ausführung fragt das Skript, ob Sie zusätzlich zu den EWS-API-Berechtigungen Graph-API Berechtigungen konfigurieren möchten. Wenn Sie Graph-API Berechtigungen konfigurieren möchten, aktiviert das Skript nach einer zusätzlichen Bestätigung auch den Graph-API-basierten Hybridflow über eine Einstellungsüberschreibung.
Wenn Sie die dedizierte Exchange-Hybridanwendung ohne EWS-API-Berechtigungen erstellen möchten, verwenden Sie den UseGraphApiOnly Parameter:
.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication -UseGraphApiOnly
Konfigurationsmodus für die Aufteilung der Ausführung
Verwenden Sie diesen Modus, wenn Ihr Postfachserver keine ausgehende Verbindung mit Microsoft Graph oder Entra-ID aufweist oder wenn der Exchange Server-Administrator nicht über ausreichende Berechtigungen zum Erstellen und Konfigurieren der Anwendung in Entra ID verfügt.
Wenn Sie einen der Schritte auf einem nicht Exchange Server ausführen, stellen Sie sicher, dass der Computer mit derselben Gesamtstruktur verknüpft ist, in der sich Ihr Exchange-organization befindet.
Schritt 1: Exportieren des Authentifizierungszertifikats
Exportieren Sie das Authentifizierungszertifikat (und, falls verfügbar, das nächste Authentifizierungszertifikat) mit seinem öffentlichen Schlüssel. Exportieren Sie den privaten Schlüssel des Zertifikats nicht. Führen Sie das folgende Skript über eine Exchange-Verwaltungsshell (EMS) mit erhöhten Rechten aus:
In diesem Beispiel wird das Zertifikat in C:\AuthCertExportexportiert. Um an einen anderen Speicherort zu exportieren, ändern Sie die $exportFilePath Variable.
# Change the path if you want to export the certificates to a different location
$exportFilePath = "C:\AuthCertExport"
$authConfig = Get-AuthConfig
New-Item -Type Directory -Path C:\AuthCertExport -Force | Out-Null
if (-not([System.String]::IsNullOrEmpty($authConfig.CurrentCertificateThumbprint))) {
$thumbprint = $authConfig.CurrentCertificateThumbprint
Write-Host "[+] Auth Certificate thumbprint: $thumbprint"
try {
$currentAuthCertificate = Get-ChildItem -Path Cert:\LocalMachine\My\$thumbprint
Export-Certificate -Cert $currentAuthCertificate -FilePath "$exportFilePath\$thumbprint.cer" -Type CERT | Out-Null
Write-Host "[+] Certificate was successfully exported to: $exportFilePath"
} catch {
Write-Host "[+] We hit the following exception: $_" -ForegroundColor Red
}
}
if (-not([System.String]::IsNullOrEmpty($authConfig.NextCertificateThumbprint))) {
$thumbprint = $authConfig.NextCertificateThumbprint
Write-Host "[+] Next Auth Certificate thumbprint: $thumbprint"
try {
$currentAuthCertificate = Get-ChildItem -Path Cert:\LocalMachine\My\$thumbprint
Export-Certificate -Cert $currentAuthCertificate -FilePath "$exportFilePath\$thumbprint.cer" -Type CERT | Out-Null
Write-Host "[+] Certificate was successfully exported to: $exportFilePath"
} catch {
Write-Host "[+] We hit the following exception: $_" -ForegroundColor Red
}
}
Schritt 2: Erstellen der Anwendung in Entra ID
Kopieren Sie die exportierten Zertifikate auf einen Computer mit ausgehender Konnektivität, wie im Abschnitt Netzwerkkonnektivitätsanforderungen beschrieben. Führen Sie das Skript auf diesem Computer aus, um die Anwendung in Entra ID zu erstellen. Das Skript zeigt Ihre Tenant ID und die appId der neu erstellten Anwendung an. Notieren Sie sich beide Werte, da Sie sie in einem späteren Schritt benötigen.
.\ConfigureExchangeHybridApplication.ps1 -CreateApplication -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\CurrentAuthCertificate.cer"
Verwenden UseGraphApiOnly Sie den Parameter, um die Anwendung nur mit Graph-API Berechtigungen zu konfigurieren:
.\ConfigureExchangeHybridApplication.ps1 -CreateApplication -UseGraphApiOnly -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\CurrentAuthCertificate.cer"
Wenn in Schritt 1 mehrere Authentifizierungszertifikate exportiert wurden, führen Sie das Skript erneut aus, um das zusätzliche Zertifikat hochzuladen. Der CreateApplication Schritt ist für die zweite Ausführung nicht erforderlich:
.\ConfigureExchangeHybridApplication.ps1 -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\NewNextAuthCertificate.cer"
Schritt 3: Konfigurieren von Exchange Server
Führen Sie diesen Schritt auf einem Postfachserver aus. Das Skript konfiguriert den Authentifizierungsserver, aktualisiert vorhandene organization Beziehungen zwischen Exchange Server und Exchange Online und aktiviert das Dedizierte Exchange-Hybridanwendungsfeature. Geben Sie die ID Ihres Mandanten, die appId der neu erstellten Anwendung in Entra-ID und die Remoteroutingdomäne an:
.\ConfigureExchangeHybridApplication.ps1 -ConfigureAuthServer -ConfigureTargetSharingEpr -EnableExchangeHybridApplicationOverride -CustomAppId "<appId>" -TenantId "<tenantId>" -RemoteRoutingDomain "<organization>.mail.onmicrosoft.com"
Aktivieren des Features nach verwendung von HCW
Wenn Sie den Hybridkonfigurations-Assistenten (HCW) zum Konfigurieren der dedizierten Exchange-Hybridanwendung verwendet haben, müssen Sie das Cmdlet New-SettingOverride ausführen, um das Feature für Ihre lokale Exchange Server organization zu aktivieren. Führen Sie den folgenden Befehl über eine Exchange-Verwaltungsshell (EMS) mit erhöhten Rechten aus:
New-SettingOverride -Name "EnableExchangeHybrid3PAppFeature" -Component "Global" -Section "ExchangeOnpremAsThirdPartyAppId" -Parameters @("Enabled=true") -Reason "Enable dedicated Exchange hybrid app feature"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Konfigurieren von Graph-API Berechtigungen
Ab dem Hotfixupdate vom Mai 2026 unterstützt Exchange Server den Graph-API-basierten Hybridflow für die meisten Szenarien. Microsoft hat das ConfigureExchangeHybridApplication.ps1 Skript aktualisiert, um Graph-API Berechtigungen für neu erstellte und vorhandene Anwendungen zu konfigurieren und den Graph-API-basierten Hybridflow über eine Einstellungsüberschreibung zu aktivieren.
Microsoft führt die Unterstützung für den Graph-API-basierten Hybridflow über Clouds hinweg in Phasen ein. In der folgenden Tabelle ist die aktuelle Verfügbarkeit aufgeführt. Dieser Artikel wird aktualisiert, wenn der Support auf zusätzliche Clouds erweitert wird.
| Cloud | Graph-API-basierter Hybridflow unterstützt |
|---|---|
| Microsoft 365 Global | Ja |
| Microsoft 365, betrieben von 21Vianet | Nein |
| Microsoft 365 US Government L4 (GCC High) | Nein |
| Microsoft 365 US Government L5 (DOD) | Nein |
| Bleu | Nein |
| Delos Cloud | Nein |
Wichtig
Aktivieren Sie den Graph-API-basierten Hybridflow nicht in einer Cloud, in der er noch nicht unterstützt wird. Die Aktivierung, bevor der Support verfügbar ist, führt dazu, dass Hybridfeatures wie Frei/Gebucht, E-Mail-Infos und Die Freigabe von Profilbilden nicht mehr funktionieren.
Unterstützte Szenarien
Die folgende Tabelle zeigt, welche Hybridfeatures jede API unterstützt:
| Feature | Unterstützt über die EWS-API | Unterstützt über Graph-API |
|---|---|---|
| Frei/Gebucht | Ja | Ja |
| MailTips | Ja | Partielle (nur automatische Antworten) |
| Profilbilder | Ja | Ja |
| In Archiv verschieben (Archiv Postfach in der Cloud) |
Ja | Nein |
Wichtig
Nachdem Sie den Graph-API-basierten Hybridflow aktiviert haben, verwendet Exchange Server EWS für Hybridfeatures, die noch nicht mit Graph-API unterstützt werden. Entfernen Sie die EWS-API-Berechtigungen nicht aus der Anwendung in Entra ID, wenn Sie sich auf ein Szenario verlassen, das noch nicht mit Graph-API unterstützt wird. Wenn Sie die Features nicht verwenden, die noch nicht mit Graph-API unterstützt werden, können Sie die full_access_as_app EWS-API-Berechtigung entfernen, indem Sie das Skript im Modus API-Berechtigungen entfernen verwenden.
Microsoft arbeitet aktiv daran, Graph-API Unterstützung für weitere Szenarien zu erweitern. Diese Dokumentation wird aktualisiert, wenn neue Szenarien unterstützt werden. Exchange Server weiterhin EWS für jedes Szenario verwenden, das noch nicht mit Graph-API unterstützt wird, auch wenn der Graph-API-basierte Hybridflow aktiviert ist.
Aktivieren Graph-API-basierten Hybridflows
Im All-in-One-Konfigurationsmodus werden Sie vom Skript aufgefordert, Graph-API Berechtigungen zu konfigurieren. Wenn Sie die Anwendung bereits konfiguriert haben und später Graph-API Berechtigungen hinzufügen möchten, führen Sie das Skript erneut aus:
.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication
Verwenden Sie für den Split-Ausführungsmodus den UseGraphApiOnly Parameter, wie unter Konfigurationsmodus für die Aufteilung der Ausführung beschrieben.
Entfernen von EWS-API-Berechtigungen
Wenn Sie keine Features verwenden, die eine EWS-API erfordern und nur Graph-API Berechtigungen verwenden möchten, führen Sie das Skript aus, um die full_access_as_app EWS-API-Berechtigung zu entfernen:
.\ConfigureExchangeHybridApplication.ps1 -RemoveApiPermissions "EWS"
Dieser Befehl kann auf einem Nicht-Exchange-Server ausgeführt werden.
Überprüfen der Konfiguration
Um zu überprüfen, ob die OAuth-Authentifizierung zwischen Exchange Server und Exchange Online ordnungsgemäß funktioniert, verwenden Sie das Cmdlet Test-OAuthConnectivity aus der Exchange-Verwaltungsshell auf Ihrem lokalen Exchange Server.
Wenn ist ResultTypeSuccess und der Detail Abschnitt die appId Ihrer dedizierten Exchange-Hybridanwendung enthält, Exchange Server erfolgreich ein OAuth-Token abgerufen. Die OAuth-Anforderung wird von dem Server initiiert, auf dem die Exchange-Verwaltungsshell(EMS)-Sitzung ausgeführt wird. Wenn sich das über den -Mailbox -Parameter angegebene Postfach auf einem anderen Server befindet, der die dedizierte Exchange-Hybrid-App nicht unterstützt, aber der EMS-Hostserver dies tut, ResultType wird weiterhin angezeigt Success. Es handelt sich hierbei um ein beabsichtigtes Verhalten.
Führen Sie den folgenden Befehl aus (ersetzen Sie die E-Mail-Adresse durch ein lokales Postfach in Ihrer Umgebung):
$OnPremisesMailbox = "userMailboxOnprem@contoso.com"
$result = Test-OAuthConnectivity -Service EWS -TargetUri https://outlook.office365.com -Mailbox $OnPremisesMailbox
Write-Host $result.ResultType
if (($result.Detail.FullId) -match 'L:(?<guid>[0-9a-fA-F-]{36})-AS:') {
$appid = $matches['guid']
Write-Output "Extracted appId: $appid"
} else {
Write-Output "appId not found"
}
Verwalten der Anwendung
In diesem Abschnitt werden allgemeine Verwaltungsaufgaben für die dedizierte Exchange-Hybridanwendung nach der Erstkonfiguration behandelt.
Aktualisieren des Authentifizierungszertifikats
Führen Sie die folgenden Schritte aus, wenn das Authentifizierungszertifikat abläuft oder ersetzt wird. Diese Schritte sind während der Erstkonfiguration nicht erforderlich. Weitere Informationen zum Verwalten des Authentifizierungszertifikats finden Sie in der Dokumentation Verwalten des Exchange Server OAuth-Zertifikats.
Wenn Ihr Postfachserver über ausgehende Konnektivität verfügt, wie im Abschnitt Netzwerkkonnektivitätsanforderungen beschrieben, führen Sie Folgendes aus:
.\ConfigureExchangeHybridApplication.ps1 -UpdateCertificate
Wenn Ihr Postfachserver nicht über ausgehende Verbindungen verfügt, exportieren Sie das neue Authentifizierungszertifikat, indem Sie die Schritte in Schritt 1: Exportieren des Authentifizierungszertifikats ausführen. Kopieren Sie das Zertifikat auf einen Computer mit ausgehender Konnektivität, und führen Sie dann Folgendes aus:
.\ConfigureExchangeHybridApplication.ps1 -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\NewAuthCertificate.cer"
Tipp
Verwenden Sie das Skript MonitorExchangeAuthCertificate , um Ihr OAuth-Zertifikat zu überprüfen. Wenn Sie Ihr OAuth-Zertifikat aktualisieren müssen, führen Sie die Schritte in der Dokumentation Verwalten des Exchange Server OAuth-Zertifikats aus.
Bereinigen des Gemeinsamen Dienstprinzipals
Nachdem Sie das Dedizierte Exchange-Hybridanwendungsfeature aktiviert haben und alle Exchange-Server einen Exchange-Build ausführen, der dieses Feature unterstützt, sauber die Zertifikate hoch, die zuvor in den Erstanbieterdienstprinzipal hochgeladen wurden. Im Rahmen des vorherigen Exchange-Hybridentwurfs hat der HCW das Authentifizierungszertifikat in den Erstanbieterdienstprinzipal hochgeladen. Diese Vorgehensweise wird nicht mehr empfohlen und sollte nicht ausgeführt werden. Das Authentifizierungszertifikat muss jetzt ausschließlich in die dedizierte Exchange-Hybridanwendung hochgeladen werden.
Die Befehle in diesem Abschnitt können auf jedem Computer mit ausgehender Internetverbindung ausgeführt werden. Exchange-Server, auf denen ältere Builds ausgeführt werden als die im Abschnitt Unterstützte Exchange Server Versionen aufgeführten, können keine hybriden Funktionen für die umfassende Koexistenz verwenden, unabhängig davon, ob Zertifikate im gemeinsamen Dienstprinzipal vorhanden sind, da der EWS-Zugriff über den gemeinsamen Dienstprinzipal seit dem 31. Oktober 2025 dauerhaft blockiert wurde. Aktualisieren Sie diese Server auf einen unterstützten Build, und konfigurieren Sie die dedizierte Exchange-Hybridanwendung, um die Hybridfunktionalität wiederherzustellen.
Warnung
Wenn Sie das HCW ausführen, nachdem Sie die dedizierte Exchange-Hybridanwendungsfunktion konfiguriert haben und die Konfigurationsoption Oauth, Organisationsinterner Connector und Organisationsbeziehung auswählen, wird das Authentifizierungszertifikat erneut in den Erstanbieterdienstprinzipal hochgeladen. Es wird dringend empfohlen, in diesem Fall die Schritte zum Löschen des Authentifizierungszertifikats vom Erstanbieterdienstprinzipal zu wiederholen.
Führen Sie Folgendes aus, um den gesamten keyCredentials Erstanbieterdienstprinzipal zu bereinigen:
.\ConfigureExchangeHybridApplication.ps1 -ResetFirstPartyServicePrincipalKeyCredentials
Um ein bestimmtes Zertifikat und alle abgelaufenen Zertifikate aus zu keyCredentialsbereinigen, geben Sie den Fingerabdruck des zu löschenden Zertifikats an:
.\ConfigureExchangeHybridApplication.ps1 -ResetFirstPartyServicePrincipalKeyCredentials -CertificateInformation "1234567890ABCDEF1234567890ABCDEF12345678"
Entfernen von API-Berechtigungen
Verwenden Sie RemoveApiPermissions den Parameter, um bestimmte API-Berechtigungen aus der dedizierten Exchange-Hybridanwendung in Entra-ID zu entfernen. Dieser Befehl kann auf einem Nicht-Exchange-Server ausgeführt werden. Unterstützte Werte für den RemoveApiPermissions Parameter sind EWS und Graph. Der EWS Wert entfernt die full_access_as_app Berechtigung, während der Graph Wert die Graph-API Berechtigungen entfernt.
Um die full_access_as_app EWS-API-Berechtigung zu entfernen, führen Sie Folgendes aus:
.\ConfigureExchangeHybridApplication.ps1 -RemoveApiPermissions "EWS"
Löschen der Anwendung
Verwenden Sie bei Bedarf den folgenden Befehl, um die in Entra ID erstellte Anwendung zu löschen. Dieser Befehl kann auf einem Nicht-Exchange-Server ausgeführt werden. Verwenden Sie diesen Befehl nur beim Zurücksetzen der Änderung oder beim Erstellen einer neuen Anwendung. Das Löschen der Anwendung über das Skript rückgängig machen die Konfiguration der Exchange-Hybridanwendung in Ihrer Umgebung nicht. Führen Sie zum vollständigen rückgängig machen die Schritte unter Zurücksetzen der Konfiguration der dedizierten Exchange-Hybridanwendung aus.
.\ConfigureExchangeHybridApplication.ps1 -DeleteApplication
Überwachen und Schützen der Anwendung
Überwachen der Anwendungsnutzung in Entra ID
Nachdem Sie die dedizierte Exchange-Hybridanwendung konfiguriert und das Feature aktiviert haben, überwachen Sie die Verwendung über die Entra-IDSign-in logs:
- Navigieren Sie zum Entra-ID-Portal, und melden Sie sich mit Ihren Anmeldeinformationen an.
- Wählen Sie Microsoft Entra ID aus, oder suchen Sie nach Microsoft Entra ID.
- Navigieren Sie im Navigationsbereich zu Überwachung , und wählen Sie Anmeldeprotokolle aus.
- Wählen Sie Dienstprinzipalanmeldungen aus, um detaillierte Protokolle anzuzeigen.
Die folgende Abbildung zeigt eine erfolgreiche Anmeldeanforderung:
Wenn Sie den Eintrag auswählen, wird das Flyout Aktivitätsdetails: Anmeldungen mit weiteren Informationen zur Anmeldeaktivität geöffnet:
Einschränken des Zugriffs mit bedingtem Zugriff
Einige Organisationen möchten möglicherweise den Zugriff auf den dedizierten Exchange-Hybridanwendungsdienstprinzipal auf eine Teilmenge der öffentlichen IP-Adressbereiche beschränken, die von Exchange Server verwendet werden. Verwenden Sie den bedingten Zugriff für Workloadidentitäten , um dies zu erreichen. Dieses Feature erweitert die Unterstützung von Richtlinien für bedingten Zugriff auf Dienstprinzipale im Besitz des organization. Workloadidentitäten Premium-Lizenzen sind erforderlich, um Richtlinien für bedingten Zugriff für Dienstprinzipale zu erstellen oder zu ändern. Weitere Informationen finden Sie unter Microsoft Entra Workload ID.
Zurücksetzen der Konfiguration der dedizierten Exchange-Hybridanwendung
Warnung
Seit dem 31. Oktober 2025 ist der EWS-Zugriff über den gemeinsamen Dienstprinzipal dauerhaft blockiert. Ein Rollback auf den gemeinsamen Dienstprinzipal führt nicht zur Wiederherstellung umfangreicher Hybridfunktionen für die Koexistenz (Frei/Gebucht, E-Mail-Info und Profilbildfreigabe). Verwenden Sie diese Rollbackschritte nur, wenn Sie die lokalen Konfigurationsänderungen zur Problembehandlung rückgängig machen müssen oder wenn Sie planen, die dedizierte Exchange-Hybridanwendung von Grund auf neu zu konfigurieren.
Die folgenden Schritte rückgängig machen die vom Skript angewendete ConfigureExchangeHybridApplication.ps1 Konfiguration.
Schritt 1: Neukonfigurieren des Erstanbieterdienstprinzipals
Führen Sie HCW aus, und wählen Sie die Option Oauth, Organisationsinterner Connector und Organisationsbeziehung aus, um den Erstanbieterdienstprinzipal neu zu konfigurieren.
Schritt 2: Entfernen der Einstellungsüberschreibung
Entfernen Sie die Einstellungsüberschreibung, die das Dedizierte Exchange-Hybridanwendungsfeature aktiviert. Führen Sie den folgenden Befehl in einer Exchange-Verwaltungsshell (EMS) mit erhöhten Rechten aus:
Get-SettingOverride | Where-Object {$_.ComponentName -eq "Global" -and $_.SectionName -eq "ExchangeOnpremAsThirdPartyAppId"} | Remove-SettingOverride
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Schritt 3: Zurücksetzen der Authentifizierungsserverkonfiguration
Führen Sie den folgenden Befehl in einer Exchange-Verwaltungsshell (EMS) mit erhöhten Rechten aus, um die Änderung des Authentifizierungsservers zu rückgängig machen:
# Replace this id with the id of your tenant
$tenantId = "123e4567-e89b-12d3-a456-426614174000"
(Get-AuthServer | Where-Object {$_.Name -like "*evoSTS*" -and $_.Realm -eq $tenantId}) | Set-AuthServer -ApplicationIdentifier $null -DomainName $null
Schritt 4: Löschen der Anwendung in Entra ID
Verwenden Sie das Skript, um die Anwendung zu löschen, die in Entra ID erstellt wurde:
.\ConfigureExchangeHybridApplication.ps1 -DeleteApplication
Nächste Schritte
Beachten Sie nach dem Konfigurieren der dedizierten Exchange-Hybridanwendung Folgendes:
- Verwalten Sie die Exchange Server OAuth-Zertifikats, um eine unterbrechungsfreie Hybridfunktionalität sicherzustellen, wenn Zertifikate ablaufen oder rotieren.
- Konfigurieren Sie Graph-API Berechtigungen für den Übergang von Hybridfeatures von EWS zu Graph-API.
- Überwachen und schützen Sie die Anwendung , indem Sie die Anmeldeaktivität überwachen und den Zugriff mit Richtlinien für bedingten Zugriff einschränken.
- Bereinigen Sie den gemeinsamen Dienstprinzipal , um Legacyzertifikate zu entfernen und Ihre Hybridkonfiguration zu härten.
Referenz: Skriptvorgänge
Das ConfigureExchangeHybridApplication.ps1 Skript führt verschiedene Vorgänge basierend auf der ausgewählten Option aus. Der folgende Abschnitt enthält eine ausführliche Referenz zu den spezifischen Vorgängen, die vom Skript für jeden Modus ausgeführt werden.
CreateApplication
- Erstellen einer neuen Anwendung mit dem Namen
ExchangeServerApp-{Guid of the organization}in Entra ID - Weisen Sie den Benutzer, der zum Ausführen des Skripts verwendet wurde, als Besitzer der Anwendung in Entra-ID zu.
- Zuweisen der
full_access_as_appEWS-API-Berechtigungen (verwendet im EWS-basierten Hybridflow) -
(Optional) Weisen Sie die
MailboxSettings.ReadBerechtigungen ,MailTips.ReadBasic.All,Calendars.Read,ProfilePhoto.Read.AllGraph-API zu (die in Graph-API-basierten Hybridflows verwendet werden) - Erteilen einer mandantenweiten Administratoreinwilligung
- Diese Änderung muss während der Laufzeit des Skripts bestätigt werden.
- Das Skript aktiviert das Feature nicht über Außerkraftsetzung festlegen, wenn keine mandantenweite Administratoreinwilligung erteilt wird.
UpdateCertificate
- Hochladen des aktuellen Authentifizierungszertifikats in die Anwendung in Entra ID
- Laden Sie das neue nächste Authentifizierungszertifikat (sofern vorhanden) in die Anwendung in Entra ID hoch.
- Löschen eines abgelaufenen Zertifikats aus der Anwendung
ConfigureAuthServer
- Aktualisieren des Authentifizierungsserverobjekts oder
EvoSTS - {Guid}desEvoSTSAuthentifizierungsserverobjekts- Legen Sie den
ApplicationIdentifierderappIdAnwendung in Entra ID fest. - Legen Sie auf
GraphBaseUrlden Graph-API Endpunkt fest, der der Cloud entspricht,https://graph.microsoft.comin der die Anwendung erstellt wird (z. B. fürGlobaldie Cloud). - Hinzufügen der SMTP-Remoteroutingdomäne zur
DomainNameEigenschaft
- Legen Sie den
ConfigureTargetSharingEpr
- Identifizieren aller aktivierten Konfigurationen
OrganizationRelationshipzwischen Exchange Server und Exchange Online - Verwenden der AutoErmittlung zum Abfragen des Endpunkts
Exchange-Webdienste (EWS) - Legen Sie den
TargetSharingEprauf den EWS-Endpunkt fest, der von der AutoErmittlung zurückgegeben wird.
EnableExchangeHybridApplicationOverride
- Wenn das Skript im All-in-One-Konfigurationsmodus ausgeführt wird:
- Überprüfen Sie, ob die Anwendung in Entra ID über die richtigen API-Berechtigungen und die mandantenweite Administratoreinwilligung verfügt.
- Erstellen Sie eine neue Einstellungsüberschreibung, um das Feature lokal zu aktivieren, indem Sie die folgenden Parameter und Werte verwenden:
- Name:
EnableExchangeHybrid3PAppFeature - Komponente:
Global - Abschnitt:
ExchangeOnpremAsThirdPartyAppId - Parameter:
Enabled=true - Grund:
"Created by {Name of the Script} on {timestamp}"
- Name:
-
(Optional) Erstellen Sie eine neue Einstellungsüberschreibung, um die Verwendung von Graph-API für Hybridfeatures zu ermöglichen, indem Sie die folgenden Parameter und Werte verwenden:
- Name:
EnableRouteThroughMSGraphFeature - Komponente:
SettingOverride - Abschnitt:
RouteThroughMSGraph - Parameter:
Enabled=true - Grund:
"Created by {Name of the Script} on {timestamp}"
- Name:
DeleteApplication
- Löschen der dedizierten Exchange-Anwendung in Entra ID
ResetFirstPartyServicePrincipalKeyCredentials
- Entfernen aller vorhandenen
keyCredentialsAus dem Dienstprinzipal derOffice 365 Exchange OnlineErstanbieteranwendung - Wenn ein Fingerabdruck über
CertificateInformationden Parameter bereitgestellt wurde, bereinigen Sie nur das Zertifikat, das mit dem Fingerabdruck übereinstimmt, und alle Zertifikate, die bereits abgelaufen sind.
RemoveApiPermissionsFromAzureApplication
- Entfernen Sie bestimmte API-Berechtigungen aus der Anwendung in Entra ID basierend auf der bereitgestellten Liste der Berechtigungen über
RemoveApiPermissionsden Parameter.
Häufig gestellte Fragen
❓ Können wir die dedizierte Exchange-Hybrid-App auch dann konfigurieren, wenn nicht alle unsere Server auf die Version aktualisiert werden, die sie unterstützt?
Ja, Sie können die dedizierte Exchange-Hybrid-App weiterhin konfigurieren und aktivieren. Server mit älteren Versionen, die die dedizierte Hybrid-App nicht unterstützen, können jedoch keine hybriden Features für die umfassende Koexistenz (Frei/Gebucht, E-Mail-Infos und Profilbildfreigabe) verwenden, da Microsoft den EWS-Zugriff über den gemeinsamen Dienstprinzipal am 31. Oktober 2025 dauerhaft blockiert hat. Aktualisieren Sie alle Ihre Server so schnell wie möglich auf einen unterstützten Build , um die Hybridfunktionalität wiederherzustellen. Sobald die dedizierte App erstellt und aktiviert wurde, wird sie von aktualisierten Servern automatisch verwendet.
❓ Was geschieht, wenn wir den Hybridkonfigurations-Assistenten (HCW) nach der Konfiguration der neuen dedizierten Exchange-Hybrid-App erneut ausführen?
Wenn Sie HCW erneut ausführen und Oauth, Organisationsinterner Connector und Organisationsbeziehung nicht deaktivieren, wird das Authentifizierungszertifikat in den Exchange Online Dienstprinzipal der freigegebenen Office 365 Exchange Online -Anwendung, aber Ihre Umgebung verwendet weiterhin die dedizierte Anwendung, die vom Skript erstellt wurde, da HCW die Außerkraftsetzung der Servereinstellungen nicht ändert. Wenn Sie jedoch das Skript im Dienstprinzipal Clean-Up Modus verwendet haben, um die Schlüsselanmeldeinformationen des gemeinsamen Dienstprinzipals nach dem Konfigurieren der dedizierten Exchange-Hybrid-App zu entfernen, lädt das HCW das Zertifikat erneut in den gemeinsamen Dienstprinzipal hoch, und Sie müssen die sauber erneut ausführen.
❓ Wir haben viele Exchange-Server in unserem organization. Benötigt jeder Server eine separate dedizierte Exchange-Hybrid-App?
Dedizierte Exchange-Hybrid-App wird in der Entra-ID Ihres Mandanten erstellt und muss nur einmal pro Mandant konfiguriert werden. Alle Ihre lokalen Server können dieselbe dedizierte Anwendung verwenden (sobald sie auf HU vom April 2025 oder höher aktualisiert wurden).
❓ Wirkt sich diese Änderung auf die Migration von Postfächern zwischen Exchange Server und Exchange Online aus?
Diese Änderung wirkt sich weder auf das Onboarding noch auf das Offboarding von Postfachverschiebungen zwischen Exchange Online und Exchange Server aus.
❓ Wirkt sich diese Änderung auf Anwendungen von Drittanbietern aus, die über das EWS-Protokoll eine Verbindung mit Exchange Online Postfächern herstellen?
Diese Änderung wirkt sich nur auf Exchange-Hybrid-EWS-Aufrufe von lokalen Servern an Exchange Online aus. Denken Sie daran, dass im Oktober 2026 eine Frist für die Außerbetriebnahme von Exchange-Webdiensten in Exchange Online gilt.
❓ Wir verfügen über eine mehrinstanzenfähige hybride organization (eine einzelne lokale AD-Gesamtstruktur, die mit mehreren Exchange Online Mandanten verbunden ist). Was müssen wir tun?
Das Skript muss einmal pro Mandant ausgeführt werden, da es das entsprechende Authentifizierungsserverobjekt aktualisiert und die erforderliche Anwendung in jedem Mandanten erstellt. Wenn Sie die neueste Version des Skripts verwenden, werden sowohl die Modi "All-in-One" als auch "Split Execution Configuration" unterstützt.
❓ Wir verfügen über eine lokale Bereitstellung mit mehreren Gesamtstrukturen, die eine Verbindung mit einem einzelnen Exchange Online Hybridmandanten herstellt. Was sollen wir tun?
Das Skript sollte für jede lokale Exchange-organization/Gesamtstruktur ausgeführt werden. Mit dieser Aktion werden mehrere dedizierte Hybrid-Apps im einzelnen Microsoft 365-Mandanten erstellt, die jeweils benannt sind
ExchangeServerApp-{GUID of the Exchange organization}. Da der EWS-Zugriff über den gemeinsamen Dienstprinzipal am 31. Oktober 2025 dauerhaft blockiert wurde, funktionieren umfangreiche Hybridfunktionen für die Koexistenz nur über die dedizierte Hybrid-App. Stellen Sie sicher, dass Sie die dedizierte App in allen Gesamtstrukturen konfigurieren und aktivieren und alle Server auf einen unterstützten Build aktualisieren, um die Hybridfunktionalität in Ihrer gesamten Umgebung wiederherzustellen.
❓ Wir haben Bedenken hinsichtlich des dedizierten Exchange-Hybrid-App-Skripts, das der neuen dedizierten Anwendung zu viele EWS-Berechtigungen zuweist.
Ab dem Hotfixupdate vom Mai 2026 können Exchange Server Graph-API für die meisten Hybridfeatures verwenden. Es gibt immer noch einige Features, die EWS-Berechtigungen erfordern, da sie noch nicht mit Graph-API unterstützt werden. Wenn Sie auf eines dieser Features angewiesen sind, müssen Sie die EWS-Berechtigungen beibehalten, die der dedizierten Exchange-Hybrid-App zugewiesen sind, bis alle Features mit Graph-API unterstützt werden. Wenn Sie keines dieser Features verwenden, können Sie die EWS-Berechtigungen entfernen und weniger freizügige Graph-API Berechtigungen für die dedizierte Exchange-Hybrid-App verwenden. Weitere Informationen finden Sie im Abschnitt Konfigurieren von Graph-API Berechtigungen dieser Dokumentation.
❓ Warum hat Microsoft die Richtung übernommen, kunden die Erstellung einer eigenen dedizierten Hybridanwendung zu ermöglichen, anstatt eine neue Anwendung zu veröffentlichen, die von Microsoft verwaltet wird?
Der Ansatz, eine dedizierte Anwendung im Kundenmandanten zu verwenden, bietet Kunden mehr Flexibilität für zukünftige Änderungen, die möglicherweise Änderungen an der App erfordern. Denken Sie an die bevorstehende Umstellung von EWS auf Graph-API Aufrufe: Anpassungen an der Anwendung sind erforderlich (z. B. Aktualisieren von API-Berechtigungen). Mit einer dedizierten Kundenanwendung können Kunden auswählen, wann sie von EWS-API-Berechtigungen zu Graph-API-Berechtigungen wechseln möchten. Da die dedizierte Anwendung automatisch vom PowerShell-Skript oder dem Hybridkonfigurations-Assistenten erstellt und konfiguriert wird, gibt es keinen zusätzlichen Vorteil für Kunden, die eine von Microsoft verwaltete Anwendung verwenden.
❓ Spielt es eine Rolle, ob ein organization eine moderne oder klassische Exchange-Hybridkonfiguration verwendet?
Diese Änderungen gelten sowohl für den modernen (Hybrid-Agent) als auch für die klassische Exchange-Hybridbereitstellung.
❓ Wir haben die dedizierte Exchange-Hybridanwendung erstellt und die Berechtigungen gemäß der Dokumentation festgelegt. Anschließend haben wir die Migration abgeschlossen und hosten keine Postfächer lokal, sodass keine Rich-Koexistenz mehr erforderlich ist. Was sollten wir tun?
Wenn Sie die umfangreichen Koexistenzfeatures nicht mehr benötigen, können Sie das Skript in
Delete Application Mode ausführen, um die dedizierte Exchange-Hybridanwendung zu löschen und Exchange lokal nur für Verwaltungs- oder SMTP-Relayszenarien zu verwenden. Es wird auch dringend empfohlen, das Skript im Dienstprinzipal-Clean-Up-Modus auszuführen. Das Löschen der dedizierten Exchange-Hybridanwendung rückgängig machen die Konfigurationsänderungen nicht Exchange Server (lokal). Führen Sie die in der Dokumentation beschriebenen Schritte aus, wenn Sie die Konfiguration ebenfalls rückgängig machen möchten.
❓ Wir verwenden die moderne Hybridauthentifizierung (Hybrid Modern Authentication, HMA). Was ist die Anleitung für uns?
Derzeit verwendet HMA den (freigegebenen) Erstanbieterdienstprinzipal. Da es beim Einrichten von HMA nicht erforderlich ist, das Authentifizierungszertifikat in den gemeinsamen Dienstprinzipal hochzuladen, bleibt dieses Szenario von der Änderung unberührt und funktioniert weiterhin wie zuvor. Daher ist es sicher, das Authentifizierungszertifikat nach dem Wechsel zur dedizierten Exchange-Hybridanwendung aus dem gemeinsamen Dienstprinzipal zu entfernen.
❓ Wir verwenden Microsoft Entra Connect (zuvor Azure AD Connect) für die Verzeichnissynchronisierung. Alle unsere Postfächer werden lokal gehostet. Muss die dedizierte Exchange-Hybridanwendung erstellt werden?
Wenn Sie den Hybridkonfigurations-Assistenten (HCW) noch nie ausgeführt haben, ist es nicht erforderlich, die dedizierte Exchange-Hybridanwendung zu konfigurieren. Wenn Sie jedoch HCW ausgeführt haben und Hybridfeatures wie Frei/Gebucht, E-Mail-Infos und Profilbildfreigabe verwenden möchten, ist die Erstellung der dedizierten Exchange-Hybridanwendung erforderlich.
❓ Wir verfügen über ein Exchange-Hybridsetup, aber keine lokalen Postfächer. Wir verwenden den Server nur als SMTP-Relay oder Empfängerverwaltung. Müssen wir die dedizierte Exchange-Hybridanwendung erstellen?
Das Erstellen der dedizierten Exchange-Hybridanwendung ist nicht erforderlich, wenn Sie keine Hybridfeatures wie Frei/Gebucht, E-Mail-Infos und Profilbildfreigabe verwenden. Um diese Hybridfunktionen in Zukunft zu aktivieren, müssen Sie die dedizierte Exchange-Hybridanwendung konfigurieren.
❓ Unsere organization benötigt keine umfangreiche Koexistenz, und wir möchten nur das Zertifikat aus dem freigegebenen Sicherheitsprinzipal entfernen. Müssen wir zuerst April HU installieren?
Wenn Sie nur das Zertifikat aus dem freigegebenen Sicherheitsprinzipal entfernen möchten und keine umfangreiche Koexistenz erforderlich ist, besteht keine Abhängigkeit von der Installation des April 2025 vor dem Ausführen des Skripts. Sie können das Skript einfach im Dienstprinzipal-Clean-Up-Modus ausführen.
❓ Wir haben exchange hybrid für die Integration von Microsoft Teams in lokale Postfächer eingerichtet. Müssen wir eine dedizierte Exchange-Hybridanwendung erstellen oder eine andere Aktion ausführen?
Das Erstellen der dedizierten Exchange-Hybridanwendung ist nicht erforderlich, wenn alle Postfächer lokal gehostet werden. Für Umgebungen, in denen einige Postfächer lokal und andere in Exchange Online gehostet werden, empfiehlt es sich jedoch, die dedizierte Exchange-Hybridanwendung zu erstellen. Dadurch wird sichergestellt, dass Hybridfeatures wie Frei/Gebucht, E-Mail-Infos und Die Freigabe von Profilbilden weiterhin ordnungsgemäß funktionieren.
❓ Können wir die dedizierte Exchange-Hybrid-App von in ExchangeServerApp-{Guid of the organization} einen anderen App-Namen umbenennen?
Es wird empfohlen, dass Administratoren den Namen der App nicht ändern, nachdem sie erstellt wurde. Das Umbenennen der App könnte in Zukunft zur Erstellung einer doppelten App führen, wenn das
ConfigureExchangeHybridApplication.ps1 Skript erneut ausgeführt wird, z. B. beim Erneuern des Authentifizierungszertifikats. Der Hybridkonfigurations-Assistent (HCW) verwendet auch den eindeutigen Namen der App, um zu erkennen, ob sie bereits erstellt wurde. Daher wird davon abgeraten, die Anwendung in Entra ID umzubenennen.
❓ Wir verwenden DAuth anstelle von OAuth. Ist es in diesem Fall weiterhin erforderlich, die dedizierte Hybridanwendung zu erstellen?
Nein, wenn Sie DAuth anstelle des OAuth-Workflows verwenden, ist es nicht erforderlich, die dedizierte Exchange-Hybridanwendung zu erstellen. Wenn Sie das Skript jedoch bereits ausgeführt haben, stellen Sie sicher, dass Sie nicht die Einstellungsüberschreibung erstellen, die die dedizierte Hybrid-App-Funktion auf Exchange Server aktiviert. Dies könnte bestimmte Funktionen beeinträchtigen, z. B. Frei/Gebucht-Suche, E-Mail-Infos und Profilbildsichtbarkeit für lokale Benutzer, die Onlinebenutzer anzeigen.
❓ Wird DAuth auch in Zukunft weiterhin unterstützt, und was ist die aktuelle Empfehlung von Microsoft in Bezug auf die Verwendung im Vergleich zu OAuth?
Es wird empfohlen, dass Kunden mit dem Übergang zu OAuth für Exchange-Hybridbereitstellungen beginnen, da die Legacy-DAuth-Methode nicht mehr mit Exchange Online funktioniert, sobald Exchange-Webdienste (EWS) im Oktober 2026 eingestellt wurden. Während DAuth vorerst funktionsfähig bleibt, arbeitet Microsoft an der Entwicklung alternativer Lösungen für Szenarien wie Organisationsbeziehungen (OrgRel), die derzeit auf DAuth basieren.