Exchange Web Services (EWS) begleitet uns seit Exchange 2007. Unzählige Backup-Lösungen, Migrationstools, Archivierungssysteme und selbst geschriebene Skripte nutzen die Schnittstelle bis heute. Damit ist bald Schluss: Ab dem 1. Oktober 2026 beginnt Microsoft, EWS in Exchange Online schrittweise zu deaktivieren. Am 1. April 2027 wird die Schnittstelle endgültig und unwiderruflich abgeschaltet. Wer jetzt nicht handelt, riskiert ab Oktober einen Betriebsunterbruch. Die wichtigste Deadline liegt dabei nicht im Oktober, sondern bereits Ende August 2026.
Warum Microsoft EWS abschaltet
Bereits 2018 kündigte Microsoft an, dass EWS keine neuen Funktionen mehr erhält. 2023 folgte die Ankündigung der Abschaltung in Exchange Online. Der Sicherheitsvorfall Midnight Blizzard im Januar 2024, bei dem Angreifer unter anderem EWS missbrauchten, hat die Dringlichkeit nochmals erhöht. Seither entfernt Microsoft EWS-Abhängigkeiten auch aus den eigenen Produkten wie Outlook, Teams und Dynamics 365. Der Nachfolger ist die Microsoft Graph API mit moderner Authentifizierung und granularen Berechtigungen.
Wichtig: Betroffen ist nur Exchange Online. An EWS in Exchange Server (on-premises) ändert sich nichts.
Der Zeitplan im Überblick
| Termin | Was passiert |
|---|---|
| Bis Ende August 2026 | Frist für Admins: Wer EWS nach Oktober 2026 noch braucht, muss bis dahin die App-Allow-List konfigurieren und EWSEnabled auf True setzen. Nur so bleibt genug Zeit, die Liste vor Beginn der Deaktivierungsphase zu testen, bevor Microsoft im September nicht gepflegte Listen automatisch befüllt. |
| Vor Oktober 2026 | Microsoft kündigt temporäre «Scream Tests» an: kurzzeitige Unterbrüche, die versteckte EWS-Abhängigkeiten sichtbar machen sollen. |
| 1. Oktober 2026 | Die stufenweise Deaktivierung beginnt. Ohne Admin-Aktion setzt Microsoft EWSEnabled im Verlauf des gestaffelten Rollouts auf False, EWS-Anwendungen fallen dann aus. Eine Reaktivierung durch den Admin ist noch möglich, aber mit Unterbruch verbunden. |
| 1. April 2027 | EWS wird endgültig abgeschaltet. Keine Reaktivierung mehr möglich. |
Wer ist betroffen?
Typische Kandidaten in der Praxis:
- Backup- und Archivierungslösungen für Exchange Online
- Migrationstools von Drittherstellern
- CTI- und Telefonie-Integrationen mit Kalenderzugriff
- Raum- und Ressourcenbuchungssysteme
- Signatur-Management-Tools
- Selbst geschriebene Skripte und Anwendungen, etwa auf Basis der EWS Managed API
Gerade die selbst entwickelten Lösungen, die seit Jahren unauffällig laufen, geraten gerne in Vergessenheit. Genau diese fallen im Oktober als Erste aus.
Schritt 1: EWS-Nutzung im Tenant analysieren
Microsoft stellt im Microsoft 365 Admin Center die EWS Usage Reports bereit: unter Berichte, Nutzung, Registerkarte «EWS usage» (oder direkt über admin.cloud.microsoft/#/reportsUsage/EWSWeeklyUsage). Der Bericht zeigt pro App-ID und SOAP-Aktion das Aufrufvolumen und das Datum der letzten Aktivität. Zusätzlich gibt es den EWS Analyzer, der eigenen Code auf EWS-Abhängigkeiten untersucht.
Der EWS Usage Report im Microsoft 365 Admin Center: zwei aktive Apps, rund 2'800 Aufrufe pro Tag.
Wie das in der Praxis aussieht, zeigt der Blick in unseren eigenen Tenant. Der Report meldet zwei aktive Apps mit durchschnittlich rund 2'800 EWS-Aufrufen pro Tag:
| App-ID | Anwendung | Auffällige SOAP-Aktionen (30 Tage) |
|---|---|---|
| d3590ed6-52b3-4102-aeff-aad2292ab01c | Microsoft Office (First-Party-App von Microsoft) | Geringe Volumen (2 bis 195 Aufrufe), z.B. GetChannelEvents, ChannelSubscribe, GetUserUnifiedGroups |
| (App-ID des Herstellers) | Cloud-Backup-Lösung (Dritthersteller) | FindItem 77'375, FindFolder 64'116, GetAttachment 14'859, GetItem 10'315 |
Usage details: pro App-ID und SOAP-Aktion das Aufrufvolumen und die letzte Aktivität (App-IDs unkenntlich gemacht).
Der Report nennt nur die App-ID, nicht den Namen. Wer wissen will, was sich dahinter verbirgt, schlägt die ID in Microsoft Entra nach: Enterprise Applications, Filter «Application ID starts with». In unserem Fall entpuppte sich die unbekannte ID als die Cloud-Backup-Lösung eines Drittherstellers, die seit 2021 im Tenant registriert ist und mit der Berechtigung «full_access_as_app» vollen EWS-Zugriff auf alle Postfächer hat. Das Aufrufmuster passt: FindFolder und FindItem zum Durchsuchen der Postfächer, GetItem und GetAttachment zum Sichern der Inhalte, ein typischer Backup-Crawler.
Die Erkenntnis daraus: Ohne Handeln steht dieses Backup am 1. Oktober 2026 still. Die App-ID muss also auf die Allow-List, und parallel gehört die Frage an den Hersteller, wann seine Graph-basierte Version kommt. Pikant dabei: Der Mailbox-Import/-Export via Graph ist aktuell erst in Preview, ausgerechnet Backup-Anbieter gehören damit zu den letzten, die vollständig migrieren können. Diese Inventur ist der wichtigste Schritt und sollte nicht aufgeschoben werden: Der Report zeigt in wenigen Minuten, welche Anwendungen betroffen sind.
Schritt 2: Allow-List konfigurieren (Frist: Ende August 2026)
Für Anwendungen, die nach Oktober 2026 noch EWS benötigen, führt Microsoft eine neue, App-ID-basierte Allow-List ein: EwsAllowedAppIDs in der Organisationskonfiguration. Nicht zu verwechseln mit der seit Jahren existierenden EwsAllowList, die auf User-Agent-Strings basiert. Die Liste wird gesetzt, indem die erlaubten App-IDs kommasepariert übergeben werden:
Set-OrganizationConfig -EwsAllowedAppIDs "11111111-2222-3333-4444-555555555555,aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee"
Auslesen lässt sich die Liste nur mit einem zusätzlichen Schalter, den Microsoft aus Performancegründen verlangt:
Get-OrganizationConfig -RetrieveEwsOperationAccessPolicy | Format-List EwsAllowedAppIDs
Die Ausgabe in unserem Tenant: EwsEnabled und EwsAllowedAppIDs sind beide noch leer.
So sieht der Ausgangszustand in den meisten Tenants aus, auch in unserem: EwsEnabled ist Null («alles erlaubt») und die Allow-List leer. Genau dieser Zustand führt ab dem 1. Oktober 2026 zur automatischen Deaktivierung. Die Aufgabe bis Ende August ist also klar: die App-ID der Backup-Lösung aus Schritt 1 auf die Liste setzen und EWSEnabled explizit auf True.
Achtung: Jeder Set-Befehl überschreibt die komplette Liste. Ein inkrementelles Hinzufügen oder Entfernen einzelner App-IDs gibt es aktuell nicht. Zum Ergänzen also zuerst die bestehende Liste auslesen, die neue App-ID anhängen und die Gesamtliste zurückschreiben.
Der Rollout des Features erfolgt gestaffelt, und zwar getrennt für Lesen und Schreiben. In unserem Tenant liess sich die Liste mit dem Get-Befehl bereits auslesen, der Set-Befehl scheiterte aber noch mit «Es wurde kein Parameter gefunden, der dem Parameternamen EwsAllowedAppIDs entspricht». Das ist kein Fehler in der Umgebung: Microsoft bestätigt in den Kommentaren zum Ankündigungs-Blogpost, dass das Setzen erst funktioniert, wenn der Rollout den eigenen Tenant vollständig erreicht hat. Es bleibt also nur, es regelmässig erneut zu versuchen und die Frist Ende August im Auge zu behalten.
Set-OrganizationConfig kennt den Parameter EwsAllowedAppIDs noch nicht: Der Schreib-Rollout hat unseren Tenant noch nicht erreicht.
Wichtig ist auch die Verhaltensänderung im Oktober 2026: Bis dahin bedeutet EWSEnabled True mit leerer Liste «alles erlaubt». Ab Oktober kehrt sich das um, dann heisst True mit leerer Liste «alles blockiert». Nur die Kombination aus EWSEnabled True und gepflegter Allow-List lässt die gelisteten Anwendungen weiterlaufen. Für Tenants ohne eigene Liste will Microsoft diese im September 2026 anhand der erkannten Nutzung automatisch vorbefüllen, die Verantwortung für deren Korrektheit bleibt aber beim Admin. Wer bis Ende August 2026 selbst handelt, behält die Kontrolle und wird im Oktober nicht automatisch deaktiviert.
Schritt 3: Migration zu Microsoft Graph
Die Allow-List ist nur ein Aufschub bis April 2027, keine Lösung. Für die meisten Szenarien bietet Microsoft Graph inzwischen weitgehende Parität, inklusive einer offiziellen Mapping-Tabelle von EWS-Operationen zu Graph-APIs. Einige Lücken bestehen noch, unter anderem beim Import/Export von Public Foldern und Microsoft 365 Groups sowie bei Sticky Notes. Der Mailbox-Import/-Export und die neuen Admin-APIs sind aktuell in Preview. Bei Dritthersteller-Software gilt: jetzt beim Hersteller nachfragen, ob und wann eine Graph-basierte Version verfügbar ist. Für Eigenentwicklungen sollte die Migration möglichst früh geplant werden, denn der Wechsel von EWS zu Microsoft Graph erfordert meist Anpassungen am Code und am Berechtigungsmodell.
Fazit
Die Abschaltung von EWS ist diesmal keine weitere Ankündigung für die Zukunft, sondern ein laufendes Projekt mit konkreten Fristen. Die eigentliche Deadline ist Ende August 2026: Bis dahin sollte jede Organisation ihre EWS-Nutzung inventarisiert, die Allow-List konfiguriert und einen Migrationsplan Richtung Microsoft Graph erstellt haben. Die meisten Überraschungen entstehen dabei nicht durch Microsoft selbst, sondern durch seit Jahren vergessene Anwendungen und Integrationen.
Wer bei der Analyse des eigenen Tenants oder der Vorbereitung auf die Abschaltung Unterstützung braucht: Ich helfe gerne weiter. Meine E-Mail-Adresse steht in den Kontaktdaten dieses Blogs.





Keine Kommentare:
Kommentar veröffentlichen