SchweigersTechBlog

Exchange On-Premises: Modern Hybrid Auth testen

by · Published · Updated

Im Artikel Exchange On-Premises: Modern Hybrid Authentication haben wir bereits die Grundlagen und die Implementierung von MHA beleuchtet. In diesem Beitrag widme ich mich den vorbereitenden Tests sowie dem schrittweisen Aktivieren der Modern Hybrid Authentication in einer produktiven Exchange‑Umgebung.

 

Vorbereitungen

Bevor wir uns den Authentifizierungsrichtlinien widmen können, sind einige vorbereitende Schritte erforderlich. Diese habe ich bereits im folgenden Artikel zusammengefasst. Wer die Informationen lieber direkt von Microsoft beziehen möchte, findet sie ebenfalls hier.

Es ist wichtig, dass du beide Artikel im Vorfeld vollständig durchliest, damit die gesamte Vorgehensweise nachvollziehbar ist. Wenn du meinem Leitfaden folgst, kannst du alle beschriebenen Schritte durchführen – mit einer entscheidenden Ausnahme: Das letzte PowerShell‑Cmdlet Set‑OrganizationConfig darf nicht ausgeführt werden. Dieses Kommando würde die Modern Authentication global aktivieren und damit das kontrollierte, schrittweise Deployment umgehen.

 

Authentifizierungsrichtlinien vorbereiten

Wurde das Exchange‑Hybrid‑Deployment erfolgreich eingerichtet, können im nächsten Schritt die entsprechenden Authentifizierungsrichtlinien vorbereitet werden. Diese Richtlinien steuern, welche Protokolle für bestimmte Benutzer zugelassen oder blockiert werden. Auf diese Weise lässt sich die Modern Authentication gezielt für einzelne Nutzer aktivieren, ohne sie sofort für die gesamte Organisation ausrollen zu müssen. Das ist besonders in produktiven Umgebungen von Vorteil, da sich der potenzielle Impact deutlich reduziert und ein kontrolliertes, schrittweises Deployment möglich wird.

New-AuthenticationPolicy "Block Modern Auth" -BlockModernAuthWebServices -BlockModernAuthActiveSync -BlockModernAuthAutodiscover -BlockModernAuthImap -BlockModernAuthMapi -BlockModernAuthOfflineAddressBook -BlockModernAuthPop -BlockModernAuthRpc

New-AuthenticationPolicy "Allow Modern Auth"

New-AuthenticationPolicy "Allow ONLY Modern Auth" -BlockLegacyAuthImap -BlockLegacyAuthActiveSync -BlockLegacyAuthOfflineAddressBook -BlockLegacyAuthRpc -BlockLegacyAuthWebServices -BlockLegacyAuthAutodiscover -BlockLegacyAuthMapi -BlockLegacyAuthPop

Wir haben nun drei neue Authentifizierungsrichtlinien erstellt:

  • Block Modern Auth: Die Default-Policy erlaubt sowohl Legacy‑ als auch Modern‑Protokolle. Würden wir Modern Authentication auf dem Exchange‑Server aktivieren, hätten damit sofort alle Benutzer Zugriff auf die modernen Protokolle. Das kann zu unerwarteten Problemen führen und verhindert ein kontrolliertes, schrittweises Deployment.
  • Allow Modern Auth: Erlaubt sowohl Legacy‑ als auch Modern‑Protokolle. Diese Richtlinie eignet sich für Benutzer, die bereits für Modern Authentication vorbereitet sind, aber weiterhin Legacy‑Protokolle benötigen.
  • Allow ONLY Modern Auth: Deaktiviert sämtliche Legacy‑Protokolle und erlaubt ausschließlich Modern Authentication. Diese Richtlinie ist ideal für Benutzer, die vollständig auf moderne Authentifizierungsmechanismen umgestellt werden sollen – eben auch unsere Testbenutzer.

Im nächsten Schritt setzen wir die Default-Policy auf „Block Modern Auth“ und aktivieren OAuth2.

Set-OrganizationConfig -DefaultAuthenticationPolicy "Block Modern Auth"

Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Ab diesem Zeitpunkt ist eine Anmeldung am Exchange‑Server grundsätzlich über Hybrid Modern Authentication möglich. Da die Standardrichtlinie jedoch sämtliche modernen Protokolle blockiert und ausschließlich Legacy‑Authentifizierung zulässt, erhält kein Benutzer automatisch eine HMA‑Aufforderung.

Genau das war ja unser Ziel: Modern Authentication ist technisch aktiviert, aber noch nicht für alle freigeschaltet.

 

Richtlinie zuweisen

Im nächsten Schritt können wir die zuvor erstellten Authentifizierungsrichtlinien gezielt einzelnen Nutzern zuweisen. Dabei lässt sich flexibel entscheiden, ob über Allow Modern Auth sowohl Legacy‑ als auch moderne Protokolle zugelassen werden sollen oder ob wir mit Allow ONLY Modern Auth direkt ausschließlich Hybrid Modern Authentication aktivieren. Auf diese Weise können wir den Umstieg kontrolliert und nutzerbasiert gestalten, ohne die gesamte Umgebung auf einmal umzustellen.

Set-User kevin.schweiger -AuthenticationPolicy "Allow Modern Auth"

Nachdem die Richtlinie für den Nutzer gesetzt wurde, kann es allerdings gerne einmal bis zu einer Stunde (oder teilweise sogar länger) dauern, bis der Client diese Änderung mitbekommt. Wer den Prozess beschleunigen möchte, kann mit einem „iisreset /restart“ und einem Neustart des Clients nachhelfen.

 

Tests

Outlook am PC / Mac

Für Nutzer von Outlook unter Windows und macOS bleibt der Umstieg nahezu unbemerkt, und auch für Administratoren hält sich der Aufwand in engen Grenzen. Beim nächsten Anmeldevorgang erscheint automatisch das aus Microsoft 365 vertraute Login‑Fenster, über das sich der Nutzer mit seinen M365‑Zugangsdaten authentifiziert. Wird zusätzlich ein zweiter Faktor über Conditional Access gefordert, erfolgt die MFA‑Abfrage direkt im Anschluss.

Auch bei der Neueinrichtung des Postfaches ändert sich nicht viel, wie man an folgendem Beispiel erkennen kann.

Eingabe der bekannten E-Mail Adresse:

Das Postfach liegt nach wie vor auf einem On-Premises Exchange, daher wählen wir auch „Exchange“ aus:

Anstelle des altbekannten Windows Anmeldefensters erscheint nun die M365 Variante:

Anschließend ist das Postfach bereits eingerichtet und kann wie gewohnt verwendet werden. Öffnet man den Verbindungsstatus im Outlook sieht man aus, dass als Authentifizierungsprotokoll nicht mehr „Nego*“ (Negotiate), sondern „Träger*“ (also Bearer) verwendet wird.

Outlook am Smartphone

Tatsächlich war es mir während der Tests nicht möglich, Outlook auf dem Smartphone erfolgreich in Betrieb zu nehmen. Der Anmeldeprozess selbst funktionierte zwar problemlos, inklusive der Abfrage des zweiten Faktors, doch nach abgeschlossener Einrichtung wurde ich jedes Mal erneut zum Einrichtungsassistenten zurückgeleitet. Auch wiederholte Versuche führten zu keinem anderen Ergebnis.

Stand heute (02/2026) lässt sich daher nicht eindeutig sagen, ob es sich um einen temporären Bug handelt oder an welcher Stelle der Fehler genau liegt.

 

Apple Mail

Erfreulich unkompliziert verläuft hingegen die Einrichtung über die Apple‑Mail‑App auf dem iPhone. Der Prozess entspricht im Wesentlichen der Einrichtung eines klassischen Exchange‑On‑Premises‑Postfachs. Einziger Unterschied: Das vertraute M365‑Anmeldefenster erscheint nun als zusätzlicher Schritt im Ablauf.

 

Zusammenfassung

Die Einführung von Hybrid Modern Authentication in einer Exchange‑Hybridumgebung lässt sich kontrolliert und risikoarm umsetzen, wenn die Vorbereitung stimmt. Nach dem Durcharbeiten der notwendigen Grundlagen ermöglichen gezielt konfigurierte Authentifizierungsrichtlinien ein schrittweises und nutzerbasiertes Deployment. Durch die drei definierten Policies lässt sich Modern Authentication zunächst technisch aktivieren, ohne sie sofort für alle Benutzer freizuschalten. Erst durch die individuelle Zuweisung der Richtlinien wird HMA für ausgewählte Nutzer wirksam, was den Umstieg in produktiven Umgebungen deutlich sicherer macht.

Die Tests zeigen: Während Outlook auf PC und Mac reibungslos funktioniert, gibt es bei der mobilen Outlook‑App noch offene Fragen. Die Apple‑Mail‑App hingegen lässt sich problemlos einrichten. Insgesamt bietet dieser Ansatz maximale Kontrolle bei minimalem Impact – ideal für eine saubere, schrittweise Migration.

Tags:

You may also like...

Abonnieren
Benachrichtige mich bei
guest
0 Kommentare
Älteste
Neuste Meist bewertet
Inline Feedbacks
View all comments
0
Hinterlass' doch deine Meinung zu diesem Artikelx