Ende der ApplicationImpersonation-Rolle in Exchange Online: Alles, was zu beachten ist
Christian Lipp >> 21. November 2024

Seit September 2024 blockiert Microsoft die Nutzung der ApplicationImpersonation-Rolle in Exchange Online, und ab Februar 2025 wird sie vollständig abgeschafft. Anwendungen, die diese Funktion nutzen, sollten rechtzeitig auf moderne Alternativen umgestellt werden.
Was ist die ApplicationImpersonation-Rolle?
Die ApplicationImpersonation-Rolle ermöglicht Anwendungen, im Namen eines Benutzers auf Postfächer zuzugreifen, ohne dass der Benutzer selbst aktiv eingeloggt ist. Häufige Einsatzgebiete sind:
- Archivierungstools, die E-Mails aus mehreren Postfächern sichern.
- CRM-Systeme, die E-Mail-Daten integrieren.
- Automatisierte Prozesse, wie E-Mail-Weiterleitungen oder Kalenderverwaltung.
Diese Funktion basiert auf der veralteten Exchange Web Services (EWS) API, die durch die modernere Microsoft Graph API ersetzt wird.
Warum wird sie abgeschafft?
Die Abschaffung erfolgt aus mehreren Gründen:
- Sicherheitsverbesserung: Die ApplicationImpersonation-Rolle bietet wenig Kontrolle über Postfachzugriffe und Aktionen.
- Erhöhte Transparenz: Mit Role-Based Access Control (RBAC) können Berechtigungen gezielter und nachvollziehbarer verwaltet werden.
- Flexiblere Verwaltung: Die Graph API ermöglicht eine granularere Berechtigungssteuerung und einfachere Verwaltung.
Was bedeutet das?
Seit September 2024 können keine neuen Berechtigungen mit der ApplicationImpersonation-Rolle mehr vergeben werden. Ab Februar 2025 verlieren bestehende Anwendungen, die auf diese Rolle angewiesen sind, ihren Zugriff. Die Umstellung auf OAuth-basierte Authentifizierung und die Microsoft Graph API wird erforderlich. RBAC ersetzt dabei die bisherigen Berechtigungsstrukturen und bietet präzise Steuerungsmöglichkeiten.
Welche Schritte sind notwendig?
-
Analyse der bestehenden Konfiguration:
Mit PowerShell kann geprüft werden, welche Konten aktuell die ApplicationImpersonation-Rolle nutzen. Ein auf GitHub verfügbares Skript hilft bei der Identifikation betroffener Anwendungen und App-IDs. -
Migration auf moderne Technologien:
Der Wechsel zu OAuth und Microsoft Graph API sorgt für eine zukunftssichere und sichere Verwaltung. -
Einrichtung von RBAC:
Zugriffsrechte können granular und transparent definiert werden.
Zusammenfassung
Die ApplicationImpersonation-Rolle wird in Kürze abgeschaltet. Der Umstieg auf die Microsoft Graph API und RBAC bietet nicht nur mehr Sicherheit, sondern auch eine einfachere und transparentere Verwaltung.