微软将于 10 月停止混合 Exchange 中的共享 EWS 访问
使用 Exchange 混合部署的组织应为未来几个月即将生效的新变化做好准备。微软已宣布,自 2025 年 8 月起,将在某些混合环境中暂时阻止使用 Exchange Online 共享服务主体的 Exchange Web 服务 (EWS) 流量。
此项变更主要影响使用“丰富共存”功能的组织,例如空闲/忙碌日历查找、邮件提示以及本地 Exchange Server 和 Exchange Online 邮箱之间的个人资料图片共享。这些功能依赖于 EWS,传统上通过 Exchange Online 中的共享服务主体运行。
然而,微软将从 2025 年 10 月 31 日起永久禁用此方法。为此,我们将在 2025 年 8 月、9 月和 10 月期间进行临时中断,以提醒客户进行必要的更新。这些限制旨在确保受影响的组织不会错过 10 月的截止日期。
该公司强调了这一转变带来的安全优势。放弃共享服务主体可以减少已知风险,包括 CVE-2025-53786,这是一个后利用漏洞,凸显了加强身份验证控制的必要性。
Exchange Web 服务 (EWS) 停止服务将对哪些人产生影响?
并非所有混合 Exchange 环境都会受到这些中断的影响。只有符合以下条件的组织才会在临时封锁期间遇到功能中断:
▪︎ 邮箱托管在 Exchange 本地和 Exchange Online 中。
▪︎ 本地用户和云用户之间使用丰富的共存功能(空闲/忙碌、邮件提示、个人资料图片)。
▪︎ 本地Exchange 服务器未更新到支持专用混合应用程序的版本。
▪︎ 专用的 Exchange 混合应用程序尚未创建或正确启用。
符合这些条件的组织应立即采取行动,以避免功能损失。Microsoft 还向受影响的租户发布了消息中心通知 MC1085578。
什么会出问题?什么时候出问题?
影响有限,但具体。在受阻期间,本地邮箱将无法访问 Exchange Online 邮箱的丰富共存功能。这些功能包括:
▪︎ 空闲/忙碌日历查找
▪︎ 邮件提示
▪︎ 头像分享
需要注意的是,这些中断是单向的,只会影响访问云数据的本地用户,而不会影响访问云数据的本地用户。所有其他混合功能将继续正常运行。
支持团队不会为这些阻止授予例外。需要帮助的组织应查阅文档或联系 Microsoft 支持。
组织需要做什么
对于使用丰富共存功能的组织,Microsoft 建议采取两项主要措施:
▪︎ 将 Exchange Server 更新为支持专用混合应用程序的版本。
▪︎ 使用新的混合配置向导 (HCW) 或提供的配置脚本创建并启用专用 Exchange 混合应用程序。
支持的最低 Exchange 版本包括:
▪︎ Exchange Server 2016 CU23 – 版本 15.1.2507.55 或更新版本(2025 年 4 月 HU)
▪︎ Exchange Server 2019 CU14 - 版本 15.2.1544.25 或更新版本(2025 年 4 月 HU)
▪︎ Exchange Server 2019 CU15 - 版本 15.2.1748.24 或更高版本
▪︎ Exchange 订阅版 (SE) – 版本 15.2.2562.17 或更高版本
更新后的混合配置向导简化了专用应用的设置。在 HCW 过程中选择“经典完整配置”、“现代完整配置”或“选择 Exchange 混合配置”后,向导将执行以下操作:
▪︎ 使用唯一标识符在 Entra ID 中注册一个新应用程序。
▪︎ 添加 EWS 权限(将来会被 Microsoft Graph 权限取代)。
▪︎ 上传当前和未来的身份验证证书。
▪︎ 删除过期的证书。
▪︎ 请求租户范围的管理员同意。
但是,HCW 不会在本地 Exchange 环境中自动启用专用应用。必须创建单独的“设置覆盖”才能完全激活该功能。相关说明请参阅部署专用 Exchange 混合应用文档。
即使对于未使用丰富共存功能的组织,执行安全清理也至关重要。运行 Exchange 混合配置向导或配置 OAuth 可能会在共享服务主体上留下自定义证书,应使用服务主体清理模式下提供的脚本将其删除。此过程可在任何Windows 计算机上执行,并且不需要特定的 Exchange 版本或服务器。
随着微软计划在 2025 年 10 月 31 日之后永久阻止通过共享服务主体的 Exchange Web 服务 (EWS) 流量,过渡到专用的 Exchange 混合应用是确保混合 Exchange 部署安全的关键一步。管理员应立即采取行动,确保其环境已完全更新并符合最新指南,并使用更新的混合配置向导和官方文档,以避免任何中断。