EWS-Block für F1/F3-Lizenzen ab Oktober 2026

Postfächer mit einer reinen Frontline- oder Kiosk-Lizenz greifen heute teils noch über Exchange Web Services auf Exchange Online zu, obwohl die Lizenz das nie vorgesehen hat. Ab dem 1. Oktober 2026 ist damit Schluss. Jede EWS-Anfrage aus einem Postfach, das ausschließlich mit Exchange Online Kiosk, Microsoft 365 F1, Office 365 F1, Microsoft 365 F3 oder Office 365 F3 lizenziert ist, beantwortet Exchange Online dann mit HTTP 403. Kein Workaround, keine Kulanzfrist im Code, nur ein hartes Nein.

Microsoft hat diese Änderung unter MC1191578 (Link führt zum Admin Center) angekündigt und das Datum mehrfach verschoben. Zuerst stand der 1. März 2026 im Raum, dann der 30. Juni, jetzt der 1. Oktober 2026. Wer die frühen Mitteilungen gelesen und sich auf März eingestellt hat, sollte den Kalender korrigieren. Mehr Zeit bedeutet aber nicht weniger Handlungsbedarf, sondern nur einen späteren Stichtag für dieselbe Aufgabe.

In den Service Descriptions war EWS für Kiosk- und Frontline-Lizenzen nie enthalten. Die Einschränkung stand also seit Jahren auf dem Papier, nur durchgesetzt hat Microsoft sie nie. Genau diese Lücke zwischen dokumentierter Regel und gelebter Praxis wird jetzt geschlossen. Technisch betrachtet bekommen F1-, F3- und Kiosk-Postfächer kein EWS-Zugriffsrecht mehr zugewiesen, und ohne dieses Recht endet jeder Aufruf im 403.

Der Hintergrund ist nachvollziehbar. Frontline-Lizenzen waren von Anfang an für den Zugriff per Browser und Mobilgerät gedacht, nicht für klassische Desktop-Clients und schon gar nicht für selbstgebaute Integrationen. Outlook classic, das früher unter macOS auf EWS aufsetzte, gehört nicht zum vorgesehenen Nutzungsszenario einer F1-Lizenz. Microsoft entzieht hier also keinen Anspruch, sondern beendet eine Duldung.

Wenn betroffene Nutzer EWS weiter brauchen, gibt es genau einen sauberen Weg: eine Lizenz mit EWS-Zugriffsrecht zuweisen. In Frage kommen Exchange Online Plan 1 oder Plan 2 sowie Microsoft 365 oder Office 365 E3 und E5. Die Umlizenzierung läuft über die gewohnte Stelle im Tenant.

Der Lizenz-Block ist kein isoliertes Ereignis, sondern Teil der vollständigen EWS-Abschaltung in Exchange Online. Microsoft hat schon 2018 erklärt, dass EWS keine Funktionsupdates mehr bekommt, und 2023 den Abschalttermin auf Oktober 2026 gelegt. Der Sicherheitsvorfall um Midnight Blizzard im Januar 2024 hat das Tempo erhöht und den Geltungsbereich ausgeweitet, weg von reinen Drittanbieter-Apps hin zu allen Anwendungen, auch den hauseigenen von Microsoft.

Der Zeitplan für die generelle Abschaltung läuft so: Ab dem 1. Oktober 2026 deaktiviert Microsoft EWS tenantweit als Standard. Am 1. April 2027 folgt die endgültige Abschaltung ohne Möglichkeit der Reaktivierung. Wer EWS über den Oktober 2026 hinaus betreiben muss, konfiguriert vorher eine AppID-AllowList und setzt EWSEnabled auf $true. Tenants, die diese AllowList vor Ende August 2026 einrichten, nimmt Microsoft von der automatischen Abschaltung aus. Exchange Server on-premises ist von alldem nicht betroffen, der Schnitt gilt ausschließlich für Exchange Online.

Hier liegt die Stolperfalle, die viele übersehen. Es greifen zwei voneinander unabhängige Mechanismen, die zufällig auf denselben Tag fallen.

Der erste Mechanismus ist die mandantenweite Abschaltung. Sie betrifft jeden Tenant und lässt sich über die AppID-AllowList und EWSEnabled=$true bis zum April 2027 aushebeln. Der zweite Mechanismus ist die Lizenz-Durchsetzung aus MC1191578. Sie hängt nicht am Tenant-Schalter, sondern am Recht der einzelnen Lizenz.

Die Konsequenz: Selbst wenn du EWS im Tenant per AllowList weiter erlaubst, bleibt ein F1-, F3- oder Kiosk-Postfach trotzdem ausgesperrt, weil die Lizenz das Recht gar nicht mitbringt. Die AllowList rettet hier niemanden. Für diese Postfächer führt der einzige Weg über eine andere Lizenz oder über den Verzicht auf EWS. Wer das verwechselt, baut eine AllowList und wundert sich, dass die Schichtarbeiter weiter 403 sehen.

Frontline-Lizenzen sitzen dort, wo viele Menschen mit wenig Postfach-Bedarf arbeiten: Produktion, Pflege, Handel, Logistik, Filialen. Genau in diesen Umgebungen laufen oft Integrationen, die historisch gewachsen sind und die niemand mehr auf dem Schirm hat.

Typische Kandidaten sind Eigenbau-Skripte, die Termine oder Abwesenheiten in Postfächer schreiben, Drittanbieter-Tools für Raum- und Ressourcenbuchung sowie Backup- und Archivlösungen. Gerade Backup-SaaS-Produkte greifen häufig per EWS auf Exchange Online zu, und wenn diese Postfächer nur F3 tragen, fällt die Sicherung still aus. Auch Public-Folder-Synchronisation über Drittanbieter trifft es, weil Microsoft für Public Folders nach Oktober 2026 ohnehin keine programmatische Graph-Schnittstelle bereitstellt.

Die zweite Welle sind Support-Tickets. Ein Nutzer, dessen App ohne Vorwarnung 403 liefert, meldet sich beim Helpdesk, nicht beim Lizenz-Verantwortlichen. Ohne saubere Inventur vorab landest du im Oktober in einer Ticket-Spitze, deren Ursache niemand sofort sieht.

Der erste Schritt ist die Inventur. Microsoft stellt im Admin Center einen EWS Usage Report bereit, der zeigt, welche Anwendungen wie oft per EWS zugreifen. Ergänzend gibt es offizielle Skripte, um die EWS-Nutzung pro Postfach und App auszuwerten.

Den EWS-Status einzelner Postfächer prüfst du am schnellsten per PowerShell:

Für den tenantweiten Weiterbetrieb von EWS über Oktober 2026 hinaus setzt du AllowList und Schalter, bevor Microsoft selbst eingreift:

Strategisch ist die zweite Option die richtige. Graph hat für die meisten EWS-Szenarien nahezu vollständige Parität erreicht, nutzt moderne Authentifizierung und ist von der Abschaltung nicht betroffen. Wer jetzt nur umlizenziert, kauft sich Zeit bis April 2027, dann steht dieselbe Migration erneut an, nur unter Zeitdruck.

weiteres zum Thema "Microsoft Exchange Online PowerShell" => MS365 | PS - „Exchange Online“

Der EWS-Block für F1-, F3- und Kiosk-Lizenzen wirkt auf den ersten Blick wie eine kleine Lizenz-Korrektur, ist aber der Vorbote der kompletten EWS-Abschaltung. Der 1. Oktober 2026 markiert den Beginn, der 1. April 2027 das endgültige Ende. Beide Termine gehören in jede Exchange-Roadmap für die kommenden Monate, und zwar nicht als Notiz, sondern als geplante Arbeitspakete.

Sicherheitlich ist der Schritt begründet. EWS stammt aus einer Zeit ohne moderne Authentifizierung, und der Midnight-Blizzard-Vorfall hat gezeigt, welches Risiko ein altes Protokoll mit breitem Zugriff trägt. Aus Admin-Sicht bleibt trotzdem Arbeit, und sie ist nicht trivial. Eine Inventur über gewachsene Integrationen kostet Zeit, und in Frontline-Umgebungen mit hunderten F3-Postfächern wird die Umlizenzierung schnell zur Budgetfrage. Eine Exchange Online Plan 1 Lizenz pro betroffenem Nutzer summiert sich, wenn es um große Belegschaften geht.

Die saubere Antwort ist deshalb selten reines Umlizenzieren. Wer eine App auf F3-Postfächern findet, die EWS braucht, sollte zuerst fragen, ob diese App überhaupt noch nötig ist und ob Graph sie ablösen kann. Umlizenzieren ist die teure Notlösung, Graph-Migration die nachhaltige. In beiden Fällen gilt: Fang mit der Inventur an, und zwar bald. Der Stichtag ist verschoben, nicht aufgehoben, und im Oktober willst du wissen, welche Postfächer betroffen sind, nicht raten.