EWS zu Microsoft Graph migrieren

Der Deprecation-Zeitplan

Microsoft blockiert Exchange Web Services (EWS) fuer Exchange Online dauerhaft am October 1, 2026, mit vollstaendiger Entfernung am April 1, 2027. Die Deprecation betrifft ueber 400 Millionen kommerzielle Microsoft 365-Lizenzen weltweit. Microsoft kuendigte die Einstellung erstmals im September 2023 an und hat den Zeitplan seitdem dreimal verschaerft.

Laut Microsofts offizieller Deprecation-Seite sind die wichtigsten Termine:

Wenn Sie nichts unternehmen, liefert Ihr EWS-basierter Code ab Oktober 2026 Fehler. Die TechCommunity-Ankuendigung bestaetigt, dass Microsoft EWSEnabled=False bei Tenants setzt, die sich nicht angemeldet haben.

On-Premises Exchange: nicht betroffen

Die EWS-Deprecation gilt nur fuer Exchange Online (Microsoft 365). Exchange Server 2016 und 2019 im lokalen Betrieb behalten volle EWS-Unterstuetzung ohne angekuendigtes End-of-Life-Datum. Organisationen mit hybridem Exchange -- laut Microsoft-Schaetzungen rund 40 % der Enterprise-Exchange-Bereitstellungen -- stehen vor einer Aufteilung: Cloud-Postfaecher muessen zu Graph API migrieren, waehrend On-Premises-Postfaecher weiterhin EWS nutzen.

Diese Dual-Protokoll-Realitaet bedeutet, dass hybride Umgebungen zwei Authentifizierungsablaeufe und zwei API-Oberflaechen benoetigen -- oder eine Abstraktionsschicht, die Anfragen basierend auf dem Postfach-Standort an das richtige Protokoll weiterleitet.

Auth-Modell: NTLM/Basic zu OAuth 2.0

Die Migration von EWS zu Microsoft Graph erfordert den Ersatz von NTLM, Kerberos oder Basic Auth durch OAuth 2.0 ueber Azure AD (jetzt Entra ID) App-Registrierungen. Microsoft hat Basic Auth fuer Exchange Online im Oktober 2022 abgekuendigt, und Graph API erfordert seit Einfuehrung OAuth 2.0. Access Tokens laufen alle 60-90 Minuten ab, und Refresh Tokens sind 90 Tage gueltig, bevor eine erneute Authentifizierung erforderlich ist.

• Azure AD App registrieren mit Mail.Read, Mail.Send, Calendars.ReadWrite oder anderen Scopes
• Flow waehlen: Authorization Code (delegiert) fuer Benutzerkontext, Client Credentials (Anwendung) fuer Daemon-/Service-Apps
• Token-Lebenszyklus verwalten: Access Tokens laufen in 60-90 Minuten ab, Refresh Tokens in 90 Tagen
• Admin Consent: Berechtigungen auf Anwendungsebene erfordern die Genehmigung des Tenant-Administrators

Der folgende Code zeigt den Unterschied zwischen EWS Basic Auth und Graph OAuth 2.0 Authentifizierung. EWS benoetigte nur 3 Zeilen zum Verbinden, waehrend Graph eine Azure AD App-Registrierung mit den richtigen Scopes erfordert, bevor ein API-Aufruf gelingen kann.

# EWS (alt) - Basic Auth oder NTLM
$cred = Get-Credential
$service = New-Object Microsoft.Exchange.WebServices.Data.ExchangeService
$service.Credentials = $cred
$service.Url = "https://outlook.office365.com/EWS/Exchange.asmx"

# Graph API (neu) - OAuth 2.0 mit MSAL
Connect-MgGraph -Scopes "Mail.Read","Mail.Send"
$messages = Get-MgUserMessage -UserId "me" -Top 10

Feature-Paritaetsluecken (Stand April 2026)

Microsoft Graph API deckt die Kernoperationen fuer Mail, Kalender und Kontakte ab, hat aber in mindestens 4 Bereichen noch keine volle Paritaet mit EWS: Archiv-Postfachzugriff, Public Folder CRUD, Postfach-Import/Export und Delta-Abfragen fuer wiederkehrende Termine. Microsoft schliesst Luecken im Quartalsrhythmus seit 2024, hat sich aber auf kein Datum fuer vollstaendige Feature-Paritaet festgelegt.

Die folgende Tabelle ordnet jedes EWS-Feature seinem Graph API-Status zu. Die Daten stammen aus Microsofts TechCommunity-Update und decken die 10 am haeufigsten referenzierten EWS-Funktionen ab:

Microsoft hat die Exchange Admin API als voruebergehende Brueckenloesung fuer einige Luecken veroeffentlicht. Ein festes Datum, wann alle Paritaetsluecken geschlossen werden, gibt es aber nicht.

Drei Migrationspfade

Organisationen, die von EWS migrieren, haben drei Optionen: direkt zu Microsoft Graph API migrieren, sich fuer eine voruebergehende AppID AllowList-Verlaengerung registrieren oder eine anbieterunabhaengige Abstraktionsschicht einfuehren. Die richtige Wahl haengt vom Zeitplan, den Anforderungen an hybrides Exchange und der Anzahl der unterstuetzten Anbieter ab. Die meisten Teams benoetigen laut Microsofts eigener Planungsanleitung 2-6 Monate fuer eine direkte Graph-Migration.

Pfad 1: Zu Microsoft Graph API migrieren

Der offizielle Weg ersetzt jeden EWS-Aufruf durch sein Graph-Aequivalent. Microsoft stellt einen EWS Code Analyzer bereit, der Ihre Codebasis scannt und EWS-Operationen den Graph API-Aequivalenten zuordnet. Der Analyzer gibt einen CSV-Bericht aus, der jede EWS-Methode, ihre Aufrufhaeufigkeit und den entsprechenden Graph-Endpunkt auflistet.

# EWS: E-Mails nach Betreff suchen
$view = New-Object Microsoft.Exchange.WebServices.Data.ItemView(50)
$filter = New-Object Microsoft.Exchange.WebServices.Data.SearchFilter+ContainsSubstring(
  [Microsoft.Exchange.WebServices.Data.ItemSchema]::Subject, "invoice")
$results = $service.FindItems(
  [Microsoft.Exchange.WebServices.Data.WellKnownFolderName]::Inbox, $filter, $view)

# Graph: Gleiche Operation
$messages = Get-MgUserMessage -UserId "me" -Filter "contains(subject, 'invoice')" -Top 50

Vorteile: Bleibt im Microsoft-Oekosystem, Zugang zu neuesten Features. Nachteile: Azure AD App-Registrierung, OAuth Token-Verwaltung, keine Unterstuetzung fuer Nicht-Microsoft-Anbieter, Feature-Paritaetsluecken.

Pfad 2: Voruebergehende AppID AllowList

Die AllowList verlaengert den EWS-Zugang um 6 Monate, von Oktober 2026 bis April 1, 2027. Tenant-Administratoren muessen die Client-ID ihrer Anwendung vor August 2026 registrieren, sonst greift die Ausnahme nicht. Microsofts Dokumentation warnt, dass dies eine einmalige Verlaengerung ohne Verlaengerungsoption ueber April 2027 hinaus ist.

# Aktuelle EWS-Einstellungen pruefen
Get-OrganizationConfig | Select-Object EwsEnabled, EwsAllowList

# App zur AllowList hinzufuegen
Set-OrganizationConfig -EwsAllowList @{Add="your-app-client-id"}
Set-OrganizationConfig -EwsEnabled $true

Vorteile: Keine sofortigen Code-Aenderungen noetig. Nachteile: Verzoegert das Problem nur um 6 Monate. EWS wird am April 1, 2027 dauerhaft entfernt.

Pfad 3: Einheitliche Abstraktionsschicht nutzen

Eine anbieterunabhaengige Abstraktion verwaltet EWS- und Graph-Routing intern, sodass sich Ihr Code nicht aendert, wenn Microsoft ein Protokoll einstellt. Nylas CLI verbindet sich mit Exchange Online, On-Premises Exchange, Gmail, Outlook, Yahoo, iCloud und IMAP ueber eine einzige Schnittstelle. Die gleichen Befehle funktionieren bei allen 6 Anbietern ohne protokollspezifische Logik.

# Installieren
brew install nylas/nylas-cli/nylas

# Authentifizieren (verwaltet OAuth, EWS, Graph intern)
nylas auth config

# E-Mails lesen -- funktioniert unabhaengig davon, ob das Postfach
# Exchange Online (Graph), Exchange On-Prem (EWS) oder Gmail ist
nylas email list --limit 10

# Suchen
nylas email search "invoice" --limit 50

# Senden
nylas email send \
  --to "colleague@company.com" \
  --subject "Report" \
  --body "The report is ready: <report-download-link>"

Vorteile: Kein protokollspezifischer Code, keine Azure AD App-Registrierung, funktioniert anbieteruebergreifend, On-Prem und Cloud ueber eine Schnittstelle. Nachteile: Externe Abhaengigkeit. Erfordert Nylas API Key.

Vergleich nebeneinander

Die drei Ansaetze unterscheiden sich in Authentifizierungskomplexitaet, Anbieterabdeckung und Migrationsaufwand. EWS unterstuetzte 3 Auth-Methoden (NTLM, Kerberos, Basic), Graph API erfordert ausschliesslich OAuth 2.0, und Nylas CLI handhabt die Authentifizierung ueber einen einzigen Konfigurationsbefehl. Die folgende Tabelle vergleicht alle drei ueber 7 betriebliche Aspekte, die die Migrationsplanung beeinflussen.

Hybrides Exchange: das Dual-Codebase-Problem

Hybride Exchange-Umgebungen muessen nach Oktober 2026 zwei separate Codepfade pflegen: Microsoft Graph fuer Cloud-Postfaecher und EWS fuer On-Premises Exchange Server. Microsoft Graph bietet keine Unterstuetzung fuer On-Prem Exchange Server, was bedeutet, dass Organisationen mit geteilten Bereitstellungen nicht auf eine einzige Microsoft-API konsolidieren koennen. Laut Microsofts Hybrid-Dokumentation machen hybride Konfigurationen einen erheblichen Anteil der Enterprise-Exchange-Bereitstellungen aus.

Diese Dual-Protokoll-Aufteilung erzwingt zwei Authentifizierungsablaeufe (Azure AD OAuth fuer Graph, NTLM oder Kerberos fuer On-Prem EWS), zwei API-Oberflaechen und zwei Saetze von Fehlerbehandlung in derselben Anwendung. Die Nylas-Plattform uebernimmt dieses Routing intern -- sie erkennt, ob ein Postfach in der Cloud oder On-Premises liegt, und nutzt das passende Protokoll ohne Code-Aenderungen.

Migrations-Checkliste

Eine vollstaendige EWS-Migration betrifft Authentifizierung, API-Oberflaeche, Fehlerbehandlung und Tests ueber alle betroffenen Lizenztypen. Microsoft empfiehlt, die Migration mindestens 3 Monate vor der Frist im Oktober 2026 zu beginnen, um Azure AD App-Registrierung, Admin Consent und Testzyklen einzuplanen. Die folgenden 6 Schritte decken den gesamten Prozess vom Audit bis zur Produktionsumstellung ab.

1. EWS-Nutzung auditieren -- Fuehren Sie Microsofts EWS Code Analyzer aus, um jeden EWS-Aufruf zu inventarisieren
2. Paritaetsluecken pruefen -- Vergleichen Sie Ihre EWS-Operationen mit der Feature-Lueckentabelle oben
3. App vor August 2026 registrieren -- Wenn Sie mehr Zeit brauchen, fuegen Sie Ihre App zur AllowList hinzu
4. Zuerst mit F1/F3-Lizenzen testen -- Diese wurden im Maerz 2026 blockiert und zeigen bereits das neue Verhalten
5. Hybrid-Szenario planen -- Wenn Sie On-Prem Exchange haben, entscheiden Sie, wie Sie die Dual-Protokoll-Aufteilung handhaben
6. Microsofts Updates verfolgen -- Feature-Paritaetsluecken werden quartalsweise geschlossen

Haeufig gestellte Fragen

Die EWS-Deprecation wirft Fragen zu Zeitplaenen, Auswirkungen auf On-Premises, Feature-Luecken und Migrationsalternativen auf. Dies sind die 4 haeufigsten Fragen von Entwicklern, die ihre Migration planen, basierend auf den Themen in Microsofts TechCommunity-Foren und der offiziellen Deprecation-Dokumentation.

Wann wird EWS fuer Exchange Online eingestellt?

Microsoft blockiert EWS-Anfragen von Nicht-Microsoft-Apps ab October 1, 2026. Tenants, die vor August 2026 eine AppID AllowList konfigurieren, erhalten eine voruebergehende Ausnahme. Jeglicher EWS-Zugang wird am April 1, 2027 dauerhaft entfernt.

Ist EWS fuer On-Premises Exchange Server deprecated?

Nein. EWS bleibt fuer Exchange Server 2016 und 2019 voll unterstuetzt. Die Deprecation betrifft nur Exchange Online (Microsoft 365).

Welche EWS-Features fehlen in Graph API?

Stand April 2026 fehlen Graph API der Archiv-Postfachzugriff, Public Folder CRUD, Postfach-Import/Export und volle Delta-Unterstuetzung fuer wiederkehrende Termine. Microsoft schliesst Luecken quartalsweise, hat sich aber auf kein Datum fuer volle Paritaet festgelegt.

Kann ich die Migration komplett ueberspringen?

Ja, wenn Sie eine Abstraktionsschicht nutzen. Die Nylas-Plattform verbindet sich mit Exchange Online, On-Prem Exchange und 4 weiteren Anbietern ueber eine einzige Schnittstelle. Anbieterseitige Deprecations erfordern keine Code-Aenderungen auf Ihrer Seite.

Naechste Schritte

Nachdem Sie Ihren EWS-Migrationspfad geplant haben, behandeln die folgenden Leitfaeden spezifische Exchange-Operationen ueber die Nylas CLI. Jeder Leitfaden enthaelt getestete Befehle, anbieterspezifische Fehlerbehebung und Codebeispiele fuer die 6 unterstuetzten Anbieter.

• EWS-Retirement-Checkliste -- riskante Skripte inventarisieren und den 2-Befehle-Exchange-Schnelltest ausfuehren
• Exchange-E-Mails ueber die CLI auflisten -- Exchange-Postfaecher ohne EWS oder Graph lesen und durchsuchen
• Exchange-Kalender ueber die CLI verwalten -- Termine erstellen, aktualisieren und loeschen
• Send-MgUserMessage ersetzen -- von Graph PowerShell Cmdlets migrieren
• Office 365-E-Mail mit PowerShell verwalten -- M365-Posteingang lesen, durchsuchen und organisieren
• E-Mail vom Terminal senden -- der anbieteruebergreifende E-Mail-Versand-Leitfaden
• Vollstaendige Befehlsreferenz -- jedes Flag und jeder Unterbefehl dokumentiert