Microsoft Exchange Online: Anstehende standardmäßig sichere Änderungen für Exchange-APIs

[Einführung]

Im Rahmen der Microsoft Secure Future Initiative (SFI) und in Übereinstimmung mit dem Secure by Default-Prinzip aktualisieren wir die von Microsoft verwaltete standardmäßige Benutzerzustimmungspolitik für Microsoft Graph. Diese Änderung erhöht die Kontrolle der Administratoren über den Zugriff von Drittanbieteranwendungen auf Exchange-Daten und bringt das Standardverhalten der Zustimmung mit den branchenüblichen Best Practices zum Schutz von E-Mails und zugehörigen Inhalten in Einklang.

[Zeitpunkt der Umsetzung]

Allgemeine Verfügbarkeit (weltweit): Wir beginnen mit dem Rollout Anfang Juni 2026 und rechnen mit Abschluss Anfang Juli 2026.

[Auswirkungen auf Ihre Organisation]

Betroffene Personen

• Microsoft 365-Mandanten, die die von Microsoft verwaltete standardmäßige Benutzerzustimmungspolitik nutzen
• Administratoren, die den Zugriff auf Exchange Online und Microsoft Graph-Apps verwalten
• Organisationen, die Drittanbieteranwendungen den Zugriff auf Exchange-Daten über delegierte Berechtigungen erlauben

Was passiert

• Folgende delegierte Microsoft Graph-Berechtigungen werden der von Microsoft empfohlenen Benutzerzustimmungspolitik hinzugefügt:
  • Contacts.ReadWrite
  • Contacts.Read.Shared
  • People.Read
  • Tasks.ReadWrite.Shared
  • Tasks.ReadWrite
  • Tasks.Read.Shared
  • Tasks.Read
  • Contacts.ReadWrite.Shared

• Diese Änderungen werden als Update der von Microsoft verwalteten standardmäßigen Benutzerzustimmungspolitik umgesetzt.
• Mit dieser Änderung erfordert jede Organisation, die die von Microsoft verwaltete Benutzerzustimmungspolitik verwendet, eine Administratorzustimmung für diese zusätzlichen Berechtigungen, um Zugriff auf Exchange-Mail-Daten zu erhalten. Erfahren Sie mehr zu Graph-Berechtigungen.
• Standardmäßig wird eine Administratorzustimmung erforderlich sein für Drittanbieter-Apps, die diese Berechtigungen zum Zugriff auf Exchange-Daten anfordern.
• Benutzer können diese Berechtigungen nicht mehr selbst zustimmen, es sei denn, die App ist in der Mail-Client-Richtlinie enthalten.
• Die Mail-Client-Richtlinie erlaubt weiterhin, dass Benutzer zugestimmten, populären Mail-Anwendungen die Berechtigungen der empfohlenen Benutzerzustimmungspolitik erteilen können.
• Bestehende genehmigte Apps und bestehende Benutzerzustimmungen sind nicht betroffen und funktionieren weiterhin.
• Mandanten, die benutzerdefinierte Benutzerzustimmungspolitiken verwenden, sind nicht betroffen.
• Es sind keine zusätzlichen Lizenzen erforderlich.

[Vorbereitungsmaßnahmen]

• Überprüfen Sie Drittanbieter-Apps, die Exchange-Daten über Microsoft Graph nutzen.
  • Überprüfen Sie die Zugriffsberechtigungen von Unternehmensanwendungen
• Erstellen Sie im Voraus detaillierte App-Zustimmungspolitiken für Apps, die Ihre Benutzer weiterhin ohne Unterbrechung verwenden sollen.
  • Verwalten von App-Zustimmungspolitiken
  • Konfigurieren, wie Benutzer Anwendungen zustimmen
• Konfigurieren Sie den Administratorzustimmungs-Workflow, damit Benutzer die Genehmigung für Apps anfragen können, die jetzt eine Administratorzustimmung erfordern.
  • Administratorzustimmungs-Workflow konfigurieren
• Informieren Sie Helpdesk-Mitarbeiter, Sicherheitsteams und App-Verantwortliche über die bevorstehende Änderung.
• Aktualisieren Sie interne Dokumentationen, um das neue Standardzustimmungsverhalten widerzuspiegeln.

Weitere Informationen:

• Konfigurieren, wie Benutzer Anwendungen zustimmen | Enterprise-Anwendungen | Microsoft Entra ID | Microsoft Entra | Microsoft Learn
• Administratorzustimmungs-Workflow konfigurieren | Enterprise-Anwendungen | Microsoft Entra ID | Microsoft Entra | Microsoft Learn
• App-Zustimmungspolitiken verwalten | Enterprise-Anwendungen | Microsoft Entra ID | Microsoft Entra | Microsoft Learn
• Microsoft Graph-Berechtigungsreferenz | Microsoft Graph | Microsoft Learn
• Microsoft Secure Future Initiative (SFI)
• Zugriffsberechtigungen von Unternehmensanwendungen überprüfen | Enterprise-Anwendungen | Microsoft Entra ID | Microsoft Entra | Microsoft Learn

[Compliance-Überlegungen]

Frage: Ändert die Änderung die Verarbeitung, Speicherung oder den Zugriff auf vorhandene Kundendaten?

Antwort: Ja. Der Zugriff auf Exchange-Daten über delegierte Microsoft Graph-Berechtigungen erfordert bei Verwendung der von Microsoft verwalteten standardmäßigen Benutzerzustimmungspolitik jetzt eine Administratorgenehmigung für die in dieser Nachricht genannten zusätzlichen Berechtigungen. Bestehender genehmigter Zugriff bleibt unverändert.

Frage: Enthält die Änderung eine Administratorsteuerung, und kann diese über Entra ID verwaltet werden?

Antwort: Ja. Administratoren können den Zugriff über Microsoft Graph-App-Zustimmungspolitiken und den Administratorzustimmungs-Workflow in Microsoft Entra ID verwalten.