von

Wissen

Praxis-Artikel rund um Skype for Business Server SE – alle frei verfügbar. In-Place Upgrade von 2019, Dedicated Hybrid App, Lizenzierung, Enterprise Voice, Coexistence mit Teams und die üblichen Verdächtigen beim Troubleshooting.

Zu den Inhalten
Beratung

Beratung, Projektbegleitung, Quick Health Check deiner SfB-Umgebung. In-Place Upgrade auf SE, Hybrid- und Coexistence-Steuerung, Enterprise-Voice-Architektur und sauberer Weg nach TeamsOnly – inklusive Decommissioning.

Zur Beratung
Schulungen

Online-Workshops zu Skype for Business Server SE – In-Place Upgrade, Hybrid mit Teams, Enterprise Voice und Migrationsplanung. Kompakt, hands-on, ohne MOC-Folienschlacht.

Zu den Schulungen
Table of Contents
2
3

Dedicated Hybrid Application für Skype for Business

Pflicht-Konfiguration seit Oktober 2025 – eigene Entra-ID-App statt gemeinsamen Server-Principal

W I S S E N · S K Y P E F O R B U S I N E S S S E R V E R S E

Dedicated Hybrid Application: Pflicht-Konfiguration für Skype for Business Hybrid mit Exchange Online

Seit dem Oktober-2025-Cutoff braucht jede Organisation ihre eigene Entra-ID-App – hier der deutschsprachige Walkthrough, den Microsoft Learn schuldig bleibt.

 

Boddenberg – IT-Beratung & Engineering · boddenberg.de · Stand: Juni 2026

TL;DR Die Kurzfassung für Eilige

Microsoft hat den gemeinsamen Hybrid-Server-Principal abgekündigt. Seit dem Cutoff am 15. Oktober 2025 muss jede Organisation eine eigene Entra-ID-App-Registrierung anlegen, damit der On-Prem-SfB-Server per OAuth auf Exchange Online (EWS) zugreifen darf. Das erledigt das Script ConfigureSkypeforBusinessHybridApplication.ps1: Es legt App-Registrierung und Service Principal an, vergibt die EWS-Berechtigung full_access_as_app und holt den Admin Consent. Ohne diese App brechen Free/Busy und hybride Meeting-Funktionen weg. Voraussetzung: Exchange-Online-Admin- und Entra-Rechte plus ein voll gepatchter SE-Server.

 

Worum es hier geht

Hybrid zwischen Skype for Business Server und Microsoft 365 lebte jahrelang von einem von Microsoft betriebenen, gemeinsamen Server-Principal: Der On-Prem-Server authentifizierte sich über einen zentralen Identitätsanker gegen Exchange Online, ohne dass du selbst eine App registrieren musstest. Diese Bequemlichkeit ist vorbei. Aus Sicherheitsgründen hat Microsoft den geteilten Principal abgekündigt – jede Organisation muss jetzt ihre eigene dedizierte Hybrid-Anwendung in Entra ID betreiben.

Der Stichtag war der 15. Oktober 2025. Wer bis dahin nicht umgestellt hatte, sah die ersten Ausfälle bei genau den Funktionen, die Hybrid überhaupt nützlich machen: kalenderübergreifendes Free/Busy und hybride Meeting-Szenarien. Dieser Artikel ist der vollständige, deutschsprachige Walkthrough für die Umstellung – das Big Picture zu Hybrid und SE liefert der Pillar „Skype for Business Server SE im Überblick“.

HINWEIS Warum das überhaupt passiert ist

Der gemeinsame Server-Principal war ein attraktives Ziel: ein zentraler Identitätsanker für viele Organisationen. Mit dedizierten App-Registrierungen je Tenant verteilt Microsoft das Risiko – jede Org verantwortet ihre eigenen Credentials, ihren eigenen Consent und ihren eigenen Berechtigungsumfang. Sicherheitstechnisch sauber, betrieblich ein zusätzlicher Schritt, den du jetzt selbst gehst.

Wie der Auth-Flow funktioniert

Bevor du das Script startest, lohnt sich ein Blick auf das, was hinterher passiert. Der On-Prem-Server holt sich über die dedizierte App ein OAuth-Token von Entra ID und ruft damit den EWS-Endpunkt von Exchange Online auf – ohne gespeichertes Passwort und ohne den alten gemeinsamen Principal.

Skizze 1: Der OAuth-Flow der Dedicated Hybrid Application – das Script legt die App an (1), der SfB-Dienst holt ein Token (2), die EWS-Berechtigung autorisiert den Zugriff (3), und der EWS-Aufruf läuft tokenbasiert (4).

Der entscheidende Unterschied zu früher: Die Vertrauensbeziehung hängt jetzt an deiner App-Registrierung mit deinem Client Secret bzw. Zertifikat. Fällt das Secret aus oder läuft es ab, bricht der Hybrid-Zugriff – dazu später mehr in der Falle zur Secret-Rotation.

Voraussetzungen

Bevor das Script auch nur startet, muss diese Liste stehen. Das meiste sind Rechte, und genau an denen scheitern die meisten ersten Versuche.

Voraussetzung

Detail

SE-Server gepatcht

Voll gepatchter SfB Server SE inkl. Skype-Meetings-App-Hotfix (Cutoff 15.10.2025).

Exchange-Online-Admin

Rechte zum Erteilen von App-Berechtigungen auf Postfächer in Exchange Online.

Entra-ID-Rechte

Global Admin oder Application Administrator – für App-Registrierung UND Admin Consent.

PowerShell-Module

Microsoft Graph / Entra- und Exchange-Online-Module auf der Management-Maschine.

Script vorliegend

ConfigureSkypeforBusinessHybridApplication.ps1 aus der Microsoft-Bereitstellung.

 

FALLE Rechte trennen: zwei Welten, zwei Logins

Das Script fasst zwei getrennte Berechtigungswelten an: Entra ID (App-Registrierung, Service Principal, Consent) und Exchange Online (App-Zugriff auf Postfächer). In vielen Organisationen sind das verschiedene Admins. Klär das vorher – sonst stehst du mitten im Script und wartest auf jemanden, der gerade im Urlaub ist.

Das Script Schritt für Schritt

Das Konfigurations-Script automatisiert den Großteil. Trotzdem solltest du verstehen, was in jedem Schritt passiert – spätestens beim Troubleshooting brauchst du das.

  • Vorbereiten: Management-Maschine mit den nötigen Modulen, am Entra-Tenant und an Exchange Online angemeldet. Das Script will beide Kontexte sehen.
  • App-Registrierung anlegen: Das Script erstellt die dedizierte Hybrid-App in Entra ID und den zugehörigen Service Principal im Tenant.
  • Credential erzeugen: Ein Client Secret oder – besser – ein Zertifikat wird hinterlegt. Notier dir das Ablaufdatum, das wird dich in 12–24 Monaten einholen.
  • EWS-Berechtigung vergeben: Die App bekommt die Office-365-Exchange-Online-Berechtigung 
    • full_access_as_app   (Application permission, EWS)
  • Admin Consent erteilen: Ohne Tenant-weiten Admin Consent bleibt die Berechtigung wirkungslos. Das ist der Schritt, der Entra-Admin-Rechte verlangt.
  • Validieren: Free/Busy von einem On-Prem-User gegen ein Exchange-Online-Postfach testen. Klappt das, sitzt der Flow.

    • Die EWS-Berechtigung im Klartext

    Die App braucht full_access_as_app auf der Office-365-Exchange-Online-API. Das ist eine Application Permission – sie gilt app-weit, nicht delegiert pro Benutzer. Klingt nach viel, ist für den EWS-basierten Hybrid-Zugriff aber genau der vorgesehene Umfang. Wichtig: Es ist eine Application-Berechtigung mit Admin Consent, keine delegierte – wer das verwechselt, bekommt später Zugriffsfehler, die nach allem aussehen außer nach dem wahren Grund.

    Berechtigung

    Typ

    Wozu

    full_access_as_app

    Application

    EWS-Zugriff auf Postfächer für Free/Busy und Meeting-Funktionen

    Admin Consent

    Tenant-weit

    Pflicht – ohne Consent keine wirksame Berechtigung

    Client Secret / Zert

    Credential

    Nachweis der App-Identität gegenüber Entra ID – läuft ab!

     

    ACHTUNG Application statt delegiert – nicht verwechseln

    full_access_as_app ist eine Application Permission, die Tenant-weiten Admin Consent braucht. Wer versehentlich eine delegierte Berechtigung vergibt oder den Consent vergisst, bekommt EWS-Zugriffsfehler beim Validieren – und sucht den Fehler garantiert an der falschen Stelle.

    Validierung und häufige Stolpersteine

    Wenn das Script durchgelaufen ist, heißt das noch nicht, dass Hybrid funktioniert. Teste aktiv: Ein On-Prem-User ruft die Verfügbarkeit eines Exchange-Online-Postfachs ab. Free/Busy sichtbar = Flow steht. Leeres Raster oder Fehler = einer der folgenden Stolpersteine.

  • Consent fehlt: App ist da, Berechtigung ist da, aber niemand hat Admin Consent erteilt. Häufigster Fehler überhaupt.
  • Falscher Berechtigungstyp: Delegiert statt Application vergeben – funktioniert im App-Kontext nicht.
  • Secret abgelaufen: Das beim Setup erzeugte Client Secret ist nach Monaten still ausgelaufen. Hybrid bricht ohne Vorwarnung.
  • Hotfix fehlt: SE-Server ohne den Skype-Meetings-App-Hotfix (Cutoff 15.10.2025) – Meeting-Funktionen scheitern unabhängig von der App.

    • FALLE Die Zeitbombe: Secret-Rotation

    Ein ablaufendes Client Secret ist der häufigste Spätausfall. Das Secret aus dem Setup läuft typischerweise nach 12–24 Monaten ab – und dann steht Hybrid still, ohne dass jemand etwas geändert hätte. Besser gleich ein Zertifikat mit klarem Erneuerungsprozess statt eines Secrets, und in jedem Fall: Ablaufdatum in den Wartungskalender. Wer das nicht tut, debuggt in anderthalb Jahren einen Ausfall, dessen Ursache längst im Kalender stand.

    Praxis: die Umstellung bei der Sparfuchs & Partner

    Die Kanzlei Sparfuchs & Partner betreibt SfB Server SE on-prem und Exchange Online – ein klassisches Hybrid-Setup, das bis Oktober 2025 über den gemeinsamen Principal lief. Beim ersten Script-Lauf scheiterte alles am Consent: Der ausführende Admin hatte zwar Exchange-Online-Rechte, aber nur die Rolle „Application Developer“ in Entra ID – die darf eine App registrieren, aber keinen Tenant-weiten Consent erteilen.

    Auflösung: Ein Global Admin erteilte den Consent nachträglich über das Entra-Portal, danach lief das Free/Busy-Test sofort. Gesamtaufwand der eigentlichen Umstellung: keine Stunde. Der Aufwand drumherum – herausfinden, wer welche Rolle hat – kostete den halben Vormittag. Das ist der typische Verlauf: Das Script ist trivial, die Rechte sind die Arbeit.

    HINWEIS Der Consulting-Hebel

    Diese Umstellung ist deutschsprachig praktisch unbesetzt und seit dem Oktober-Cutoff akut – ein perfekter Erstkontakt. Der eigentliche Wert liegt nicht im Script-Lauf, sondern darin, die Rollen-Frage vorab zu klären, das Secret-Ablaufdatum zu dokumentieren und den Erneuerungsprozess aufzusetzen. Wer das einmal sauber macht, hat in 18 Monaten keinen mysteriösen Hybrid-Ausfall.

    Häufige Fragen

    Warum brauche ich überhaupt eine eigene Hybrid-App?

    Weil Microsoft den früher gemeinsamen Server-Principal aus Sicherheitsgründen abgekündigt hat. Seit dem Cutoff am 15. Oktober 2025 muss jede Organisation eine eigene Entra-ID-App-Registrierung betreiben, damit der On-Prem-Server per OAuth auf Exchange Online zugreifen darf.

    Was macht das Script ConfigureSkypeforBusinessHybridApplication.ps1?

    Es legt die dedizierte App-Registrierung und den Service Principal in Entra ID an, hinterlegt ein Credential, vergibt die EWS-Berechtigung full_access_as_app und unterstützt beim Admin Consent. Den Consent selbst muss ein berechtigter Entra-Admin bestätigen.

    Welche Berechtigung braucht die App genau?

    full_access_as_app auf der Office-365-Exchange-Online-API – als Application Permission mit Tenant-weitem Admin Consent. Keine delegierte Berechtigung; das ist der häufigste Konfigurationsfehler.

    Wer darf den Admin Consent erteilen?

    Ein Global Admin oder Application Administrator in Entra ID. Die Rolle „Application Developer“ reicht zum Registrieren, aber nicht für den Tenant-weiten Consent – genau hier scheitern viele erste Versuche.

    Was passiert, wenn ich den Cutoff verpasst habe?

    Dann sind Free/Busy und hybride Meeting-Funktionen bereits ausgefallen. Die Lösung ist dieselbe: dedizierte App registrieren, Berechtigung und Consent setzen, validieren. Es ist nie zu spät, aber jeder Tag ohne App ist ein Tag ohne funktionierendes Hybrid.

    Reicht ein Client Secret oder soll ich ein Zertifikat nehmen?

    Technisch geht beides. Ein Zertifikat mit definiertem Erneuerungsprozess ist die robustere Wahl, weil ablaufende Client Secrets der häufigste Spätausfall sind. In jedem Fall: Ablaufdatum dokumentieren und in den Wartungskalender eintragen.

    Mein Free/Busy funktioniert nach dem Script nicht – woran liegt das?

    In dieser Reihenfolge prüfen: fehlt der Admin Consent, wurde versehentlich eine delegierte statt einer Application-Berechtigung vergeben, ist das Secret bereits abgelaufen, oder fehlt dem SE-Server der Skype-Meetings-App-Hotfix. Vier Ursachen decken fast alle Fälle ab.

    Weiterführende Themen

    Diese Konfiguration ist ein Baustein im Hybrid-Setup. Weiter geht es hier:

  • Pillar: Skype for Business Server SE im Überblick
  • Skype for Business Server 2019 zu SE: das vollständige In-Place-Upgrade-Playbook
  • Skype for Business Server SE und Microsoft Teams: Coexistence-Modi richtig steuern

    • Fazit

    Die Dedicated Hybrid Application ist kein großes Projekt, sondern ein Pflicht-Schritt, der seit dem Oktober-2025-Cutoff über Funktionieren oder Ausfall deines Hybrid-Setups entscheidet. Das Script erledigt den technischen Teil in Minuten – die eigentliche Arbeit ist, die richtigen Rechte zur richtigen Zeit beieinander zu haben und das Secret-Ablaufdatum nicht zu vergessen.

    Wenn dein Free/Busy seit Oktober streikt, ist die Ursache mit hoher Wahrscheinlichkeit genau das hier. Registrieren, Consent erteilen, validieren – fertig.

     

    Über den Autor

    Ulrich B. Boddenberg ist unabhängiger IT-Berater, Software-Engineer und Fachbuchautor mit rund 30 Jahren Erfahrung in Microsoft-Enterprise-Infrastrukturen (Active Directory, ADFS, Entra ID, Exchange, SharePoint, PKI, Teams-Telefonie). Webseite: boddenberg.de.