Implementar uma aplicação híbrida dedicada do Exchange

Visão Geral

As funcionalidades híbridas do Exchange, como Disponibilidade, Sugestões de Correio e Fotografias, requerem uma aplicação dedicada no ID de Entra para uma comunicação segura entre Exchange Server e Exchange Online. Este artigo explica como criar, configurar e gerir a aplicação híbrida dedicada do Exchange.

Importante

A partir de 31 de outubro de 2025, o acesso do EWS através do principal de serviço partilhado é bloqueado permanentemente. As funcionalidades híbridas de coexistência avançada (Disponibilidade, Sugestões de Correio e partilha de imagens de perfil) já não funcionam através do fluxo de trabalho do principal de serviço partilhado legado. Todos os servidores exchange têm de executar uma criação suportada e utilizar a aplicação híbrida dedicada do Exchange para que estas funcionalidades funcionem. Para obter mais informações, veja a mensagem de blogue Aplicação Híbrida Dedicada: imposiçãos temporárias, novo HCW e possíveis interrupções da funcionalidade híbrida .

Fundo: Por que motivo esta alteração foi efetuada

Anteriormente, Exchange Server utilizado um Principal de Serviço partilhado com Exchange Online para comunicação segura e o assistente de Configuração Híbrida (HCW)carregou o Certificado de Autenticação atual para o Principal de Serviço partilhado para ativar este processo. Devido à extinção dos Serviços Web exchange no Exchange Online e à remoção de dependências do EWS de aplicações e serviços originais, Exchange Server agora utiliza uma aplicação dedicada no Entra ID para cenários híbridos em vez do Principal de Serviço partilhado.

Esta aplicação dedicada é utilizada exclusivamente por Exchange Server para comunicação híbrida e não tem dependências no Principal de Serviço partilhado. Por predefinição, está configurado com permissões de API do EWS. A partir da Atualização de Correção de Maio de 2026, API do Graph permissões também podem ser configuradas como um substituto das permissões da API EWS na maioria dos cenários híbridos. Para obter detalhes, veja Configurar permissões de API do Graph.

Para saber mais sobre esta alteração e as respetivas implicações, leia a mensagem de blogue Exchange Server Security Changes for Hybrid Deployments (Alterações de Segurança para Implementações Híbridas).

Se já tiver configurado a aplicação híbrida dedicada do Exchange ou tiver uma configuração híbrida anteriormente, recomendamos vivamente que execute o script no Principal de Serviço Clean-Up Modo para remover os certificados que foram carregados para os principais keyCredentials de serviço originais e não limpos.

Antes de começar

Antes de configurar a aplicação híbrida dedicada do Exchange, primeiro tem de configurar o Híbrido Completo Clássico ou Moderno Completo com o assistente de Configuração Híbrida.

Versões de Exchange Server suportadas

As seguintes Exchange Server builds suportam a aplicação híbrida do Exchange dedicada:

Versão	Número de Compilação	Fluxo de trabalho da API do EWS suportado	fluxo de trabalho de API do Graph suportado
Exchange Server SE RTM com HU de maio de 2026	15.2.2562.41	Sim	Sim
Exchange Server SE RTM	15.2.2562.17	Sim	Não
Exchange Server 2019 CU15 com HU de abril de 2025	15.2.1748.24	Sim	Não
Exchange Server 2019 CU14 com HU de abril de 2025	15.2.1544.25	Sim	Não
Exchange Server 2016 CU23 com HU de abril de 2025	15.1.2507.55	Sim	Não

Permissões obrigatórias

A tabela seguinte resume as permissões necessárias para cada tarefa:

Tarefa	Funções com menos privilégios	Função privilegiada superior
Criar a aplicação no ID do Entra	Application Administrator	Global Administrator
Configurar o Servidor de Autenticação e ativar a funcionalidade no Exchange	View-Only Configuration eOrganization Client AccesseOrganization Configuration	Organization Management
Limpar o principal de serviço partilhado	—	Global Administrator

Para obter mais detalhes sobre Entra funções de ID, veja a documentação Microsoft Entra funções incorporadas. Para Exchange Server funções, veja a documentação da Gestão da Organização.

Execute o script num servidor com a função Caixa de Correio instalada e uma compilação que suporte esta funcionalidade para configurar o Servidor de Autenticação e criar a Substituição de Definições.

Requisitos de conectividade de rede

O script utiliza o API do Graph da Microsoft para criar e gerir aplicações no Entra ID. O sistema que executa o script requer conectividade de saída para API do Graph e Entra pontos finais de ID.

• No Modo de Configuração Tudo-em-um, o servidor Exchange que executa o script precisa desta conectividade de saída.
• No Modo de Configuração de Execução Dividida, o sistema utilizado para criar ou gerir a aplicação no Entra ID precisa desta conectividade de saída (este sistema não tem de ser um servidor Exchange).

Escolha o ponto final que corresponde ao local onde o inquilino reside, como Global. Para obter mais informações, consulte a documentação National Microsoft Entra ID Endpoints (Pontos Finais do Microsoft Entra ID Nacional) e National Microsoft Graph Endpoints (Pontos Finais nacionais do Microsoft Graph).

Para verificar a conectividade aos pontos finais do Graph e do Entra ID, utilize o cmdlet Test-NetConnection. Este exemplo valida a ligação com os Global pontos finais:

Test-NetConnection -ComputerName login.microsoftonline.com -Port 443
Test-NetConnection -ComputerName graph.microsoft.com -Port 443

Se planear utilizar o fluxo híbrido baseado em API do Graph, certifique-se de que os servidores do Exchange têm conectividade de saída ao ponto final API do Graph.

Configurar a aplicação híbrida dedicada do Exchange

A Microsoft fornece o ConfigureExchangeHybridApplication.ps1 script para configurar a aplicação híbrida dedicada do Exchange. A documentação detalhada para o script e os respetivos parâmetros está disponível na documentação do scriptConfigureExchangeHybridApplication.ps1.

Escolha o caminho de configuração que corresponde ao seu ambiente:

O seu cenário	Caminho de configuração
O servidor da caixa de correio tem acesso à Internet e tem permissões de ID de Entra	Modo Tudo-em-um (recomendado)
O servidor da caixa de correio não tem acesso à Internet ou tem de separar Entra ID e as tarefas do Exchange	Modo de execução dividida
Já utilizou o HCW para criar a aplicação	Ative a funcionalidade depois de utilizar o HCW. Para adicionar permissões de API do Graph, execute o script após a conclusão do HCW.

Se a sua organização no local tiver relações híbridas com vários inquilinos (1:N), execute o script uma vez para cada inquilino com uma conta desse inquilino. Se planear mudar para o fluxo de trabalho baseado em API do Graph, prepare a aplicação híbrida dedicada do Exchange em cada inquilino antes de ativar o fluxo de trabalho baseado em API do Graph através da Substituição de Definições. Ativar o fluxo de trabalho antes de as permissões de API do Graph serem concedidas e consentidas em cada inquilino faz com que as funcionalidades híbridas deixem de funcionar para inquilinos sem as permissões de API do Graph configuradas corretamente.

Consoante o tamanho da sua organização, a configuração da aplicação híbrida dedicada do Exchange pode demorar até 60 minutos a ser reconhecida pelos processos de Exchange Server responsáveis. Durante este período, funcionalidades como Disponibilidade, Sugestões de Correio e Fotografias poderão estar temporariamente indisponíveis.

A versão mais recente do assistente de Configuração Híbrida (HCW) também suporta a configuração da aplicação Híbrida do Exchange dedicada com permissões da API EWS. No entanto, o HCW não ativa a funcionalidade automaticamente. Se utilizou o HCW, siga os passos em Ativar a funcionalidade depois de utilizar o HCW para ativá-la. O HCW também não limpo automaticamente certificados carregados anteriormente para os principais de serviço originaiskeyCredentials. Para efetuar este limpo e mitigar o CVE-2025-53786, execute o script no Modo de Clean-Up do Principal de Serviço.

Modo de configuração tudo-em-um

Para a maioria dos clientes, o Modo de Configuração Tudo-em-um é a forma recomendada de configurar esta funcionalidade. Execute o script num servidor de Caixa de Correio com conectividade de saída, conforme descrito na secção Requisitos de conectividade de rede . O servidor tem de executar uma Exchange Server criar que suporte esta funcionalidade.

Importante

O Modo de Configuração Tudo-em-um não é compatível com Windows Server Core. Se estiver a utilizar o Windows Server Core, siga as instruções na secção Modo de configuração de execução dividida.

Execute o seguinte comando:

.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication

Por predefinição, o script é executado na Microsoft 365 Worldwide cloud. Se o seu inquilino do Microsoft 365 estiver numa cloud diferente, utilize o AzureEnvironment parâmetro . No exemplo seguinte, a aplicação é criada na Microsoft 365 operated by 21Vianet cloud:

.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication -AzureEnvironment "ChinaCloud"

O script executa todos os passos necessários: criar a aplicação no Entra ID, configurar o Servidor de Autenticação e ativar a funcionalidade através da Substituição de Definição. Durante a execução, o script pergunta se pretende configurar permissões de API do Graph para além das permissões da API do EWS. Se optar por configurar permissões de API do Graph, o script também ativa o fluxo híbrido baseado em API do Graph através de uma Substituição de Definição após uma confirmação adicional.

Se quiser criar a aplicação híbrida dedicada do Exchange sem permissões de API do EWS, utilize o UseGraphApiOnly parâmetro :

.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication -UseGraphApiOnly

Modo de configuração de execução dividida

Utilize este modo se o servidor da Caixa de Correio não tiver conectividade de saída ao Microsoft Graph ou Entra ID ou se o administrador do Exchange Server não tiver permissões suficientes para criar e configurar a aplicação no Entra ID.

Se efetuar qualquer um dos passos num Exchange Server, certifique-se de que o computador está associado à mesma floresta onde reside a sua organização do Exchange.

Passo 1: Exportar o Certificado de Autenticação

Exporte o Certificado de Autenticação (e, se disponível, o próximo Certificado de Autenticação) com a respetiva chave pública. Não exporte a chave privada do certificado. Execute o seguinte script a partir de uma Shell de Gestão do Exchange (EMS) elevada:

Neste exemplo, o certificado é exportado para C:\AuthCertExport. Para exportar para uma localização diferente, modifique a $exportFilePath variável.

# Change the path if you want to export the certificates to a different location
$exportFilePath = "C:\AuthCertExport"

$authConfig = Get-AuthConfig

New-Item -Type Directory -Path C:\AuthCertExport -Force | Out-Null

if (-not([System.String]::IsNullOrEmpty($authConfig.CurrentCertificateThumbprint))) {
    $thumbprint = $authConfig.CurrentCertificateThumbprint
    Write-Host "[+] Auth Certificate thumbprint: $thumbprint"

    try {
        $currentAuthCertificate = Get-ChildItem -Path Cert:\LocalMachine\My\$thumbprint
        Export-Certificate -Cert $currentAuthCertificate -FilePath "$exportFilePath\$thumbprint.cer" -Type CERT | Out-Null
        Write-Host "[+] Certificate was successfully exported to: $exportFilePath"
    } catch {
        Write-Host "[+] We hit the following exception: $_" -ForegroundColor Red
    }
}

if (-not([System.String]::IsNullOrEmpty($authConfig.NextCertificateThumbprint))) {
    $thumbprint = $authConfig.NextCertificateThumbprint
    Write-Host "[+] Next Auth Certificate thumbprint: $thumbprint"

    try {
        $currentAuthCertificate = Get-ChildItem -Path Cert:\LocalMachine\My\$thumbprint
        Export-Certificate -Cert $currentAuthCertificate -FilePath "$exportFilePath\$thumbprint.cer" -Type CERT | Out-Null
        Write-Host "[+] Certificate was successfully exported to: $exportFilePath"
    } catch {
        Write-Host "[+] We hit the following exception: $_" -ForegroundColor Red
    }
}

Passo 2: Criar a aplicação no ID do Entra

Copie os certificados exportados para um computador com conectividade de saída, conforme descrito na secção Requisitos de conectividade de rede . Execute o script nessa máquina para criar a aplicação no Entra ID. O script apresenta o e Tenant ID o appId da aplicação recém-criada. Tenha em atenção ambos os valores porque precisa deles num passo posterior.

.\ConfigureExchangeHybridApplication.ps1 -CreateApplication -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\CurrentAuthCertificate.cer"

Para configurar a aplicação apenas com permissões API do Graph, utilize o UseGraphApiOnly parâmetro :

.\ConfigureExchangeHybridApplication.ps1 -CreateApplication -UseGraphApiOnly -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\CurrentAuthCertificate.cer"

Se foram exportados vários Certificados de Autenticação no passo 1, execute novamente o script para carregar o certificado adicional. O CreateApplication passo não é necessário para a segunda execução:

.\ConfigureExchangeHybridApplication.ps1 -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\NewNextAuthCertificate.cer"

Passo 3: Configurar Exchange Server

Execute este passo num servidor de Caixa de Correio. O script configura o Servidor de Autenticação, atualiza as relações organizacionais existentes entre Exchange Server e Exchange Online e ativa a funcionalidade de aplicação híbrida dedicada do Exchange. Indique o ID do seu inquilino, o appId da aplicação recentemente criada no Entra ID e o domínio de encaminhamento remoto:

.\ConfigureExchangeHybridApplication.ps1 -ConfigureAuthServer -ConfigureTargetSharingEpr -EnableExchangeHybridApplicationOverride -CustomAppId "<appId>" -TenantId "<tenantId>" -RemoteRoutingDomain "<organization>.mail.onmicrosoft.com"

Ativar a funcionalidade depois de utilizar o HCW

Se utilizou o assistente de Configuração Híbrida (HCW) para configurar a aplicação híbrida dedicada do Exchange, tem de executar o cmdlet New-SettingOverride para ativar a funcionalidade para a sua organização Exchange Server no local. Execute o seguinte comando a partir de uma Shell de Gestão do Exchange (EMS) elevada:

New-SettingOverride -Name "EnableExchangeHybrid3PAppFeature" -Component "Global" -Section "ExchangeOnpremAsThirdPartyAppId" -Parameters @("Enabled=true") -Reason "Enable dedicated Exchange hybrid app feature"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

Configurar permissões de API do Graph

A partir da Atualização de Correção de maio de 2026, o Exchange Server suporta o fluxo híbrido baseado em API do Graph para a maioria dos cenários. A Microsoft atualizou o ConfigureExchangeHybridApplication.ps1 script para configurar permissões de API do Graph em aplicações recentemente criadas e existentes e para ativar o fluxo híbrido baseado em API do Graph através de uma Substituição de Definição.

A Microsoft está a implementar suporte para o fluxo híbrido baseado em API do Graph entre clouds por fases. A tabela seguinte lista a disponibilidade atual. Este artigo é atualizado à medida que o suporte se expande para clouds adicionais.

Nuvem	fluxo híbrido baseado em API do Graph suportado
Microsoft 365 Global	Sim
Microsoft 365 Operado pela 21Vianet	Não
Microsoft 365 US Government L4 (GCC High)	Não
Microsoft 365 US Government L5 (DOD)	Não
Bleu	Não
Delos Cloud	Não

Importante

Não ative o fluxo híbrido baseado em API do Graph numa cloud onde ainda não seja suportado. A sua ativação antes de o suporte estar disponível faz com que as funcionalidades híbridas, como Disponibilidade, Sugestões de Correio e partilha de imagens de perfil deixem de funcionar.

Cenários com suporte

A tabela seguinte mostra as funcionalidades híbridas suportadas por cada API:

Recurso	Suportado através da API do EWS	Suportado através de API do Graph
Livre/Ocupado	Sim	Sim
MailTips	Sim	Parcial (apenas Respostas Automáticas)
Imagens de Perfil	Sim	Sim
Mover para Arquivo (Arquivo Caixa de Correio na nuvem)	Sim	Não

Importante

Depois de ativar o fluxo híbrido baseado em API do Graph, Exchange Server utiliza o EWS para funcionalidades híbridas que ainda não são suportadas com API do Graph. Não remova as permissões da API do EWS da aplicação no Entra ID se depender de qualquer cenário que ainda não seja suportado com API do Graph. Se não utilizar as funcionalidades que ainda não são suportadas com API do Graph, pode remover a permissão da full_access_as_app API EWS com o script no modo de permissões Remover API.

A Microsoft está a trabalhar ativamente para expandir API do Graph suporte para cenários adicionais. Esta documentação é atualizada à medida que novos cenários são suportados. Exchange Server continua a utilizar o EWS para qualquer cenário que ainda não seja suportado com API do Graph, mesmo que o fluxo híbrido baseado em API do Graph esteja ativado.

Ativar o fluxo híbrido baseado em API do Graph

Durante o Modo de Configuração Tudo-em-um, o script pede-lhe para configurar API do Graph permissões. Se já tiver configurado a aplicação e quiser adicionar permissões API do Graph mais tarde, execute novamente o script:

.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication

Para o modo de execução dividida, utilize o UseGraphApiOnly parâmetro conforme descrito em Modo de configuração de execução dividida.

Remover permissões da API do EWS

Se não utilizar quaisquer funcionalidades que necessitem da API do EWS e quiser utilizar apenas permissões API do Graph, execute o script para remover a permissão da full_access_as_app API do EWS:

.\ConfigureExchangeHybridApplication.ps1 -RemoveApiPermissions "EWS"

Este comando pode ser executado num servidor não Exchange.

Verificar a configuração

Para confirmar que a autenticação OAuth funciona corretamente entre Exchange Server e Exchange Online, utilize o cmdlet Test-OAuthConnectivity da Shell de Gestão do Exchange no seu Exchange Server no local.

Se o ResultType for Success e a Detail secção incluir o da sua aplicação appId híbrida dedicada do Exchange, Exchange Server adquiriu com êxito um token OAuth. O pedido OAuth é iniciado pelo servidor onde a sessão do Shell de Gerenciamento do Exchange (EMS) está em execução. Se a caixa de correio especificada através do -Mailbox parâmetro residir num servidor diferente que não suporte a aplicação híbrida dedicada do Exchange, mas o servidor anfitrião EMS o fizer, o continua a ResultType mostrar Success. Este é o comportamento padrão.

Execute o seguinte comando (substitua o endereço de e-mail por uma caixa de correio no local no seu ambiente):

$OnPremisesMailbox = "userMailboxOnprem@contoso.com"

$result = Test-OAuthConnectivity -Service EWS -TargetUri https://outlook.office365.com -Mailbox $OnPremisesMailbox
Write-Host $result.ResultType
if (($result.Detail.FullId) -match 'L:(?<guid>[0-9a-fA-F-]{36})-AS:') {
    $appid = $matches['guid']
    Write-Output "Extracted appId: $appid"
} else {
    Write-Output "appId not found"
}

Gerir a aplicação

Esta secção abrange tarefas de gestão comuns para a aplicação híbrida dedicada do Exchange após a configuração inicial.

Atualizar o Certificado de Autenticação

Utilize os seguintes passos quando o Certificado de Autenticação expirar ou for substituído. Estes passos não são necessários durante a configuração inicial. Para obter mais informações sobre a manutenção do Certificado de Autenticação, veja a documentação Manter o certificado OAuth Exchange Server.

Se o servidor da Caixa de Correio tiver conectividade de saída, conforme descrito na secção Requisitos de conectividade de rede, execute:

.\ConfigureExchangeHybridApplication.ps1 -UpdateCertificate

Se o servidor da caixa de correio não tiver conectividade de saída, exporte o novo Certificado de Autenticação ao seguir os passos no Passo 1: Exportar o Certificado de Autenticação. Copie o certificado para um computador com conectividade de saída e, em seguida, execute:

.\ConfigureExchangeHybridApplication.ps1 -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\NewAuthCertificate.cer"

Dica

Utilize o script MonitorExchangeAuthCertificate para validar o certificado OAuth. Se precisar de atualizar o certificado OAuth, siga os passos na documentação Manter o certificado OAuth Exchange Server.

Limpar o principal de serviço partilhado

Depois de ativar a funcionalidade de aplicação híbrida dedicada do Exchange e todos os seus servidores Exchange executarem uma compilação do Exchange que suporte esta funcionalidade, limpo os certificados que foram carregados anteriormente para o Principal de Serviço original. Como parte da estrutura híbrida anterior do Exchange, o HCW carregou o Certificado de Autenticação para o Principal de Serviço original. Esta prática já não é recomendada e não deve ser efetuada. O Certificado de Autenticação tem agora de ser carregado exclusivamente para a aplicação híbrida dedicada do Exchange.

Os comandos nesta secção podem ser executados em qualquer computador com conectividade internet de saída. Os servidores exchange com compilações mais antigas do que as listadas na secção Versões de Exchange Server suportadas não podem utilizar funcionalidades híbridas de coexistência avançada, independentemente de existirem certificados no principal de serviço partilhado, porque o acesso do EWS através do principal de serviço partilhado está permanentemente bloqueado desde 31 de outubro de 2025. Atualize estes servidores para uma criação suportada e configure a aplicação híbrida dedicada do Exchange para restaurar a funcionalidade híbrida.

Aviso

Se executar o HCW depois de configurar a funcionalidade de aplicação híbrida dedicada do Exchange e selecionar a opção de configuração Oauth, Intra Organization Connector e Organization Relationship , o Certificado de Autenticação é carregado novamente para o Principal de Serviço original. Recomenda-se vivamente que repita os passos para remover o Certificado de Autenticação do Principal de Serviço original neste caso.

Para remover todos os keyCredentials Principais de Serviço originais, execute:

.\ConfigureExchangeHybridApplication.ps1 -ResetFirstPartyServicePrincipalKeyCredentials

Para remover um certificado específico e todos os certificados expirados do keyCredentials, forneça o thumbprint do certificado a eliminar:

.\ConfigureExchangeHybridApplication.ps1 -ResetFirstPartyServicePrincipalKeyCredentials -CertificateInformation "1234567890ABCDEF1234567890ABCDEF12345678"

Remover permissões de API

Para remover permissões de API específicas da aplicação híbrida dedicada do Exchange no Entra ID, utilize o RemoveApiPermissions parâmetro . Este comando pode ser executado num servidor não Exchange. Os valores suportados para o RemoveApiPermissions parâmetro são EWS e Graph. O EWS valor remove a full_access_as_app permissão, enquanto o Graph valor remove as permissões de API do Graph.

Para remover a permissão da full_access_as_app API do EWS, execute:

.\ConfigureExchangeHybridApplication.ps1 -RemoveApiPermissions "EWS"

Excluir o aplicativo

Se necessário, utilize o seguinte comando para eliminar a aplicação criada no Entra ID. Este comando pode ser executado num servidor não Exchange. Utilize este comando apenas ao reverter a alteração ou resolver problemas de criação de uma nova aplicação. Eliminar a aplicação através do script não reverter a configuração da aplicação híbrida do Exchange no seu ambiente. Para reverter totalmente, siga os passos em Reverter a configuração da aplicação híbrida do Exchange dedicada.

.\ConfigureExchangeHybridApplication.ps1 -DeleteApplication

Monitorizar e proteger a aplicação

Auditar a utilização de aplicações no ID do Entra

Depois de configurar a aplicação híbrida dedicada do Exchange e ativar a funcionalidade, audite a respetiva utilização através do ID Sign-in logsdo Entra:

1. Navegue para o portal Entra ID e inicie sessão com as suas credenciais.
2. Selecione ou procure Microsoft Entra ID.
3. No painel de navegação, aceda a Monitorização e selecione Registos de início de sessão.
4. Selecione Inícios de sessão do principal de serviço para ver os registos detalhados.

A imagem seguinte mostra um pedido de início de sessão com êxito:

Quando seleciona a entrada, é aberta a lista de opções Detalhes da Atividade: Inícios de sessão, fornecendo mais informações sobre a atividade de início de sessão:

Restringir o acesso com Acesso Condicional

Algumas organizações podem querer restringir o acesso ao principal de serviço de aplicação híbrida do Exchange dedicado a um subconjunto de intervalos de IP públicos utilizados pelo Exchange Server. Utilize o Acesso Condicional para identidades de cargas de trabalho para o conseguir. Esta funcionalidade expande o suporte da política de Acesso Condicional aos principais de serviço pertencentes à organização. As licenças Das Identidades de Carga de Trabalho Premium são necessárias para criar ou modificar políticas de Acesso Condicional no âmbito dos principais de serviço. Para obter mais informações, consulte ID de carga de trabalho do Microsoft Entra.

Reverter a configuração da aplicação híbrida do Exchange dedicada

Aviso

Desde 31 de outubro de 2025, o acesso do EWS através do principal de serviço partilhado está permanentemente bloqueado. Reverter para o principal de serviço partilhado não restaura funcionalidades híbridas de coexistência avançada (Disponibilidade, Sugestões de Correio e partilha de imagens de perfil). Utilize apenas estes passos de reversão se precisar de reverter as alterações de configuração no local para fins de resolução de problemas ou se planear reconfigurar a aplicação híbrida dedicada do Exchange do zero.

Os passos seguintes reverter a configuração aplicada pelo ConfigureExchangeHybridApplication.ps1 script.

Passo 1: Reconfigurar o Principal de Serviço principal

Execute o HCW e selecione a opção Oauth, Intra Organization Connector e Organization Relationship para reconfigurar o Principal de Serviço original.

Passo 2: Remover a Substituição da Definição

Remova a Substituição de Definições que ativa a funcionalidade de aplicação híbrida dedicada do Exchange. Execute o seguinte comando a partir de uma Shell de Gestão do Exchange (EMS) elevada:

Get-SettingOverride | Where-Object {$_.ComponentName -eq "Global" -and $_.SectionName -eq "ExchangeOnpremAsThirdPartyAppId"} | Remove-SettingOverride
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

Passo 3: Reverter a configuração do Servidor de Autenticação

Execute o seguinte comando a partir de uma Shell de Gestão do Exchange (EMS) elevada para reverter a alteração do Servidor de Autenticação:

# Replace this id with the id of your tenant
$tenantId = "123e4567-e89b-12d3-a456-426614174000"

(Get-AuthServer | Where-Object {$_.Name -like "*evoSTS*" -and $_.Realm -eq $tenantId}) | Set-AuthServer -ApplicationIdentifier $null -DomainName $null

Passo 4: Eliminar a aplicação no ID do Entra

Utilize o script para eliminar a aplicação que foi criada no Entra ID:

.\ConfigureExchangeHybridApplication.ps1 -DeleteApplication

Próximas etapas

Depois de configurar a aplicação híbrida dedicada do Exchange, considere o seguinte:

• Mantenha o Exchange Server certificado OAuth para garantir uma funcionalidade híbrida ininterrupta quando os certificados expiram ou giram.
• Configure permissões de API do Graph para fazer a transição de funcionalidades híbridas do EWS para o API do Graph.
• Monitorize e proteja a aplicação ao auditar a atividade de início de sessão e ao restringir o acesso com as políticas de Acesso Condicional.
• Limpe o principal de serviço partilhado para remover certificados legados e proteger a configuração híbrida.

Referência: Operações de script

O ConfigureExchangeHybridApplication.ps1 script executa várias operações com base na opção selecionada. A secção seguinte fornece uma referência detalhada das operações específicas executadas pelo script para cada modo.

CreateApplication

• Criar uma nova aplicação com o nome ExchangeServerApp-{Guid of the organization} no ID do Entra
• Atribuir o utilizador que foi utilizado para executar o script como proprietário da aplicação no Entra ID
• Atribuir as permissões da full_access_as_app API EWS (utilizadas no fluxo híbrido baseado em EWS)
• (Opcional) Atribua as MailboxSettings.Readpermissões , MailTips.ReadBasic.All, Calendars.Read, ProfilePhoto.Read.All API do Graph (utilizadas no fluxo híbrido baseado em API do Graph)
• Conceder consentimento do administrador ao nível do inquilino
  • Esta alteração tem de ser confirmada durante o runtime do script
  • O script não ativa a funcionalidade através da Definição Substituir se o consentimento do administrador ao nível do inquilino não for concedido

UpdateCertificate

• Carregar o Certificado de Autenticação atual para a aplicação no Entra ID
• Carregar o novo Certificado de Autenticação seguinte (se existir) para a aplicação no Entra ID
• Eliminar qualquer certificado da aplicação que expirou

ConfigurarAuthServer

• Atualizar o EvoSTS objeto ou EvoSTS - {Guid} Servidor de Autenticação
  • Definir o ApplicationIdentifier para o appId da aplicação no ID do Entra
  • Defina como GraphBaseUrl o ponto final API do Graph correspondente à cloud onde a aplicação é criada (por exemplo, https://graph.microsoft.com para Global a cloud)
  • Adicionar o Domínio de Encaminhamento Remoto SMTP à DomainName propriedade

ConfigurarTargetSharingEpr

• Identificar qualquer configuração ativada OrganizationRelationship entre Exchange Server e Exchange Online
• Utilizar a Deteção Automática para consultar o Serviços Web do Exchange (EWS) ponto final
• Definir como TargetSharingEpr o ponto final do EWS devolvido pela Deteção Automática

EnableExchangeHybridApplicationOverride

• Se o script for executado no modo de configuração Tudo-em-um:
  • Confirme que a aplicação no ID do Entra tem as permissões de API corretas e o consentimento do administrador ao nível do inquilino concedido
• Crie uma nova Substituição de Definição para ativar a funcionalidade no local com os seguintes parâmetros e valores:
  • Nome: EnableExchangeHybrid3PAppFeature
  • Componente: Global
  • Secção: ExchangeOnpremAsThirdPartyAppId
  • Parâmetros: Enabled=true
  • Motivo: "Created by {Name of the Script} on {timestamp}"
• (Opcional) Crie uma nova Substituição de Definição para permitir a utilização de API do Graph para funcionalidades híbridas com os seguintes parâmetros e valores:
  • Nome: EnableRouteThroughMSGraphFeature
  • Componente: SettingOverride
  • Secção: RouteThroughMSGraph
  • Parâmetros: Enabled=true
  • Motivo: "Created by {Name of the Script} on {timestamp}"

DeleteApplication

• Eliminar a aplicação dedicada do Exchange no ID do Entra

ResetFirstPartyServicePrincipalKeyCredentials

• Remover todos os existentes keyCredentials do Principal de Serviço da aplicação Office 365 Exchange Online original
• Se um thumbprint tiver sido fornecido através CertificateInformation do parâmetro, remova apenas o certificado que corresponde ao thumbprint e todos os certificados que já tenham expirado

RemoveApiPermissionsFromAzureApplication

• Remover permissões de API específicas da aplicação no ID do Entra com base na lista de permissões fornecida através RemoveApiPermissions do parâmetro

Perguntas frequentes

❓ Podemos configurar a aplicação híbrida dedicada do Exchange mesmo que nem todos os nossos servidores sejam atualizados para a versão que a suporta?

Sim, ainda pode configurar e ativar a aplicação híbrida dedicada do Exchange. No entanto, os servidores em versões mais antigas que não suportam a aplicação híbrida dedicada não podem utilizar funcionalidades híbridas de coexistência avançada (Livre/Ocupado, Sugestões de Correio e partilha de imagens de perfil) porque a Microsoft bloqueou permanentemente o acesso ao EWS através do principal de serviço partilhado a 31 de outubro de 2025. Atualize todos os servidores para uma compilação suportada o mais rapidamente possível para restaurar a funcionalidade híbrida. Assim que a aplicação dedicada for criada e ativada, os servidores atualizados começam a utilizá-la automaticamente.

❓ O que acontece se executarmos novamente o assistente de Configuração Híbrida (HCW) depois de configurar a nova aplicação híbrida dedicada do Exchange?

Se executar novamente o HCW e não desmarcar Oauth, Intra Organization Connector e Organization Relationship, o Certificado de Autenticação é carregado para o principal de serviço Exchange Online da Office 365 Exchange Online partilhada mas o seu ambiente continua a utilizar a aplicação dedicada criada pelo script porque o HCW não modifica a substituição das definições do servidor. No entanto, se tiver utilizado o script no Principal de Serviço Clean-Up Modo para remover as credenciais de chave do principal de serviço partilhado após configurar a aplicação híbrida dedicada do Exchange, voltar a executar o HCW irá carregar novamente o certificado para o principal de serviço partilhado e terá de executar o limpo novamente.

❓ Temos muitos servidores Exchange na nossa organização. Cada servidor precisa de uma aplicação híbrida do Exchange dedicada separada?

A aplicação híbrida dedicada do Exchange é criada no ID de Entra do seu inquilino e só precisa de ser configurada uma vez por inquilino. Todos os servidores no local podem utilizar a mesma aplicação dedicada (assim que forem atualizados para o HU de abril de 2025 ou posterior).

❓ Esta alteração afeta a migração de caixas de correio entre Exchange Server e Exchange Online?

Esta alteração não afeta os movimentos da caixa de correio de inclusão ou exclusão entre Exchange Online e Exchange Server.

❓ Esta alteração afeta quaisquer aplicações de terceiros que se liguem a caixas de correio Exchange Online através do protocolo EWS?

Esta alteração afeta apenas as chamadas EWS híbridas do Exchange de servidores no local para Exchange Online. Lembre-se de que existe um prazo de outubro de 2026 para a descontinuação dos Serviços Web exchange em Exchange Online.

❓ Temos uma organização híbrida multi-inquilino (uma única floresta do AD no local ligada a vários inquilinos Exchange Online). O que temos de fazer?

O script tem de ser executado uma vez por inquilino, uma vez que atualiza o objeto Auth Server correspondente e cria a aplicação necessária em cada inquilino. Se estiver a utilizar a versão mais recente do script, este suporta os modos Tudo-em-um e Configuração de Execução Dividida.

❓ Temos uma implementação no local de várias florestas que liga a um único inquilino Exchange Online híbrido. O que devemos fazer?

O script deve ser executado para cada organização/floresta do Exchange no local. Esta ação cria várias aplicações híbridas dedicadas no único inquilino do Microsoft 365, cada uma com o nome ExchangeServerApp-{GUID of the Exchange organization}. Uma vez que o acesso ao EWS através do principal de serviço partilhado foi permanentemente bloqueado a 31 de outubro de 2025, as funcionalidades híbridas de coexistência avançada só funcionam através da aplicação híbrida dedicada. Certifique-se de que configura e ativa a aplicação dedicada em todas as florestas e atualiza todos os servidores para uma compilação suportada para restaurar a funcionalidade híbrida em todo o seu ambiente.

❓ Temos preocupações com o script da aplicação híbrida dedicada do Exchange que atribui demasiadas permissões EWS à nova aplicação dedicada.

A partir da Atualização de Correção de maio de 2026, Exchange Server pode utilizar API do Graph para a maioria das funcionalidades híbridas. Ainda existem algumas funcionalidades que requerem permissões do EWS, uma vez que ainda não são suportadas com API do Graph. Se depender de qualquer uma dessas funcionalidades, terá de manter as permissões EWS atribuídas à aplicação híbrida dedicada do Exchange até que todas as funcionalidades sejam suportadas com API do Graph. Se não utilizar nenhuma dessas funcionalidades, pode remover as permissões do EWS e utilizar permissões de API do Graph menos permissivas para a aplicação híbrida dedicada do Exchange. Pode encontrar mais informações na secção Configurar permissões de API do Graph desta documentação.

❓ Porque é que a Microsoft tomou a orientação de fazer com que os clientes criem a sua própria aplicação híbrida dedicada em vez de publicarem uma nova aplicação gerida pela Microsoft?

A abordagem de utilização de uma aplicação dedicada no inquilino do cliente dá aos clientes mais flexibilidade para futuras alterações que podem exigir modificações na aplicação. Considere a próxima mudança do EWS para API do Graph chamadas: são necessários ajustes à aplicação (por exemplo, atualizar permissões de API). Uma aplicação dedicada ao cliente permite que os clientes escolham quando querem transitar das permissões da API do EWS para API do Graph permissões. Uma vez que a aplicação dedicada é criada e configurada automaticamente pelo script do PowerShell ou pelo assistente de Configuração Híbrida, não existe nenhum benefício adicional para os clientes que utilizam uma aplicação gerida pela Microsoft.

❓ Importa se uma organização utiliza a configuração híbrida do Exchange Moderno ou Clássico?

Estas alterações aplicam-se tanto ao Moderno (Agente Híbrido) como ao Exchange Clássico híbrido.

❓ Criámos a aplicação híbrida dedicada do Exchange e definimos as permissões de acordo com a documentação. Em seguida, terminámos a nossa migração e não alojamos caixas de correio no local para que a coexistência avançada já não seja necessária. Devemos fazer alguma coisa?

Se já não precisar das funcionalidades de coexistência avançada, pode executar o script no Delete Application Mode para eliminar a aplicação híbrida dedicada do Exchange e continuar a utilizar o Exchange no local apenas para cenários de reencaminhamento de SMTP ou gestão. Também é vivamente recomendado executar o script no Modo de Clean-Up do Principal de Serviço. A eliminação da aplicação híbrida dedicada do Exchange não reverter as alterações de configuração efetuadas no lado Exchange Server (no local). Siga os passos descritos na documentação se também quiser reverter a configuração.

❓ Utilizamos a Autenticação Moderna Híbrida (HMA). Qual é a orientação para nós?

Atualmente, o HMA utiliza o principal de serviço (partilhado) de primeira entidade. Uma vez que não é necessário carregar o Certificado de Autenticação para o principal de serviço partilhado ao configurar o HMA, este cenário não é afetado pela alteração e continua a funcionar como anteriormente. Por conseguinte, é seguro remover o Certificado de Autenticação do principal de serviço partilhado depois de mudar para a aplicação híbrida dedicada do Exchange.

❓ Utilizamos o Microsoft Entra Connect (anteriormente Azure AD Connect) para sincronização de diretórios. Todas as nossas caixas de correio estão alojadas no local. É necessário criar a aplicação híbrida dedicada do Exchange?

Se nunca tiver executado o assistente de Configuração Híbrida (HCW), não é necessário configurar a aplicação híbrida dedicada do Exchange. No entanto, se executou o HCW e pretende utilizar funcionalidades híbridas, como Disponibilidade, Sugestões de Correio e partilha de imagens de perfil, é necessário criar a aplicação híbrida dedicada do Exchange.

❓ Temos uma configuração híbrida do Exchange, mas não temos caixas de correio no local. Utilizamos apenas o servidor como um reencaminhamento SMTP ou gestão de destinatários. Precisamos de criar a aplicação híbrida dedicada do Exchange?

A criação da aplicação híbrida dedicada do Exchange não é necessária se não utilizar funcionalidades híbridas, como Disponibilidade, Sugestões de Correio e partilha de imagens de perfil. Para ativar estas funcionalidades híbridas no futuro, tem de configurar a aplicação híbrida dedicada do Exchange.

❓ A nossa organização não precisa de coexistência avançada e queremos apenas remover o certificado do principal de segurança partilhado. Temos de instalar primeiro o HU de Abril?

Se tudo o que quer fazer é remover o certificado do principal de segurança partilhado e a coexistência avançada não for necessária, não existe nenhuma dependência na instalação do script de abril de 2025 antes de executar o script. Pode simplesmente executar o script no Modo de Clean-Up do Principal de Serviço.

❓ Temos a configuração híbrida do Exchange para a integração do Microsoft Teams com caixas de correio no local. Precisamos de criar uma aplicação híbrida dedicada do Exchange ou efetuar qualquer outra ação?

A criação da aplicação híbrida dedicada do Exchange não é necessária se todas as caixas de correio estiverem alojadas no local. No entanto, para ambientes onde algumas caixas de correio estão alojadas no local e outras estão alojadas no Exchange Online, é recomendado criar a aplicação híbrida dedicada do Exchange. Ao fazê-lo, garante que as funcionalidades híbridas, como Disponibilidade, Sugestões de Correio e partilha de imagens de perfil, continuam a funcionar corretamente.

❓ Podemos mudar o nome da aplicação híbrida dedicada do Exchange de para outro nome de ExchangeServerApp-{Guid of the organization} aplicação?

Recomendamos que os administradores não alterem o nome da aplicação depois de esta ser criada. Mudar o nome da aplicação poderá levar à criação de uma aplicação duplicada no futuro se o ConfigureExchangeHybridApplication.ps1 script for novamente executado, por exemplo, ao renovar o Certificado de Autenticação. O assistente de Configuração Híbrida (HCW) também utiliza o nome exclusivo da aplicação para detetar se já foi criada. Por conseguinte, não recomendamos mudar o nome da aplicação no Entra ID.

❓ Estamos a utilizar DAuth em vez de OAuth. Neste caso, continua a ser necessário criar a aplicação híbrida dedicada?

Não, se estiver a utilizar o DAuth em vez do fluxo de trabalho OAuth, não é necessário criar a aplicação híbrida dedicada do Exchange. No entanto, se já tiver executado o script, certifique-se de que não cria a Substituição de Definições que ativa a funcionalidade de aplicação híbrida dedicada no Exchange Server. Ao fazê-lo, pode interromper determinadas funcionalidades, tais como pesquisas de Disponibilidade, Sugestões de Correio e visibilidade de imagem de perfil para utilizadores no local que veem utilizadores online.

❓ Continua DAuth a ser suportado no futuro e qual é a recomendação atual da Microsoft relativamente à sua utilização versus OAuth?

Recomendamos que os clientes comecem a fazer a transição para o OAuth para implementações híbridas do Exchange, uma vez que o método DAuth legado deixará de funcionar com Exchange Online assim que o Serviços Web do Exchange (EWS) for descontinuado em outubro de 2026. Embora a DAuth permaneça funcional por enquanto, a Microsoft está a trabalhar no desenvolvimento de soluções alternativas para cenários como As Relações com a Organização (OrgRel), que atualmente dependem do DAuth.