[English]Ich stelle mal eine Beobachtung hier im Blog ein, auf die mich ein Leser hingewiesen hat – ein zweiter Leser scheint ebenfalls betroffen. Administratoren von Exchange Online-Tenants stellen seit ca. 14. Mai 2025 fest, dass sie keine Änderungen an den Postfächern mehr vornehmen können. Anpassen von Berechtigungen sind so unmöglich.
Anzeige
Eine Leserinformation zum Problem
Blog-Leser Dennis F. hat mich am Abend des 15. Mai 2025 per Mail kontaktiert und schrieb unter dem Betreff "Exchange Online Probleme", dass er Schwierigkeiten als Tenant-Administrator von Exchange Online-Postfächern bzw. -Konten habe.
Der Leser uns seine Kollegen in der IT beobachten seit mehreren Tagen, dass in mindestens drei Microsoft 365 Kunden-Tenants keine Änderungen innerhalb der jeweiligen Postfächer möglich sind.
Laut seiner Aussage lassen sich im Admin Center beispielsweise keine Weiterleitungen mehr einrichten. Ebenso können keine Vollzugriffsberechtigungen gesetzt, geschweige denn die Berechtigungen abgerufen, werden.
Das Verhalten lässt sich auch innerhalb von Outlook reproduzieren. So lassen sich dort z. B. granular keine E-Mail-Ordner oder Kontakte für andere Konten freigeben. Im Admin Center der Exchange Online-Tenants erscheint beispielshaft folgende Fehlermeldung:
Anzeige
Eine Meldung informiert, dass die Änderungen der Einstellungen nicht gespeichert werden konnten. Es finden sich noch einige Details zum Fehler, die darauf hinweisen, dass der Administrator keine Berechtigungen zum Ändern hat. Ursache sei häufig, dass der Target-Forest nicht in der Account-Partition des Source-Forest enthalten ist.
Beim Versuch, eine Delegierung für ein Postfach zu konfigurieren, kommt obige Meldung mit dem Hinweis auf einen Fehler beim Abrufen der Postfachberechtigungen samt der Aussage, dass Microsoft ein Problem mit dem Server habe. Man möge es später nochmals versuchen – was aber wohl nicht hilft.
Der Leser schreib noch, dass bei Microsoft ein Supportfall anhängig sei, der allerdings mehr schleppend als zielführend abgewickelt werde. Beispielsweise bat man die IT um eine Netzwerkaufzeichnung aus dem-Edge Browser, sowie eine Aufzeichnung der ausgeführten Schritte mit dem PSR-Tool (Problemschrittaufzeichnung). Bereits vorher wurden Screenshots der Domain Controller-Fehlermeldung aus verschiedenen Kunden-Tenants bereitgestellt, aus denen die Ursachenquelle direkt hervorgeht. Allerdings wurden diese Informationen durch den Microsoft Support ignoriert.
Noch ein Betroffener?
Blog-Leser Dennis F. bat, die obige Information im Blog einzustellen, und zu fragen, ob andere davon ebenfalls betroffen sind. Dies scheint der Fall zu sein, denn zum Blog-Beitrag Exchange Online- und MS365-Probleme durch Schwachstelle? (März 2025) hat sich Blog-Leser habogus zum 16. Mai 2025 mit diesem Kommentar gemeldet. Dem Nutzer war klar, dass sein Kommentar zum obigen Artikel off topic war, schrieb aber, dass "einer der sinnigsten und aktuellsten Artikel dazu mein Blog-Beitrag war.
Er schrieb, dass er (bzw. das Team der Administratoren des Tenant) "seit heute" in keiner Shared Mailbox mehr Nutzern Rechte, also eine Delegation, vergeben kann. Das selbe gilt bei einem persönlichen Postfach.
Weiterhin merkt der Nutzer an, dass auch SharePoint an einigen Stellen spinnt. Bei einem Hub zugeordneten Seiten, werden diese nicht wie gewohnt zugeordnet. Die Seiten ignorieren scheinbar ihren Hub, schreibt der Leser und fragt, ob andere Administratoren eventuell auch Probleme habe. Das klingt für mich wie obige Beschreibung.
Microsoft Incident EX1072592
Ich habe mal nachgesehen, von Microsoft gibt es den Incident-Report EX1072592 vom 13. Mai 2025. Dort heißt es, dass ein kürzlich durchgeführtes Service-Update zur Behebung eines nicht damit zusammenhängenden Service-Problems, zu einer folgenschweren Code-Regression führte. Diese hindert einige Benutzer daran hindert, die automatische Weiterleitung von Exchange Online zu nutzen. Ich bin mir aber nicht sicher, ob das die obige Problematik vollständig trifft.
Anzeige
Kleine Ergänzung: Das Problem ist erstmals schon am 08.05.2025 aufgetreten.
Ich staune bei solchen Fehlern immer wieder wie lange diese unbehoben bleiben, im Support unbekannt sind, trotz gravierender Auswirkungen.
7 Tage ist doch nix. Ich sag nur Outlook-Suche. Die hat ja so oft so viele unterschiedliche Fehler, dass ich bislang kaum einen Arbeitsplatz erlebt habe, wo die wirklich durchgehend ohne Eingreifen anstandslos das tat, was sie soll. Viele Kollegen nehmen das so hin und benutzen die einfach nicht mehr.
Da ich nichts von Hybrid Status gelesen habe, klingt das nach EXO Only?
Scheint bisher nur via GUI versucht worden zu sein, da ich weder was von PowerShell noch Graph gelesen habe. Nicht das es nur ein GUI Problem ist ;-)
In unserem Tenant ist EX1072592 vermerkt, jedoch kein derartigen Probleme wie im Artikel vermerkt.
Der support bei Microsoft ist unendlich nervig.
Erstens bekommt man nur noch schnellsprechende Inder mit entsprechendem übelsten Akzent, die man quasi null versteht.
Dann wechseln häufig die Kontaktepersonen und die schicken einem pauschal immer erstmal seine eigene Standardfragen und -anforderungen. Dabei sit es egal, was man denen schon geshcickt hat, die wollen immer alles von neuem erklärt und bereitgestellt haben.
Zum Kotzen ist das. Hat bestimmt Methode, damit man vom Support genervt ist und ihn nicht mehr nutzt sondenrn nur noch zahlt.
Mit Outlook Classic sind auch keine Freigabeänderungen möglich (Fehlermeldung), also nich nur WebGUI-only.
Scheinbar hat MS wieder ein wenig gespielt…in so manchem Tenant ist wohl die Einstellung für die Information Protection API deaktiviert worden…lässt sich wie folgt beheben:
Wir melden uns bei Microsoft Entra an und navigieren uns hin zu Anwendung > Unternehmensanwendung > Alle Anwendungen.
In der Anwendung „Alle" müssen wir nach „Information Protection" suchen oder die ID 40775b29-2688-46b6-a3b5-b256bd04df9f verwenden.
Dann klicken wir in den Ergebnissen auf die Microsoft Information Protection API.
Hier ändern wir die Einstellung "Aktiviert für die Benutzeranmeldung" auf Ja.
Wir klicken auf Speichern…;-).
Diese Einstellung betrifft aber nur den Umstand, dass sich Outlook Classic nicht mehr verbindet.
Änderungen am Postfach hinsichtlich Berechtigungen, Weiterleitungen usw. haben damit nichts zu tun.
Dann läuft wohl bei 3 meiner Kunden gravierend was falsch…
Weiß ich nicht. Jedenfalls ist das bei allen Kunden aktiviert worden, die Probleme mit dem Verbinden von Outlook hatten.
Die Probleme mit Einrichtung von Weiterleitungen usw. bestanden auch schon bevor Microsoft eben mal "Information Protection API" deaktiviert hatte.
Wir haben dieses Berechtigungsproblem in den Kundentenants schon seit mehreren Monaten, folgender reddit Thread hat zumindest eine Übergangslösung geschaffen:
https://www.reddit.com/r/msp/comments/1igtppd/gdap_permission_issues/
Mit dieser URL anmelden:
https://admin.cloud.microsoft/exchange?delegatedOrg=tenantdomain.com
wobei "tenantdomain.com" durch die Kundendomäne ersetzt werden muss.
Über diese URL sind dann keine Berechtigungsfehler mehr aufgetreten.
Vielleicht hilft das ja weiter.
Allerdings hilft das nur bei Exchange Online, nicht bei den anderen Microsoft Produkten (bspw DKIM Aktivierung über Security)
Wir haben Probleme in unserem Tenant, die in eine ähnliche Richtung gehen. Seit der Nacht vom 07.05 auf 08.05 funktionieren keine Weiterleitungen in den Öffentlichen Ordnern, die über den Ordner-Assistenten erstellt wurden. Admin-Weiterleitungen sind noch möglich. Wir haben bereits einen A-Level Case bei Microsoft offen, der seit einer Woche kein Ergebnis bringt. Hat jemand ggf. ähnliche Probleme?
Dieses Thema scheint weiterhin offen zu sein. Einer unserer Mitarbeiter meldete sich eben und wieder fehlten die Berechtigungen, die er tags zuvor (ziemlich sicher) noch gehabt hat.