Zeeg verbindet sich mit deinem Exchange Server als normaler EWS-Client über HTTPS. Es gibt zwei Verbindungsmöglichkeiten – direkt mit den eigenen Exchange-Anmeldedaten eines Nutzers oder über ein dediziertes Dienstkonto, das im Namen mehrerer Nutzer handelt. Du behältst die Kontrolle über die Netzwerkexposition, die Kontoberechtigungen und kannst den Zugriff jederzeit widerrufen.
Die Microsoft Exchange Integration ist in allen kostenpflichtigen Tarifen verfügbar (Professional, Business, Scale und Enterprise).
Weitere Informationen zu unserem Datenschutz und unserer Infrastruktur findest du unter: Zeeg Datenschutz und unserer Datenschutzerklärung.
Wie die Integration funktioniert
Zeeg verhält sich wie ein regulärer EWS-Client (Exchange Web Services). Zeeg stellt eine ausgehende Verbindung zum EWS-Endpunkt deines Exchange Servers her (in der Regel https://mail.yourcompany.com/EWS/Exchange.asmx) und verwendet Standard-EWS-Operationen, um Verfügbarkeiten abzurufen sowie Kalendertermine zu erstellen, zu aktualisieren oder abzusagen.
Protokoll: EWS über HTTPS (kein ActiveSync, kein IMAP/SMTP, kein MAPI)
Richtung: Ausgehend von Zeeg zu deinem Exchange Server (keine eingehende Verbindung in dein Netzwerk, kein Agent erforderlich)
Authentifizierung: Basic und NTLM (wird automatisch ausgehandelt). Für Microsoft 365 / Exchange Online verwende stattdessen Zeegs dedizierte Microsoft 365 Integration, die OAuth über Microsoft Graph nutzt.
Datenzugriff: Nur Kalender. Zeeg liest keine E-Mails, Kontakte, Aufgaben oder andere Exchange-Ordner.
Zwei Verbindungsmöglichkeiten: persönliche Anmeldedaten oder Dienstkonto
Option 1 — Persönliches Exchange-Konto (pro Nutzer)
Die einfachste Variante. Jeder Nutzer verbindet sein eigenes Exchange-Konto über die Kalendereinstellungen in Zeeg und gibt dabei folgende Daten an:
E-Mail-Adresse
Benutzername (UPN, DOMAIN\Benutzername oder SAM-Kontoname – alle Formate werden akzeptiert)
Passwort
EWS-Serverhostname (oder vollständige URL)
Optional: Domäne (für NetBIOS-Anmeldungen)
Zeeg verwendet diese Anmeldedaten ausschließlich für den Zugriff auf den eigenen Kalender des jeweiligen Nutzers. Keine Impersonation, keine Delegation.
Empfohlen, wenn: du nur wenige Nutzer verbinden möchtest oder deine Sicherheitsrichtlinien kein gemeinsames Dienstkonto vorschreiben.
Option 2 — Dienstkonto mit Impersonation (empfohlen für Organisationen)
Für organisationsweite Rollouts empfehlen wir ein dediziertes Dienstkonto mit der RBAC-Rolle ApplicationImpersonation auf Exchange. Ein Organisationsadministrator verbindet das Dienstkonto einmalig in Zeeg und trägt anschließend die Nutzer ein, die die Integration nutzen sollen. Zeeg verwendet die Anmeldedaten des Dienstkontos zusammen mit dem Standard-EWS-Impersonation-Header, um im Namen der eingetragenen Nutzer zu handeln.
Vorteile:
Ein einziger Satz Anmeldedaten, zentral von deinem IT-Team verwaltet
Keine persönlichen Passwörter der eingetragenen Nutzer werden in Zeeg gespeichert
Das Dienstkonto kann auf bestimmte OUs oder AD-Gruppen beschränkt werden (siehe unten)
Der Zugriff für alle Nutzer kann mit einem einzigen Schritt auf deiner Seite widerrufen werden
Dienstkonto auf Exchange On-Premises einrichten
Diese Schritte werden auf deinem Exchange Server (Exchange Management Shell) ausgeführt und folgen dem Standard-ApplicationImpersonation-Muster von Microsoft.
Schritt 1: Dediziertes Dienstkonto erstellen
Erstelle einen normalen, postfachfähigen Active Directory-Nutzer, der ausschließlich für die Zeeg-Integration verwendet wird – zum Beispiel svc-zeeg@yourcompany.com. Verwende dafür kein persönliches Konto.
Empfehlungen:
Starkes, maschinell generiertes Passwort
Passwort auf „läuft nie ab" setzen – oder das Rotationsverfahren dokumentieren (bei jeder Passwortänderung muss die Verbindung in Zeeg neu hergestellt werden)
Kein Mitglied einer privilegierten Gruppe (Domain Admins, Exchange Admins usw.)
Postfachfähig (Voraussetzung für die Impersonation)
Schritt 2: ApplicationImpersonation organisationsweit vergeben
Wenn das Dienstkonto im Namen jedes Postfachs in der Organisation handeln soll:
New-ManagementRoleAssignment `
-Name "ZeegImpersonation" `
-Role "ApplicationImpersonation" `
-User "svc-zeeg@yourcompany.com"
Schritt 3: ApplicationImpersonation mit Scope einschränken (empfohlen)
Um den Zugriff des Dienstkontos auf bestimmte Postfächer zu begrenzen (Least Privilege), wird zunächst ein Management Scope erstellt:
New-ManagementScope `
-Name "ZeegScope" `
-RecipientRestrictionFilter "MemberOfGroup -eq 'CN=Zeeg Users,OU=Groups,DC=yourcompany,DC=com'"
New-ManagementRoleAssignment `
-Name "ZeegImpersonation" `
-Role "ApplicationImpersonation" `
-User "svc-zeeg@yourcompany.com" `
-CustomRecipientWriteScope "ZeegScope"
Nur Nutzer in der AD-Gruppe „Zeeg Users" können über dieses Dienstkonto angesprochen werden – alle anderen sind für das Konto nicht erreichbar.
Schritt 4: Zuweisung überprüfen
Get-ManagementRoleAssignment -Role ApplicationImpersonation
Schritt 5: EWS-Erreichbarkeit bestätigen
EWS muss für das Dienstkonto aktiviert sein
Jeder Reverse Proxy vor OWA/EWS muss EWS durchlassen, ohne NTLM oder Basic-Authentifizierung zu unterbrechen
Exchange-Throttling-Richtlinien (z. B. EWSMaxConcurrency, EWSPercentTimeInAD) dürfen nicht so restriktiv konfiguriert sein, dass normale Buchungsaktivitäten blockiert werden
Schritt 6: Verbindung in Zeeg herstellen
Navigiere in Zeeg zu Integrationen → Microsoft Exchange (Dienstkonto) und gib folgende Daten ein:
Dienstkonto-E-Mail – z. B. svc-zeeg@yourcompany.com
Dienstkonto-Benutzername – UPN oder DOMAIN\Benutzername
Dienstkonto-Passwort
EWS-Server-URL – z. B. https://mail.yourcompany.com/EWS/Exchange.asmx
Optional: Domäne (für NetBIOS-Benutzernamen)
Trage anschließend die Nutzer ein, die die Integration nutzen sollen. Jeder eingetragene Nutzer sieht seinen Kalender in Zeeg, ohne selbst Anmeldedaten eingeben zu müssen.
Netzwerkanforderungen
Anforderung | Details |
Protokoll | HTTPS (TCP/443) zum EWS-Endpunkt |
Richtung | Ausgehend von Zeeg → zu deinem Exchange Server |
Zugriff auf interne Systeme | Keiner – Zeeg verbindet sich nicht mit Active Directory oder anderen internen Diensten |
Eingehende Verbindungen zu Zeeg | Keine – Zeeg öffnet keine Verbindung in dein Netzwerk |
Firewall-Allowlisting
Falls dein EWS-Endpunkt nicht aus dem öffentlichen Internet erreichbar ist (empfohlen), kannst du eingehenden Datenverkehr von Zeegs ausgehenden IP-Adressen erlauben. Schreibe uns an support@zeeg.me und wir teilen dir die aktuellen Werte mit, die dein Firewall-Team in die Allowlist aufnehmen kann.
Dies ist die empfohlene Konfiguration für Enterprise-Kunden: EWS nicht öffentlich zugänglich machen und den Zugriff ausschließlich von Zeegs bekannten Quelladressen erlauben.
Sicherheit – was Zeeg tut, was du tust
Zeegs Verantwortung
Verschlüsselung während der Übertragung. Alle Verbindungen zu deinem EWS-Endpunkt erfolgen über HTTPS. Die Verbindung endet an deinem Exchange Server bzw. Reverse Proxy – die effektive TLS-Konfiguration (Versionen, Cipher Suites, Zertifikat) hängt daher von deinem Endpunkt ab (siehe „Deine Verantwortung" unten).
Verschlüsselung im Ruhezustand. Dienstkonto- und Nutzeranmeldedaten werden verschlüsselt gespeichert und niemals im Klartext auf Datenträger geschrieben oder in Logs ausgegeben.
Minimale Berechtigungen by Design. Die Integration nutzt ausschließlich Exchange-Kalenderfunktionen. E-Mails, Kontakte, Aufgaben und andere Ordner sind nicht im Zugriff.
Einfache Trennung. Administratoren oder Nutzer können die Integration jederzeit über die Zeeg-Einstellungen trennen. Nach der Trennung werden die gespeicherten Anmeldedaten gelöscht. (Hinweis: Das Trennen in Zeeg macht das Passwort auf Exchange nicht ungültig – deaktiviere das Konto oder ändere das Passwort auf deiner Seite, wenn du einen vollständigen Zugriffsentzug benötigst.)
Infrastruktur. Alle Zeeg-Daten werden in Deutschland auf der Open Telekom Cloud verarbeitet (ISO 27001, ISO 27017, ISO 27018, BSI C5). Weitere Informationen findest du unter Zeeg Datenschutz.
Deine Verantwortung (als On-Premises-Betreiber)
TLS-Härtung des EWS-Endpunkts – gültiges Zertifikat einer vertrauenswürdigen CA, ausschließlich moderne TLS-Versionen, starke Cipher Suites
Netzwerkexposition – EWS idealerweise nur für Zeegs Quelladressen freigeben, nicht für das gesamte Internet
Dienstkonto-Härtung – dediziertes, postfachfähiges Konto, eingeschränkte ApplicationImpersonation-Rolle, starkes Passwort, keine Mitgliedschaft in privilegierten Gruppen
Logging & Monitoring – EWS-Zugriffsprotokollierung auf Exchange und im Reverse Proxy aktivieren und im Rahmen des normalen SIEM-Workflows auswerten
Account Lifecycle – standardisiertes Verfahren zum Deaktivieren des Dienstkontos, Rotieren des Passworts und Entfernen der Rollenzuweisung beim Beenden der Zeeg-Nutzung
Kurz gesagt: Zeeg verhält sich wie ein regelkonformer EWS-Client. Die Härtung des EWS-Endpunkts, die Netzwerkkontrollen und die Konfiguration des Dienstkontos liegen in deinen Händen – genau so, wie On-Premises Exchange konzipiert ist.
FAQ
Welche Exchange-Versionen werden unterstützt?
Exchange 2013 und spätere On-Premises-Versionen, die EWS über HTTPS mit Basic- oder NTLM-Authentifizierung bereitstellen. Exchange Online / Microsoft 365-Kunden sollten stattdessen die dedizierte Microsoft 365 Kalenderintegration von Zeeg verwenden, die OAuth über Microsoft Graph nutzt.
Benötigt Zeeg Zugriff auf Active Directory? Nein. Zeeg kommuniziert ausschließlich mit deinem EWS-Endpunkt über HTTPS.
Benötigt Zeeg Administratorrechte auf Exchange?
Nein. Die einzige benötigte Rolle ist ApplicationImpersonation (für das Dienstkonto-Modell) – so eng eingeschränkt wie gewünscht. Keine Exchange-Admin-Rolle, kein Domain Admin, sonst nichts.
Was tun, wenn Autodiscover nicht funktioniert?
Gib die vollständige EWS-URL direkt im Verbindungsformular an, z. B. https://mail.yourcompany.com/EWS/Exchange.asmx. Zeeg verwendet diese URL direkt.
Welche Daten liest Zeeg tatsächlich?
Für jeden eingetragenen Nutzer: Kalendereinträge im primären Postfachkalender (sowie alle sekundären Kalender, die der Nutzer in Zeeg aktiviert). Konkret: Frei/Belegt-Informationen sowie die Felder, die zum Erstellen, Aktualisieren und Absagen von Terminen benötigt werden. Zeeg liest keine E-Mails, Kontakte, Aufgaben oder andere Ordner.
Von welchen Adressen verbindet sich Zeeg, damit wir sie allowlisten können?
Schreibe uns an support@zeeg.me und wir teilen die aktuellen Werte mit deinem IT- und Sicherheitsteam.
Wie widerrufe ich den Zeeg-Zugriff vollständig?
Es gibt zwei Möglichkeiten:
1. Auf Exchange-Seite (empfohlen für einen harten Schnitt): Dienstkonto deaktivieren, Passwort ändern oder die Rollenzuweisung entfernen:
Remove-ManagementRoleAssignment -Identity "ZeegImpersonation"
2. In Zeeg: Integration in den Organisationseinstellungen trennen. Die gespeicherten Anmeldedaten werden gelöscht.
Was wenn das Dienstkonto nach einer Passwortänderung nicht mehr funktioniert?
Stelle die Integration in Zeeg mit dem neuen Passwort erneut her. Passwortänderungen auf deiner Seite werden nicht automatisch übernommen.
Kann ich einschränken, auf welche Nutzer das Dienstkonto zugreifen darf?
Ja – verwende das oben beschriebene Muster mit New-ManagementScope und New-ManagementRoleAssignment. Nur Nutzer, die dem Scope entsprechen, sind erreichbar.
Noch Fragen? Schreib uns an support@zeeg.me.