Migracja z on-premises Exchange do Exchange Online Hybrid — kompletny przewodnik 2026

Migracja hybrydowa z lokalnego serwera Exchange do Exchange Online umożliwia stopniowe przenoszenie skrzynek pocztowych do Microsoft 365 przy jednoczesnym zachowaniu pełnej koegzystencji obu środowisk. To obecnie najbezpieczniejsza i najbardziej elastyczna ścieżka migracji dla organizacji — masz kontrolę nad tempem, możesz zatrzymać część skrzynek on-premises, a użytkownicy obu środowisk bezproblemowo współdzielą kalendarze, listy adresowe i przepływ poczty tak, jakby znajdowali się w jednym systemie.

W skrócie

• Exchange 2016 i 2019 zakończyły wsparcie 14 października 2025 — dalsze użytkowanie bez migracji to ryzyko bezpieczeństwa
• Hybryda to nie tylko pomost do pełnej migracji — sprawdza się też jako rozwiązanie docelowe (część skrzynek lokalnie, część w chmurze)
• Wymagania kluczowe: Exchange 2019 CU14+ (lub nowszy Exchange SE), Microsoft Entra Connect, certyfikat SSL od publicznego CA, poprawnie skonfigurowany Autodiscover w publicznym DNS
• Narzędzie Hybrid Configuration Wizard (HCW) automatyzuje ~90% konfiguracji — typowy wdrożeniowiec przechodzi przez kreator w 30–60 minut
• Ruch poczty między środowiskami szyfrowany jest TLS 1.2/1.3, a uwierzytelnianie odbywa się przez OAuth 2.0
• Do pełnej migracji możesz używać Microsoft 365 Business Standard/Premium lub Office 365 E3/E5 — plan musi wspierać synchronizację Entra ID

Czym jest wdrożenie hybrydowe Exchange

Wdrożenie hybrydowe (ang. Exchange Hybrid Deployment) to konfiguracja, w której lokalna organizacja Exchange oraz Exchange Online (część Microsoft 365) funkcjonują jako jedno logiczne środowisko. Z perspektywy użytkownika końcowego nie ma znaczenia, czy jego skrzynka znajduje się na serwerze w firmowej serwerowni, czy w chmurze Microsoft — książka adresowa (GAL), kalendarze (free/busy), podpowiedzi MailTips i Outlook Web App działają spójnie.

Kluczowa różnica względem innych typów migracji (cutover, staged, IMAP) polega na tym, że hybryda tworzy trwałą federację między Active Directory on-premises a Microsoft Entra ID. Dzięki temu:

• Obiekty użytkowników synchronizowane są dwukierunkowo (zapis z chmury nie wraca do lokalnego AD, ale odczyt atrybutów działa w obie strony)
• Przepływ poczty między środowiskami korzysta z wewnętrznych konektorów, więc wiadomości traktowane są jako wewnętrzne (zachowują formatowanie RTF, sygnatury, a reguły transportowe działają spójnie)
• Przenoszenie skrzynek (tzw. mailbox move) odbywa się zdalnie — użytkownik może pracować bez przerwy, a końcowa synchronizacja trwa sekundy

Obsługiwane wersje Exchange w 2026 roku

⚠ Exchange 2016 i 2019 zakończyły wsparcie techniczne 14 października 2025 roku. Microsoft nie wydaje już poprawek bezpieczeństwa dla tych wersji. Jedyną wspieraną ścieżką dla środowisk on-premises jest Exchange Server Subscription Edition (SE) — wydany jako następca i binarnie identyczny z Exchange 2019 CU15, ale z nowym modelem licencjonowania subskrypcyjnego. Aktualizacja z 2019 CU14/CU15 do SE to in-place upgrade — nie wymaga migracji skrzynek ani reinstalacji.

Wymagania wstępne — lista kontrolna

Przed uruchomieniem Hybrid Configuration Wizard musisz spełnić następujące warunki. Pominięcie dowolnego punktu zatrzyma kreator lub spowoduje niestabilne działanie hybrydy.

1. Exchange on-premises — minimalna wersja

• Exchange 2019 CU14 lub CU15 z najnowszą poprawką bezpieczeństwa (SU) — lub Exchange Server SE
• Minimum jedna rola Mailbox (w SE łączy funkcje Client Access i Mailbox)
• Jeśli używasz Edge Transport — zaktualizowany do tej samej wersji CU co serwery Mailbox

2. Microsoft 365 — odpowiedni plan

3. Domeny niestandardowe

• Wszystkie domeny SMTP używane w organizacji muszą być zweryfikowane i dodane w portalu Microsoft 365
• Każda domena wymaga potwierdzenia własności przez wpis TXT w publicznym DNS

4. Microsoft Entra Connect (dawniej Azure AD Connect)

• Zainstalowany na serwerze Windows Server 2019/2022 (osobny serwer, nie kontroler domeny)
• Synchronizacja hashy haseł (PHS) lub Active Directory Federation Services (AD FS) — PHS jest prostsze i wystarcza dla większości organizacji
• Obiekty użytkowników muszą być synchronizowane z lokalnego AD do Entra ID — bez tego HCW nie przejdzie walidacji

5. Autodiscover w publicznym DNS

• Rekord autodiscover.twojadomena.pl → wskazuje na publiczny IP lokalnego serwera Exchange (lub reverse proxy)
• Exchange Online używa Autodiscover do lokalizowania skrzynek on-premises — bez poprawnego Autodiscover hybryda nie działa

6. Certyfikat SSL

• Wystawiony przez zaufane publiczne CA (DigiCert, Sectigo, Let's Encrypt)
• W polu Subject Alternative Name (SAN) musi zawierać co najmniej: mail.twojadomena.pl, autodiscover.twojadomena.pl
• Nazwa podmiotu (Subject) certyfikatu musi być identyczna na wszystkich serwerach Exchange uczestniczących w hybrydzie

7. Zapora sieciowa — protokoły i porty

Pełna lista adresów IP i URL Exchange Online znajduje się w oficjalnym dokumencie Microsoft: Microsoft 365 URLs and IP address ranges.

Przebieg migracji hybrydowej — proces krok po kroku

Poniższa ścieżka zakłada scenariusz klasycznej hybrydy pełnej (Full Hybrid). Wariant Minimal Hybrid pomija niektóre funkcje (np. free/busy, MailTips), ale dla standardowej migracji z koegzystencją zawsze wybieraj Full Hybrid.

Krok 1: Przygotowanie środowiska on-premises

1. Zaktualizuj Exchange do minimum 2019 CU14 lub wykonaj in-place upgrade do Exchange Server SE.
2. Zweryfikuj kondycję organizacji: Get-ExchangeServer | Format-List Name, Edition, AdminDisplayVersion — wszystkie serwery muszą mieć tę samą wersję CU.
3. Skonfiguruj wirtualne katalogi (EWS, OWA, Autodiscover) z poprawnymi wewnętrznymi i zewnętrznymi URL-ami.
4. Zainstaluj i przypisz certyfikat SSL do usług IIS i SMTP.
5. Uruchom Microsoft Remote Connectivity Analyzer (testconnectivity.microsoft.com) — test Autodiscover i EWS musi przejść pomyślnie.

Krok 2: Konfiguracja Microsoft 365 i Entra Connect

1. W portalu Microsoft 365 dodaj i zweryfikuj wszystkie domeny.
2. Zainstaluj Microsoft Entra Connect na dedykowanym serwerze, skonfiguruj synchronizację PHS.
3. Po pierwszej synchronizacji sprawdź w Entra ID, czy użytkownicy mają atrybut userPrincipalName zgodny z domeną zweryfikowaną w Microsoft 365.
4. Przypisz licencje Exchange Online użytkownikom, którzy będą migrowani (możesz to zrobić grupowo przez dynamiczne grupy).

Krok 3: Uruchomienie Hybrid Configuration Wizard

1. Pobierz HCW z poziomu Exchange Admin Center (EAC): Hybryda → Konfiguruj — kreator pobierze się jako aplikacja klikalna (ClickOnce).
2. Zaloguj się kontem Global Administrator dla dzierżawy Microsoft 365 i kontem z grupą Organization Management w Exchange on-premises.
3. Wybierz typ konfiguracji: Full Hybrid.
4. Wskaż certyfikat SSL do zabezpieczonego transportu poczty.
5. Wybierz domeny do włączenia w hybrydzie.
6. Skonfiguruj przepływ poczty — wybierz, czy ruch wychodzący do internetu ma iść bezpośrednio z Exchange Online, czy przez serwery on-premises (tzw. Centralized Mail Transport).
7. Zatwierdź — HCW automatycznie utworzy:
   • Konektory Send/Receive po stronie on-premises i Exchange Online
   • Relację organizacyjną (Organization Relationship)
   • Konfigurację OAuth między on-premises a Entra ID
   • Dedykowaną aplikację hybrydową Exchange w Entra ID (od wersji HCW 2024+)

Cały proces kreatora trwa 30–60 minut. Po zakończeniu zapisz log z %UserProfile%\AppData\Roaming\Microsoft\Exchange Hybrid Configuration.

Krok 4: Testowanie i pierwsze migracje skrzynek

1. Przetestuj przepływ poczty: wyślij wiadomości w obie strony (on-prem → cloud, cloud → on-prem), sprawdź nagłówki — powinny zawierać X-MS-Exchange-Organization-Hybrid.
2. Przetestuj free/busy: użytkownik on-premises sprawdza dostępność użytkownika w chmurze i odwrotnie.
3. Przeprowadź migrację testową — wybierz skrzynkę IT (niewielką, <1 GB):
   • EAC → Migracja → Przenieś skrzynkę pocztową do Exchange Online
   • Wybierz "Batch migracyjny", skonfiguruj powiadomienia
   • Po synchronizacji użytkownik może pracować — końcowe przełączenie trwa <1 minuty
4. Po udanej migracji testowej zaplanuj migrację wsadową dla pozostałych użytkowników — grupowo, dział po dziale.

Najczęstsze problemy i ich rozwiązania

"HCW nie przechodzi walidacji Active Directory — brak synchronizacji obiektów"

Przyczyna: Entra Connect nie zsynchronizował użytkowników do Entra ID lub userPrincipalName nie pasuje do zweryfikowanej domeny.

Rozwiązanie: Sprawdź w portalu Entra ID, czy użytkownicy mają źródło "Windows Server AD". Uruchom Start-ADSyncSyncCycle -PolicyType Delta i poczekaj na zakończenie synchronizacji. Zweryfikuj UPN — jeśli użytkownicy mają @domena.local, dodaj alternatywny sufiks UPN (@twojadomena.pl) w Active Directory Domains and Trusts i zmień go użytkownikom.

"Certyfikat SSL odrzucony — błąd połączenia TLS między Exchange Online a on-premises"

Przyczyna: Certyfikat nie zawiera nazwy autodiscover.twojadomena.pl w SAN lub został wystawiony przez wewnętrzne CA.

Rozwiązanie: Hybryda bezwzględnie wymaga certyfikatu od publicznego CA — certyfikaty self-signed i wystawione przez wewnętrzne PKI nie są akceptowane przez Exchange Online. Wygeneruj nowy CSR, uzyskaj certyfikat z poprawnym SAN i przypisz go do usług IIS i SMTP przez Enable-ExchangeCertificate.

"Skrzynka migruje się nieskończenie długo — status 'Syncing' od wielu godzin"

Przyczyna: Duża skrzynka (>10 GB), przeciążona sieć lub ograniczenia przepustowości (throttling) w Exchange Online.

Rozwiązanie: Sprawdź postęp przez Get-MoveRequestStatistics. Jeśli prędkość jest niska, zwiększ limit równoczesnych migracji (Set-MigrationConfig -MaxConcurrentMoves 10). Dla dużych skrzynek (50+ GB) rozważ wcześniejsze włączenie archiwizacji online i przeniesienie starszych elementów. Migracje przez MRS (Mailbox Replication Service) mają domyślną przepustowość ograniczoną — można ją zwiększyć w pliku MSExchangeMailboxReplication.exe.config.

"Po migracji użytkownik nie widzi kalendarzy współpracowników on-premises"

Przyczyna: Relacja organizacyjna (Organization Relationship) nie została poprawnie skonfigurowana przez HCW lub OAuth nie działa.

Rozwiązanie: Sprawdź konfigurację: Get-OrganizationRelationship | Format-List. Upewnij się, że poziom dostępu do free/busy jest ustawiony na AvailabilityOnly lub LimitedDetails. Uruchom ponownie HCW i wybierz opcję aktualizacji istniejącej konfiguracji — kreator naprawi brakujące elementy.

"Autodiscover działa lokalnie, ale Exchange Online go nie znajduje"

Przyczyna: Publiczny rekord DNS autodiscover wskazuje na nieprawidłowy adres IP lub zapora blokuje ruch HTTPS z zakresów IP Exchange Online.

Rozwiązanie: Sprawdź rozwiązywanie DNS z zewnątrz (nslookup autodiscover.twojadomena.pl 8.8.8.8). Użyj Microsoft Remote Connectivity Analyzer — test "Outlook Autodiscover" pokaże dokładny punkt awarii. Upewnij się, że zapora przepuszcza TCP/443 z adresów IP Exchange Online (pełna lista w dokumencie Microsoft 365 IP ranges).

Hybrid vs cutover vs staged — którą ścieżkę wybrać?

Kiedy wybrać hybrydę:

• Masz ponad 2000 skrzynek — cutover odpada
• Potrzebujesz koegzystencji — część działu zostaje on-premises (np. ze względów compliance)
• Chcesz migrować stopniowo, z pełną kontrolą — możesz wycofać pojedynczą skrzynkę z powrotem na on-premises
• Twój Exchange to 2019 (zaktualizowany) lub SE — spełniasz wymagania techniczne

Częste pytania

Czy po przejściu na hybrydę muszę docelowo usunąć wszystkie serwery Exchange on-premises?

Nie jest to wymagane. Wiele organizacji utrzymuje hybrydę jako stan docelowy — np. serwer Exchange on-premises do zarządzania atrybutami użytkowników (źródłem autorytatywnym pozostaje lokalne AD), jako przekaźnik SMTP dla aplikacji firmowych (kopiarki, ERP) albo ze względów zgodności (dane muszą pozostać w kraju). Jeśli jednak planujesz całkowitą rezygnację z infrastruktury on-premises, po przeniesieniu wszystkich skrzynek i usunięciu konektorów hybrydowych możesz zlikwidować ostatni serwer Exchange — pod warunkiem, że atrybuty użytkowników zarządzasz przez Entra Connect.

Czy do hybrydy potrzebuję subskrypcji Microsoft 365 z Exchange Online Plan 2?

Nie. Wszystkie plany Microsoft 365 zawierające Exchange Online (Business Basic/Standard/Premium, E1/E3/E5, Frontline) wspierają wdrożenie hybrydowe. Plan 1 Exchange Online w zupełności wystarcza do migracji i koegzystencji. Plan 2 przydaje się, gdy potrzebujesz nielimitowanego archiwum online (In-Place Archive z auto-rozszerzaniem) lub zaawansowanych funkcji DLP i eDiscovery — ale sama konfiguracja hybrydy działa identycznie na każdym planie.

Czy mogę skonfigurować hybrydę, jeśli mój Exchange 2016 działa, ale nie mogę go zaktualizować do Exchange SE?

Od października 2025 Exchange 2016 nie otrzymuje już poprawek bezpieczeństwa. Hybryda technicznie może działać z Exchange 2016, ale Microsoft nie gwarantuje już jej wsparcia — HCW może ostrzegać o nieobsługiwanej wersji, a w przypadku problemów support Microsoftu nie pomoże. Rekomendowaną ścieżką jest aktualizacja do Exchange 2019 CU14/CU15 (legacy upgrade), a następnie in-place upgrade do Exchange Server SE. Jeśli środowisko jest małe i proste, nowa instalacja Exchange SE + hybryda może być szybsza niż skomplikowany upgrade wieloetapowy.

Czy ruch poczty między Exchange Online a on-premises jest szyfrowany?

Tak. Hybrid Configuration Wizard automatycznie konfiguruje konektory Send/Receive z wymuszeniem TLS 1.2 (a w Exchange SE również TLS 1.3). Certyfikat, który wskazujesz w kreatorze, jest używany do wzajemnego uwierzytelnienia — Exchange Online weryfikuje nazwę podmiotu i SAN certyfikatu przed nawiązaniem połączenia SMTP. Oznacza to, że każda wiadomość przesyłana między środowiskami jest szyfrowana end-to-end na poziomie transportu.

Jak długo trwa migracja 1000 skrzynek przez hybrydę?

Przy założeniu średniej skrzynki 2 GB, 10 równoczesnych migracji i stabilnej przepustowości sieci (min. 100 Mbps) — od 1 do 2 tygodni. Rzeczywisty czas zależy od wielkości skrzynek, obciążenia serwerów i limitów throttlingu Exchange Online (domyślnie do 150 GB dziennie na organizację). Zalecana strategia: migruj falami po 50–100 użytkowników, zaczynając od zespołu IT (pilotaż), potem działami o najniższym obciążeniu krytycznym.

Co z urządzeniami mobilnymi (ActiveSync) po migracji skrzynki?

Hybrid Configuration Wizard domyślnie włącza przekierowanie ActiveSync. Gdy skrzynka zostanie przeniesiona do Exchange Online, serwer on-premises odpowiada do klienta mobilnego kodem HTTP 451 (redirect), a urządzenie automatycznie aktualizuje profil, wskazując na Exchange Online. Działa to dla większości klientów ActiveSync (iOS Mail, Outlook Mobile, Samsung Email). Starsze klienty, które nie obsługują HTTP 451, będą wymagały ręcznego przeprofilowania.

Czy potrzebuję licencji na Exchange Server SE, jeśli zostawię jeden serwer jako hybrydowy punkt końcowy?

Tak — Exchange Server SE jest objęty nowym modelem licencjonowania subskrypcyjnego. Bez aktywnej subskrypcji serwer przestaje działać po okresie próbnym. Microsoft udostępnia jednak bezpłatną licencję hybrydową (Hybrid Free License) dla organizacji, które używają Exchange wyłącznie jako punktu końcowego hybrydy i nie hostują na nim aktywnych skrzynek użytkowników. Kluczowe: na serwerze objętym bezpłatną licencją nie mogą znajdować się żadne skrzynki użytkowników — tylko skrzynki systemowe i administracyjne.

Planujesz migrację do Microsoft 365? Potrzebujesz licencji

Każdy użytkownik Exchange Online potrzebuje legalnej licencji Microsoft 365 — bez niej usługa nie zostanie aktywowana. Niezależnie od tego, czy migrujesz 10 skrzynek czy 1000, zacznij od przypisania planu w portalu administracyjnym Microsoft 365.

W KluczeSoft.pl znajdziesz trwale przypisane, legalne licencje Microsoft 365 w cenach nawet 70% niższych od oficjalnego cennika Microsoftu — w pełni zgodne z prawem UE na mocy orzeczenia Trybunału Sprawiedliwości UE w sprawie UsedSoft (C-128/11). Każdy użytkownik hybrydy może używać zarówno subskrypcji Business, jak i Enterprise — w zależności od potrzeb organizacji.

→ Microsoft 365 Business Standard — już od 59 zł / wieczysta → Office 365 E3 — dla firm i instytucji

Artykuł ma charakter informacyjny. KluczeSoft.pl jest niezależnym sprzedawcą oprogramowania i nie jest powiązany z Microsoft Corporation. Microsoft, Exchange, Microsoft 365 i Office 365 są zastrzeżonymi znakami towarowymi Microsoft.

Powiązane artykuły

• Migracja Exchange 2016 on-premises do Exchange Online — kompletny poradnik 2026 — Exchange Server 2016 osiągnął koniec wsparcia rozszerzonego (End of Extended Support) 14 października 2025 roku.
• Migracja hybrydowa Exchange 2019 do Exchange Online — kompletny poradnik krok po kroku (2026) — Exchange Server 2019 osiągnął koniec rozszerzonego wsparcia (Extended End of Support) 14 października 2025 roku.
• Migracja z Exchange 2016 do Exchange Online — kompletny plan krok po kroku (2026) — Exchange Server 2016 wszedł do głównego nurtu wsparcia 1 października 2015 r., a jego zakończenie nastąpiło 13 października 2020 r.
• Migracja z IMAP/POP3 do Exchange Online — kompletny przewodnik krok po kroku (2026) — Zanim rozpoczniesz migrację, musisz wiedzieć, z jakim protokołem pracuje Twoje źródłowe konto pocztowe.
• Exchange Online vs Exchange On-Premises — porównanie 2026: koszty, funkcje, bezpieczeństwo i co wybrać — Exchange Online to w pełni zarządzana usługa poczty elektronicznej hostowana w chmurze Microsoft.