Microsoftは2026年3月24日、Microsoft Graph APIを利用するアプリが送信済みメッセージの「機密プロパティ」を更新する際に、新たな権限の取得と管理者の同意が必要になると発表した。変更は2026年12月31日から適用される。
「機密プロパティ」とは何か
Graph APIのメッセージ更新エンドポイントには、更新可能なプロパティと、下書き(isDraft=true)の状態でしか変更できない機密プロパティが存在する。機密プロパティとは、送信者がメッセージを送った後は変更されるべきでないとMicrosoftが定義するもので、具体的には以下が含まれる。
- 宛先(To/CC/BCC)
- 本文(Body)
- 件名(Subject)
一方、カテゴリ、フォローアップフラグ、重要度などは引き続き Mail.ReadWrite 権限のみで変更可能だ。
なぜこの変更が必要なのか
送信済みメッセージに後から受信者を追加しても、実際にはそのアドレスにメールが届くわけではない。しかし、メッセージを見た人間はその受信者がメールを受け取ったと誤解するリスクがある。これはeDiscovery(電子証拠開示)やコンプライアンスの観点から重大な問題となりうる。
こうした悪用や意図しない変更を防ぐため、Microsoftは機密プロパティの更新に追加の権限を要求することにした。
新しく必要になる権限
2026年12月31日以降、機密プロパティを更新するには以下の**高度メールアクセス権限(Advanced Mail Access Permission)**のいずれかが必要になる。
権限名 対象
Mail-Advanced.ReadWrite
委任アクセス(Delegated)
Mail-Advanced.ReadWrite.All
通常メールボックスへのアプリアクセス
Mail-Advanced.ReadWrite.All.Shared
共有メールボックスへのアプリアクセス
現時点では Mail-Advanced.ReadWrite.All のみがEntra管理センターから確認・付与できる状態となっている。
テナント管理者が今すぐやるべきこと
サードパーティ製を含め、Graph APIでメッセージ操作を行うアプリを利用しているテナントは、以下を確認する必要がある。
- アプリが送信済みメッセージの機密プロパティを更新していないかを調査する
- 更新している場合は、新しい高度メールアクセス権限を割り当て、管理者の同意を付与する
- 対応が間に合わない場合、2027年1月以降にアプリが動作しなくなる可能性がある
カスタマーサポートの受信メールをカテゴリ分けするようなアプリは Mail.ReadWrite のままで問題ないが、本文や宛先を書き換えるような処理が含まれる場合は即座に対応が必要だ。日本のMicrosoft 365テナントでも同様に影響を受けるため、社内開発・外部調達を問わずアプリの棚卸しを推奨する。
元記事: Microsoft Limits App Access to Sensitive Message Properties