SharePointを業務の中核に置いている組織にとって、2026年春は「静かな地雷原」になりつつある。レガシー認証方式であるIDCRL(Identity Claims-based authentication Runtime Library)が2026年5月1日をもって完全廃止される。すでにSharePoint Add-InとAzure ACSは4月2日に廃止済みであり、猶予期間は事実上ほぼ残っていない。

何が廃止されるのか

今回の廃止は三段階で構成されている。

第一弾(完了済み): SharePoint Add-InおよびAzure ACS(Access Control Service)が2026年4月2日に廃止。古いアドイン型の連携ソリューションは、この時点でアクセスが停止している可能性がある。

第二弾(4月中): 情報管理ポリシー(Information Management Policy)、インプレース・レコード管理(In-Place Records Management)などのコンプライアンス機能が順次廃止。これらはMicrosoft Purviewへの移行が必須となる。

第三弾(5月1日): IDCRL認証自体が完全廃止。IDCRLはSharePoint Onlineに対してユーザー名とパスワードで認証するレガシーな仕組みで、古いPowerShellスクリプト、カスタムアプリ、サードパーティ連携ツールの多くがこれに依存している。

なぜ今これが重要か

IDCRLの廃止が特に日本のIT現場に響く理由は、「動いているから問題ない」という思い込みで長年放置されてきたスクリプト群が多数存在するからだ。SharePoint Onlineと連携するPowerShellの自動化、社内ポータルからのドキュメント取得処理、外部ベンダーが数年前に納品したカスタムソリューション——これらのどこかにIDCRLが潜んでいないか、今すぐ棚卸しが必要だ。

セキュリティの観点からも、IDCRLはゼロトラスト・アーキテクチャとは相容れない旧世代の認証モデルだ。常時アクセス権の付与や単純なパスワード認証への依存は、現代のセキュリティ要件では許容できない。廃止は「終わり」ではなく、正しい方向への押し出しと捉えるべきだろう。

移行先と対処方法

認証まわりの移行

IDCRLに依存している連携処理は、Entra ID(Azure AD)のOAuth 2.0 / OpenID Connectベースの認証に切り替える必要がある。具体的には以下のいずれかを選択する。

  • PnP PowerShell: Connect-PnPOnline でEntra IDアプリ登録を使ったモダン認証に対応している。古いSPO管理シェルでユーザー名・パスワードを直打ちしているスクリプトは全滅と考えてよい
  • Microsoft Graph API: SharePointのデータにアクセスするなら、今後はGraph APIが標準経路。アプリケーション権限(クライアントクレデンシャル)またはデリゲート権限(ユーザー代理)のどちらを使うか、要件に合わせて設計する
  • SharePoint REST API / CSOM: モダン認証トークン(Bearer Token)と組み合わせれば引き続き使用可能

コンプライアンス機能の移行

In-Place Records ManagementやInformation Management Policyを使っていた場合は、Microsoft Purviewのレコード管理に移行する。保持ラベル(Retention Labels)と保持ポリシー(Retention Policies)を使うことで、より細かい制御と監査ログが得られる。

実務への影響と確認ポイント

移行対応の優先度を決めるために、以下を今週中に確認してほしい。

  • Entra IDのサインインログを確認: KindOfTokenUsed = LegacyClientAppUsed = IDCRL でフィルタリングすると、まだIDCRL認証を使っているアプリが特定できる
  • PowerShellスクリプトの棚卸し: -Credential パラメーターでユーザー名・パスワードを直接渡しているスクリプトは要注意
  • サードパーティ製品のバージョン確認: SharePoint連携を持つ製品(DMS、ワークフローツール等)のベンダーにモダン認証対応状況を確認する
  • Azure ACS連携の確認: 4月2日廃止分が既に影響していないか、実際に動作確認を行う

筆者の見解

IDCRL廃止は、正直「なぜ今まで残っていたのか」と思うくらい遅すぎた決断だ。OAuth/OIDCが業界標準になって久しい中で、レガシー認証の延命措置が長年続いてきた。

ただ、問題は廃止のタイミングではなく、現場での認知度の低さにある。SharePoint Add-Inの廃止は何年も前からアナウンスされていたにもかかわらず、いざ廃止されて初めて騒ぎ出す企業が後を絶たない。今回のIDCRL廃止も同じパターンになりそうで、そこは心配だ。

MicrosoftがIDCRLを廃止しモダン認証に一本化しようとしている方向性は正しい。セキュリティの近代化という大きな流れで見れば、この変更はゼロトラスト推進の一環として評価できる。現場が追いつけるよう、もう少し丁寧なコミュニケーションと移行支援ツールの充実を期待したいところだが、技術的な方向性としては間違っていない。

5月1日まで残り時間は少ない。「動いているから大丈夫」は今すぐ封印して、棚卸しを始めよう。

出典: この記事は Legacy SharePoint Authentication (IDCRL) Is Retiring — What to Do Before May 1, 2026 の内容をもとに、筆者の見解を加えて独自に執筆したものです。