Exchange Online を使い続けているすべての組織に関係する話だ。Microsoft が Exchange Web Services(EWS)の完全廃止スケジュールを正式に発表し、カウントダウンが始まった。2027年5月の最終撤廃に向けて、2026年10月という「最初の壁」が迫っている。バックアップ製品、メールボックス移行ツール、社内開発のスクリプト——EWS に依存した仕組みを持つ組織は、今すぐ棚卸しを始める必要がある。

EWS とは何か、なぜ今廃止されるのか

Exchange Web Services は約20年前に設計されたプロトコルだ。当時はオンプレミスの Exchange サーバーが主流で、ISV やサードパーティ開発者がメールボックスにアクセスする手段として事実上の標準となった。バックアップ製品、メールボックスのインポート・エクスポートユーティリティ、監査ツール——ありとあらゆる用途に EWS が使われてきた歴史がある。

しかし、クラウド時代のセキュリティ要件と照らし合わせると、EWS は設計思想そのものが古すぎる。Microsoft Graph API という現代的な代替手段が整備された今、20年前のプロトコルをクラウドサービスで維持し続けるコストとリスクは正当化できない、というのが Microsoft の判断だ。

廃止タイムライン:3つのフェーズを把握せよ

廃止は段階的に進む。整理すると以下のとおりだ。

2026年10月:EWS の無効化開始 テナントの EWSEnabled プロパティが True から False に変更され、EWS によるアクセスがブロックされる。ただしこのフェーズでは、管理者が設定を Null(デフォルト)または True に戻すことで EWS を再び有効化できる。完全に手を縛られるわけではない。

2027年4月1日:永続的な無効化の開始 この日から EWS の恒久的な無効化プロセスが始まる。数十万台に上る Exchange Online メールボックスサーバー全体への設定反映には時間がかかるため、プロセス自体は数週間かかる見込みだ。「4月1日以降は EWS が使えると思わないこと」と Microsoft は明言している。

2027年5月:完全撤廃完了 すべての Exchange Online サーバーから EWS が削除される。ここがゴールだ。

アローリストと EWSApplicationAccessPolicy の関係

2026年10月の無効化フェーズ前に、Microsoft は各テナントで実際に EWS を使っているアプリを観測してアローリスト(許可リスト)を自動生成する予定だ。このアローリストは既存の EWSApplicationAccessPolicy より優先される。

重要なのは、「Microsoft がリストを作ってくれるから安心」と思わないことだ。アプリが何をしていて、誰が使っているかを把握するのは管理者の責任だ。Microsoft 365 管理センターの EWS 使用状況レポートを今のうちに確認し、組織内の EWS 依存アプリを自分の手でリストアップしておくことを強く勧める。

Graph API への移行:何がそろっていて、何がまだか

EWS の置き換えは Microsoft Graph API だ。この数ヶ月で Microsoft は Exchange Admin API(Exchange PowerShell コマンドレットのラッパー)と Graph userConfiguration API をリリースし、移行の受け皿を整備してきた。

ただし、まだギャップが残っている。現時点で Graph API がカバーしきれていない主な領域として、アーカイブメールボックスパブリックフォルダーが挙げられる。EWS の機能がすべて Graph に移植されるかどうかは現時点では不明だ。また、提供中の一部 API がまだベータエンドポイント/beta)止まりであることも課題だ。ベータエンドポイントの API は事前通知なく変更・廃止される可能性があり、本番システムへの組み込みには向かない。ISV や社内開発チームは、依存している API が V1.0 エンドポイントに昇格するタイミングを注視してほしい。

実務への影響:日本の IT 管理者・エンジニアが今やるべきこと

今すぐ着手すべき棚卸し

  • Microsoft 365 管理センターで EWS 使用状況レポートを確認する
  • バックアップ製品・アーカイブ製品・メール移行ツールのベンダーに「EWS 廃止対応状況」を問い合わせる
  • 社内スクリプト・PowerShell 自動化ツールで EWS を直接呼んでいるものを洗い出す
  • ISV 製品については、2026年10月までに Graph API 対応バージョンへのアップグレードパスを確認する

2026年前半に対応完了させる

10月の無効化前には十分なバッファが必要だ。テスト環境での検証、本番展開、ユーザー影響確認まで含めると、遅くとも2026年夏には対応が完了していないと危ない。「4月になってから考える」は禁物だ。

オンプレミス Exchange は対象外

今回の廃止は Exchange Online に限定される。ハイブリッド構成で Exchange Server オンプレミスを引き続き運用している場合、そちらの EWS は影響を受けない。ただし、移行先として Graph API を採用するなら、オンプレミス側の長期戦略も合わせて検討しておくことを勧める。

筆者の見解

EWS の廃止方針そのものは正しい判断だと思っている。20年前のプロトコルをクラウドネイティブな環境で維持し続けることには無理があるし、セキュリティリスクの観点からも早期の移行は理にかなっている。

問題は移行先の Graph API がまだ道半ばであることだ。アーカイブメールボックスやパブリックフォルダーへの対応、ベータエンドポイントの V1.0 昇格——これらが2026年10月の無効化フェーズに間に合わなければ、現場の管理者は「移行したくても移行できない」状態に追い込まれる。Microsoft には、廃止スケジュールを守ることと同じくらい、移行先の整備を並走させることを求めたい。タイムラインを引けるのだから、API 完成度のロードマップも同じ精度で示してほしいところだ。

現場のエンジニアに伝えたいのは、「アローリストが自動生成されるから大丈夫」という受け身の姿勢は危険だということだ。機械的にリストアップされたアプリが何をしているかを理解しているのは、最終的に組織の中の人間だけだ。今のうちに EWS 依存の棚卸しを自分たちの手でやっておくことが、2027年に向けた最大のリスクヘッジになる。

出典: この記事は The Final Countdown to Remove EWS from Exchange Online Begins の内容をもとに、筆者の見解を加えて独自に執筆したものです。