Microsoft は2026年5月のメッセージセンター通知 MC1315220 で、Exchange Online 組織構成のオプション更新を発表した。この更新を適用すると、OWA(Outlook on the Web)のクライアントサイドDLPチェックが Exchange Online ベースの処理から、ワークロード横断型の データ分類サービス(Data Classification Services:DCS) に切り替わる。一見シンプルな近代化対応だが、既存の DLP ポリシーに Exchange 固有の条件が含まれている環境ではポリシーが意図どおりに動かなくなるリスクがある。

Exchange DLP の歴史と二層構造

Exchange Server 2013 で初めて実装された DLP は、メールがトランスポートパイプラインを通過する際にルールチェックを行う方式だった。この仕組みは Exchange 2019・Exchange SE でも現在も使われている。

Exchange Online ではこの基盤が Microsoft 365 へと引き継がれ、現在の Microsoft Purview DLP へと発展した。Purview DLP は今も Exchange Online のトランスポートパイプラインをバックストップとして使い、すべてのメールを通過させることでポリシー違反の検出と強制を担っている。

クライアントサイド(OWA・新しい Outlook・Outlook クラシック)でも、ユーザーがメールを作成する時点で DLP チェックを行い、DLP ポリシーヒントとして警告を表示する機能がある。ユーザーが送信前に内容を修正できるため、サーバー側での差し戻しを未然に防ぐ仕組みだ。

今回の変更:OWA のチェック主体が DCS へ

MC1315220 が提案するのは、OWA のクライアントサイドチェックを Exchange Online から DCS(データ分類サービス) に切り替えることだ。DCS はすでに「新しい Outlook」でも使われており、Teams・SharePoint Online・OneDrive for Business など複数のワークロードで共通利用されるワークロード中立型サービスである。

Microsoft がこの変更のメリットとして挙げているのは以下の2点だ。

  • カスタム過剰共有ポリシーヒント(Custom Oversharing Policy Tips)のサポート
  • Wait to Send 機能:DLP ポリシーの評価が完了するまで送信を保留する

どちらも新しい Outlook ではすでに利用可能な機能であり、今回の変更は OWA にも同様の体験を持ち込むための地ならしと言える。長期的には 2029 年に予定されている Outlook クラシックの廃止に向けた、クライアント体験統一の流れの一環だ。

見落とせないリスク:Exchange 固有の述語が効かなくなる

問題は、DCS が Exchange 専用の述語(predicates)に対応していない点だ。

Exchange のトランスポートパイプラインでは、X-ヘッダーやルーティングロジックなど、Exchange 独自の情報を参照する DLP ルール条件を設定できる。しかし DCS はワークロード中立型のため、こうした Exchange 固有のコンテキストを持たない。

以下のような環境では DCS 移行後にクライアントサイドのポリシー評価が機能しなくなる可能性がある

  • Exchange Server 時代から引き継いだ DLP ルールを使っている
  • Office 365 初期(DLP 黎明期)から設定を積み重ねてきたテナント
  • X-ヘッダーや送信経路に基づく条件をルールに含めているケース

なお、サーバーサイドのトランスポートパイプラインによるチェックは引き続き有効なため、クライアントサイドの警告が出なくなるだけで、サーバー側では依然検出・ブロックされる。しかしユーザーへの事前通知がなくなることで、エンドユーザー体験と運用負荷への影響は無視できない。

実務への影響

日本の M365 管理者が今すぐ確認すべき対応は3点ある。

1. 既存 DLP ルールの棚卸し

現在使用している DLP ポリシーに Exchange 固有の述語(X-ヘッダー、件名ルーティング条件など)が含まれているかを確認する。Microsoft Purview コンプライアンスポータルからルール一覧をエクスポートして精査するのが確実だ。

2. テスト環境での事前検証

本番適用の前に、テスト用テナントや開発環境で DCS 切り替えを試し、ポリシーヒントの動作を検証する。OWA と新しい Outlook で同じ挙動になるかも合わせて確認しておこう。

3. Outlook クラシックの扱いと移行計画

Outlook クラシックは引き続き Exchange ベースの DLP チェックを使う(DCS 未対応)。2029 年の Outlook クラシック廃止に向けた移行計画の中で、DLP の整合性確認を同時に進めておくと後が楽になる。

筆者の見解

今回の変更は Microsoft が進めるプラットフォーム統一の文脈で見れば理にかなっている。ワークロードごとにバラバラだった処理エンジンを DCS に一本化することで、Teams や SharePoint と一貫した DLP 体験が実現できる。ゴールとしての方向性は正しい。

ただ、こうした「整合性のための変更」は、長年 Exchange DLP を使い込んできた環境ほど落とし穴が深い。「今動いているから大丈夫」という判断が一番危険なパターンだということは、過去のさまざまなマイグレーション事例が教えてくれている。

「オプション更新だから後回し」ではなく、本格移行が始まる前に既存ポリシーの整理を今のうちにやっておく。これが現場に即した対応だ。DCS への統一が完成すれば、マルチワークロードでの DLP 管理は間違いなく楽になる。そのメリットを享受するためにも、道中の棚卸しを省略しないことが大切だ。

出典: この記事は Switching Data Loss Prevention Client-Side Checks for OWA の内容をもとに、筆者の見解を加えて独自に執筆したものです。