Exchange OnlineのEWS（Exchange Web Services）が2026年10月からブロック開始——Microsoft Graphへの移行期限を見逃すな

MicrosoftはExchange Online上のExchange Web Services（EWS）について、2026年10月1日よりブロックを段階的に開始し、2027年4月1日に完全廃止することを正式に発表した。長年にわたりメール・予定表・連絡先の自動処理を支えてきたEWSが、ついに終焉を迎える。

EWS廃止のスケジュールと何が起きるか

今回発表されたタイムラインは以下のとおりだ。

• 2026年8月末まで: AppID AllowListおよびEWSEnabled=Trueの設定が必要（猶予期間）
• 2026年10月1日: EWSの段階的ブロック開始。管理者が明示的に許可リストを設定していない限り、EWSリクエストはすべて拒否される
• 2027年4月1日: 完全廃止。再有効化は不可

重要な点として、Exchange Server（オンプレミス）はこの変更の対象外だ。影響を受けるのはExchange Onlineのみである。

管理者が何もしなければ、MicrosoftがテナントのEWS設定を自動的にEWSEnabled=Falseに変更する。その結果、EWSに依存するカスタムアプリやベンダー製品がサイレントに動作停止する。

「スクリームテスト」——気づかせるための仕掛け

興味深いのが「Scream Test（悲鳴テスト）」という手法だ。Microsoftは2026年10月より前に、一時的にEWSを無効化するテストを実施する可能性があるとしている。これはEWSへの依存関係を炙り出すための意図的な障害演出であり、管理者が事前に依存アプリを把握できるよう設計されている。

これを逆手に取って「テストが来る前に自分でEWS利用状況を洗い出す」ことが、今すぐ動くべき最大の理由だ。

移行先はMicrosoft Graph一択

代替APIとなるMicrosoft Graphは、EWSが提供していたほぼすべての機能をカバーしている。メール送受信・予定表操作・連絡先管理・添付ファイル処理——EWSで実現していたユースケースはGraph APIで置き換えられる。

さらにGraph APIはモダン認証（OAuth 2.0 / Azure AD）を前提としており、セキュリティ面でも旧来のEWS＋Basic認証の組み合わせより大幅に強固だ。

実務での対応ステップ

IT管理者がすぐに着手すべきことを整理する。

Step 1: EWS利用状況の棚卸し Microsoft 365管理センターの診断ツール、またはMicrosoftが提供するPowerShellスクリプトを使い、テナント内のEWSリクエスト発生元（AppID）を特定する。見落としやすいのはレガシーな社内ツール、サードパーティのシステム連携アダプター、古いバックアップソフトなどだ。

Step 2: 移行可否の判断 EWSを使っているアプリをGraph API対応版にアップデートできるか確認する。ベンダー製品の場合は、対応版リリース予定をサポートに問い合わせること。自社開発ツールはGraph SDKへの書き換えが必要だ。

Step 3: どうしても移行できないアプリの一時延命 2026年10月以降も一時的にEWSが必要な場合は、AppID AllowListに対象アプリを登録し、EWSEnabled=Trueを設定する。この設定は2026年8月末までに完了させておくこと。2027年4月以降はこの延命措置も使えなくなる。

Step 4: 内部への周知 特に「知らないうちに誰かが使っていた」パターンが一番危険だ。IT部門だけでなく、業務部門が独自に導入しているRPA・マクロ・連携ツールにEWSが含まれていないか確認を依頼する。

筆者の見解

EWSは2009年にExchange 2007向けに登場した古いAPIであり、廃止そのものは遅すぎるくらいだ。Basic認証廃止に続くモダン認証への移行の流れとしても、方向性は正しい。Graph APIへの一本化によって、セキュリティ管理の煩雑さは確実に減る。

ただし問題は「10月」という期限の切迫感だ。現時点（2026年6月）から猶予は実質2ヶ月しかない。EWSへの依存状況を棚卸しして、ベンダーへの問い合わせをして、移行計画を立てて——これを2ヶ月でこなすのは、規模の大きな組織ほどきつい。

Microsoftがこのタイミングでスクリームテストを予告しているのは、ある種の親切心でもある。「先に気づかせてあげる」というアプローチ自体は評価できる。ただ、もう少し早い段階でより大きな声でアナウンスしてほしかった、というのが正直なところだ。同様の移行（Basic認証廃止など）で何度も痛い目を見た企業が、今回も「知らなかった」となる前に、管理者は今すぐ動くべきだ。

Graph APIへの移行は手間がかかるが、一度やりきれば認証・権限管理・監査ログが統一されて運用が楽になる。この機会を「コスト」ではなく「技術的負債の返済」として捉え、前向きに対処することを強くお勧めする。

出典: この記事は Exchange Web Services (EWS) Retirement Update – October 2026 Block Begins の内容をもとに、筆者の見解を加えて独自に執筆したものです。