※ この記事は、Exchange Server Security Changes for Hybrid Deployments の抄訳です。最新の情報はリンク先をご確認ください。この記事は Microsoft 365 Copilot および GitHub Copilot を使用して抄訳版の作成が行われています。
Microsoft の Secure Future Initiative (SFI) の一環として、セキュリティは常に最優先事項です。SFI に沿って、Exchange Server ハイブリッド展開のセキュリティを強化するために、いくつかの変更が実施されます。本ブログ記事では、Exchange Server ハイブリッド展開に特化した現在および今後の変更について説明します。なお、組織で Exchange ハイブリッド構成を使用していない場合、本記事の内容は該当しません。
変更点 1: 専用の Exchange ハイブリッド アプリケーションへの移行
Exchange ハイブリッド展開機能 (予定表の空き時間情報の共有、メール ヒント、ユーザーのプロフィール写真の共有など、これを “リッチ共存” と呼びます) を実現にするために、Exchange Server は現在、Exchange Online と共有のアプリケーションのサービス プリンシパルを利用しています。このアプリケーションの名前は Office 365 Exchange Online で、アプリケーション ID は 00000002-0000-0ff1-ce00-000000000000 です。この構成は、ハイブリッド構成ウィザード (HCW) を初めて実行した際に設定され、Exchange Server と Exchange Online 間の通信を認証し、安全に保つために使用されます。
2025 年 4 月の更新プログラム (2025 年 4 月の HU リリース) 以降、Exchange Server はテナントの Entra ID 内に用意した専用の Exchange ハイブリッド アプリケーションを使用するよう移行を開始します。2025 年 10 月までに、リッチ共存機能を必要とするすべての既存および新規の Exchange Server ハイブリッド展開は、専用の Exchange ハイブリッド アプリケーションを使用する必要があります。この期限を過ぎると、Exchange Online サービスは共有サービス プリンシパルの使用を許可しなくなります。
専用の Exchange ハイブリッド アプリケーションを有効化および使用するためには、管理者がいくつかの変更を行う必要があります。詳細については、ドキュメント をご参照ください。
変更点 2: Exchange ハイブリッドにおける EWS 呼び出しの廃止と REST ベースの Microsoft Graph API 呼び出しへの移行
Exchange Web Services (EWS) の Exchange Online での廃止 が予定されています。Exchange ハイブリッド機能を維持するために、Exchange Server は今年後半に、Exchange Server から Exchange Online への EWS 呼び出しの代替として Microsoft Graph API のサポートを開始ます。この機能は、2025 年第 3 四半期にリリースされる Exchange Server 2019 および Exchange Server 2016 の更新プログラムを通じて提供されます。Microsoft Graph への移行に伴い、専用の Exchange ハイブリッド アプリケーションが使用する API 権限が見直され、より細かい Graph API 権限を利用するようになります。このリリースに関する追加情報を含むブログ記事およびドキュメントは、リリース時に公開される予定です。
重要: Exchange Server ハイブリッド環境で Microsoft Graph を利用するには、専用の Exchange ハイブリッド アプリ (上記の “変更点 1” を参照) が必要です。現在の共有サービス プリンシパルのアプローチは使用されなくなります。この変更は、Exchange Server (オンプレミス) での EWS API の利用可能性には影響しません。Exchange Server から Exchange Online への EWS 呼び出しが REST ベースの Microsoft Graph API 呼び出しに置き換えられます。
誰がいつ対応が必要なのか
| 組織で以下の Exchange ハイブリッド機能を使用している場合… | 実施すべきアクションは… |
|---|---|
| オンプレミスのメールボックスを持つユーザーと Exchange Online のメールボックスを持つユーザー間でリッチ共存機能 (特定の機能 : 空き時間情報の参照、メール ヒント、プロフィール写真の共有) が必要な場合 | ドキュメントに記載されている手順を必ず実施し、(2025 年 10 月までに) 専用の Exchange ハイブリッド アプリを使用するように切り替えてください。その後、(利用可能になり次第、2026 年 10 月までに) ハイブリッド構成を Graph API に切り替えてください。これらの手順を実施しない場合、リッチ共存機能が動作しなくなります。 すべてのサーバーが更新され、専用の Exchange ハイブリッド アプリを使用するようになった後、”サービス プリンシパル クリーンアップ モード“ を実行してください。 |
| その他のハイブリッド機能 (移行、SMTP リレー、受信者管理など) のみを使用しており、リッチ共存は不要な場合 | ハイブリッド構成を強化するために、提供されているスクリプトを使用して、共有の「Office 365 Exchange Online」アプリケーションから組織証明書を削除することを推奨します。”サービス プリンシパル クリーンアップ モード” の詳細はドキュメントを参照してください。 リッチ共存機能が不要な場合、専用の Exchange ハイブリッド アプリを作成する必要はありません。 |
リッチ共存機能が必要な Exchange ハイブリッド利用者は対応が必須です
ステップ 1 – Exchange ハイブリッドを共有サービス プリンシパルから専用の Exchange ハイブリッド アプリに切り替える作業を、2025 年 10 月までに実施してください。この変更は、以下の 2 つの方法で行うことができます。
- オプション 1 (推奨): 2025 年 4 月の更新プログラム (またはそれ以降) をインストールし、ConfigureExchangeHybridApplication.ps1 スクリプトを実行して、Exchange ハイブリッドを現在の “共有プリンシパル” 構成から専用の Exchange ハイブリッド アプリを使用する構成に切り替えます。詳細はドキュメントをご参照ください。
- オプション 2: 2025 年第 2 四半期に、専用の Exchange ハイブリッド アプリを構成するための更新版ハイブリッド構成ウィザード (HCW) をリリース予定です。リリース後、HCW を再実行して専用の Exchange ハイブリッド アプリを構成してください。ただし、Exchange ハイブリッドのお客様には、この更新を待たずに PowerShell スクリプトを使用して機能を構成すること (オプション 1 を参照) を推奨します。
ステップ 2 – Exchange ハイブリッドを Graph API 呼び出しに切り替え、専用の Exchange ハイブリッド アプリの権限をより細かい Graph 権限モデルに更新する作業を、2026 年 10 月までに実施してください。
- 2025 年第 3 四半期に、Exchange Server の Graph API 更新プログラムが利用可能になり次第、リッチ共存を必要とするすべてのお客様 (すでに上記のステップ 1 を実施済みの方も含む) は、Exchange 2016/2019 の更新プログラムをインストールし、専用の Exchange ハイブリッド アプリの権限をより細かい Graph API 権限モデルに切り替える必要があります。この作業は、2026 年 10 月までに完了する必要があります。詳細な手順については、リリース時に提供されるドキュメントをご参照ください。
以下の図は、ハイブリッド環境でリッチ共存を利用する組織が、上記の変更 1 および変更 2 に関連して、いつ何が必要になるかを示しています。
Exchange ハイブリッド環境でリッチ共存機能を必要とするお客様は、2025 年 4 月の更新プログラム (HU) リリースから 2025 年 10 月までの間に対応が必要です。2025 年 10 月までに専用の Exchange ハイブリッド アプリに更新し、その後 2026 年 10 月までに Graph 権限モデルに更新しない場合、オンプレミスと Exchange Online ユーザー間の空き時間情報の共有、メール ヒント、プロフィール写真の共有といった一部の Exchange ハイブリッド機能が動作しなくなります。
よくあるご質問
専用の Exchange ハイブリッド アプリを構成、ロールバック、または変更するにはどうすればよいですか?必要な権限は何ですか?
詳細な手順については、ドキュメントをご参照ください。
リッチ共存機能を必要とするハイブリッド環境のお客様が、新しい専用の Exchange ハイブリッド アプリおよび Graph 権限を使用した Exchange ハイブリッド環境に移行するための期限はいつですか?
以下の表に関連するマイルストーンを記載しています。
| マイルストーン | タイムライン | インパクト |
|---|---|---|
| Exchange Server 2025 年 4 月の更新プログラムおよび専用の Exchange ハイブリッド アプリ構成スクリプトのリリース | 現在 | Exchange Server は、スクリプトを使用して専用の Exchange ハイブリッド アプリケーションを作成することをサポートします。 専用の Exchange ハイブリッド アプリが構成されると、このバージョン以降の Exchange に更新されたサーバーはそれを使用できます。 |
| 専用の Exchange ハイブリッド アプリの作成をサポートする更新版 HCW のリリース | 2025 年第 2 四半期 | HCW を使用して専用の Exchange ハイブリッド アプリを構成します (スクリプトを使用してまだ構成していない場合)。 |
| リッチ共存機能を利用するハイブリッド環境のための Graph API 呼び出しをサポートする Exchange Server 更新プログラムのリリース | 2025 年第 3 四半期 | この更新プログラム (またはそれ以降) を使用する Exchange Server は、ハイブリッド Graph API 呼び出しをサポートします。 専用の Exchange ハイブリッド アプリをより細かい Graph 権限に切り替えます (リリース時に提供される手順に従ってください)。 |
| 共有サービス プリンシパルによる EWS 利用の Exchange Online サポート終了 | 2025 年 10 月 | リッチ共存機能 (空き時間情報、メール ヒント、プロフィール写真の共有) が必要な Exchange ハイブリッド環境をご利用のお客様は、専用の Exchange ハイブリッド アプリケーション (EWS または Graph を使用) に切り替える必要があります。 |
| Exchange Online における EWS の廃止 | 2026 年 10 月 | リッチ共存機能 (空き時間情報、MailTips、プロフィール写真の共有) が必要な Exchange ハイブリッド環境をご利用のお客様は、Graph API 権限モデルを使用する専用の Exchange ハイブリッド アプリケーションに切り替える必要があります (EWS は使用できなくなります)。 |
すべてのサーバーが専用の Exchange ハイブリッド アプリをサポートするバージョンに更新されていなくても、専用の Exchange ハイブリッド アプリを構成できますか?
はい、専用の Exchange ハイブリッド アプリを構成および有効化することも可能です。以前のバージョンの Exchange を使用しているサーバーは、引き続き以前の共有サービス プリンシパル ワークフローを使用します。新しい構成が必須となる 2025 年 10 月までに、すべてのサーバーを更新してください。専用の Exchange ハイブリッド アプリが作成および有効化されると、新しいサーバーが更新され次第、自動的に専用の Exchange ハイブリッド アプリを使用するようになります。
新しい専用の Exchange ハイブリッド アプリを構成した後、更新版の HCW がリリースされる前に HCW を再実行した場合、どうなりますか?
専用の Exchange ハイブリッド アプリケーションを構成した後、更新版 HCW がリリースされる前に HCW を再実行した場合、認証証明書 (Auth Certificate) は共有の Office 365 Exchange Online アプリケーションの Exchange Online サービス プリンシパルにアップロードされます。ただし、HCW はサーバー設定のオーバーライドを変更しないため、環境は引き続きスクリプトによって作成された専用の Exchange ハイブリッド アプリケーションを使用します。
一方で、専用の Exchange ハイブリッド アプリを構成した後にスクリプトを使用して共有サービス プリンシパルのキー資格情報を「クリーンアップ」した場合、HCW を再実行するとこの変更が元に戻されるため、再度「クリーンアップ」を実行する必要があります。
私たちの組織には多くの Exchange サーバーがあります。それぞれのサーバーに専用の Exchange ハイブリッド アプリが必要ですか?
専用の Exchange ハイブリッド アプリは、テナントの Entra ID に作成され、テナントごとに 1 回だけ構成する必要があります。すべてのオンプレミス サーバーは、2025 年 4 月の更新プログラム (HU) 以降に更新されると、この専用の Exchange ハイブリッド アプリケーションを使用できるようになります。
この変更は、Exchange Server と Exchange Online 間のメールボックス移行に影響を与えますか?
この変更は、Exchange Online と Exchange Server 間のメールボックスのオンボードまたはオフボード移行には影響を与えません。
この変更は、EWS プロトコルを使用して Exchange Online メールボックスに接続するサードパーティ アプリケーションに影響を与えますか?
この変更は、オンプレミス サーバーから Exchange Online への Exchange ハイブリッド EWS 呼び出しのみに影響します。なお、Exchange Online における EWS プロトコルの廃止 は 2026 年 10 月に予定されていますのでご注意ください。
複数テナントのハイブリッド構成 (単一のオンプレミス AD フォレストが複数の Exchange Online テナントに接続されている場合) を使用しています。どのような対応が必要ですか?
専用の Exchange ハイブリッド アプリに切り替えるスクリプトは、各テナントごとに 1 回実行する必要があります。このスクリプトは、対応する認証サーバー オブジェクトを更新し、各テナントにアプリケーションを作成する必要があるためです。最適なアプローチは、スクリプトを分割実行モードで実行し、設定オーバーライドの作成を除くすべての構成を完了することです (このオーバーライドを作成すると、Exchange Server が新しいアプリケーションを使用し始めます)。すべてのテナントで専用の Exchange ハイブリッド アプリが作成された後、スクリプトを再度実行してオーバーライドを作成し、オンプレミスの Exchange サーバーがこの機能を使用できるようにしてください。詳細については、ドキュメントをご参照ください。
専用の Exchange ハイブリッド アプリのスクリプトが新しい専用の Exchange ハイブリッド アプリに過剰な EWS 権限を割り当てることへ懸念があります
Exchange Server が Exchange ハイブリッド用の Graph API 呼び出しをサポートするように更新されると (2025 年第 3 四半期を予定)、スクリプトを更新し、より細かい Graph API 権限に置き換えるためにスクリプトを再実行するようお客様に案内する予定です。なお、専用の Exchange ハイブリッド アプリを作成する初期段階 (オンプレミスの Exchange サーバーに Graph のサポートが利用可能になる前に専用の Exchange ハイブリッド アプリを作成した段階) で割り当てられる EWS 権限は、現在共有セキュリティ プリンシパルに割り当てられている権限と同じです。
なぜ Microsoft は、顧客に専用の Exchange ハイブリッド アプリケーションを作成させる方向性を選択し、Microsoft が管理する新しいアプリケーションを公開しないのでしょうか?
お客様テナント内で専用の Exchange ハイブリッド アプリケーションを使用するアプローチは、アプリの修正が必要になるような変更が将来発生した場合に、お客様はより柔軟に対応できるようになります。たとえば、EWS から Graph API 呼び出しへの移行が予定されており、アプリケーションの調整 (API 権限の更新など) が必要になります。専用のお客様のアプリケーションを使用することで、お客様は EWS API 権限から Graph API 権限への移行を行うタイミングを選択できます。専用の Exchange ハイブリッド アプリケーションは PowerShell スクリプトまたは (今年後半にリリース予定の) ハイブリッド構成ウィザードによって自動的に作成および構成されるため、Microsoft が管理するアプリケーションを使用することによる追加のメリットはありません。
新しい専用の Exchange ハイブリッド アプリを構成する機能は、ハイブリッド構成ウィザード (HCW) で利用可能になりますか?
HCW にこの機能を追加する更新は、2025 年第 2 四半期にリリースされる予定です。
スクリプトを実行する代わりに、この変更が HCW 経由で有効になるのを待つことはできますか?
変更が HCW 経由で有効になるのを待つ場合、専用の Exchange ハイブリッド アプリケーションの展開をゆっくり進めたり、ハイブリッド環境のリッチ共存機能が期待通りに動作することを確認するための時間を確保したりすることができません。そのため、スクリプトを使用する方法をお勧めします。また、多くのお客様がこの変更のために HCW を再実行したくないと考えることも予想されます。
組織がモダンまたはクラシック Exchange ハイブリッド構成を使用しているかどうかは重要ですか?
本ブログ記事で説明されている変更は、モダン (ハイブリッド エージェント) およびクラシック Exchange ハイブリッドの両方に適用されます。
専用の Exchange ハイブリッド アプリケーションを作成し、ドキュメントに従って権限を設定しました。その後、移行を完了し、オンプレミスにメールボックスを保持していないため、リッチ共存は不要になりました。この場合、何か対応が必要ですか?
リッチ共存機能が不要になった場合は、スクリプトを “アプリケーション削除モード” で実行して専用の Exchange ハイブリッド アプリケーションを削除し、オンプレミスの Exchange を管理や SMTP リレーのシナリオでのみ使用することができます。なお、専用の Exchange ハイブリッド アプリケーションを削除しても、Exchange Server (オンプレミス) 側で行われた構成変更は元に戻りません。構成を元に戻したい場合は、ドキュメントに記載されている手順に従ってください。
ハイブリッド 先進認証 (HMA) を使用しています。この場合のガイダンスは何ですか?
現在、HMA はファーストパーティ (共有) サービス プリンシパルを使用しています。HMA を設定する際に認証証明書を共有サービス プリンシパルにアップロードする必要がないため、このシナリオは今回の変更の影響を受けず、これまで通り機能し続けます。そのため、専用の Exchange ハイブリッド アプリケーションに切り替えた後、共有サービス プリンシパルから認証証明書を削除しても問題ありません。
Microsoft Entra Connect (旧 Azure AD Connect) を使用してディレクトリ同期を行っています。すべてのメールボックスはオンプレミスにホストされています。この場合、専用の Exchange ハイブリッド アプリケーションを作成する必要がありますか?
ハイブリッド構成ウィザード (HCW) を一度も実行していない場合、専用の Exchange ハイブリッド アプリケーションを構成する必要はありません。ただし、HCW を実行し、空き時間情報の参照、メール ヒント、プロフィール写真の共有といったハイブリッド機能を利用する予定がある場合は、専用の Exchange ハイブリッド アプリケーションを作成する必要があります。
Exchange ハイブリッド構成を使用していますが、オンプレミスのメールボックスはありません。サーバーは SMTP リレーや受信者管理のみに使用しています。この場合、専用の Exchange ハイブリッド アプリケーションを作成する必要がありますか?
空き時間情報の参照、メール ヒント、プロフィール写真の共有などのハイブリッド機能を利用していない場合、専用の Exchange ハイブリッド アプリケーションを作成する必要はありません。将来的にこれらのハイブリッド機能を有効化する場合は、専用の Exchange ハイブリッド アプリケーションを構成する必要があります。
リッチ共存が不要で、共有サービス プリンシパルから証明書を削除したい場合、先に 4 月の更新プログラムをインストールする必要がありますか?
リッチ共存が不要で、共有サービス プリンシパルから証明書を削除するだけであれば、スクリプトの実行前に 2025 年 4 月の更新プログラムをインストールしておく必要はありません。専用の Exchange ハイブリッド アプリを展開する | Microsoft Learn に記載されている手順に従い、サービス プリンシパル クリーンアップ モードでスクリプトを実行するだけで対応可能です。
Microsoft Teams 統合のためにオンプレミスのメールボックスを使用した Exchange ハイブリッド構成を利用しています。この場合、専用の Exchange ハイブリッド アプリケーションを作成する必要がありますか?
すべてのメールボックスがオンプレミスにホストされている場合、専用の Exchange ハイブリッド アプリケーションを作成する必要はありません。ただし、一部のメールボックスがオンプレミスにあり、他のメールボックスが Exchange Online にホストされている環境では、専用の Exchange ハイブリッド アプリケーションを作成することを推奨します。これにより、空き時間情報の参照、メール ヒント、プロフィール写真の共有といったハイブリッド機能が引き続き正常に動作することが保証されます。
専用の Exchange ハイブリッド アプリの名前 (ExchangeServerApp-{組織の Guid}) を別の名前に変更できますか?
アプリケーション作成後に名前を変更しないことを推奨します。アプリ名を変更すると、たとえば認証証明書 (Auth Certificate) の更新時などに ConfigureExchangeHybridApplication.ps1 スクリプトを再実行した場合、重複したアプリが新たに作成される可能性があります。今後リリース予定の専用 Exchange ハイブリッド アプリ対応のハイブリッド構成ウィザード (HCW) も、アプリが既に作成されているかどうかを判定する際にこの一意の名前を利用します。そのため、Entra ID 上でアプリケーション名を変更することは推奨しません。
主な変更点:
- 2025/4/24 : 専用のハイブリッド アプリの名前変更に関する FAQ を追加しました。
- 2025/4/22 : スクリプトを使用してセキュリティ プリンシパルのクリーンアップのみを行う場合、4月の更新プログラム (HU) をインストールする必要がないことに関する FAQ を追加しました。