※ この記事は、The way to control EWS usage in Exchange Online is changing の抄訳です。最新の情報はリンク先をご確認ください。この記事は Microsoft 365 Copilot および GitHub Copilot を使用して抄訳版の作成が行われています。
Exchange Web Services (EWS) のセキュリティと制御メカニズムを強化するため、Exchange Online のテナント全体の EWSEnabled スイッチの動作に重要な変更を発表します。この変更により、組織内での EWS アクセス管理のためのより堅牢なフレームワークが提供され、柔軟性とセキュリティの両方が確保されます。この変更は、2026 年 10 月から EWS を無効にする計画の一環として必要なものです。
現在の動作
EWSEnabled フラグは、テナント (組織) レベルとユーザー (メールボックス) レベルの両方で設定できます。現在、このフラグがユーザー レベルで true に設定されている場合、組織レベルの設定よりも優先されます。設定が Null の場合、そのレベルでは設定が適用されていないことを意味します。組織レベルとユーザーレベルの両方が Null の場合、デフォルトの動作は許可されることです。この階層構造により、組織レベルのフラグが false に設定されていても、ユーザー レベルのフラグが true に設定されている場合、そのユーザーからの EWS リクエストは依然として許可されます。以下の表の様になります。
| 組織レベル | ユーザー レベル | EWS 要求 |
|---|---|---|
| True または <null> | True または <null> | 許可 |
| True または <null> | False | 禁止 |
| False | True | 許可 |
| False | False または <null> | 禁止 |
このアプローチは一貫性の欠如やセキュリティ上の懸念を引き起こしてきました。特に大規模で複雑な環境では、管理者が組織全体で統一されたポリシーを確実に適用することが困難となっていました。
新しい動作
これらの問題に対処するために、組織レベルとユーザー レベルの両方の EWSEnabled フラグが true である場合にのみ EWS が許可されるように動作を変更します。以下の表のようになります。
| 組織レベル | ユーザー レベル | EWS 要求 |
|---|---|---|
| True または <null> | True または <null> | 許可 |
| True または <null> | False | 禁止 |
| False | True または <null> | 禁止 |
| False | False | 禁止 |
要約すると、EWS は組織レベルとユーザー レベルの両方で許可されている場合にのみ許可されます。この変更により、管理者は EWS アクセスをより適切に制御し、組織全体でポリシーを一貫して適用できるようになります。
この変更は、2025 年 4 月からワールドワイドに展開される予定です。
テナント レベルの設定
まず最初に確認するのはテナント設定です。これを行うには、Exchange Online PowerShell で次のコマンドを実行します。
Get-OrganizationConfig | fl EWSEnabled
EwsEnabled :
EWSEnabled フラグが空 (デフォルト) または True に設定されている場合、この変更は影響しませんが、下記のユーザー レベルの設定情報を確認し、期待する設定と一致していることを確認することをお勧めします。
EWSEnabled フラグが False に設定されている場合、新しいロジック変更がテナントに適用されると影響を受ける可能性があります。今すぐ対策を講じることをお勧めします。以下のセクションを確認し、ユーザーごとの設定が EWS を使用できるユーザーと使用できないユーザーの希望する状態を反映していることを確認し、その後、テナント全体のスイッチを True に変更して、ユーザーやアプリケーションのアクセスが中断されないようにしてください。
ユーザー レベルの設定
前述のとおり、テナント全体の EWSEnabled スイッチが False に設定されている場合でも、ユーザーごとの設定が True に設定されている場合 (各メールボックスのデフォルト設定)、EWS を使用することが現在は可能です。
特定のメールボックスに対して EWS が有効か無効かを確認するには、次のコマンドを実行します:
Get-CASMailbox User1| fl EWSEnabled
EwsEnabled : True
この変更はあなたに影響しますか?
この変更は、以前の動作に依存していたテナントに影響を与える可能性があることを認識しています。具体的には、組織レベルのフラグが False に設定されているが、ユーザー レベルのフラグが True に設定されている場合、この変更が展開されると EWS リクエストがブロックされ始めます。したがって、サービスの継続性を確保するために、設定を見直すことをお勧めします。
今後、特定のメールボックスに対して EWS を制限したい場合 (一般的にこれは良いアイデアだと思います)、特定のメールボックスのみが True に設定されていることを確認し、他のすべてのメールボックスが False に設定されていることを確認する必要があります。メールボックスの設定を確認した後、組織全体の設定を True にしてください。
結論
このテナント全体の EWSEnabled の動作変更は、Exchange Web Services を利用する上での管理制御の向上とセキュリティの強化に対する私たちの取り組みを示しています。この変更により、ポリシーの一貫した適用が促進され、すべてのユーザーにとってより安全な環境が実現されると信じています。
管理者の皆様には、現在の設定を確認し、この更新に備えることをお勧めします。
この情報はすべてのテナントにメッセージ センターを通じて送信しましたが、テナント全体のスイッチが False に設定されているにもかかわらず、EWS の使用が成功しているテナントには追加の通知も送信しました (追加の通知を受けたテナントでは、何らかの形でこのスイッチを使用している可能性があります)。
ご質問がある場合は、元のブログのコメントに投稿してください。できる限りお手伝いさせていただきます。
サービスのセキュリティと機能向上にご協力いただき、誠にありがとうございます。