Exchange OnlineのRBACアプリケーション偽装は2025年2月に廃止されています

4.管理者

Exchange OnlineのRBACアプリケーション偽装は2025年2月に廃止されています

マイクロソフトよりMicrosoft365管理センターにて以下のメッセージがアナウンスされています。

  • 日本語
    Exchange Onlineの RBAC アプリケーション偽装ロールは廃止され、プロセスは 2024 年 9 月に開始され、2025 年 2 月に完了します。アプリケーションは、中断を避けるために、アプリの登録とアプリケーションのアクセス許可を使用して更新する必要があります。ガイダンスについては、提供されているリンクを参照してください。
  • 英原文
    The RBAC Application Impersonation role in Exchange Online is retiring, with the process starting in September 2024 and completion in February 2025. Applications must be updated to avoid disruption, using App Registration and Application permissions. For guidance, visit the provided links.
  • メッセージセンターリンク
    https://admin.microsoft.com/Adminportal/Home?source=applauncher#/MessageCenter/:/messages/MC718754

OnTimeでもApplication Impersonationは利用できません

OnTime Shopからも永きにわたり切り替えをご案内し、現在では「先進認証(Impersonationよる認可コードフロー)」は互換性のためだけに選択肢として残っています。
(オンプレのExchange Serverが接続先の場合は、今も「基本認証」は健在でご利用いただけます。)
現在も「先進認証(Impersonationよる認可コードフロー)」のお客様は以下の手順で「先進認証(ClientCredentialsによる資格情報フロー)」に切り替えてください。

1.Microsoft Entra 管理センターにてアプリの登録でAPIの不足がないかを確認

「先進認証(Impersonationよる認可コードフロー)」でも利用していた「アプリの登録(Register Application)」をご利用いただけます。ただしAPIに過不足がないか確認し、不足の場合は修正してください。必要とするAPIは以下の通りです(2025年3月時点)。

  • Microsoft Graph
    • アプリケーションの許可
      • Calendars.ReadWrite
      • Directory.Read.All
      • MailboxSettings.ReadWrite
      • People.Read.All
      • Place.Read.All
      • User.Read.All
    • 委任されたアクセス許可
      • EWS.AccessAsUser.All
  • Office 365 Exchange Online
    • アプリケーションの許可
      • full-access_as_app

手順の詳細は以下のマニュアルページを確認してください。
Microsoft Entra IDで「アプリの登録」を行う – 「APIのアクセス許可」タブ

2.OnTime管理センターにて認証方法を変更

OnTime管理センターからご利用のドメイン設定ページを開きます。

上図のように「認証タイプ(赤枠部分)」がImpersonationを利用した先進認証(OAuth)に設定されていれば変更を必要とします。2025年3月時点では既にMicrosoftテナントとの同期は利用できていないはずです。
認証タイプの切り替え前に「Impersonation User(緑枠)」のメールアドレスの文字列をコピーしておきます。
認証タイプをClientCredentialsを利用した先進認証(OAuth)に切り替えます。

先ほどコピーしたメールアドレスの文字列を空白になっている「EWSアンカーユーザー」にペーストします。
「保存」ボタンを押します。
手順の詳細は以下のマニュアルページを確認してください。
ドメイン設定画面 – Exchangeタブ
ドメイン設定を変更した場合はアプリケーションの再起動を必要とします。

上図の①の停止/実行を行います。
停止していた時間のユーザー情報やイベント情報を手動で同期する場合は②③の同期の手動実行も行います。
手順の詳細は以下のマニュアルページを確認してください。
手動で同期を実行する手順 – ディレクトリ同期

以上です。

補足

MicrosoftではEWS提供も将来リタイアするとアナウンスしています。
(2025年3月時点で2026年10月よりリクエストのブロックを開始すると公表しています。)
Retirement of Exchange Web Services in Exchange Online
こちらについてもOnTimeは遠くない時期に5万~10万メールボックスの同期を実現する新エンジンをご紹介予定です。

 

関連記事一覧