Microsoft heeft vandaag aangekondigd dat de Exchange Web Services (EWS) API voor Exchange Online in april 2027 zal worden stopgezet, na bijna 20 jaar dienst.

EWS is een platformonafhankelijke API waarmee apps kunnen worden ontwikkeld die toegang hebben tot Exchange-postvakken, zoals e-mails, vergaderingen en contactpersonen. Dit geldt voor zowel Exchange Online als on-premises versies van Exchange (vanaf Exchange Server 2007).

Vanaf 1 oktober 2026 zal Microsoft beginnen met het standaard blokkeren van Exchange Online EWS, maar beheerders kunnen tijdelijk toegang behouden via een applicatie-allowlist. De definitieve stopzetting vindt plaats op 1 april 2027, zonder uitzonderingen.

Beheerders die voor eind augustus 2026 allowlists maken en instellingen configureren, worden uitgesloten van de automatische blokkering in oktober. Microsoft zal in september 2026 allowlists vooraf invullen voor organisaties die er zelf geen hebben gemaakt, op basis van hun gebruikspatronen.

Het bedrijf kan ook tijdelijke “scream tests” uitvoeren om verborgen afhankelijkheden te ontdekken door EWS tijdelijk uit te schakelen. IT-beheerders worden op de hoogte gehouden via maandelijkse berichten met herinneringen en gebruiksoverzichten.

Het is echter belangrijk op te merken dat dit proces alleen van invloed is op Microsoft 365- en Exchange Online-omgevingen. EWS blijft werken in on-premises Exchange Server-installaties.

“We maken vandaag bekend dat we een stapsgewijze afsluitingsstrategie gaan gebruiken, beginnend in oktober 2026 en eindigend met een volledige uitschakeling van EWS in 2027,” verklaarde het Exchange-team. “EWS werd bijna 20 jaar geleden gebouwd en voldoet niet meer aan de huidige veiligheids-, schaal- of betrouwbaarheidseisen.”

Microsoft adviseert ontwikkelaars die de EWS API gebruiken om over te schakelen naar de Microsoft Graph API, omdat deze grotendeels dezelfde functionaliteiten biedt als EWS.

“EWS wordt niet on-premises stopgezet. Hybride scenario’s variëren afhankelijk van hoe apps toegang krijgen tot gegevens. On-premises postvakken kunnen EWS blijven gebruiken; cloud-postvakken moeten overstappen naar Graph. Autodiscover helpt apps automatisch de locatie van postvakken te bepalen,” voegt Microsoft toe.

“Maar let wel, alleen Exchange SE ondersteunt Graph voor oproepen naar Exchange Online, dus hybride klanten moeten Exchange SE gebruiken om on-premises postvakken te hosten.”

Deze aankondiging volgt op het nieuws van september 2023 waarin Microsoft aangaf te beginnen met het uitfaseren van de EWS API in oktober 2026, en na een waarschuwing in 2018 dat EWS geen functionaliteitsupdates meer zou ontvangen.

Drie jaar later, in oktober 2021, maakte Microsoft bekend dat het de 25 minst gebruikte EWS API’s voor Exchange Online had stopgezet en de ondersteuning in maart 2022 had verwijderd vanwege veiligheidsredenen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.