セキュリティ

SECURITY

公開：2024-12-04

MicrosoftがExchange Onlineのレガシートークンを2025年2月から無効化、NAAの一般提供も開始しセキュリティ強化へ

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Exchange Online レガシートークンの無効化が2025年2月から開始
• Nested App Authentication (NAA)が一般提供開始
• Exchange PowerShellに新しいパラメーターを追加

Exchange Onlineのレガシートークン無効化とNAAの一般提供開始

Microsoftは2025年2月からExchange Onlineレガシートークンの無効化を開始すると2024年12月2日に発表した。この変更はMicrosoftのSecure Future Initiative (SFI)の一環として実施され、組織が現在の脅威に対応するために必要なツールを提供することを目的としている。^[1]

Nested App Authentication (NAA)の展開は、Current Channelで2024年10月に完了し、Monthly Enterprise Channelでは2024年11月に一般提供が開始された。Semi-Annual Channelでは2025年1月に一般提供が予定されており、Semi-Annual Extended Channelでは2025年6月に一般提供が開始される予定だ。

またMicrosoftは、Microsoft 365テナントでレガシートークンの発行を制御するための新しいExchange PowerShellパラメーターを導入した。開発者はテストテナントを作成してレガシートークンを無効化し、サイドロードしたアドインが正常に動作するか確認することが可能になっている。

Exchange Onlineのレガシートークン無効化スケジュール

レガシートークンについて

レガシートークンとは、従来のExchange Onlineで認証に使用されていた認証方式のことを指す。主な特徴として、以下のような点が挙げられる。

• Outlookアドインの認証に使用される従来の認証方式
• Microsoft Graph APIとの互換性が限定的
• 最新のセキュリティ要件への対応が困難

レガシートークンは従来のOutlookアドインで広く使用されてきたが、セキュリティ上の課題が指摘されている。Microsoft GraphとNested App Authenticationへの移行によって、より安全で効率的な認証プロセスが実現され、開発者はモダンな認証機能を活用できるようになるだろう。

Exchange Onlineのレガシートークン無効化に関する考察

レガシートークンの無効化は、クラウドサービスのセキュリティ強化という観点で重要な一歩となる。Microsoftが段階的な移行スケジュールを提示し、開発者に十分な準備期間を設けたことで、システムの安定性を維持しながらの移行が可能になるだろう。

一方で、レガシートークンを使用している既存のアドインの移行には課題が残されている。Microsoft 365管理者向けの28日間のレガシートークン使用状況レポート機能がまだ提供されていないため、影響を受けるアドインの特定と対応に時間がかかる可能性が高まっている。

今後は、開発者向けのより詳細なガイダンスや移行支援ツールの提供が期待される。Microsoft GraphとNAAへの移行を通じて、より安全で効率的なアドイン開発環境が整備されることで、エンタープライズアプリケーションのセキュリティが大幅に向上するだろう。

参考サイト

1. ^ Microsoft Visual Studio. 「Update on nested app authentication and deprecation of Exchange Online legacy tokens - Microsoft 365 Developer Blog」. https://devblogs.microsoft.com/microsoft365dev/naa-and-deprecation-of-legacy-tokens/, (参照 24-12-04).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧