Microsoft ได้ประกาศว่าจะยุติการให้บริการ Exchange Web Services (EWS) API สำหรับ Exchange Online ในเดือนเมษายน 2027 หลังจากใช้งานมาเกือบ 20 ปี โดย EWS เป็น API ที่ใช้สำหรับการพัฒนาแอปพลิเคชันที่เข้าถึงรายการกล่องจดหมาย Exchange เช่น อีเมล การประชุม และรายชื่อผู้ติดต่อ การยกเลิกนี้จะส่งผลกระทบต่อสภาพแวดล้อมของ Microsoft 365 และ Exchange Online เท่านั้น แต่ EWS จะยังคงทำงานใน Exchange Server แบบ On-premises
Severity: ปานกลาง
System Impact:
- Microsoft 365
- Exchange Online
- Exchange Web Services (EWS) API
Technical Attack Steps:
Recommendations:
Short Term:
- ผู้ดูแลระบบสามารถคงสิทธิ์การเข้าถึงชั่วคราวได้ผ่านการสร้างรายการที่อนุญาต (application allowlist) ก่อนสิ้นเดือนสิงหาคม 2026 เพื่อหลีกเลี่ยงการบล็อกอัตโนมัติ
- ตั้งแต่เดือนกันยายน 2026 เป็นต้นไป Microsoft จะสร้าง allowlist ให้กับองค์กรที่ยังไม่ได้ดำเนินการ โดยอิงตามรูปแบบการใช้งานของ Tenant นั้นๆ
- เฝ้าระวังการแจ้งเตือนรายเดือนจาก Message Center ของ Microsoft
- เตรียมพร้อมสำหรับการทดสอบ ‘scream tests’ ชั่วคราว ที่ Microsoft อาจดำเนินการเพื่อเปิดเผยการพึ่งพาที่ซ่อนอยู่ของ EWS
Long Term:
- นักพัฒนาที่ใช้ EWS API ควรรีบเปลี่ยนไปใช้ Microsoft Graph API ซึ่งปัจจุบันมีฟังก์ชันการทำงานที่เทียบเท่า EWS สำหรับสถานการณ์ส่วนใหญ่
- กล่องจดหมายบน Cloud จะต้องย้ายไปใช้ Graph API
- สำหรับสถานการณ์ Hybrid ลูกค้าจะต้องใช้ Exchange SE เพื่อโฮสต์กล่องจดหมาย On-premises หากต้องการใช้ Graph สำหรับการเรียกใช้ข้อมูลใน Exchange Online
- วางแผนและดำเนินการโยกย้ายแอปพลิเคชันทั้งหมดที่ใช้ EWS ไปยัง Microsoft Graph API ให้เสร็จสิ้นก่อนวันที่ 1 เมษายน 2027
Share this content: