レガシ Exchange Online トークンのオンとオフを切り替える
レガシ Exchange Online トークンは非推奨となり、2025 年 2 月 17 日以降、Microsoft 365 テナント全体でオフになります。 Outlook アドインを従来のトークンから Entra ID トークンと入れ子になったアプリ認証に移行する開発者の場合は、アドインの更新プログラムをテストする必要があります。 Exchange Online PowerShell コマンドレットを使用して、テスト テナントのレガシ トークンをオフにして、更新された Outlook アドインが正しく動作していることを確認します。
レガシ Exchange Online トークンの非推奨の詳細については、「入れ子になったアプリ認証」と「Outlook レガシ トークンの非推奨に関する FAQ」を参照してください。
Exchange Online PowerShell に接続する
コマンドを実行するには、Exchange Online PowerShell に接続する必要があります。
- PowerShell を開きます。
- コマンド
Import-Module -Name ExchangeOnlineManagementを実行します。 このコマンドの詳細については、「Exchange Online PowerShell」を参照してください。 - モジュールの最新バージョンを使用していることを確認するには、コマンド
Update-Module -Name ExchangeOnlineManagementを実行します。 - コマンド
Connect-ExchangeOnlineを実行します。 Microsoft 365 管理者の資格情報でサインインします。
レガシ Exchange Online トークンをオフにする
Set-AuthenticationPolicy コマンドは、レガシ Exchange Online トークンの発行を制御します。 発行がオフになると、アドインはユーザー ID トークンまたはコールバック トークンを要求できなくなります。 既に発行されている既存のトークンは、有効期限が切れるまで引き続き機能します。 レガシ Exchange Online トークンに対する Outlook アドインからのすべての要求がブロックされるまでに、最大で 24 時間かかることがあります。
レガシ トークンをオフにするには、次のコマンドを実行します。
Set-AuthenticationPolicy –BlockLegacyExchangeTokens -Identity "LegacyExchangeTokens"
コマンドは、テナント全体のレガシ トークンをオフにします。 Outlook アドインがレガシ トークンを要求した場合、トークンは発行されません。
注:
テナントでレガシ Exchange Online トークンを必要とするアドインが使用されていないことを確認した場合は、セキュリティのベスト プラクティスとしてレガシ Exchange Online トークンをオフにすることをお勧めします。 テナントにレガシ トークンを使用したアドインがあるかどうかを判断する方法の詳細については、「 入れ子になったアプリ認証と Outlook レガシ トークンの非推奨に関する FAQ」を参照してください。
レガシ Exchange Online トークンを有効にする
レガシ トークンを有効にするには、次のコマンドを実行します。 従来のトークンに対する Outlook アドインからのすべての要求が許可されるまでに、最大で 24 時間かかることがあります。
Set-AuthenticationPolicy –AllowLegacyExchangeTokens -Identity "LegacyExchangeTokens"
このコマンドに関する重要な注意事項。
- トークン ブロックがorganizationに実装される前に Outlook アドインに発行されたレガシ Exchange トークンは、有効期限が切れるまで有効なままになります。
- レガシ Exchange Online トークンを有効にした場合、2025 年 2 月に Microsoft がすべてのテナントで無効にしても無効になりません。 詳細については、「 入れ子になったアプリ認証」と「Outlook レガシ トークンの非推奨に関する FAQ」を参照してください。
- 2025 年 6 月まで、すべてのテナントのすべてのレガシ トークンが強制的にオフになるまで、トークンを有効に戻すことができるだけです。 詳細については、「 入れ子になったアプリ認証」と「Outlook レガシ トークンの非推奨に関する FAQ」を参照してください。
-
-Identityパラメーターは必須ですが、特定の認証ポリシーには影響しません。 コマンドは、使用する値に関係なく、常にorganization全体に適用されます。 意図を明確に保つために、例では値をLegacyExchangeTokensとして示します。
それらを使用するレガシ Exchange Online トークンとアドインの状態を取得する
レガシ Exchange Online トークンの状態を表示するには、次のコマンドを実行します。
Get-AuthenticationPolicy -AllowLegacyExchangeTokens
コマンドは、powerShell の次の例のように、 AllowLegacyExchangeTokens が true か false かを返します。
PS C:\> Get-AuthenticationPolicy -AllowLegacyExchangeTokens
AllowLegacyExchangeTokens: False
Allowed: []
Blocked: []
PS C:\>
このコマンドを有効にして、許可リストとブロックリストのレガシ Exchange Online トークンを使用してアドインを報告できるように取り組んでいます。 残念ながら、Microsoft 365 エコシステムで特定のトークンの使用状況をキャプチャする複雑さのため、この更新プログラムを展開するのが困難でした。 引き続きこの更新プログラムに取り組み、利用可能な場合は、この記事の新しい情報を提供します。
注:
Get-AuthenticationPolicy -AllowLegacyExchangeTokens コマンドは、レガシ トークンの状態を表示する唯一の方法です。
Get-AuthenticationPolicy | Format-Table -Auto Nameなどの他のコマンドは、レガシ トークンの状態を返しません。
Get-AuthenticationPolicy コマンドは、管理者が設定したレガシ トークンの状態のみを表示します。 管理者が設定を変更したことがない場合、コマンドは (Not Set)を返します。 レガシ トークンをオフにする Microsoft による 2 月の展開が実装されているときにトークンの状態が (Not Set) された場合、レガシ トークンがオフであっても、トークンの状態は引き続き (Not Set) されます。 次の表は、変更が適用されたときのトークンの状態に基づくレガシ Exchange Online トークンの動作を示しています。
| レガシ トークン管理者の設定 | 2 月の変更前のレガシ トークンの動作 | 2 月の変更後のレガシ トークンの動作 | 6 月の変更後のレガシ トークンの動作 |
|---|---|---|---|
| (設定されていません) | トークン | トークンオフ | トークンオフ |
| False | トークンオフ | トークンオフ | トークンオフ |
| True | トークン | トークン | トークンオフ |
関連項目
Office Add-ins