As part of our ongoing security efforts, we have made a recent change to Certificate-Based Authentication (CBA) behavior for Exchange ActiveSync. The enhancement is designed to support TLS 1.3, strengthening security and reliability for our customers.

With this change all Exchange ActiveSync CBA traffic will be routed to new, dedicated endpoints based on tenant location

[How this will affect your organization:]

This change has already begun to roll out in the worldwide multi-tenant cloud and will start rolling out in other clouds starting November 2025. As a result of this change all Exchange ActiveSync CBA traffic will be routed to new, dedicated endpoints based on tenant location:

• Multi-tenant (Worldwide and GCC): outlook-cba.office365.com
• DoD: outlook-dod-cba.office365.us
• GCC-High: outlook-cba.office365.us

[What you need to do to prepare:]

For most Exchange ActiveSync clients, this change will be seamless. The client traffic will be implicitly redirected to the new CBA endpoints without any user action required.

However, if your organization uses a Secure Email Gateway (SEG) or similar gateway that filters or inspects ActiveSync traffic, you may need to update your firewall or gateway configuration to allow traffic to and from the new CBA endpoints listed above.

If you have questions or concerns on this change, please contact your SEG vendor. We appreciate your cooperation and commitment to maintaining a secure environment.

Learn more:

Upcoming TLS Changes for Certificate Based Auth ActiveSync Traffic. 

RFC 8446 – The Transport Layer Security (TLS) Protocol Version 1.3

Specified at [MS-ASHTTP]: Authorization | Microsoft Learn ActiveSync official documentation, EAS requests without authorization header will be treated as a CBA request.  

継続的なセキュリティ対策の一環として、Exchange ActiveSync の証明書ベースの認証 (CBA) 動作に最近変更を加えました。この機能強化は TLS 1.3 をサポートするように設計されており、お客様のセキュリティと信頼性を強化します。

この変更により、すべての Exchange ActiveSync CBA トラフィックは、テナントの場所に基づいて新しい専用エンドポイントにルーティングされます

[これが組織にどのような影響を与えるか:]

この変更はすでに世界中のマルチテナント クラウドで展開され始めており、2025 年 11 月から他のクラウドでも展開が開始されます。この変更の結果、すべての Exchange ActiveSync CBA トラフィックは、テナントの場所に基づいて新しい専用エンドポイントにルーティングされます。

• マルチテナント(ワールドワイドおよびGCC):outlook-cba.office365.com
• 国防総省:outlook-dod-cba.office365.us
• GCC高:outlook-cba.office365.us

[準備に必要なこと:]

ほとんどの Exchange ActiveSync クライアントでは、この変更はシームレスです。クライアント トラフィックは、ユーザー アクションを必要とせずに、暗黙的に新しい CBA エンドポイントにリダイレクトされます。

ただし、組織で Secure Email Gateway(SEG)または ActiveSync トラフィックをフィルタリングまたは検査する同様のゲートウェイを使用している場合は、上記の新しい CBA エンドポイントとの間のトラフィックを許可するようにファイアウォールまたはゲートウェイの設定を更新する必要がある場合があります。

この変更についてご質問やご不明な点がございましたら、SEGベンダーにお問い合わせください。 安全な環境を維持するためのご協力とご尽力に感謝いたします。

詳細情報：

証明書ベースの認証 ActiveSync トラフィックに対する今後の TLS の変更。 

RFC 8446 – トランスポート層セキュリティ(TLS)プロトコル バージョン 1.3

[MS-ASHTTP] で指定: 認証 |Microsoft Learn ActiveSync の公式ドキュメントでは、承認ヘッダーのない EAS 要求は CBA 要求として扱われます。