We are making a change to the behavior of the EWSEnabled tenant-wide switch in Exchange Online.

[When this will happen:]

This change will rollout worldwide, starting April 1, 2025

[How this affects your organization:]

If you want to restrict the usage of EWS in your tenant, this change might affect you. The current behavior of the EWSEnabled flag is that it can be set at both the tenant (organization) level and the user (mailbox) level. Currently, when the flag is set to true at the user level, it takes precedence over the organization-level setting. If a setting is Null, it means the setting is not enforced at that level. If Org and user-level are both Null, the default behavior is to allow. This hierarchical structure means that if the organization-level flag is set to false, but the user-level flag is set to true, EWS requests from that user are still allowed. In summary:

This approach has led to situations where it can be challenging for administrators to ensure uniform policy enforcement across their organization, particularly in large and complex environments.

New Behavior

To address these issues, we are altering the behavior so that EWS will only be allowed if both the organization-level and user-level EWSEnabled flags are true. Here’s a simplified view of the new logic:

In short, EWS will be permitted only if both the organization and user-level allow it. This change ensures that administrators have better control over EWS access and can enforce policies more consistently across their entire organization

[Next Steps:]

Please check the blog for additional information and ensure your per-user and tenant wide settings are correct before this change is made to your tenant.

•  The way to control EWS usage in Exchange Online is changing 

Exchange Online の EWSEnabled テナント全体のスイッチの動作に変更を加えています。

[これがいつ起こるか:]

この変更は、2025 年 4 月 1 日から全世界に展開されます

[これがあなたの組織に与える影響:]

テナントでの EWS の使用を制限する場合、この変更が影響を受ける可能性があります。EWSEnabled フラグの現在の動作は、テナント (組織) レベルとユーザー (メールボックス) レベルの両方で設定できることです。現在、フラグがユーザー レベルで true に設定されている場合、フラグは組織レベルの設定よりも優先されます。設定が Null の場合、そのレベルでは設定が強制されていないことを意味します。Org と user-level が両方とも Null の場合、デフォルトの動作は allow です。この階層構造は、組織レベルのフラグが false に設定され、ユーザー レベルのフラグが true に設定されている場合でも、そのユーザーからの EWS 要求は引き続き許可されることを意味します。要約すると:

このアプローチにより、特に大規模で複雑な環境において、管理者が組織全体で統一されたポリシーの適用を確保することが困難な状況が発生しています。

新しい動作

これらの問題に対処するために、組織レベルとユーザーレベルの EWSEnabled フラグの両方が true の場合にのみ EWS が許可されるように動作を変更しています。新しいロジックの簡略化されたビューを次に示します。

つまり、EWS は、組織レベルとユーザーレベルの両方で許可されている場合にのみ許可されます。この変更により、管理者は EWS アクセスをより適切に制御し、組織全体でポリシーをより一貫して適用できるようになります

[次のステップ:]

追加情報についてはブログを確認し、この変更がテナントに加えられる前に、ユーザーごとおよびテナント全体の設定が正しいことを確認してください。

•  Exchange Online で EWS の使用を制御する方法が変わり つつあります