[Introduction]

As part of the Microsoft Secure Future Initiative (SFI), and in alignment with the Secure by Default principle, we’re updating the Microsoft‑managed default user consent policy for Microsoft Graph. This change increases administrator control over third‑party application access to Exchange data and aligns default consent behavior with industry best practices for protecting email and related content.

[When this will happen]

General Availability (Worldwide): We will begin rolling out in early June 2026 and expect to complete by early July 2026.

[How this affects your organization]

Who is affected

• Microsoft 365 tenants using the Microsoft‑managed default user consent policy
• Admins managing Exchange Online and Microsoft Graph app access
• Organizations that allow third‑party applications to access Exchange data via delegated permissions

What will happen

• The following Microsoft Graph delegated permissions will be added to the Microsoft recommended user consent policy:
  • Contacts.ReadWrite
  • Contacts.Read.Shared
  • People.Read
  • Tasks.ReadWrite.Shared
  • Tasks.ReadWrite
  • Tasks.Read.Shared
  • Tasks.Read
  • Contacts.ReadWrite.Shared

• These changes will be reflected as an update to the Microsoft‑managed default user consent policy.
• With this change, any organization using the Microsoft‑managed user consent policy will require admin consent for these additional permissions to access Exchange mail data. Learn more about Graph permissions.
• By default, admin consent will be required for third‑party apps requesting these permissions to access Exchange data.
• Users will no longer be able to grant consent for these permissions unless the app is included in the Mail client policy.
• The Mail client policy will continue to allow users to consent to approved, popular mail applications for the permissions included in the recommended user consent policy.
• Existing approved apps and existing user consents are not impacted and will continue to work.
• Tenants using custom user consent policies are not affected.
• No additional licensing is required.

[What you can do to prepare]

• Review third‑party apps that access Exchange data using Microsoft Graph.
  • Review permissions granted to enterprise applications
• Create granular app consent policies in advance for apps you want users to continue using without interruption.
  • Manage app consent policies
  • Configure how users consent to applications
• Configure the admin consent workflow so users can request approval for apps that now require admin consent. 
  • Configure admin consent workflow
• Notify helpdesk staff, security teams, and app owners about the upcoming change.
• Update internal documentation to reflect the new default consent behavior.

Learn more: 

• Configure how users consent to applications | Enterprise applications | Microsoft Entra ID | Microsoft Entra | Microsoft Learn
• Configure the admin consent workflow | Enterprise applications | Microsoft Entra ID | Microsoft Entra | Microsoft Learn
• Manage app consent policies | Enterprise applications | Microsoft Entra ID | Microsoft Entra | Microsoft Learn
• Microsoft Graph permissions reference | Microsoft Graph | Microsoft Learn
• Microsoft Secure Future Initiative (SFI)
• Review permissions granted to enterprise applications | Enterprise applications | Microsoft Entra ID | Microsoft Entra | Microsoft Learn

[Compliance considerations]

[はじめに]

Microsoft Secure Future Initiative(SFI)の一環として、 Secure by Defaultの原則に沿って、Microsoft GraphのMicrosoft管理のデフォルトユーザー同意ポリシーを更新しています。この変更により、管理者は第三者アプリケーションのデータへのアクセスをコントロールし、デフォルトの同意動作をメールおよび関連コンテンツ保護における業界のベストプラクティスと整合させます。

[いつ起こるか]

一般公開(世界): 2026年6月初旬に展開を開始し、7月初旬までに完了する予定です。

[これがあなたの組織に与える影響]

影響を受ける人物

• Microsoft 管理のデフォルトユーザー同意ポリシーを使用しているMicrosoft 365テナント
• Exchange OnlineおよびMicrosoft Graphアプリへのアクセスを管理する管理者
• 委託権限を通じて第三者アプリケーションがExchangeデータにアクセスすることを許可する組織

何が起こるのか

• 以下のMicrosoft Graph委任権限が Microsoft推奨ユーザー同意ポリシーに追加されます:
  • 連絡先.ReadWrite(連絡先)を読む
  • 連絡先。既読・共有
  • 人々。読んでください
  • タスク。読み書き。共有
  • Tasks.ReadWrite
  • タスク。既読・共有
  • タスク。読む
  • 連絡先。読書、書き込み、共有済み

• これらの変更は、Microsoft管理のデフォルトユーザー同意ポリシーの更新として反映されます。
• この変更により、Microsoft管理のユーザー同意ポリシーを使用する組織は、Exchangeメールデータへのアクセスに追加権限に対して管理者の同意を求めます。 Graphの権限について詳しくはこちらをご覧ください。
• デフォルトでは、Exchangeデータへのアクセス権限を求めるサードパーティアプリには管理者の同意が必要です。
• ユーザーは、アプリがMailクライアントポリシーに含まれていない限り、これらの権限に対して同意を与えることはできません。
• メールクライアントポリシーは、推奨されるユーザー同意ポリシーに含まれる権限に対して、承認された人気のメールアプリケーションにユーザーが同意することを引き続き許可します。
• 既存の承認アプリやユーザーの同意は影響を受けず 、引き続き動作します。
• カスタムユーザー同意ポリシーを使用しているテナントは影響を受けません。
• 追加のライセンスは必要ありません。

【準備のためにできること】

• Microsoft Graphを使ってExchangeデータにアクセスするサードパーティアプリをレビューしてください。
  • エンタープライズアプリケーションに付与された権限を確認する
• ユーザーが中断せずに使い続けてほしいアプリについては、事前に細かいアプリ同意ポリシーを作成しましょう。
  • アプリの同意ポリシーを管理する
  • ユーザーがアプリケーションに同意する方法を設定する
• 管理者の同意ワークフローを設定し、ユーザーが管理者の同意を必要とするアプリに対して承認を要求できるようにします。 
  • 管理者同意ワークフローの設定
• ヘルプデスクスタッフ、セキュリティチーム、アプリの所有者に今後の変更を通知しましょう。
• 内部ドキュメントを更新して新しいデフォルトの同意動作を反映させてください。

詳しくはこちら: 

• ユーザーがアプリケーションにどのように同意するかを設定する |エンタープライズアプリケーション |Microsoft Entra ID |Microsoft Entra |Microsoft Learn
• 管理者同意ワークフローの設定 |エンタープライズアプリケーション |Microsoft Entra ID |Microsoft Entra |Microsoft Learn
• アプリの同意ポリシーを管理する |エンタープライズアプリケーション |Microsoft Entra ID |Microsoft Entra |Microsoft Learn
• Microsoft Graph 権限の参考文献 |Microsoft Graph |Microsoft Learn
• Microsoft Secure Future Initiative(SFI)
• エンタープライズアプリケーションに付与された権限を確認する |エンタープライズアプリケーション |Microsoft Entra ID |Microsoft Entra |Microsoft Learn

[コンプライアンスの考慮事項]