次の方法で共有

レガシ Exchange Online トークンのオンとオフを切り替える

レガシ Exchange Online トークンは非推奨となり、2025 年 2 月 17 日以降、Microsoft 365 テナント全体でオフになります。 Outlook アドインを従来のトークンから Entra ID トークンと入れ子になったアプリ認証に移行する開発者の場合は、アドインの更新プログラムをテストする必要があります。 Exchange Online PowerShell コマンドレットを使用して、テスト テナントのレガシ トークンをオフにして、更新された Outlook アドインが正しく動作していることを確認します。

レガシ Exchange Online トークンの非推奨の詳細については、「入れ子になったアプリ認証」と「Outlook レガシ トークンの非推奨に関する FAQ」を参照してください。

Exchange Online PowerShell に接続する

コマンドを実行するには、Exchange Online PowerShell に接続する必要があります。

  1. PowerShell を開きます。
  2. コマンドImport-Module -Name ExchangeOnlineManagementを実行します。 このコマンドの詳細については、「Exchange Online PowerShell」を参照してください。
  3. モジュールの最新バージョンを使用していることを確認するには、コマンド Update-Module -Name ExchangeOnlineManagementを実行します。
  4. コマンドConnect-ExchangeOnlineを実行します。 Microsoft 365 管理者の資格情報でサインインします。

レガシ Exchange Online トークンをオフにする

Set-AuthenticationPolicy コマンドは、レガシ Exchange Online トークンの発行を制御します。 発行がオフになると、アドインはユーザー ID トークンまたはコールバック トークンを要求できなくなります。 既に発行されている既存のトークンは、有効期限が切れるまで引き続き機能します。 レガシ Exchange Online トークンに対する Outlook アドインからのすべての要求がブロックされるまでに、最大で 24 時間かかることがあります。

レガシ トークンをオフにするには、次のコマンドを実行します。

Set-AuthenticationPolicy -BlockLegacyExchangeTokens -Identity "LegacyExchangeTokens"

コマンドは、テナント全体のレガシ トークンをオフにします。 Outlook アドインがレガシ トークンを要求した場合、トークンは発行されません。

注:

テナントでレガシ Exchange Online トークンを必要とするアドインが使用されていないことを確認した場合は、セキュリティのベスト プラクティスとしてレガシ Exchange Online トークンをオフにすることをお勧めします。 テナントにレガシ トークンを使用したアドインがあるかどうかを判断する方法の詳細については、「 入れ子になったアプリ認証と Outlook レガシ トークンの非推奨に関する FAQ」を参照してください。

レガシ Exchange Online トークンを有効にする

レガシ トークンを有効にするには、次のコマンドを実行します。 従来のトークンに対する Outlook アドインからのすべての要求が許可されるまでに、最大で 24 時間かかることがあります。

Set-AuthenticationPolicy -AllowLegacyExchangeTokens -Identity "LegacyExchangeTokens"

このコマンドに関する重要な注意事項。

それらを使用するレガシ Exchange Online トークンとアドインの状態を取得する

レガシ Exchange Online トークンの状態を表示するには、次のコマンドを実行します。

Get-AuthenticationPolicy -AllowLegacyExchangeTokens

コマンドは、powerShell の次の例のように、 AllowLegacyExchangeTokens が true か false かを返します。

PS C:\> Get-AuthenticationPolicy -AllowLegacyExchangeTokens
AllowLegacyExchangeTokens: False
Allowed: []
Blocked: []
PS C:\>

[許可] セクションと [ブロック済み] セクションには、最近の要求を行ったアドインの ID が一覧表示されます。 アドイン ID が [許可] ボックスの一覧に表示されている場合は、Exchange トークンが付与されました。 [ ブロック済 み] ボックスの一覧にアドイン ID が表示されている場合、アクセス トークンがオフになっているため、アクセス トークンは拒否されました。 次の例は、5 月 16 日にトークンが付与され、2 月 25 日にトークンからブロックされるScript Lab ID を示しています。 2 月にテナントのトークンがオフになり、5 月にオンになったため、Script Labは両方のセクションに表示されます。

PS C:\> Get-AuthenticationPolicy -AllowLegacyExchangeTokens
AllowLegacyExchangeTokens: True
Allowed:
[
        { "49d3b812-abda-45b9-b478-9bc464ce5b9c" : "2025-05-16" }
]
Blocked:
[
        { "49d3b812-abda-45b9-b478-9bc464ce5b9c" : "2025-02-25" }
]

レポートには、アドインごとに 1 つのエントリのみが表示されます。 Exchange トークンの 1 つのアドインから多数のユーザーから複数の呼び出しが行われた場合、それらの呼び出しは 1 つの要求としてレポートに表示されます。 日付は 7 日ごとに更新されます。 前の例では、5 月 16 日にトークンが付与されているスクリプト ラボがレポートに表示されています。 Script Labが 5 月 23 日に引き続きトークン要求を行い、その時点でレポートが日付を更新しない限り、日付は変更されません。

アドインが Exchange トークンを要求しなくなったことを確認するには、7 日後にコマンドを実行し、日付が変更されていないことをチェックします。

レガシ トークンを要求している ID が [許可済み] または [ ブロック 済み] に表示されている場合は、発行元を特定し、その ID に連絡して、アドインがレガシ トークンから移行されていることを確認します。 発行元の識別の詳細については、FAQ の「 発行元を識別するためのコマンド」を参照してください。

注:

Get-AuthenticationPolicy -AllowLegacyExchangeTokens コマンドは、レガシ トークンの状態を表示する唯一の方法です。 Get-AuthenticationPolicy | Format-Table -Auto Nameなどの他のコマンドは、レガシ トークンの状態を返しません。

Get-AuthenticationPolicy コマンドは、管理者が設定したレガシ トークンの状態のみを表示します。 管理者が設定を変更したことがない場合、コマンドは (Not Set)を返します。 レガシ トークンをオフにする Microsoft による 2 月の展開が実装されているときにトークンの状態が (Not Set) された場合、レガシ トークンがオフであっても、トークンの状態は引き続き (Not Set) されます。 次の表は、変更が適用されたときのトークンの状態に基づくレガシ Exchange Online トークンの動作を示しています。

レガシ トークン管理者の設定 2 月の変更前のレガシ トークンの動作 2 月の変更後のレガシ トークンの動作 8 月の変更後のレガシ トークンの動作
(設定されていません) トークン トークンオフ トークンオフ
False トークンオフ トークンオフ トークンオフ
True トークン トークン トークンオフ

関連項目