Après près de vingt ans de bons et loyaux services, l'API Exchange Web Services (EWS) sera désactivée sur les environnements Exchange Online dès avril 2027. Microsoft a dévoilé sa feuille de route pour atteindre cet objectif : voici l'essentiel à savoir.

Un calendrier de retrait progressif à partir de l'automne 2026

Le composant EWS qui correspond à une API utilisée depuis Exchange Server 2007 pour permettre aux applications d'accéder aux boîtes aux lettres (e-mails, calendriers, contacts), ne répond plus aux standards actuels. Microsoft a donc pris la décision de s'en débarrasser, et ce n'est pas une surprise, puisqu'en 2023, nous évoquions déjà une date prononcée par Microsoft : octobre 2026 (voir cet article).

Une décision justifiée par l'équipe Exchange par l'intermédiaire d'une nouvelle publication : "EWS a été conçu il y a près de 20 ans, et bien qu'il ait bien servi l'écosystème, il ne correspond plus aux exigences actuelles en matière de sécurité, d'échelle ou de fiabilité."

D'ailleurs, au sein de cet article, l'équipe Exchange évoque sa feuille de route pour atteindre l'objectif final : désactiver Exchange Web Services sur Exchange Online, donc sur Microsoft 365. Il n'y aura pas de black-out brutal, et dans un premier temps, les administrateurs garderont la main sur l'utilisation d'EWS.

Voici les principales étapes :

Août 2026 : date limite pour les administrateurs pour configurer leurs listes d'autorisation (Allow Lists) et éviter le blocage automatique.

date limite pour les administrateurs pour configurer leurs listes d'autorisation (Allow Lists) et éviter le blocage automatique. Septembre 2026 : en se basant sur l'analyse de vos usages, Microsoft configurera une liste d'autorisation à votre place.

en se basant sur l'analyse de vos usages, Microsoft configurera une liste d'autorisation à votre place. 1er Octobre 2026 : blocage par défaut des requêtes EWS pour Exchange Online, sauf pour les applications spécifiées dans la liste d'autorisation (Allow List).

blocage par défaut des requêtes EWS pour Exchange Online, sauf pour les applications spécifiées dans la liste d'autorisation (Allow List). Avril 2027 : arrêt complet et définitif d'EWS. Aucune exception ne sera accordée.

En pratique, l'état de la fonctionnalité EWS est associé à un paramètre nommé EWSEnabled . Il peut avoir trois états : true (activé), false (désactivé), et null (valeur par défaut). Microsoft compte justement jouer sur ce paramètre à grande échelle pour désactiver EWS sur l'ensemble des tenants. Dans un premier temps, la liste d'autorisation servira à assurer la continuité de service, mais au plus tard jusqu'en avril 2027.

Si vous avez besoin de conserver EWS dans l'immédiat : "Définissez EWSEnabled sur True et maintenez une liste d'autorisation (via le mode Security Baseline ou Exchange Online PowerShell).", explique Microsoft.

Pour s'assurer que les administrateurs identifient bien les "dépendances cachées", Microsoft prévoit de réaliser des "scream tests". En gros, Microsoft désactivera temporairement EWS avant la date butoir pour voir "qui crie" (quelles applications cessent de fonctionner). Des notifications mensuelles seront envoyées via le Centre de messages pour suivre l'utilisation du protocole au sein de chaque tenant.

Cette documentation explique comment identifier l'utilisation des Services Web Exchange sur votre tenant Microsoft 365.

Microsoft Graph supporté par Exchange Online et Exchange SE

EWS va disparaître, c'est un fait. Mais, comment le remplacer ? La solution existe déjà : les développeurs doivent impérativement basculer vers l'API Microsoft Graph. Selon la firme de Redmond, cette dernière a désormais atteint une quasi-parité fonctionnelle avec EWS pour la majorité des scénarios d'utilisation.

Ce retrait ne concerne que Microsoft 365 et Exchange Online. Les serveurs de messagerie Exchange sur site pourront continuer à utiliser EWS. Microsoft précise : "EWS n'est pas retiré pour le on-prem. Les scénarios hybrides varient selon la manière dont les applications accèdent aux données."

Néanmoins, cela n'est pas sans conséquence, car il y a une autre subtilité à prendre en considération : seul Exchange SE (Subscription Edition) supportera Graph pour les appels vers Exchange Online. Les clients en environnement hybride devront donc migrer vers Exchange SE pour héberger des boîtes aux lettres en local. Sinon Microsoft va couper les liens entre l'Exchange Server et Exchange Online au moment de supprimer EWS côté Microsoft 365.

Si vous utilisez uniquement Exchange Server sur site, cette décision de Microsoft n'aura pas d'incidence.

