Microsoft telah mengumumkan rencana penghentian Exchange Web Services (EWS), sebuah antarmuka pemrograman aplikasi (API) warisan yang selama ini menjadi protokol utama bagi aplikasi pihak ketiga untuk berinteraksi dengan data Exchange Online, seperti email, kalender, dan kontak. Keputusan ini diambil karena protokol EWS lama dinilai tidak lagi mampu memenuhi standar keamanan dan skalabilitas modern yang dibutuhkan oleh ekosistem cloud saat ini. Sebagai langkah mitigasi, Microsoft memperkenalkan parameter EWSAllowedAppIDs untuk membantu organisasi melakukan transisi secara bertahap.
Sebelum melakukan konfigurasi daftar izin (allow list), administrator TI diwajibkan untuk melakukan inventarisasi aplikasi yang bergantung pada EWS dalam lingkungan tenant mereka. Microsoft menyediakan laporan penggunaan baru melalui Microsoft 365 Admin Center yang mencantumkan identitas aplikasi yang telah mengakses protokol tersebut dalam 90 hari terakhir. Data ini dapat diekspor ke dalam format CSV untuk dianalisis lebih lanjut guna memastikan tidak ada aplikasi kritikal yang terputus aksesnya.
Untuk mengidentifikasi aplikasi secara spesifik, administrator dapat memanfaatkan modul Microsoft Graph PowerShell. Dengan menjalankan cmdlet Get-MgServicePrincipal dan memfilter identitas aplikasi, pengelola sistem dapat menarik nama tampilan (display name) aplikasi yang terdaftar di Microsoft Entra ID. Perlu dicatat bahwa beberapa identitas mungkin milik komponen internal Microsoft yang tidak selalu memiliki nama yang mudah dikenali oleh pengguna.
Proses konfigurasi daftar izin dilakukan melalui cmdlet Set-OrganizationConfig dalam modul Exchange Online PowerShell. Parameter EWSAllowedAppIDs memungkinkan administrator untuk menetapkan daftar identitas aplikasi yang diizinkan dengan format yang dipisahkan oleh koma. Hal ini memberikan kontrol akses yang jauh lebih aman dibandingkan metode lama, yakni EwsAllowList, yang hanya mengandalkan string user-agent yang rentan terhadap pemalsuan identitas.
Selain pengaturan daftar aplikasi, Microsoft kini mewajibkan pengaktifan protokol di tingkat organisasi dengan perintah Set-OrganizationConfig -EWSEnabled $true. Perubahan kebijakan ini mengharuskan kedua pengaturan, baik di tingkat organisasi maupun kotak surat individu, disetel ke kondisi aktif agar akses dapat diberikan. Ini merupakan pengetatan ini menandai pergeseran paradigma keamanan yang lebih ketat dibandingkan aturan sebelumnya yang lebih permisif.
Saat ini, model penerapan masih bersifat longgar untuk memberikan ruang bagi organisasi dalam menguji konfigurasi mereka. Namun, Microsoft telah menetapkan batas waktu hingga Oktober 2026 untuk penghentian total protokol EWS. Oleh karena itu, persiapan yang terencana dan pengujian berkala pada aplikasi pihak ketiga sangat krusial bagi setiap perusahaan agar terhindar dari gangguan operasional saat kebijakan ini mulai ditegakkan sepenuhnya.