A Microsoft oficializou o calendário para a desativação e o encerramento definitivo do Exchange Web Services (EWS) no Microsoft 365 e no Exchange Online, selando o fim de uma das APIs mais antigas e amplamente utilizadas do ecossistema Exchange.
Segundo a empresa, o EWS será desabilitado por padrão a partir de 1º de outubro de 2026. Organizações que ainda dependem da tecnologia poderão manter o recurso ativo de forma temporária ao configurar o parâmetro EWSEnabled = true até agosto de 2026. Ainda assim, a Microsoft reforçou que o desligamento total acontecerá em 1º de abril de 2027, sem qualquer chance de extensão.
O EWS já estava oficialmente depreciado há vários anos, com sua aposentadoria anunciada pela Microsoft em 2023. Em 2025, a empresa avançou no processo ao restringir o uso da API para determinados tipos de licença, como F1 e F2, que passaram a não ter mais autorização para utilizá-la.
Lançado originalmente com o Exchange Server 2007, o Exchange Web Services permite que aplicações acessem caixas de e-mail e repositórios de dados tanto no Exchange Online quanto em ambientes Exchange Server. Com o tempo, a API tornou-se amplamente adotada por integradores, softwares de terceiros, aplicações corporativas internas e até versões clássicas do Outlook. No entanto, essa popularidade também fez com que o EWS se tornasse um alvo recorrente de exploração por agentes maliciosos.
Após o incidente de segurança atribuído ao grupo Midnight Blizzard, a Microsoft afirmou ter “aumentado significativamente o nível de urgência” para a aposentadoria definitiva do EWS, citando preocupações relacionadas à ampliação da superfície de ataque e à segurança da plataforma.
A empresa esclareceu que a mudança afeta exclusivamente o Microsoft 365 e o Exchange Online. Ambientes que utilizam o Exchange Server on-premises não sofrerão alterações no suporte ao EWS.
Para organizações impactadas, o cronograma impõe um senso de urgência. Administradores que ainda não iniciaram ou concluíram a migração precisarão agir rapidamente. A orientação oficial da Microsoft é migrar para o Microsoft Graph, embora a própria companhia reconheça que o serviço ainda não atingiu paridade funcional total com o EWS e que nem todas as aplicações internas da empresa concluíram essa transição.
Como estratégia para identificar dependências ocultas, a Microsoft também informou que poderá realizar “scream tests” controlados, desligando e religando temporariamente o EWS para revelar sistemas que ainda utilizam a API. A empresa, no entanto, não detalhou como os administradores poderão distinguir esses testes de falhas reais — um ponto sensível em um cenário já marcado por interrupções frequentes em serviços online.
A Microsoft afirmou que novos detalhes serão divulgados nas próximas semanas e foi enfática ao encerrar qualquer especulação sobre adiamentos: “Não haverá exceções após abril de 2027.”
