Microsoft inicia contagem regressiva para o fim do Exchange Web Services (EWS)

A Microsoft definiu oficialmente o cronograma para a desativação e encerramento definitivo do Exchange Web Services (EWS) no Microsoft 365 e no Exchange Online, marcando o fim de uma das APIs mais antigas e utilizadas do ecossistema Exchange.

De acordo com a empresa, o EWS será desativado por padrão a partir de 1º de outubro de 2026. Organizações que ainda dependem da tecnologia poderão manter o serviço ativo temporariamente ao configurar o parâmetro EWSEnabled = true até agosto de 2026. No entanto, a Microsoft deixou claro que o encerramento definitivo ocorrerá em 1º de abril de 2027, sem qualquer possibilidade de extensão.

O EWS está oficialmente depreciado há anos, e sua aposentadoria foi anunciada pela Microsoft em 2023. Em 2025, a empresa endureceu ainda mais a transição ao confirmar que determinados tipos de licença, como F1 e F2, não teriam mais permissão para utilizar a API.

Criado originalmente no Exchange Server 2007, o EWS permite que aplicações acessem caixas de e-mail e repositórios de dados tanto no Exchange Online quanto no Exchange Server. Ao longo dos anos, a API se tornou amplamente adotada por integradores, soluções de terceiros e aplicações internas, incluindo versões clássicas do Outlook. Ao mesmo tempo, também passou a ser explorada por hackers, tornando-se um vetor frequente de abuso.

Após o incidente de segurança envolvendo o grupo Midnight Blizzard, a Microsoft afirmou ter “elevado o nível de urgência” para aposentar definitivamente o EWS, reforçando preocupações relacionadas à superfície de ataque e à segurança da plataforma.

A empresa destacou que a aposentadoria afeta apenas o Microsoft 365 e o Exchange Online. O Exchange Server on-premises não sofrerá alterações em relação ao suporte ao EWS.

Para ambientes impactados, o cronograma significa que administradores que ainda não iniciaram ou concluíram a migração precisarão agir rapidamente. A recomendação oficial da Microsoft é migrar para o Microsoft Graph, embora a própria empresa reconheça que o serviço ainda está em “quase completa” paridade funcional com o EWS e que nem todas as aplicações internas da Microsoft concluíram a migração.

Como forma de identificar dependências ocultas, a Microsoft também informou que poderá realizar “scream tests” temporários, desligando e religando o EWS de forma controlada para expor aplicações que ainda dependem da API. A empresa não detalhou, porém, como os administradores poderão diferenciar esses testes de falhas reais algo sensível em um cenário já marcado por interrupções recorrentes em serviços online.

A Microsoft afirmou que mais informações serão divulgadas nas próximas semanas e foi categórica ao encerrar qualquer especulação sobre adiamentos: “Não haverá exceções após abril de 2027.”