入れ子になったアプリ認証と Outlook レガシ トークンの非推奨に関する FAQ
Exchange ユーザー ID トークン と コールバック トークン は非推奨となり、2025 年 2 月からオフになります。 従来の Exchange トークンを使用する Outlook アドインを、入れ子になったアプリ認証に移動することをお勧めします。
一般的な FAQ
入れ子になったアプリ認証 (NAA) とは
入れ子になったアプリ認証を使用すると、Outlook などのサポートされている Microsoft アプリケーション内に入れ子になったアプリケーションのシングル サインオン (SSO) が有効になります。 NAA は、既存の完全信頼認証モデルや代理フローと比較して、セキュリティが向上し、アプリ アーキテクチャの柔軟性が向上し、クライアント主導の豊富なアプリケーションを作成できます。 詳細については、「 入れ子になったアプリ認証を使用して Office アドインで SSO を有効にする」を参照してください。
従来の Exchange オンライン トークンをシャットダウンするためのタイムラインは何ですか?
Microsoft は、2025 年 2 月に従来の Exchange オンライン トークンのオフを開始します。 現在から 2025 年 2 月まで、既存のテナントと新しいテナントは影響を受けません。 管理者がテナントとアドインの Exchange トークンを再び有効にするツールを提供します(これらのアドインがまだ NAA に移行されていない場合)。 詳細については、「 レガシ トークンを再び有効にできますか? 」を参照してください。
| Date | レガシ トークンの状態 |
|---|---|
| 2025 年 2 月 | すべてのテナントでレガシ トークンがオフになっています。 管理者は、PowerShell を使用してレガシ トークンを再び適用できます。 |
| 2025 年 6 月 | すべてのテナントでレガシ トークンがオフになっています。 管理者は PowerShell を介してレガシ トークンを再び有効にできなくなり、例外については Microsoft に問い合わせる必要があります。 |
| 2025 年 10 月 | すべてのテナントでレガシ トークンがオフになっています。 例外は許可されなくなりました。 |
チャネルで NAA が一般公開されるのはいつですか?
NAA の一般公開 (GA) の日付は、使用しているチャネルによって異なります。
| Date | NAA 一般提供 (GA) |
|---|---|
| 2024 年 10 月 | NAA は現在のチャネルの GA です。 |
| 2024 年 11 月 | NAA は、月次エンタープライズ チャネルで GA を行います。 |
| 2025 年 1 月 | NAA は、Semi-Annual チャネルで GA を行います。 |
| 2025 年 6 月 | NAA は拡張チャネル Semi-Annual GA します。 |
レガシ トークンを有効に戻すことができますか?
2024 年 10 月 30 日から 11 月中旬まで、Microsoft 365 管理者向けの PowerShell を使用して新しいツールを展開し、テナントで従来の Exchange トークンをオンまたはオフにします。 従来の Exchange トークンを再度適用する必要がある場合は、PowerShell コマンドレットを使用してこれを行うことができます。 このツールでは、過去 28 日間にアドインでレガシ トークンが使用されているかどうかも報告されます。 ツールがすべてのテナントで使用できるようになったら、この FAQ を追加情報で更新します。
Outlook アドインの移行に関する FAQ
Microsoft が Outlook アドインを移行するのはなぜですか?
Entra ID トークンを使用して Microsoft Graph に切り替えることは、Outlook および Exchange のお客様のセキュリティの大きな向上です。 Entra ID (旧称 Azure Active Directory) は、クラウドベースの主要な ID およびアクセス管理サービスです。 お客様は、条件付きアクセス、MFA 要件、継続的なトークン監視、リアルタイムの安全性ヒューリスティックなど、従来の Exchange トークンでは使用できないゼロ トラスト機能を利用できます。 お客様は Exchange に格納されている重要なビジネス データを格納するため、このデータが確実に保護されていることが重要です。 Microsoft Graph で Entra ID トークンを使用するように Outlook エコシステム全体を移行すると、顧客データのセキュリティが大幅に向上します。
オプトアウトできますか?
管理者がテナントとアドインの Exchange トークンを再び有効にするツールを提供します(これらのアドインがまだ NAA に移行されていない場合)。 詳細については、「 レガシ トークンを再び有効にできますか? 」を参照してください。 ただし、2025 年 6 月には、レガシ Exchange Online トークンがオフになり、Microsoft によって特定の例外が付与されていない限り、トークンを再度有効にすることはできません。 2025 年 10 月には、レガシ Exchange Online トークンを有効にすることはできず、すべてのテナントで無効になります。 このツールの詳細が利用可能な場合は、この FAQ を更新します。
Outlook アドインを NAA に移行する必要がありますか?
いいえ。 Outlook アドインでは NAA を使用する必要はありませんが、NAA ではユーザーに最適な認証エクスペリエンスと組織に最適なセキュリティ体制が提供されます。 アドインが従来の Exchange トークンを使用していない場合、Exchange トークンの非推奨の影響を受けることはありません。 Entra ID に依存する MSAL.js またはその他の SSO メソッドを使用するアドインは引き続き機能します。
Outlook アドインがレガシ トークンに依存しているかどうかを確認操作方法。
過去 28 日間に従来の Exchange オンライン トークンを使用したアドインのアプリ ID を報告する管理者向けのツールを提供します。 ツールの準備が整ったら、この FAQ で詳細情報を提供します。 詳細については、「 レガシ トークンを再び有効にできますか? 」を参照してください。
アドインで従来の Exchange ユーザー ID トークンとコールバック トークンを使用しているかどうかを確認するには、コードで次の API の呼び出しを検索します。
makeEwsRequestAsyncgetUserIdentityTokenAsyncgetCallbackTokenAsync
アドインでこれらの API のいずれかを呼び出す場合は、NAA を採用し、代わりに Entra ID トークンを使用して Microsoft Graph にアクセスするように移行する必要があります。
スコープ内の Outlook アドインはどれですか?
多くの主要なアドインがスコープ内にあります。 アドインが EWS または Outlook REST を使用してExchange Onlineリソースにアクセスする場合は、ほぼ確実に従来の Outlook トークンから NAA に移行する必要があります。 アドインが Exchange オンプレミス専用 (Exchange 2019 など) の場合、この変更の影響を受けません。
NAA に移行しない場合、Outlook アドインはどうなりますか?
Outlook アドインを NAA に移行しないと、Exchange Onlineで期待どおりに動作しなくなります。 (前の表に従って) Exchange トークンがオフになっている場合、Exchange Onlineはレガシ トークンの発行をブロックします。 従来のトークンを使用するアドインは、Exchange オンライン リソースにアクセスできません。 アドインがオンプレミスでのみ機能する場合、またはアドインが非推奨パスにある場合は、更新する必要がない場合があります。 ただし、EWS または Outlook REST を介して Exchange リソースにアクセスするほとんどのアドインは、期待どおりに機能し続けるために移行する必要があります。
Outlook アドイン操作方法 NAA に移行しますか?
Outlook アドインで NAA をサポートするには、次のドキュメントとサンプルを参照してください。
管理者は、組織のどのアドインを更新する必要があるかを知る方法を教えてください。
過去 28 日間に従来の Exchange オンライン トークンを使用したアドインのアプリ ID を報告する管理者向けのツールを提供します。 ツールの準備が整ったら、この FAQ で詳細情報を提供します。 詳細については、「 レガシ トークンを再び有効にできますか? 」を参照してください。
アドインは、従来の Exchange トークンを使用して、EWS または Outlook REST API を介して Exchange からリソースを取得する場合があります。 アドインでは、一部のユース ケースでは Exchange リソースが必要な場合もあれば、他のユース ケースでは必要な場合は必要な場合があるため、アドインに更新プログラムが必要かどうかを判断するのが困難な場合があります。 アドインの開発者と所有者に問い合わせ、アドイン コードが次の API を参照しているかどうかを確認することをお勧めします。
makeEwsRequestAsyncgetUserIdentityTokenAsyncgetCallbackTokenAsync
アドインに独立系ソフトウェア ベンダー (ISV) を使用している場合は、できるだけ早く連絡して、従来の Exchange トークンから移行するためのプランとタイムラインがあることを確認することをお勧めします。 ISV 開発者は、Exchange レガシ トークンの終了の準備ができていることを確認するために、Microsoft の連絡先に質問を直接連絡する必要があります。 organization内の開発者に依存している場合は、Outlook アドインのレガシ Exchange Online トークンの非推奨に関するUpdatesを確認し、OfficeDev/office-js GitHub イシュー サイトの Outlook 拡張機能 PM チームに質問することをお勧めします。
操作方法最新のガイダンスに追いつくのですか?
新しい情報が利用可能になると、この FAQ が更新されます。 Office アドイン コミュニティコールと M365 開発者ブログで、今後の追加のガイダンスについて説明します。 最後に、OfficeDev/office-js GitHub issue サイトで NAA とレガシ Exchange Online トークンの非推奨に関する質問をすることができます。 問題をグループ化して優先順位を付けることができるように、タイトルに "NAA" を配置してください。
開発者のトラブルシューティングに関する質問
NAA は SSO を提供せず、ユーザーにサインインを求め続ける
これは、Outlook クライアントで NAA が使用できない場合に発生する可能性があります。 Windows の場合は、ベータ チャネルまたは現在のチャネル (プレビュー) のいずれかを使用していることをチェックします。 これらのチャネルに切り替えるには、 Microsoft 365 Insider Program に参加する必要があります。
NAA が使用可能かどうかをチェックする良い方法は、次のコード スニペットを使用して要件セットをチェックすることです。
Office.context.requirements.isSetSupported("NestedAppAuth")
MSAL と NAA からより多くのデバッグ情報を取得操作方法
入れ子になったパブリック クライアント アプリケーションを初期化するときに、msalConfig でデバッグ情報を有効にするには、次のコードを使用します。 これにより、コンソールに追加の詳細が記録されます。
const msalConfig = {
auth: {...},
system: {
loggerOptions: {
logLevel: LogLevel.Verbose,
loggerCallback: (level, message, containsPii) => {
switch (level) {
case LogLevel.Error:
console.error(message);
return;
case LogLevel.Info:
console.info(message);
return;
case LogLevel.Verbose:
console.debug(message);
return;
case LogLevel.Warning:
console.warn(message);
return;
}
},
}
}
};
関連コンテンツ
- 入れ子になったアプリ認証を使用して Office アドインで SSO を有効にします。
- 入れ子になったアプリ認証を使用した SSO を使用した Outlook アドイン。
- NAA パブリック プレビュー ブログ
- Microsoft 365 開発者ブログ、Outlook アドインのレガシ Exchange Online トークンの非推奨に関するUpdates
Office Add-ins