A Microsoft confirmou uma notícia esperada por muitos administradores e desenvolvedores: a API Exchange Web Services (EWS) para o Exchange Online será totalmente desativada em abril de 2027. Após quase duas décadas atuando como ponte entre aplicativos e buzones do Exchange, EWS continuará disponível em instalações locais do Exchange Server, mas as caixas hospedados na Microsoft 365 devem deixar de usá-la antes da data limite.
O roteiro que a Microsoft colocou marca dois momentos chave: A partir de 1 de outubro de 2026 EWS será bloqueada por defeito no Exchange Online, e em 1 de abril de 2027 ocorrerá a desconexão definitiva sem exceções. A Microsoft oferece uma janela de gestão para reduzir o impacto: os administradores podem criar listas de aplicativos permitidas e, se o fizerem antes do final de agosto de 2026, sua organização ficará excluída desse primeiro bloqueio automático.
Se uma organização não preparar sua própria lista, a Microsoft começará em setembro de 2026 a gerar listas pré-cheadas baseadas no uso real de cada tenant, com a intenção de minimizar interrupções imprevistas. Além disso, para identificar dependências ocultas, a empresa anunciou que poderia realizar breves apagados controlados – aos quais chamou coloquialmente “scream testes” – e manterá os administradores informados através de notificações periódicas no Message Center com resumos e lembretes específicos por tenant. Você pode ler o anúncio oficial e as explicações da equipe Exchange no blog técnico da Microsoft: Exchange Team (Microsoft Tech Community).
Para entender por que a Microsoft toma esta decisão convém lembrar o papel que EWS jogou. Nascida com o Exchange Server 2007, EWS permitiu construir clientes e ferramentas que leem e-mails, gerem calendários e contatos, e realizam operações complexas sobre caixas de plataformas diferentes. Com o tempo, a Microsoft foi promovendo a Microsoft Graph como a API moderna que integra identidades, correio, calendários, arquivos e muitas outras funções sob um único modelo e com melhorias em segurança e escalabilidade. O processo de aviso não é novo: já em 2018 a Microsoft avançou mudanças e, em 2021, desafiou um subconjunto das chamadas menos usadas por razões de segurança; você pode consultar os avisos no TechCommunity: Aviso de 2018 e a comunicação de 2021.
O que significa isto para empresas e desenvolvedores? Em primeiro lugar, qualquer aplicativo que ainda use EWS para acessar buzones na nuvem deve planejar uma migração. A Microsoft recomenda mudar a Microsoft Graph, que já oferece paridade de características para a maioria dos cenários e inclui melhorias de autenticação e controle de acesso. A empresa publica guias para ajudar na migração e na adaptação de chamadas e permissões: Migrate applications from EWS to Microsoft Graph.
Em segundo lugar, os administradores devem auditar e mapear o uso de EWS em seu ambiente: identificar aplicativos, scripts e serviços que fazem chamadas EWS, priorizar as mais críticas e coordenar testes. A Microsoft forneceu mecanismos de permit listing para dar tempo à transição, mas esses mecanismos são temporários. Além disso, a empresa fornecerá informações automáticas sobre o uso de EWS por tenant para ajudar a detectar dependências ocultas antes do bloqueio maciço.
Há uma nota importante para ambientes híbridos: a retirada afeta o Exchange Online (a nuvem). As instalações on-prem continuarão a suportar EWS, mas as interações entre cenários híbridos e a nuvem podem exigir componentes concretos para que as chamadas Microsoft Graph funcionem corretamente. A Microsoft explicou que a Autodiscover continuará a ser a forma de determinar onde está uma caixa de correio, e que os clientes híbridos precisarão de dispor da infraestrutura necessária para suportar Graph quando liguem a buzones na nuvem; convém rever a documentação técnica do fabricante para detalhes específicos de cada topologia.
O que você deveria fazer já? A receita é simples em sua ideia: inventário, testes e migração. Fazer um inventário abrangente de clientes e scripts que usam EWS, priorizar os casos críticos e começar a reescrever ou adaptar essas integrações à Microsoft Graph. Use as ferramentas e guias oficiais para minimizar retrabalhos, e planejar janelas de teste antes do bloqueio de outubro de 2026. A Microsoft oferece recursos e documentação para desenvolvedores na página Microsoft Graph; é um bom ponto de partida para entender permissões, endpoints e fluxos de autenticação: Microsoft Graph documentation.
Não é conveniente confiar no mecanismo de listas permitidas como solução a longo prazo: são um alívio temporário, não uma alternativa permanente. O risco está em descobrir dependências ocultas de forma tardia — por exemplo, integrações internas ou aplicações de terceiros que ninguém mantém ativamente — e que esses serviços fiquem fora de serviço por um bloqueio imprevisto. Por isso, a Microsoft propõe as provas controladas e as notificações mensais para que as organizações possam reagir com tempo.
Finalmente, embora esta transição seja técnica, não deixe de ser uma oportunidade: migrar para Graph costuma trazer benefícios em segurança (manejo de permissões mais fino, suporte para os padrões modernos de OAuth), em manutenção (uma única API para muitos serviços) e em possibilidades funcionais (integração mais direta com Teams, OneDrive e outros serviços da Microsoft 365). Se a sua organização ainda depender do EWS no Exchange Online, convém tratar o calendário da Microsoft como uma data limite real e ativar recursos para a migração antecipadamente.
Para mais detalhes e panorama oficial, verifique a entrada da equipe do Exchange no TechCommunity da Microsoft e o guia de migração para a Microsoft Graph:
Anúncio do Exchange Team e Guia de Migração de EWS para Microsoft Graph.
Em resumo: EWS para Exchange Online tem o prazo de validade na nuvem: prepara inventário, prioriza migrações e usa a janela de administração que a Microsoft oferece para evitar impactos quando chegar outubro de 2026 e, definitivamente, abril de 2027.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...