1. 結局どうなったのか:期限の再延期と「段階的無効化」へ
2025年9月という当初の期限は撤回され、現在は2026年12月が大きな節目となっています。Microsoftが2026年に入ってから発表した最新のタイムラインは以下の通りです。
-
2026年12月末まで: 既存のテナント(組織)では、まだSMTP AUTHの基本認証が利用可能です。
-
2026年12月末(大きな変更点): 既存テナントにおいて、SMTP AUTHの基本認証が「既定で無効(デフォルトOFF)」になります。
-
※ただし、管理者が手動で「有効」に再設定すれば、まだ使い続けることは可能です。
-
-
2026年12月以降に作成される新規テナント: 最初から基本認証は利用できず、OAuth 2.0(先進認証)のみがサポートされます。
-
2027年後半: 「最終的な完全削除日」が発表される予定です。
つまり、「2025年9月にバッサリ切る」予定だったものが、ユーザーの混乱を避けるために「2026年末にまずデフォルトOFFにし、完全廃止は2027年以降に持ち越し」という形に軟着陸しました。
2. なぜこうなったのか:背景にある「現実とのギャップ」
Microsoftが何度も延期を繰り返したのは、以下の「現場の事情」が想定以上に根深かったためです。
-
レガシーデバイスの多さ: 古い複合機(スキャナ)、ネットワークカメラ、工場の制御システム、UPS(無停電電源装置)など、OAuth 2.0に対応できない古いハードウェアが世界中に膨大に残っていた。
-
基幹システムの改修コスト: C++やC#、あるいはレガシーな言語で作られた自社開発のメール送信プログラムをOAuth対応に書き換えるには、ライブラリの更新や認証フローの実装が必要になり、企業の負担が大きすぎた。
-
セキュリティと利便性のトレードオフ: セキュリティを強化したいMicrosoftと、業務を止めたくない企業側の要望が衝突し、段階的な移行期間を設けざるを得なくなった。
3. 廃止によるリスク:放置すると何が起きるのか
期限が延びたとはいえ、最終的な廃止に向かっていることに変わりはありません。対策を怠ると以下のリスクに直面します。
-
「既定で無効化」による突然の停止: 2026年末に設定が自動でOFFになった際、管理者が気づかなければ、ある日突然「複合機のスキャンが送れない」「受注メールが飛ばない」といったトラブルが発生します。
-
セキュリティの脆弱性(最大の懸念): 基本認証は多要素認証(MFA)が使えません。 パスワードさえ分かれば世界中のどこからでもログインできてしまうため、ブルートフォース攻撃(総当たり攻撃)やパスワードスプレー攻撃の格好の標的になります。
-
アカウントの乗っ取りと踏み台化: 盗まれた認証情報でメール送信機能が悪用されると、自社のドメイン名で大量のスパムメールやフィッシングメールが送信され、企業の社会的信頼の失墜や、メールサーバーのブラックリスト入りを招きます。
まとめ:今、担当者がすべきこと
現在は「猶予期間の最終段階」です。以下のステップで準備を進めることが推奨されています。
-
現状把握: Exchange管理センターのレポートで、どのデバイス・アプリが「基本認証」を使ってメールを送っているか特定する。
-
OAuthへの移行: 対応しているアプリや複合機は、今のうちに設定をOAuth 2.0に切り替える。
-
代替案の検討: OAuth非対応の古い機器については、「Azure Communication Services Email」や「Microsoft 365 High Volume Email(HVE)」など、基本認証に依存しない新しい送信方式への移行を検討する。
「2026年末」はすぐそこです。突然の停止で業務を止めないよう、早めの着手をおすすめします。
