Microsoft zablokuje dostęp do Exchange Online dla przestarzałych klientów mobilnych EAS

Wprowadzenie do problemu / definicja luki

Microsoft zapowiedział, iż od 1 marca 2026 r. Exchange Online przestanie akceptować połączenia z urządzeń mobilnych korzystających z Exchange ActiveSync (EAS) w wersji poniżej 16.1. Zmiana dotyczy wyłącznie natywnych aplikacji pocztowych łączących się z chmurą Microsoft 365 przez EAS i nie obejmuje środowisk on-premises Exchange Server ani Outlook Mobile (który nie używa protokołu EAS).

W skrócie

• Deadline: 1 marca 2026 r. – starsze niż EAS 16.1 tracą dostęp do Exchange Online.
• Kogo dotyczy: natywne aplikacje pocztowe w iOS/Android używające EAS (np. Gmail/Samsung Mail – wymagają aktualizacji). Outlook Mobile – bez zmian.
• Powód: standaryzacja na nowszym protokole i redukcja ryzyka/niezgodności.
• Wsparcie iOS: Mail w iOS wspiera EAS 16.1 od iOS 10.

Kontekst / historia / powiązania

W ostatnich latach Microsoft czyścił starsze mechanizmy dostępu do Exchange Online, m.in. wyłączając Basic Authentication dla EAS/POP/IMAP/EWS itp. (2022–2024). Dzisiejszy ruch to kolejny etap porządkowania starszych klientów i wymuszenia nowszych możliwości protokołu.

Analiza techniczna / szczegóły zmiany

• Wymagany poziom protokołu: EAS 16.1 (udostępniony w czerwcu 2016 r.).
• Kluczowe możliwości EAS 16.1 (względem 14.x/16.0), istotne z punktu widzenia bezpieczeństwa i UX:
  • Account-only remote wipe – zdalne usunięcie wyłącznie danych skrzynki, bez „factory reset” całego urządzenia.
  • Ulepszony search (KQL/Find) i Propose New Time w kalendarzu.
• Zasięg: tylko Exchange Online; Exchange Server on-prem – bez zmian. Outlook Mobile – nie dotyczy, bo nie używa EAS.
• Kompatybilność aplikacji:
  • Apple Mail (iOS): wspiera 16.1 od iOS 10.
  • Gmail/Samsung Mail (Android): producenci pracują nad aktualizacjami do 16.1; najważniejsze będzie utrzymywanie aplikacji w najnowszej wersji.

Praktyczne konsekwencje / ryzyko

• Ryzyko ciągłości działania: nieaktualne klienty EAS przestaną synchronizować pocztę/kalendarz/kontakty z Exchange Online po 01.03.2026.
• Shadow IT i rozproszone floty: starsze, niezarządzane urządzenia (BYOD) z natywną pocztą mogą nagle wypaść z obiegu – wzrost zgłoszeń do servicedesk. (Wniosek na podstawie ogłoszenia i praktyk wdrożeniowych.)
• Zgodność i bezpieczeństwo: wymuszenie 16.1 ułatwia egzekwowanie nowocześniejszych polityk MDM i minimalizuje skutki potencjalnego remote wipe dla użytkowników (account-only wipe).

Rekomendacje operacyjne / co zrobić teraz

1. Inwentaryzacja klientów EAS < 16.1 – wykorzystaj komendę PowerShell z bloga Exchange Team, by wygenerować raport urządzeń i wersji klienta:Get-MobileDevice -ResultSize Unlimited | Where-Object { ($_.ClientType -eq 'EAS' -or $_.ClientType -match 'ActiveSync') -and $_.ClientVersion -and ([version]$_.ClientVersion -lt [version]'16.1') } | Sort-Object UserDisplayName | Select-Object UserDisplayName, Identity, DeviceId, DeviceModel, ClientVersion Źródło komendy i kontekst: Exchange Team Blog.
2. Plan aktualizacji aplikacji pocztowych – upewnij się, iż Gmail/Samsung Mail są aktualne; tam gdzie to możliwe, rozważ migrację do Outlook Mobile (brak zależności od EAS).
3. Wymuś zgodność przez MDM/Intune – reguły Conditional Access, Device Compliance i App Protection Policies dla natywnych klientów; blokuj połączenia niespełniające wymagań wersji. (Dobra praktyka spójna z kierunkiem zmian Microsoft.)
4. Komunikacja do użytkowników – poinformuj posiadaczy starszych urządzeń o wymaganiach (EAS ≥ 16.1 / aktualizacja lub Outlook Mobile) z wyprzedzeniem min. 3–6 miesięcy. (Rekomendacja redakcyjna na podstawie ogłoszeń Microsoft.)
5. Testy pilotażowe – na wydzielonej grupie BYOD sprawdź, czy po aktualizacjach zachowana jest pełna funkcjonalność (mail, kalendarz, wipe account-only).

Różnice / porównania z innymi przypadkami

• Basic Auth vs. EAS 16.1: wyłączenie Basic Auth eliminowało stary mechanizm uwierzytelniania; obecna zmiana standardyzuje wersję protokołu dla natywnych klientów. Obie decyzje służą redukcji powierzchni ataku i ujednoliceniu wsparcia.
• Outlook Mobile vs. klienci EAS: Outlook Mobile korzysta z innej architektury (bez EAS), co czyni go niewrażliwym na tę zmianę i często łatwiejszym w egzekwowaniu polityk bezpieczeństwa.

Podsumowanie / najważniejsze wnioski

• Twardy termin: 1.03.2026 – EAS < 16.1 traci dostęp do Exchange Online.
• Działaj teraz: zrób inwentaryzację, zaplanuj aktualizacje lub migrację do Outlook Mobile, przygotuj polityki MDM i komunikację.
• Korzyści: spójniejsze bezpieczeństwo (m.in. account-only wipe), mniej problemów kompatybilności i lepsza kontrola nad flotą urządzeń.

Źródła / bibliografia

1. Exchange Team Blog – „Exchange Online ActiveSync Device Support Update”, 15–16 grudnia 2025 (akt.). (TECHCOMMUNITY.MICROSOFT.COM)
2. BleepingComputer – „Microsoft to block Exchange Online access for outdated mobile devices”, 16 grudnia 2025. (BleepingComputer)
3. Office 365 for IT Pros – „Old Versions of Exchange ActiveSync Get the Bullet”, 16 grudnia 2025. (Office 365 for IT Pros)
4. Microsoft Learn – „Deprecation of Basic authentication in Exchange Online” (kontekst uwierzytelniania), 25 czerwca 2024. (Microsoft Learn)
5. Practical365 – „Performing account-only remote wipes…”, 29 listopada 2016 (opis funkcji EAS 16.1). (Practical 365)