Você chega no escritório numa segunda-feira, abre o PowerShell, roda aquele script que sempre funcionou e ele falha. Sem aviso prévio, sem e-mail de alerta. Simplesmente parou. Se isso ainda não aconteceu com você, pode acontecer em breve: a Microsoft está implementando pelo menos quatro mudanças significativas no Exchange Online ao longo de 2026 que vão quebrar scripts, integrações e fluxos que funcionam há anos.
A boa notícia? Todas essas mudanças tornam o Exchange mais seguro. A má notícia? Se você não se preparar agora, vai descobrir na pior hora possível.
Neste artigo, vou detalhar cada uma dessas mudanças, explicar o impacto real na sua rotina de administrador e o mais importante mostrar exatamente o que fazer para se proteger antes dos deadlines.
1. Graph API: Seus Apps Não Vão Mais Poder Editar E-mails Recebidos
A mudança mais impactante para desenvolvedores chegou em 24 de março de 2026: a Microsoft anunciou que aplicações que usam a Graph API para modificar propriedades sensíveis de e-mails recebidos (assunto, corpo, destinatários) terão acesso bloqueado.
O que muda na prática?
Hoje, qualquer app com permissão `Mail.ReadWrite` pode alterar e-mails que já foram entregues na caixa de entrada. Isso era usado para classificações automáticas, limpeza de dados e integrações de CRM. A partir de 31 de dezembro de 2026, essas operações exigirão uma permissão específica e mais restritiva: `Mail-Advanced.ReadWrite`.
Por que a Microsoft está fazendo isso?
O conceito é imutabilidade de mensagens. E-mails recebidos são registros que muitas vezes servem como evidência legal ou compliance. Permitir que apps modifiquem esses e-mails silenciosamente cria riscos sérios de integridade de dados.
O que você precisa fazer agora
1. Audite seus apps — No [Azure AD App Registrations](https://entra.microsoft.com/), liste todos os apps com permissão `Mail.ReadWrite` e verifique se algum modifica e-mails recebidos
2. Solicite a nova permissão — Adicione `Mail-Advanced.ReadWrite` aos apps que realmente precisam editar e-mails entregues
3. Teste antes do enforcement — O período de transição vai até 31/12/2026. Não espere dezembro para descobrir que algo quebrou
Fonte: [Upcoming Breaking Changes to Modifying Sensitive Email Properties via Graph API](https://techcommunity.microsoft.com/blog/exchange/upcoming-breaking-changes-to-modifying-sensitive-email-properties-via-graph-api/4505227) — Exchange Team Blog, 24/Mar/2026
2. PowerShell: O Parâmetro -Credential Vai Deixar de Funcionar
Se você administra Exchange Online via PowerShell, provavelmente já usou algo assim:
$cred = Get-Credential
Connect-ExchangeOnline -Credential $credEsse padrão está com os dias contados. A Microsoft anunciou a deprecação do parâmetro -Credential no módulo Exchange Online PowerShell. A autenticação básica com credenciais armazenadas simplesmente vai parar de funcionar.
Por que isso importa tanto?
Muitos administradores têm scripts agendados (scheduled tasks, Azure Automation runbooks, pipelines CI/CD) que usam `-Credential` para se conectar automaticamente ao Exchange Online. Quando o parâmetro for removido, todos esses scripts vão falhar silenciosamente.
Como migrar
A solução é migrar para autenticação moderna usando certificados ou managed identities:
# Autenticação via certificado (recomendado para scripts)
Connect-ExchangeOnline `
-CertificateThumbprint "SEU_THUMBPRINT" `
-AppId "SEU_APP_ID" `
-Organization "seudominio.onmicrosoft.com"# Autenticação interativa (para uso manual)
Connect-ExchangeOnline -UserPrincipalName admin@seudominio.comChecklist de migração
- [ ] Liste todos os scripts que usam `Connect-ExchangeOnline -Credential`
- [ ] Crie um App Registration no Entra ID com permissões de Exchange
- [ ] Gere e instale um certificado para autenticação
- [ ] Atualize cada script para usar `-CertificateThumbprint`
- [ ] Teste em ambiente de homologação antes de substituir em produção
Fonte: [Deprecation of the -Credential Parameter in Exchange Online PowerShell](https://techcommunity.microsoft.com/blog/exchange/deprecation-of-the–credential-parameter-in-exchange-online-powershell/4494584) — Exchange Team Blog, Fev/2026
3. EWS Está Sendo Aposentado: Se Você Ainda Usa, É Hora de Correr
O Exchange Web Services (EWS) foi por anos a API principal para integrar com o Exchange. Calendários, e-mails, contatos tudo passava pelo EWS. Mas a Microsoft já vem sinalizando sua aposentadoria há algum tempo, e agora publicou um guia prático de remediação para ajudar organizações a se desligarem do EWS antes do fim.
O risco real
O problema não é seus scripts. O problema é que você pode nem saber que usa EWS. Muitas aplicações de terceiros como sistemas de helpdesk, CRM, backup e assinatura de e-mail usam EWS nos bastidores. Quando o EWS for desativado, essas integrações vão parar.
Como descobrir o que usa EWS no seu tenant
A Microsoft publicou orientações detalhadas de como encontrar e remediar o uso de EWS no seu ambiente. O processo envolve:
1. Verificar logs no Entra ID — Procure sign-ins com o resource “Office 365 Exchange Online” que usam EWS como protocolo
2. Usar o relatório de uso de apps — No Exchange Admin Center, verifique quais aplicações estão fazendo chamadas EWS
3. Contactar fornecedores — Para apps de terceiros, pergunte ao fornecedor se já migraram para a Graph API
4. Migrar código próprio — Substitua chamadas EWS pela [Microsoft Graph API](https://learn.microsoft.com/graph/api/resources/mail-api-overview), que é o sucessor oficial
Não espere o último dia
A tendência é clara: EWS não vai receber novas funcionalidades e a Microsoft está ativamente guiando todos para a Graph API. Quanto antes você fizer o inventário, menor o risco de surpresas.
Fonte: [Notes from the Field: Finding and Remediating EWS App Usage Before Retirement](https://techcommunity.microsoft.com/blog/exchange/notes-from-the-field-finding-and-remediating-ews-app-usage-before-retirement/4496469) — Exchange Team Blog, Fev/2026
4. SMTP DANE e MTA-STS: Segurança de Transporte com Controle Granular
Nem toda mudança é sobre coisas quebrando. Algumas são sobre o Exchange ficando genuinamente mais seguro. Em 10 de março de 2026, a Microsoft anunciou suporte a modos configuráveis de SMTP DANE (DNS-based Authentication of Named Entities) e MTA-STS (Mail Transfer Agent Strict Transport Security) em conectores outbound.
O que isso significa para você?
Antes, o Exchange Online usava criptografia oportunista por padrão: tentava TLS, mas se o servidor destino não suportasse, enviava em texto plano. Agora, você pode escolher entre três modos por conector:
| Modo | Comportamento | Quando usar |
| Opportunistic (padrão) | Tenta DANE/MTA-STS, mas faz fallback se não houver suporte | Comunicação geral |
| Mandatory | Exige SMTP DANE. Se o destino não suportar, o e-mail não é enviado | Parceiros com SLA de segurança |
| None | Desabilita verificação DANE/MTA-STS | Troubleshooting ou servidores legados |
Na prática
Se você tem parceiros de negócio com quem troca informações sensíveis (jurídico, financeiro, saúde), agora pode criar um conector específico para esses domínios com modo Mandatory, garantindo que os e-mails nunca sejam transmitidos sem criptografia verificada.
Para o restante do tráfego, manter Opportunistic é o caminho mais seguro sem impactar a entrega.
Fonte: [Announcing SMTP DANE & MTA-STS Connector Modes in Exchange Online](https://techcommunity.microsoft.com/blog/exchange/announcing-smtp-dane–mta-sts-connector-modes-in-exchange-online/4501005) — Exchange Team Blog, 10/Mar/2026
5. O Que Mais Está Chegando: IA e Compliance
Além das mudanças que exigem ação imediata, a Microsoft está investindo em duas áreas que vão mudar a forma como administramos o Exchange:
Troubleshooting com IA para Purview
O novo AI-Powered Troubleshooter para Microsoft Purview Data Lifecycle Management usa inteligência artificial para diagnosticar problemas de retenção e compliance automaticamente. Em vez de você vasculhar logs manualmente, a IA identifica a causa raiz e sugere ações corretivas. Isso é especialmente útil para organizações que enfrentam auditorias regulares.
Priority Cleanup V2
A Microsoft está desenvolvendo a segunda versão do Priority Cleanup ferramenta para exclusão urgente de conteúdo em mailboxes (data spillage, conteúdo sensível vazado). O V2 promete velocidade significativamente maior, workflow de aprovação melhorado e experiência de administrador simplificada. A Microsoft está ativamente pedindo feedback da comunidade para priorizar melhorias.
Seu Plano de Ação: O Que Fazer Esta Semana
- [ ] Audite seus scripts PowerShell — Procure por `-Credential` no seu repositório de scripts
- [ ] Verifique uso de EWS — Consulte os logs do Entra ID para saber quais apps usam EWS
Este mês
- [ ] Inventarie apps com Graph API — Liste quais usam `Mail.ReadWrite` e modificam e-mails recebidos
- [ ] Inicie migração do -Credential — Crie o App Registration e certificado para autenticação moderna
Até o fim do semestre
- [ ] Configure SMTP DANE — Defina modo Mandatory para parceiros de alta segurança
- [ ] Solicite `Mail-Advanced.ReadWrite` — Para apps que precisam continuar editando e-mails (deadline: 31/12/2026)
- [ ] Elimine dependências de EWS — Migre ou substitua todas as integrações que ainda usam EWS
Conclusão
O Exchange Online em 2026 está mais seguro, mais controlado e mais alinhado com padrões modernos de autenticação e criptografia. Mas segurança vem com responsabilidade: se você não atualizar seus scripts, permissões e integrações, eles vão quebrar.
A boa notícia é que nenhuma dessas mudanças é surpresa. A Microsoft está dando prazos claros e documentação detalhada. O que falta é você bloquear algumas horas na agenda e fazer o inventário.
Comece hoje pelo mais simples: abra seu repositório de scripts e procure por `-Credential`. Se encontrar, você já tem trabalho pela frente.
Fontes
1. [Upcoming Breaking Changes to Modifying Sensitive Email Properties via Graph API](https://techcommunity.microsoft.com/blog/exchange/upcoming-breaking-changes-to-modifying-sensitive-email-properties-via-graph-api/4505227) — Exchange Team Blog, 24/Mar/2026
2. [Deprecation of the -Credential Parameter in Exchange Online PowerShell](https://techcommunity.microsoft.com/blog/exchange/deprecation-of-the–credential-parameter-in-exchange-online-powershell/4494584) — Exchange Team Blog, Fev/2026
3. [Notes from the Field: Finding and Remediating EWS App Usage Before Retirement](https://techcommunity.microsoft.com/blog/exchange/notes-from-the-field-finding-and-remediating-ews-app-usage-before-retirement/4496469) — Exchange Team Blog, Fev/2026
4. [Announcing SMTP DANE & MTA-STS Connector Modes in Exchange Online](https://techcommunity.microsoft.com/blog/exchange/announcing-smtp-dane–mta-sts-connector-modes-in-exchange-online/4501005) — Exchange Team Blog, 10/Mar/2026
5. [AI-Powered Troubleshooting for Microsoft Purview DLM](https://techcommunity.microsoft.com/blog/exchange/ai-powered-troubleshooting-for-microsoft-purview-data-lifecycle-management-now-a/4502744) — Exchange Team Blog, Mar/2026
6. [Give Us Feedback on Faster, Simpler Data Purging for Exchange Online](https://techcommunity.microsoft.com/blog/exchange/give-us-feedback-on-faster-simpler-data-purging-for-exchange-online/4503905) — Exchange Team Blog, 19/Mar/2026
