Microsoft режет ActiveSync

Microsoft снова решила напомнить всем простую истину: если ты не обновляешься — тебя обновят принудительно. На этот раз под раздачу попали мобильные устройства, которые лезут в Exchange Online с древними версиями Exchange ActiveSync. Никаких exploit’ов, никаких zero-day — просто холодный, корпоративный access denied.

С 1 марта 2026 года Microsoft начнёт блокировать доступ к Exchange Online для устройств, использующих ActiveSync ниже версии 16.1. Не «рекомендует», не «временно ограничит», а именно вырубит подключение. Почта, календарь, контакты — всё. Был EAS < 16.1 — стал оффлайн.

Exchange ActiveSync — это тот самый протокол, через который нативные почтовые клиенты на смартфонах синхронизируют письма, встречи и адресную книгу. Он включён по умолчанию почти в каждом новом почтовом ящике Exchange Online, потому что пользователи любят открывать почту в стандартном Mail, а не задумываться о безопасности.

По словам Exchange Team, решение приняли после «долгого и продуктивного общения с вендорами». Переводя с корпоративного: слишком много старых клиентов, которые давно не получают апдейты, а Microsoft надоело тащить за собой легаси.

Важно: речь идёт исключительно про Exchange Online и мобильные устройства с нативными почтовыми приложениями. On-prem Exchange Server не трогают — он по-прежнему живёт своей жизнью. Outlook Mobile тоже в безопасности, потому что он вообще не использует EAS, а ходит в Exchange по своим закрытым тропам.

Что именно считается «слишком старым»? Всё, что ниже ActiveSync 16.1. Эта версия вышла ещё в июне 2016 года вместе с Exchange Server и Exchange Online. Да, почти десять лет назад. Если устройство за это время так и не научилось 16.1 — у Microsoft к нему больше нет сочувствия.

Производители уже начали шевелиться. Google и Samsung обновляют свои нативные почтовые клиенты, чтобы они продолжили нормально работать с Exchange Online. Apple, как обычно, выглядит спокойнее всех: iOS Mail поддерживает EAS 16.1 ещё со времён iOS 10. Если у вас iPhone не из музея — проблем не будет.

Для администраторов Microsoft, конечно же, приготовила PowerShell. Потому что если нельзя всё решить скриптом, значит, это не настоящий энтерпрайз. Одна команда — и можно увидеть всех пользователей, которые всё ещё ходят в Exchange с устройств, застрявших в прошлом:

Get-MobileDevice | Where-Object {($.ClientType -eq 'EAS' -or $.ClientType -match 'ActiveSync') -and $.ClientVersion -and ([version]$.ClientVersion -lt [version]'16.1')} | Sort-Object UserDisplayName | Select-Object UserDisplayName, UserPrincipalName, DeviceId, DeviceModel

Именно этим списком стоит заняться заранее, а не утром 1 марта 2026 года, когда у топ-менеджмента внезапно «пропала почта».

Microsoft отдельно подчёркивает: если пользователи и организации держат устройства и приложения в актуальном состоянии, никакой катастрофы не будет. Всё отвалится только у тех, кто годами игнорировал обновления и считал, что корпоративная почта обязана работать вечно, независимо от версии клиента.

Интересно, что новость появилась вскоре после другого фикса — в прошлом месяце Microsoft закрыла баг, из-за которого некоторые клиенты Microsoft 365 не могли подключаться к почтовым серверам через ActiveSync из Outlook desktop. То есть протокол и так трещит по швам, и, похоже, Microsoft решила постепенно вычищать всё старое и неудобное.

По факту это не про безопасность в чистом виде, а про контроль. Старые клиенты — это непредсказуемое поведение, слабые шифры, отсутствие современных политик и вечная головная боль для облака. Проще отрубить, чем поддерживать.