Microsoft leitet eine grundlegende Neuausrichtung der externen Zusammenarbeit ein. Ab Mai 2026 wird der bisherige Einmal-Passcode (OTP) für SharePoint und OneDrive für Unternehmen schrittweise abgeschafft. An seine Stelle tritt die Microsoft Entra B2B-Kollaboration – einheitlich, sicherer und zentral gesteuert. Die Umstellung, die Microsoft bereits Anfang des Jahres in der Mitteilung MC1243549 ankündigte, betrifft alle Organisationen, die mit externen Partnern, Dienstleistern oder Auftragnehmern zusammenarbeiten.
Die neue Art der Zusammenarbeit in der Cloud erfordert nicht nur technische Anpassungen, sondern auch eine lückenlose Dokumentation aller Datenverarbeitungsprozesse. Mit dieser kostenlosen Excel-Vorlage erstellen Sie Ihr DSGVO-Verarbeitungsverzeichnis rechtssicher und zeitsparend. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen
Von Einmalcodes zu echten Gastkonten
Der Hauptgrund für den Wechsel: Der bisherige OTP-Mechanismus erlaubte externen Nutzern den Zugriff auf freigegebene Inhalte per temporärem Code, der an ihre E-Mail-Adresse gesendet wurde. Bequem – aber aus Sicht der IT-Sicherheit eine Blackbox. Fehlten doch tiefgehende Prüf- und Kontrollmöglichkeiten, die moderne Sicherheitsstandards verlangen.
Ab sofort lösen neue Einladungen zum Teilen von Dateien oder Ordnern automatisch die Erstellung eines Gastkontos im Entra-ID-Mandanten des einladenden Unternehmens aus. Bestehende Freigabelinks, die noch auf dem alten OTP-Verfahren basieren, bleiben vorerst funktionsfähig – allerdings nur bis zum Sommer.
Im Juli 2026 beginnt Microsoft ernst zu machen: Dann wird die OTP-Authentifizierung schrittweise abgeschaltet. Externe Nutzer, die bis dahin nicht auf ein Gastkonto umgestellt wurden, verlieren den Zugriff auf zuvor freigegebene Links vom Typ „Bestimmte Personen“. Um den Zugang wiederherzustellen, müssen Unternehmen entweder ein formelles Gastkonto in Entra B2B anlegen oder ein interner Nutzer muss die Inhalte erneut teilen – was dann den neuen Authentifizierungsfluss auslöst.
Bis zum 31. August 2026 soll die Umstellung in allen kommerziellen, behördlichen und Sovereign Clouds abgeschlossen sein.
Sicherheitsvorteile und zentrale Steuerung
Der Wechsel zu Entra B2B ist kein Selbstzweck. Er erlaubt es Unternehmen, Conditional Access Policies auch auf externe Nutzer anzuwenden – dieselben Sicherheitsregeln also, die für interne Mitarbeiter gelten. Dazu gehören:
- Multi-Faktor-Authentifizierung (MFA) für Externe
- Geräte-Compliance-Prüfungen vor dem Zugriff
- Standortbasierte Zugriffsbeschränkungen
Das alte OTP-System umging diese Sicherheitsebenen weitgehend. Mit der Integration externer Nutzer in Entra ID können Administratoren nun Identity Protection nutzen, um verdächtige Anmeldeaktivitäten zu erkennen, und Zugriffsüberprüfungen durchführen, um Gastberechtigungen regelmäßig zu auditieren und bei Bedarf zu entziehen.
Ein weiterer Vorteil: Microsoft vereinheitlicht die Authentifizierung. Bisher existierten zwei parallele Systeme – eines für interne und B2B-Nutzer, ein weiteres für OTP-Nutzer. Diese Komplexität entfällt nun. Das Ergebnis: ein vorhersehbareres Verhalten über SharePoint, Teams und OneDrive hinweg.
Herausforderungen für die IT-Verwaltung
Doch der Sicherheitsgewinn hat seinen Preis. Die größte unmittelbare Herausforderung: die Explosion der Gastkonten. Da nun jeder externe Mitarbeiter als eigener Eintrag im Verzeichnis auftaucht, sehen sich IT-Abteilungen mit einer Flut neuer Identitäten konfrontiert, die über ihren gesamten Lebenszyklus verwaltet werden müssen.
Das erfordert eine neue Disziplin: automatisiertes Governance. Lösungen von Partnern wie AvePoint oder Quest gewinnen an Bedeutung, da sie Funktionen für die automatisierte Abmeldung von Gästen und die Berechtigungsprüfung bieten. Ohne ein robustes Governance-Framework droht der „Identity Sprawl“ – tausende verwaiste Gastkonten, die lange nach Projektende im System verbleiben.
Zudem ändert sich die Einstellung „EnableAzureADB2BIntegration“. Sie steuert ab sofort nicht mehr das externe Sharing-Verhalten. Unternehmen, die die Entra-B2B-Integration bisher deaktiviert hatten, müssen ihre internen Dokumentationen und Schulungen anpassen.
Während Microsoft die technische Sicherheit der Zusammenarbeit erhöht, bleiben die gesetzlichen Dokumentationspflichten für Identitäten und Datenzugriffe eine zentrale Compliance-Hürde. Erfahren Sie in diesem kostenlosen Report, welche Pflichtfelder im Verarbeitungsverzeichnis oft übersehen werden und wie Sie Bußgelder vermeiden. Experten-Leitfaden zum Verarbeitungsverzeichnis kostenlos sichern
Strategischer Kontext und Ausblick
Die Neuerung kommt nicht isoliert. Bereits im Frühjahr betonte Microsoft, SharePoint flexibler und KI-tauglicher machen zu wollen. Der Schwenk zu Entra B2B ist auch eine Voraussetzung für Microsoft 365 Copilot und andere KI-gestützte Tools, die auf robuste Berechtigungs- und Identitätsstrukturen angewiesen sind, um Datensicherheit zu gewährleisten und unbeabsichtigtes Teilen zu verhindern.
Die zeitliche Überschneidung mit anderen Meilensteinen ist kein Zufall: SharePoint Server 2016 erreicht im Juli 2026 das Ende des Supports – genau dann, wenn die OTP-Abschaltung beginnt. Das treibt viele verbliebene On-Premises-Organisationen zur Migration in die Cloud, wo sie sofort in das neue externe Sharing-Modell integriert werden.
Für IT-Verantwortliche verschiebt sich der Fokus nun von der technischen Implementierung hin zum Nutzer-Management. Externe Partner müssen verstehen, wie der Einladungsprozess für Gastkonten funktioniert – und dass möglicherweise Microsoft Authenticator oder andere verifizierte Methoden erforderlich sind. Die Umstellung bedeutet mehr Aufwand beim ersten Kontakt, verspricht aber langfristig eine sicherere, besser prüfbare und einheitlichere Umgebung für die Zusammenarbeit.
