Das Ende des OTP in SharePoint: Warum Gast-Accounts jetzt zur größten Governance-Herausforderung in Microsoft 365 werden
Was sich gerade in jedem Microsoft 365 Tenant verändert – und warum Admins jetzt handeln müssen
Ab Mai 2026 rollt Microsoft eine der tiefgreifendsten Änderungen am externen Sharing-Modell von SharePoint Online und OneDrive for Business aus, die es seit Jahren gegeben hat: Die SharePoint One-Time Passcode (SPO OTP) Authentifizierung wird abgeschafft. Wer Dateien extern teilt, lädt ab sofort automatisch einen Gast-Account in den Entra-Tenant ein – ob gewollt oder nicht.
Was Microsoft als Sicherheitsverbesserung vermarktet, bringt für IT-Administratoren eine neue, massive Governance-Herausforderung mit sich: unkontrollierte Gast-Account-Proliferation, fehlende Lifecycle-Kontrolle und ein wachsendes Sicherheitsrisiko durch „Shadow Guests”.
Was ist SPO OTP – und warum wird es abgeschafft?
Bis dato konnten Nutzer in SharePoint und OneDrive Dateien mit externen Personen teilen, indem diese einen einmaligen Code per E-Mail erhielten – den sogenannten One-Time Passcode. Der Empfänger brauchte keinen Microsoft-Account, keinen Gast-Eintrag im Tenant. Einfach, schnell, anonym.
Dieses Modell war praktisch – aber aus Sicherheitsperspektive ein Blindflug. Keine Identität, keine Auditierbarkeit, kein Conditional Access, kein Lifecycle.
Microsoft hat reagiert: Laut Message Center Notification MC1243549 vom März 2026 wird SPO OTP ab Mai 2026 schrittweise durch Microsoft Entra B2B Collaboration ersetzt. Die vollständige Abschaffung ist für August 2026 geplant. Ab Juli 2026 werden bestehende OTP-basierte Links schlicht nicht mehr funktionieren.
Was das konkret bedeutet: Ein Gast-Account für jeden geteilten Inhalt
Hier beginnt das eigentliche Problem:
Sobald ein interner Nutzer eine Datei oder einen Ordner mit einer externen E-Mail-Adresse teilt, legt der Entra B2B Invitation Manager automatisch einen Gast-Account im Tenant an – auch wenn der Empfänger nur kurz auf ein einzelnes Dokument zugreifen soll.
Was früher ein anonymer, kurzlebiger OTP-Link war, ist jetzt ein dauerhafter Identitätseintrag im Azure Active Directory (Entra ID). Und: Der Gast wird dabei nicht Teil einer Gruppe, nicht einem Team zugeordnet, nicht in einen definierten Prozess eingebunden. Er schwebt einfach im Tenant – sichtbar für bestehende Gäste, unter Umständen von anderen Usern erneut ansprechbar, ohne dass ein Admin je davon erfahren hat.
Das Ausmaß des Problems: Gast-Proliferation in Zahlen
Die Zahlen sprechen eine deutliche Sprache. Laut einer viel zitierten Einschätzung aus dem Microsoft-Ökosystem haben viele Tenants 2 bis 4 Mal mehr Gäste als interne Mitarbeiter. Das war schon vor der OTP-Abschaffung so – und wird sich durch die Änderung ab Mai 2026 drastisch verschärfen.
Denn bisher musste ein externer Nutzer aktiv als Gast eingeladen werden. Jetzt genügt das Teilen einer einzelnen Excel-Datei durch einen normalen Mitarbeiter – ohne Rückfrage, ohne Prozess, ohne Admin-Kontrolle.
In einem mittelgroßen Unternehmen mit 500 Mitarbeitern, die regelmäßig Dateien extern teilen, können innerhalb weniger Monate Hunderte bis Tausende neuer Gast-Accounts entstehen – jeder davon eine potenzielle Sicherheitslücke, wenn er nicht aktiv verwaltet wird.
Die Risiken unkontrollierter Gast-Accounts
1. Sicherheitsrisiko: Gäste sehen mehr als gedacht
Je nach Tenant-Konfiguration – insbesondere der SharePoint-Sharing-Einstellungen – können bestehende Gäste von anderen internen Nutzern erneut zu weiteren Inhalten eingeladen werden, weil sie bereits als Identität im Tenant existieren. Ein Gast, der ursprünglich nur Zugriff auf eine Datei hatte, kann so sukzessive Zugriff auf immer mehr sensible Inhalte erhalten.
2. Compliance-Risiko: Wer hat Zugriff auf was?
DSGVO, ISO 27001, NIS2 – alle relevanten Compliance-Frameworks fordern die Kontrolle darüber, wer auf welche Unternehmensdaten Zugriff hat. Gäste, die automatisch durch das Sharing-Verhalten von Mitarbeitern angelegt werden, erscheinen in keinem kontrollierten Onboarding-Prozess. Das macht Access Reviews und Audits zur Horrorfunktion.
3. Governance-Risiko: Gäste ohne Ablaufdatum
Ohne aktives Management bleiben Gast-Accounts aktiv – auch wenn der ursprüngliche Zweck (z. B. ein Projekt) längst abgeschlossen ist. Ehemalige Lieferanten, Freelancer, Berater: Sie alle hinterlassen digitale Spuren im Tenant. Ohne Lifecycle-Prozess häufen sich inaktive Accounts an, die eine stille Angriffsfläche darstellen.
4. Shadow Guest Problem: Die Hintertür in den Tenant
Das gravierendste Problem: Diese Gäste kommen durch die Hintertür – nicht durch einen geregelten Admin-Prozess, sondern durch den normalen Sharing-Workflow normaler Mitarbeiter. IT-Admins wissen oft erst Wochen oder Monate später davon. Der Begriff „Shadow IT” bekommt mit „Shadow Guests” eine neue, beunruhigende Dimension.
Was Admins jetzt tun müssen – und warum Bordmittel nicht ausreichen
Microsoft bietet einige native Werkzeuge: Entra-Zugriffsüberprüfungen, Ablaufrichtlinien für Gast-Zugriff auf Gruppen, PowerShell-Skripte für Berichte. Doch die Realität der meisten Admins sieht anders aus:
- Access Reviews in Entra ID Governance für Gäste erfordern seit Januar 2026 eine kostenpflichtige Zusatzlizenz (Entra ID Governance for Guests Add-on)
- Manuelle PowerShell-Berichte skalieren nicht in dynamischen Umgebungen
- Gäste ohne Gruppenzugehörigkeit (also genau die durch Sharing angelegten Gäste) sind besonders schwer zu erfassen und zu verwalten
- Der Entra B2B Invitation Manager schafft zwar Accounts – aber kein Lifecycle-Management
Das Ergebnis: Admins stehen vor einem wachsenden Berg nicht verwalteter externer Identitäten – ohne praktikables Werkzeug, um sie zu kontrollieren.
Die Lösung: External User Manager – kontrollierter Gast-Prozess von Einladung bis Offboarding
Genau hier setzt der External User Manager an. Die Lösung adressiert alle drei Kernprobleme, die durch die OTP-Abschaffung entstehen:
✅ 1. Gesteuerte Gast-Einladung statt Wildwuchs
Statt unkontrollierter Gast-Account-Anlage durch normales Sharing ermöglicht der External User Manager einen geordneten Einladungsprozess: Gäste werden mit definierten Zugriffsrechten, klaren Zwecken und von Beginn an mit einem Lifecycle-Rahmen eingeladen. Der Prozess kann an Workflows gebunden sein – z. B. Freigabe durch einen Team-Owner oder Admin.
✅ 2. Lifecycle-Management mit konfigurierbaren Ablauffristen
Jeder Gast-Account erhält einen definierten Lebenszyklus: Einladung, Aktivierung, Verlängerungsoption, Ablauf. Admins können per Regel festlegen, dass Gäste nach 90, 180 oder 365 Tagen automatisch deaktiviert oder zur Verlängerung aufgefordert werden. Kein Gast bleibt ohne Enddatum.
✅ 3. Timer-Job: Einsammeln von „Shadow Guests” aus dem Sharing-Prozess
Das entscheidende Feature für die neue OTP-Welt: Ein regelmäßig laufender Timer-Job scannt den Tenant nach Gast-Accounts, die nicht über den definierten Prozess angelegt wurden – also genau jene Gäste, die automatisch durch SharePoint/OneDrive-Sharing entstanden sind. Diese „ungeplanten Gäste” werden erfasst, klassifiziert und können:
- Einem verantwortlichen Owner zugeordnet werden
- In den Lifecycle-Prozess überführt werden
- Oder automatisch deaktiviert/gelöscht werden, wenn kein Bedarf festgestellt wird
Dieses „Sweep”-Verfahren läuft in konfigurierbaren Intervallen und stellt sicher, dass kein Gast dauerhaft im Tenant verbleibt, ohne dass jemand Verantwortung dafür übernimmt.
Keyword-Übersicht: Worum es in diesem Kontext geht
Für alle, die sich tiefer in das Thema einlesen möchten, sind folgende Begriffe zentral:
| Begriff | Bedeutung |
|---|---|
| SPO OTP | SharePoint One-Time Passcode – die abgeschaffte Methode |
| Entra B2B Collaboration | Die neue Standard-Methode für Gast-Zugriff in M365 |
| B2B Invitation Manager | Microsoft-Komponente, die automatisch Gäste anlegt |
| Guest Lifecycle Management | Prozess zur Verwaltung von Gast-Accounts von Einladung bis Offboarding |
| Shadow Guests | Ungeplant angelegte Gäste durch Sharing-Aktionen normaler Nutzer |
| Gast-Proliferation | Unkontrolliertes Wachstum von Gast-Accounts im Tenant |
| Access Review | Regelmäßige Überprüfung, wer auf was Zugriff hat |
| Conditional Access | Richtlinien, die bestimmte Zugangsbedingungen erzwingen |
| Guest Governance | Alle Maßnahmen zur kontrollierten Verwaltung externer Identitäten |
| External User Manager | Lösung zur gesteuerten Einladung und Verwaltung von Gästen |
Fazit: Die OTP-Abschaffung ist keine technische Kleinigkeit
Die Abschaffung des SharePoint OTP ist kein Upgrade, das man still und leise einrollt. Es ist eine fundamentale Verschiebung im externen Sharing-Modell von Microsoft 365 – mit direkten Auswirkungen auf Sicherheit, Compliance und den Alltag jedes Administrators.
Admins, die heute nicht handeln, werden sich in sechs Monaten fragen, warum ihr Tenant plötzlich Tausende unbekannter Gast-Accounts enthält.
Die gute Nachricht: Mit dem richtigen Werkzeug lässt sich dieser Prozess nicht nur kontrollieren, sondern in einen echten Mehrwert verwandeln: sichere, nachvollziehbare externe Kollaboration – mit klaren Verantwortlichkeiten und ohne Wildwuchs.
Möchtest du wissen, wie viele ungeplante Gast-Accounts sich bereits in deinem Tenant befinden?
Der External User Manager zeigt es dir – und hilft dir, die Kontrolle zurückzugewinnen.
Quellen: Microsoft Message Center MC1243549, Microsoft Learn (SharePoint Entra B2B Integration FAQ), Office365itpros.com, AdminDroid Blog, Petri.com
Chief Commercial Officer und Governance Spezialist bei Solutions2Share
Florian Pflanz verfügt über mehr als 8 Jahre Erfahrung mit Microsoft 365 und hat über 250 Workshops zu Teams Governance begleitet.
Seine Schwerpunkte liegen auf Lifecycle-Management, Provisioning und Compliance-Anforderungen in regulierten Branchen.
Er gibt Best Practices an IT-Admins und Entscheider weiter, um Komplexität zu reduzieren und sichere Zusammenarbeit in Teams zu stärken.
