• SharePoint-Freigaben: „E-Mail OTP“ classic wird auf Entra ID Authentifizierung umgestellt

SharePoint-Freigaben: „E-Mail OTP“ classic wird auf Entra ID Authentifizierung umgestellt 

Jonathan HuysmansSenior Consultant Microsoft Data SecurityAuf LinkedIn vernetzen

 Ab Juli 2026 ändert Microsoft die Authentifizierung bei SharePoint-Freigaben für externe Nutzer. Für Unternehmen bedeutet das: mehr Kontrolle über externe Zugriffe und neue Anforderungen an die Anmeldung von Gästen. 

Das bekannte Verfahren, Dokumente per Link zu teilen, bleibt bestehen. Die Anmeldung auf Empfängerseite wird jedoch stärker an Microsoft Entra ID gebunden und folgt dem Zero-Trust-Ansatz. Externe Identitäten lassen sich dadurch zentral verwalten und Sicherheitsrichtlinien konsequent durchsetzen.

Wie funktioniert der bisherige Prozess?

Wenn ein Anwender ein Dokument mit einem externen Empfänger teilt, der noch kein Gast war, erfolgt die Authentifizierung in vielen Fällen über einen Einmalcode (OTP) per E-Mail.

Der Ablauf sieht wie folgt aus:

  • Ein Anwender erstellt einen Freigabelink für ein Dokument.
  • Der externe Empfänger öffnet den Link und wird aufgefordert, seine Identität zu bestätigen.
  • Dazu erhält er einen Einmalcode per E-Mail.
  • Nach Eingabe des Codes erhält er Zugriff auf das Dokument.

Dieses Verfahren funktioniert ohne zusätzliche Einrichtung auf Empfängerseite und wird daher häufig genutzt.

Wann bleibt der Zugriff per OTP bestehen?

Der bisherige Zugriff bleibt bestehen:

  • Wenn der externe Empfänger kein Microsoft Entra ID Konto besitzt.
  • Wenn kein Microsoft-Konto verwendet wird.
  • Wenn der einladende Tenant keine direkte Anmeldung mit einem anderen Identitätsprovider, wie Google oder Facebook, eingerichtet hat.
  • Wenn keine anderen Authentifizierungsmethoden, wie z.B. ein Authenticator verfügbar sind.
  • Wenn der einladende Tenant „E-Mail one-time passcode“ aktiviert hat.

Hinweis: Ist diese Option aktiviert, erhalten externe Benutzer weiterhin einen OTP per E-Mail.

Beispiel: Ein Dokument wird mit einem Google-Konto geteilt. Da keine direkte Anmeldung mit dem externen Konto möglich ist, erhält der Empfänger weiterhin einen OTP per E-Mail, um das Dokument zu öffnen.

ZurückWeiter
12

Wo ändert sich der Prozess?

Künftig können Unternehmen zusätzliche Sicherheitsanforderungen definieren, die vor dem Zugriff erfüllt werden müssen. Dazu gehören beispielsweise Multi-Faktor-Authentifizierung (MFA) über einen Authentificator wie zum Beispiel Fidokey. Erst nach erfolgreicher zusätzlicher Authentifizierung erhalten externe Empfänger Zugriff auf die freigegebenen Inhalte.

Beispiel: Ein Dokument wird aus dem Tenant eines externen Unternehmens mit einem Empfänger der Net at Work GmbH geteilt. Statt eines Einmalcodes muss sich der Empfänger zusätzlich authentifizieren, bevor der Zugriff möglich ist.

Nachdem die E-Mail-Adresse bestätigt wurde, wird der Empfänger durch das Einrichtungsprozess des Authenticators geleitet. Gesteuert wird dies in diesem Beispiel mithilfe von Conditional Access. Die folgende Ansicht zeigt eine Standard Policy von Microsoft.

Diese Policy kann zusätzlich um eine Authentifizierungsstärke erweitert werden. Damit wird festgelegt, welche Anmeldemethoden für den Zugriff erlaubt sind.

Was ändert sich für Admins?

Mit der Umstellung erhalten Admins mehr Transparenz und Kontrolle über externe Zugriffe. Alle externen Identitäten, die über Freigabelinks erstellt werden, werden in Entra ID verwaltet. Es gibt keine Benutzer mehr, die nur in SharePoint existieren. Anhand der Identität kann festgestellt werden, welche Authentifizierungsmethode dem Empfänger zur Verfügung stehen.

Je nach Anmeldung des externen Empfängers werden unterschiedliche Identitätstypen erstellt:

  • ExternalAzureAD: Eine Microsoft Entra ID ist bereits vorhanden.
  • M365x06… : Eine neue Microsoft Entra ID wurde im Microsoft Entra Admin Center erfasst.

Warum ist diese Änderung für Ihr Unternehmen wichtig?

Der bisherige Zugriff über einen OTP ist einfach, bietet aber nur begrenzten Schutz. Ist das Postfach des Empfängers kompromittiert, kann auch der zugesendete Code von Angreifern genutzt werden. 

Die Umstellung auf Entra ID bringt mehrere Vorteile mit sich:

Zugriff wird an Identitäten und zusätzliche Authentifizierungsfaktoren gebunden.

Externe Empfänger werden einheitlich in Microsoft Entra ID geführt.

Conditional Access Richtlinien greifen auch für externe Nutzer.

Fazit

Mit der Umstellung auf Microsoft Entra ID stärkt Microsoft die Sicherheit bei externen SharePoint-Freigaben und verfolgt den Zero-Trust-Ansatz konsequent weiter. Unternehmen erhalten dadurch mehr Kontrolle über externe Zugriffe und können Sicherheitsanforderungen zentral steuern.

Jetzt SharePoint-Freigaben sicher gestalten! 

Nutzen Sie unsere kostenfreie Erstberatung und erfahren Sie, wie Sie externe Zugriffe mit Microsoft Entra ID in Microsoft 365 sicher und kontrolliert absichern können.

Weitere News zu diesem Thema