Guest access in M365: Kunden und Partner sicher Zugang gewähren

Teams-Kanäle mit einem Partner teilen, eine SharePoint-Site für ein Kundenprojekt – das ist Guest access. Hier erfahren Sie, wie Sie es verwalten, ohne nach einem Jahr 200 Gäste im System zu haben.

Guest access = jemand außerhalb Ihres Tenants (Gmail-Konto, anderer Unternehmens-Tenant), der Zugang zu bestimmten Ressourcen hat. Mächtig – aber schnell ein Sicherheitsrisiko, wenn Sie es nicht im Griff behalten.

Wie funktioniert das?

Sie laden eine externe E-Mail-Adresse in ein Team, eine SharePoint-Site oder eine direkte Dateifreigabe ein. M365 legt einen Gastbenutzer in Ihrem Tenant an. Der Gast hat nur Zugriff auf das, was Sie freigegeben haben – nichts weiter.

Verwaltungsdisziplin

• Bestandsliste anlegen. Portal.office.com → Users → Guest users. Sehen Sie, wer vorhanden ist, seit wann und wann zuletzt aktiv.
• Vierteljährliches Review — zusammen mit Ihrem regulären Access Review.
• Ablaufdatum vorab festlegen — über die Access-Review-Funktion in Entra Premium P2 oder manuell zum Projektende.
• Keine Gäste in der Global-Admin-Rolle. Niemals.

Einstellungen auf Tenant-Ebene

• Wer darf einladen? Nur Admins oder alle Benutzer? Viele KMU: alle Benutzer zulassen + vierteljährliches Gäste-Review.
• Welche Gäste dürfen eingeladen werden? Problematische Domains blockieren.
• Müssen Gäste MFA verwenden? Ja.

Bei Projektabschluss mit Kunden

Löschen Sie den Gastbenutzer, anstatt ihn nur „aus dem Team zu entfernen". Andernfalls bleibt er als potenzielles Einfallstor in Ihrer Benutzerliste bestehen.

Siehe auch: Teams externe Gäste, Zugang für externe Parteien.