Guest access in M365: veilig klanten en partners toegang geven

Teams-channels delen met een partner, SharePoint-site voor een klant-project. Dat is guest access. Hier hoe je het beheert zonder dat je na een jaar 200 gasten hebt.

Guest access = iemand buiten je tenant (gmail-account, andere bedrijfs-tenant) die toegang heeft tot specifieke resources. Krachtig, maar lekt snel als je het niet beheert.

Hoe werkt het?

Je nodigt een externe e-mail uit in een Team, SharePoint-site, of directe file-share. M365 maakt een guest-user aan in je tenant. Die guest kan bij wat jij deelt, niets anders.

Beheer-discipline

• Leg inventaris aan. Portal.office.com → Users → Guest users. Zie wie er is, sinds wanneer, laatst actief.
• Review elk kwartaal — samen met je normale access review.
• Verloop-datum vooraf — via Access Review-feature in Entra Premium P2, of handmatig getriggerd op projecteinde.
• Geen gasten in Global Admin-rol. Nooit.

Settings op tenant-niveau

• Wie mag uitnodigen? Alleen admins, of alle users? Veel MKB: all users toestaan + gast-review kwartaal.
• Welke gasten mag men uitnodigen? Block problematische domeinen.
• Moeten gasten MFA doen? Ja.

Bij klant-projecteinde

Verwijder de guest-user in plaats van alleen "uit Team halen". Anders blijft hij in je user-lijst hangen als potentiële achterdeur.

Zie ook: Teams externe gasten, externe partijen toegang.