Nicht jeder Gast ist gleich: Warum externe Konten eine klare Einordnung brauchen

Externe Gäste sind keine homogene Masse. Wer Partner-, Kunden- und Collaboration-Gastkonten gleich behandelt, verschenkt Governance und Klarheit.

Nicht jeder Gast ist gleich.

Das klingt erst einmal nach einer dieser Aussagen, bei denen alle kurz nicken und dann trotzdem das Falsche tun. In Microsoft 365 wird genau das erstaunlich oft ignoriert. Am Ende steht dann eine lange Liste externer Konten im Tenant: Berater, Lieferanten, Partner, Kunden, Projektbeteiligte, ehemalige Projektbeteiligte, Testnutzer, private Microsoft-Konten und Menschen, bei denen niemand mehr so genau weiß, warum sie eigentlich noch externen Zugriff haben.

Technisch sind es häufig einfach Gäste.

Organisatorisch ist das ungefähr so hilfreich wie ein Ordner mit der Beschriftung "Sonstiges".

Microsoft Entra B2B Collaboration ist dafür gebaut, Menschen außerhalb der eigenen Organisation Zugriff auf ausgewählte Anwendungen und Ressourcen zu geben, während die Kontrolle über die Daten im eigenen Tenant bleibt. Gäste melden sich dabei typischerweise mit ihrer ursprünglichen Identität an und erhalten in Ihrem Verzeichnis eine Repräsentation, über die Zugriff gesteuert werden kann.

Das ist technisch sehr elegant, beantwortet aber nicht automatisch die wichtigere Frage:

Warum ist diese Person überhaupt hier?

Genau diese Frage ist der eigentliche Anfang guter Gäste-Governance. Nicht: “Hat der Gast Zugriff?” Sondern: “In welchem Verhältnis steht diese Person zu uns, und was folgt daraus?”

Denn ein Partner-Gastkonto ist etwas anderes als ein Kunden-Gastkonto. Und ein Collaboration-Gastkonto für eine kurzfristige Abstimmung oder einmalige Freigabe sollte nicht denselben Lebenszyklus haben wie ein Partner-Gastkonto, das über Jahre hinweg in gemeinsamen Teams arbeitet.

Eine sinnvolle Klassifizierung von Gastkonten beginnt deshalb nicht bei Microsoft 365, sondern beim Verhältnis zur Person oder Organisation.

In unseren Blueprints sprechen wir deshalb von drei Grundmustern: Partner-Gastkonto, Kunden-Gastkonto und Collaboration-Gastkonto.

Diese drei Muster sind bewusst Beispiele und keine dogmatische Wahrheit. Wenn Lieferanten im eigenen Modell wegen ihres Informationsrisikos, ihrer Prozesse oder ihrer Austauschbarkeit eine eigene Vorlage verdienen, kann das absolut sinnvoll sein. Wenn man zunächst weniger Auswahl anbieten will oder das Thema Lieferanten praktisch keine große Rolle spielt, lassen sie sich genauso sinnvoll unter Partner zusammenfassen.

Ein Partner-Gastkonto passt für Menschen oder Organisationen, die längerfristig und enger mit dem Unternehmen zusammenarbeiten. Dazu können klassische Partner ebenso gehören wie Lieferanten, Berater oder Agenturen. Oft sind die Basis gemeinsame Projekte, wiederkehrende Abstimmungen, mehrere Ansprechpartner und ein berechtigtes Interesse daran, Zusammenarbeit stabil und effizient zu gestalten.

Ein Kunden-Gastkonto ist wieder anders. Hier ist die Richtung der Beziehung oft sensibler. Zugriff für Kunden kann sinnvoll sein, etwa für gemeinsame Projektarbeit, Support, Dokumentenaustausch oder Pilotphasen. Gleichzeitig sollte sehr klar sein, welche Bereiche sichtbar sind, welche Kommunikation angemessen ist und wer intern die Verantwortung trägt.

Ein Collaboration-Gastkonto passt für Menschen, die für einen klar begrenzten, meist kurzfristigen Anlass Zugriff brauchen: für einen Workshop, eine punktuelle Abstimmung, einen einmaligen Dateiaustausch, ein Review oder eine kurze Mitarbeit in einem Gremium. Hier darf Governance oft etwas leichter sein: weniger Voraussetzungen, schneller bereitgestellt, dafür mit deutlich kürzerer Laufzeit und sauberem Abbau.

Kurz gesagt: Die Kategorie ist kein "hübsches Etikett". Sie ist die Übersetzung einer geschäftlichen Beziehung in steuerbare IT-Regeln.

Ohne Einordnung entstehen Gastkonten oft nach dem Muster: Einladung verschickt, Zugriff funktioniert, Thema erledigt.

Leider ist das Thema damit nicht erledigt, es schläft nur.

Später fragt jemand, ob der Gast noch Zugriff braucht. Dann beginnt das Detektivspiel: Wer kennt die Person? Zu welchem Projekt gehört sie? Ist das ein Partner-Gastkonto, ein Kunden-Gastkonto oder war das nur eine einmalige Collaboration? Hat der Vertrag noch Bestand? Gibt es überhaupt einen Vertrag? Wer darf entscheiden?

Microsoft bietet mit Sponsoren in Entra eine Möglichkeit, Verantwortung für B2B-Gäste sichtbar zu machen. Sponsoren helfen dabei nachzuhalten, wer für einen Gast zuständig ist, und unterstützen damit die Accountability im Verzeichnis. Aber ein Sponsor allein beantwortet noch nicht, welche Governance-Regeln für den Gast gelten sollen.

Genau hier hilft die Klassifizierung.

Wenn ein Gast als Partner-, Kunden- oder Collaboration-Gastkonto eingeordnet ist, lassen sich daraus konkrete Regeln ableiten:

  • Wie lange ist der Zugriff typischerweise gültig?
  • Wer darf die Einladung anfordern?
  • Welche Metadaten müssen gepflegt werden?
  • Wie häufig muss der Zugriff überprüft werden?
  • Welche Ressourcen dürfen überhaupt beantragt werden?
  • Wann wird der Gast automatisch deaktiviert oder entfernt?

Das ist weniger Bürokratie, als es klingt. Es ist eher ein Namensschild auf der Schublade. Ohne Schild findet man irgendwann alles, aber nur mit Glück und viel Zeit zum Suchen.

Die eigentliche Wirkung einer Klassifizierung entsteht nicht durch das Etikett, sondern dadurch, dass daraus später Zielgruppen, Standardprozesse und Verantwortlichkeiten werden.

Dann lässt sich klarer entscheiden, welche Zugriffe typischerweise passen, wie streng Reviews laufen sollten, welche Self-Service-Wege sinnvoll sind und in welchem Risikokontext ein Gast grob zu sehen ist. Gerade im Security Incident ist so eine Einordnung kein Beweis, aber oft ein nützlicher erster Indikator.

Sie kann sogar bis in Informationsmanagement und Datenklassifizierung hineinwirken. Wenn Tools wie EasyLife 365 Collaboration unterschiedliche Gasttypen schon im Anzeigenamen sichtbar machen, bekommen Mitarbeitende in Mitgliederlisten, Freigabedialogen und Verzeichnissen einen schnellen Hinweis darauf, mit wem sie es eigentlich zu tun haben. Das ersetzt keine Schulung und auch keine Purview-Strategie. Aber es hilft dabei, Informationen nicht einfach nach dem Motto "wird schon passen" zu teilen, gerade wenn man die externe Person noch gar nicht näher kennt.

Wer den Gedanken weiterzieht, landet schnell auch bei stärker geschützten Inhalten. Spätestens dann wird interessant, ob sensible Bereiche, externe Freigaben oder in Einzelfällen sogar durch Microsoft Purview Sensitivity Labels geschützte Dokumente für bestimmte Gasttypen anders bewertet werden sollten. Das ist heute technisch kein sauberer Standardpfad und ganz sicher nichts, was man schon als fertige "Wunderlösung§ verkaufen sollte. Aber als Richtung ist der Gedanke trotzdem stark: Der Gasttyp sollte nicht nur in irgendeiner Richtlinie stehen, sondern im Alltag sichtbar und steuerbar sein.

Wie sich diese Logik auf einer Gäste-Landingpage mit Sponsor-Sichtbarkeit praktisch übersetzen lässt, zeigen wir bewusst eher in unseren Landingpage-Ideen und beim Blick auf Sponsor vs. Einladender als in diesem strategischen Überblick.

Access Reviews sind ein gutes Beispiel. Microsoft Entra ID Governance kann Gastzugriffe regelmäßig überprüfen, etwa für Gruppen, Anwendungen oder Microsoft-365-Gruppen mit Gästen.

Aber ein Review ist nur so gut wie die Frage, die er stellt.

“Braucht diese Person noch Zugriff?” ist oft zu allgemein.

Besser ist: “Ist dieses Partner-Gastkonto für den Lieferanten oder Berater noch aktiv?” Oder: “Gehört dieses Kunden-Gastkonto noch zum laufenden Projekt?” Oder: “Ist diese kurzfristige Collaboration längst abgeschlossen?”

Solche Fragen kann ein Sponsor viel leichter beantworten. Und genau deshalb sollte die Art des Gastes nicht irgendwo in einer Excel-Liste nebenbei existieren, sondern Teil des eigentlichen Governance-Modells sein.

Die Einordnung hilft nicht nur der IT, sie hilft auch dem Gast.

Ein Partner-Gastkonto braucht vielleicht andere Hinweise als ein Kunden-Gastkonto. Und bei einem Collaboration-Gastkonto für einen Workshop, eine Abstimmung oder eine einmalige Freigabe sollte man besonders klar sehen, wo es losgeht, was erwartet wird und wen man fragen kann.

Das passt gut zu einer Gäste-Landingpage: Nicht alle Gäste müssen dieselbe Seite, dieselben Links und dieselben Erklärungen sehen. Zielgruppensteuerung wird deutlich wertvoller, wenn die Zielgruppen sauber gepflegt sind.

Dann wird aus “Willkommen im Tenant, viel Erfolg” ein echter Einstieg: “Sie sind als Partner eingebunden. Hier sind Ihre wichtigsten Ressourcen, Ihre Sponsoren und die nächsten Schritte.”

Klingt kleiner. Wirkt größer.

Wichtig ist dabei: Die Klassifizierung muss nicht immer ein juristisches Gutachten sein.

Natürlich kann ein echter Vertrag relevant sein. Aber in der Praxis geht es oft breiter um die B2B- oder manchmal auch B2C-Beziehung. Ein Kunden-Gastkonto bleibt ein Kunden-Gastkonto, auch wenn der konkrete Zugriff nur für ein gemeinsames Pilotprojekt eingerichtet wurde. Und ein Partner-Gastkonto für einen Lieferanten oder Berater bleibt eines, auch wenn nicht jeder einzelne Gastzugriff direkt im Vertrag steht. Ein Collaboration-Gastkonto folgt dagegen oft eher einem konkreten Anlass als einer dauerhaften Beziehung.

Die Kategorie soll nicht die Rechtsabteilung ersetzen. Sie soll eine praxistaugliche Brücke zwischen geschäftlicher Realität und technischer Steuerung bauen.

Das größte Problem ungeordneter Gastkonten ist nicht der einzelne Gast, es ist die Masse.

Ein einzelnes externes Konto ist schnell erklärt. Tausend externe Konten ohne saubere Einordnung sind ein Governance-Nebel. Dann werden Reviews pauschal, Laufzeiten großzügig, Verantwortlichkeiten weich und Ausnahmen normal.

Und mit Masse meinen wir nicht nur ein paar hundert Einträge. Bei Workoho sehen wir Kundenumgebungen, in denen vor der Einführung geordneter Prozesse und EasyLife 365 Collaboration weit über 40.000 Gastkonten zu verwalten waren. Selbst danach bleibt in großen Umgebungen oft noch eine erhebliche fünfstellige Zahl.

Eine gute Klassifizierung macht Gäste nicht komplizierter. Sie macht sichtbar, was ohnehin schon unterschiedlich ist.

Partner-, Kunden- und Collaboration-Gastkonten haben unterschiedliche Erwartungen, Risiken und Lebenszyklen. Wer diese Unterschiede sauber abbildet, kann externe Zusammenarbeit einfacher, sicherer und nachvollziehbarer gestalten.

Und genau darum geht es am Ende: nicht um perfekte Taxonomie, sondern um Zusammenarbeit, die nicht zufällig funktioniert.

Genau bei solchen Fragen unterstützen wir bei Workoho. Nicht mit noch einer hübschen Governance-Folie, sondern mit Prozessen, die im Alltag funktionieren und auf PowerPoint nicht nur zufällig gut aussehen. Für Nutzer sollen sie einfach bleiben, ohne IT, Security und Compliance in den Wahnsinn zu treiben.

Mit EasyLife 365 Collaboration lassen sich Gäste, Sponsoren, Metadaten, Reviews und Lifecycle-Regeln in saubere Prozesse bringen. Die Klassifizierung von Gastkonten ist dabei kein Selbstzweck, sondern eine wichtige Grundlage: Sie entscheidet, welche Regeln gelten, wer verantwortlich ist und wann Zugriff wieder verschwinden sollte.

Denn externe Zusammenarbeit soll nicht an Governance scheitern.

Sie sollte nur auch nicht so lange improvisiert werden, bis Audit, Incident oder Vertragsende plötzlich sehr konkrete Fragen stellen.


Über den Autor

Julian Pawlowski

Julian ist Innovation & Technology Coach bei Workoho und berät Unternehmen zu moderner IT-Strategie, Microsoft 365, Cloud-Architekturen und Security. Als erfahrener Enterprise Architect verbindet er technologische Tiefe mit einem klaren Blick für Geschäftsanforderungen, Nutzerakzeptanz und nachhaltige Veränderung.