Guest Access in Microsoft 365
Wie man externe Zugriffe sicher und kontrolliert ermöglicht
Zusammenarbeit ist das Rückgrat vieler Unternehmen, vor allem in projektgetriebenen Branchen wie Beratung, Bau, Forschung oder Agenturen. Doch wo Unternehmen flexibel arbeiten, entstehen auch schnell neue Risiken, vor allem dann, wenn externe Partner Zugriff auf interne Systeme erhalten.
Der Gastzugriff (Guest Access) in Microsoft 365 ist längst Alltag. Doch genau darin liegt das Problem: Die Anzahl der Gäste wächst stetig, meist unstrukturiert, unkontrolliert oder überrestriktiv organisiert.
Unsere These: Gästeaccounts stellen ein ernstzunehmendes Sicherheits- und Compliance-Risiko dar, wenn sie nicht aktiv verwaltet und kontrolliert werden.
1. Der Spagat zwischen Effizienz und Sicherheit
Viele IT-Organisationen stehen heute unter Druck, denn einerseits sollen sie flexible Zusammenarbeit ermöglichen, andererseits müssen sie Datenschutz, Zugriffsmanagement und Revisionssicherheit gewährleisten.
Ein häufiger Kompromiss: Die Anlage von Gast-Accounts wird durch IT-Prozesse restriktiver gestaltet und auf bestimmte Personen eingeschränkt. Oft fehlen jedoch nachhaltige Verantwortlichkeiten, Lifecycle-Prozesse oder klare Sicherheitsvorgaben. Es wird gehofft, dass kein Aufräumen nötig ist, die Ressource-Verantwortlichen die Zugriffe managen und jeder Mitarbeiter die relevanten Personen kennt und weiß, was erlaubt ist und was nicht.
Doch dieser Kompromiss kann problematisch werden, denn Gäste haben oft Zugriff auf vertrauliche Informationen, interne Dateien und Applikationen, welche gewollt oder ungewollt existieren.
2. Was ist Guest Access in Microsoft 365 überhaupt?
In einer zunehmend vernetzten Arbeitswelt reicht es nicht mehr aus, nur innerhalb der eigenen Organisation zusammenzuarbeiten. Projekte erstrecken sich über Unternehmensgrenzen hinweg, Partner und Dienstleister müssen eingebunden werden und genau hier kommt der Guest Access in Microsoft 365 ins Spiel.
Microsoft 365 bietet verschiedene Möglichkeiten, externe Personen in die eigene Umgebung einzubinden. Dabei ist es wichtig zu verstehen: Nicht alle externen Nutzer sind gleich. Microsoft unterscheidet im Wesentlichen zwischen zwei Formen:
Externe Benutzerkonten: Dabei handelt es sich um Benutzerkonten, die explizit für externe Personen im eigenen Tenant erstellt werden, also wie interne Konten, nur eben für Partner, Dienstleister oder externe Projektbeteiligte. Diese Konten unterliegen in der Regel denselben internen Prozessen, Genehmigungen und Sicherheitsrichtlinien wie die Konten der regulären Mitarbeitenden. Historisch war dies der klassische Weg, um externe Zugriffe zu ermöglichen, mit klarer Kontrolle, aber auch hohem administrativem Aufwand.
B2B-Gäste (Guest Accounts): Diese werden über Entra ID als sogenannte Guest Users eingebunden. Dabei entsteht ein eigenes Identitätsobjekt im Tenant, allerdings ohne die vollen Rechte eines internen Benutzers. Dieses Objekt ist immer direkt an eine real existierende externe Person bzw. deren E-Mail-Adresse gebunden. Die Einladung kann also nicht einfach „für irgendwen“ erstellt werden. Die externe Person muss den Zugriff aktiv annehmen und somit ihre Identität bestätigen. Ohne diese Bestätigung wird die Verbindung nicht hergestellt und der Gastzugriff bleibt unvollständig. Dieses Prinzip erhöht die Nachvollziehbarkeit, erfordert aber auch eine saubere Einladung und Kommunikation mit den externen Partnern.
Diese Gäste können auf eine Vielzahl von Microsoft-Diensten zugreifen, darunter Microsoft Teams, SharePoint Online, Azure-Ressourcen oder Web-Anwendungen.
Was auf den ersten Blick wie ein komfortabler Weg zur Zusammenarbeit wirkt, birgt in der Praxis erhebliche Herausforderungen. Gäste benötigen keine Lizenz, können aber dennoch auf sensible Daten und Dienste zugreifen. Ohne klare Richtlinien und technische Steuerung entsteht schnell ein unübersichtliches Geflecht an Berechtigungen und damit ein ernstzunehmendes Sicherheitsrisiko.
3. Typische Risiken und Herausforderungen
In der Praxis zeigen sich beim Einsatz von Guest Access in vielen Organisationen wiederkehrende Herausforderungen. Häufig fehlt eine klare Kategorisierung der Gäste, d. h., es wird nicht systematisch zwischen Kunden, Partnern oder Dienstleistern unterschieden. Dadurch entstehen Unsicherheiten bei der Vergabe von Rechten und der späteren Verwaltung.
Fehler in der Anlage lassen sich später nur schwer beheben, daher sollten bei der Erstellung alle erforderlichen Metadaten korrekt eingestellt werden.
Ein weiteres Problem ist die fehlende zentrale Übersicht. Gäste werden oft an verschiedenen Stellen angelegt und berechtigt. Ohne ein zentrales koordiniertes Vorgehen und Monitoring fällt es schwer, den tatsächlichen Umfang externer Zugriffe zu beurteilen und zu bewerten.
Klare Verantwortlichkeiten festlegen, bestimmen, welche Bereiche von welchen Personen betreut werden, die Rolle der IT definieren und klären, wie mit Veränderungen umgegangen wird.
Anlageprozesse sind schnell strukturiert, doch wie wird der Lebenszyklus berücksichtigt? Da Gastkonten keine eigenen Lizenzen benötigen, mangelt es oft an finanziellen Anreizen, sie regelmäßig zu überprüfen oder zu entfernen. Das führt dazu, dass veraltete oder nicht mehr benötigte Zugänge im System verbleiben.
Leitplanken setzen: Wer die festgelegten Regeln nicht einhält, wird gezwungen zu reagieren, inaktive Gäste werden automatisch entfernt.
Berechtigungsvergabe ist ein kritischer Punkt. Gäste erhalten nicht selten umfangreichere Zugriffsrechte als erforderlich, sei es aus Unwissenheit, Bequemlichkeit oder mangels klarer Vorgaben.
Access Reviews sind sicherlich hilfreich, aber was tun, wenn diese nicht oder nur teilweise durchgeführt werden? Konsequenzen zu implementieren kann helfen, die Nachhaltigkeit zu stärken.
Last but not least: Klare Verantwortung definieren und nachhalten. Gäste brauchen Betreuung und Pflege.
4. Szenarien und Erfahrungen aus der Praxis
In unseren Projekten mit Kunden beobachten wir regelmäßig wiederkehrende Themen, die ich in diesem Format gern adressieren möchte.
Strukturierte Namensgebung für Gastkonten
Das Problem ist bekannt und wird von Microsoft bisher nicht gelöst. Ein Gast, nennen wir ihn beispielhaft „Lukas Friedmann“, wird über die E-Mail-Adresse lukas.f(at)musterfirma.de eingeladen. Bei Annahme der Einladung wird lediglich der Anzeigename aus dem externen Tenant übernommen, in diesem Fall „Lukas Friedmann (Legal/MCH/DE)“. Ab diesem Zeitpunkt ist er in diesem Format im Adressbuch des einladenden Unternehmens sichtbar. Dort sind jedoch alle nach dem Schema „Nachname, Vorname“ strukturiert, und Zusätze wie Abteilung oder Land sind darin nicht vorgesehen.
Sowohl die Darstellung als auch das anfängliche Befüllen von Metadaten wird nicht ausreichend berücksichtigt. Der Gast ist gewissermaßen Teil des Unternehmens und sollte entsprechend korrekt dargestellt und verwaltet werden, ähnlich wie man auch mit Gästen am Empfang umgeht.
Differenzierung des Vertrauenslevels
Es stellt sich die Frage: Sind alle Gäste gleich? Die Antwort ist einfach: Meistens überhaupt nicht! – Ob es sich um einen strategischen Partner, einen Kunden, eine Tochtergesellschaft oder einen Lieferanten handelt, sollte nicht nur organisatorisch, sondern auch technisch abgebildet werden. Dabei sollten diese Informationen auf den User sichtbar sein, entweder über die Anzeigenamen oder die Metadaten in jedem Account.
Diese Klassifizierung kann später gezielt in Conditional Access Policies, Sensitivity Labels oder Gruppenrichtlinien angewendet werden, um Zugriffe und Funktionen basierend auf dem Vertrauensniveau anzupassen.
Externer Chat vs. Chat mit dem Gast-Account
Wer die Wahl hat, hat die Qual! – Dieses Problem kennen IT-Projektmanager und Berater nur allzu gut. Welchen Account nutzt man für den Chat? Wird man als Gast eingeladen, läuft der Chat meistens über den Gast-Account. Ist dieser nicht verfügbar, erfolgt die Kommunikation über die externe Teams-Funktion, sofern diese nicht blockiert ist oder eine Domain-Freihaltung erfordert.
In einigen Fällen besteht der Wunsch, dass Gäste ausschließlich über den Chat kommunizieren, ohne automatisch Mitglieder in Teams oder Microsoft 365-Gruppen zu werden. Das ist technisch möglich, allerdings nur mit einem Trick: Die Gäste müssten kurzzeitig in ein Team aufgenommen werden, damit der erforderliche Tenant-Wechsel beim Gast aktiviert wird.
Richtige Darstellung von Metadaten
Gäste werden standardmäßig nicht in der Global Address List (GAL) angezeigt, was die „People Card“ unvollständig macht. Dadurch erscheinen Gäste im Chat oft ohne jegliche Details, was die Zusammenarbeit erschweren kann. Eine Änderung dieses Verhaltens erfordert einiges an technischem Know-how.
Daten wie Position, Firma, Land oder Telefonnummer sind essenziell, um effektiv mit den Gästen zusammenzuarbeiten. Daher müssen sie für die Anwender sichtbar und gepflegt sein. Technische Einschränkungen von Microsoft sollten dabei überwunden werden.
Zentrale Anlaufstelle für Gäste
Ebenfalls wichtig ist der Support für den Gast während des Onboardings oder im weiteren Verlauf. Eine zentrale Landingpage, die den Gast mit Informationen, Ansprechpartnern und idealerweise kurzen Anleitungen versorgt, steigert eine positive Benutzererfahrung und erhöht gleichzeitig die Sicherheit.
Es sollte geklärt werden, welcher Typ von Gast welche Informationen benötigt, welche Jobbeschreibungen wichtig sind, welche Rolle die Person spielt und welche Informationen nur optional angegeben werden sollten (z. B. Mobilfunknummer).
Sicherheit nicht reduzieren
Gäste sind Accounts im Unternehmen und sollten auch mit Blick auf die Sicherheit entsprechend behandelt werden. Multi-Faktor-Authentifizierung (MFA) sollte für Gäste verpflichtend sein. Zwar lässt sich nicht jeder externe Partner auf technische Sicherheitsvorgaben verpflichten, aber genau deshalb ist es umso wichtiger zu wissen, wem man tatsächlich Zugriff gewährt.
Separate Conditional Access-Richtlinien für Gäste oder Gästetypen erleichtern die Verwaltung. Auch die Entscheidung, welche Vertrauenseinstellungen zwischen den Unternehmen gelten, sollte klar getroffen werden. So können MFA aus dem externen Tenant akzeptiert oder Geräte Compliance Status ausgetauscht werden.
5. Nützliche Funktionen und Tools
Microsoft 365 bietet einige native Funktionen, um den sicheren und kontrollierten Umgang mit Gastzugängen zu gewährleisten. Allerdings sind diese nicht immer lizenziert oder ausreichend strukturiert, um sie gezielt und bewusst einzusetzen.
Daher werfen wir hier einen Blick auf die Optionen.
Microsoft Entra B2B als Basis
Microsoft Entra B2B bietet einige allgemeine und global gültige Einstellungen. Damit kann gesteuert werden, welche externen Domains eingeladen werden dürfen, wer Einladungen ausstellen kann und welche anfänglichen Verzeichnisrechte Gastkonten erhalten. Zusätzlich lässt sich einschränken, welche externen Identity Provider akzeptiert werden, von nur Microsoft-Konten bis hin zu Google oder E-Mail-Adressen.
Da diese Einstellungen global gültig sind und nicht auf verschiedene Anwendungsfälle aufgeteilt werden können, empfehlen wir, nur wenige allgemeine Einschränkungen vorzunehmen. Die Berechtigungen sollten limitiert werden, was besser über Rollen oder einen zusätzlichen Prozess gesteuert werden kann. Die Sichtbarkeit sollte ebenfalls begrenzt sein, sodass Gäste nur mit Personen zusammenarbeiten können, die sie bereits kennen.
Zusätzliche Governance Tools
Für ein umfassendes und individuell abgestimmtes Management setzen viele unserer Kunden auf spezialisierte Lösungen. Im Bereich Gästemanagement arbeiten wir besonders mit EasyLife 365-Lösungen zusammen. Diese Tools bieten Vorlagen, automatische Prüfmechanismen, individuelles Branding der Gäste je nach Vorlage und ein benutzerfreundliches Lifecycle-Management, das sich nahtlos in bestehende Prozesse einfügt.
Governance ist der zentrale Punkt bei Gästen. Sie sollte, wenn möglich, vom Anwender verantwortet und gesteuert werden. Auch können IT-Service-Prozesse genutzt werden, um die strukturierte Anlage und Verwaltung von Gast-Accounts zu harmonisieren. Allerdings können diese schnell technisch anspruchsvoll werden.
Kontrolle von Zugriffen
Access Reviews und Auditing-Funktionen helfen dabei, regelmäßig zu überprüfen, wer noch Zugriff benötigt und wer nicht. So wird sichergestellt, dass alte Gastkonten nicht über Jahre hinweg unbemerkt aktiv bleiben. Es ist jedoch wichtig zu beachten, dass einige Funktionen bei Microsoft extra lizenziert werden müssen und vor allem auf Ressourcen wie Teams, Gruppen oder Anwendungen angewendet werden.
Auch hier können zusätzliche Tools helfen, dies zu vereinfachen und den Überblick über den zu verwaltenden Account zu behalten, da dieser in der Verantwortung der Mitarbeitenden liegt.
Schutz von Dokumenten und Informationen
Die Berücksichtigung von Sensitivity Labels ist entscheidend. Damit können Informationen je nach Vertrauensstufe des Gastes verschlüsselt, klassifiziert oder in ihrer Freigabe eingeschränkt werden. So wird gewährleistet, dass sensible Daten nicht versehentlich extern offengelegt werden, es sei denn, bestimmte Gästetypen (wie Partner) sollen ebenfalls auf geschützte Dokumente zugreifen können.
Datenklassifizierung ersetzt den Zugriffsschutz (Access Control) zwar nicht, hilft Unternehmen jedoch dabei, festzulegen, wie Gäste oder verschiedene Gästetypen auf sensible Informationen zugreifen dürfen oder sollen. Eigene Labels, wie etwa „Trusted Partners“, ermöglichen es Nutzern, diese entsprechend zuzuweisen.
Fazit: Zusammenarbeit ermöglichen, ohne die Kontrolle zu verlieren
Der Gastzugriff stellt kein erhöhtes Risiko dar, wenn er professionell verwaltet wird. Der Zugriff externer Personen auf die Microsoft 365-Umgebung muss nicht zwangsläufig ein Sicherheitsproblem sein. Mit der richtigen Vorgehensweise kann er sogar ein produktiver und sicherer Teil der digitalen Zusammenarbeit werden.
Wichtig ist, dass Gäste nicht als Ausnahme, sondern als fester Bestandteil der IT- und Sicherheitsstrategie betrachtet werden. Externe Benutzer sollten ähnlich wie interne Mitarbeitende behandelt werden, mit klar definierten Verantwortlichkeiten, strukturierten Prozessen und transparenter Governance.
Dabei sollte für jeden Gastzugang festgelegt werden, wer ihn genehmigt, wie lange er gültig ist, welche Daten zugänglich sind und wie die regelmäßige Überprüfung erfolgt. Nur durch klare Regelungen kann die Kontrolle über externe Zugriffe langfristig gewährleistet werden, sodass die Zusammenarbeit mit Kunden, Partnern und Dienstleistern effizient bleibt und Sicherheitslücken vermieden werden.
Professionelles Gastmanagement ist also keine Frage der Technik allein, sondern eine Kombination aus Prozessen, Tools, Transparenz und Verantwortung.
Denn: Verbote bremsen Projekte und Kontrolle schafft Vertrauen.

Über den Autor
Mathias Müller
Als Diplom-Ingenieur im Bereich Informationstechnologie hat Mathias umfangreiche Erfahrung im Management großer IT-Projekte. Sein Fokus liegt auf der strategischen und technischen Beratung zum Einsatz von Microsoft 365 Technologien. Er versteht Veränderung, liebt Herausforderungen und strukturiert leidenschaftlich gern Prozesse und Arbeitsweisen.
