Microsoft kippt OTP-Links – Freigaben neu teilen. Erst der Blick ins Power-BI-Cockpit!

Microsoft stellt die externe Freigabe in SharePoint/OneDrive auf Entra B2B um. Wer sein Tenant-Flag schon aktiviert hat, muss bis 30.06.2025 handeln – sonst verlieren alte Links ab 1. Juli ihre Gültigkeit. Im Beitrag zeige ich, wie du prüfst, ob du betroffen bist, und wie du alle Links per Power BI analysieren kannst.

Worum geht es?

Wer auf sein Microsoft 365 Nachrichtencenter achtet, dem ist diese Meldung aufgefallen: „ Erneute Freigabe an externe Benutzer erforderlich, nachdem die Microsoft SharePoint-Integration mit Microsoft Entra B2B aktiviert wurde“ (Message-Center-ID MC1089315)

Dort steht auch „Aktion erforderlich bis zum 30.06.2025“.

Was passiert am 01.07.2025?

Wenn die B2B-Integration aktiviert ist, funktionieren Links, die vor der Aktivierung erstellt wurden nicht mehr. Sollten diese weiterhin benötigt werden müssen sie neu erstellt werden.

Wenn sie nicht aktiviert ist (und bleibt) passiert nichts. Die Links funktionieren weiterhin.

Sobald Sie die B2B-Integration aktivieren, verlieren die bestehenden externen Links ihre Gültigkeit.

Warum hilft uns Power BI hier?

Im Rahmen der Einführung von Copilot ist es wichtig eine Sharing-Hygiene einzuführen, um dem sogenannten Oversharing entgegenzuwirken. Ansonsten kann Copilot falsche Ergebnisse liefern da diese auf veralteten Daten, aus alten für mich freigegeben Dokumenten basieren können. Es kann auch noch schlimmer kommen, denn eine Datei die für mich vor langer Zeit freigegeben wurde, könnte Informationen enthalten, die ich gar nicht haben dürfte. Z.B eine Liste von Mitarbeitern die die Personalabteilung freigegeben hat, hat über die Zeit eine Spalte mit dem Gehalt bekommen. Leider hat niemand geprüft, wer auf die Datei Zugriff hat.

In dem Kontext habe ich mich damit beschäftigt, wie man eine Liste aller Links die existieren erstellen kann. Und diese Liste werte ich dann per PowerBI aus. Somit kann ich ermitteln, welche Links von der Umstellung betroffen sind.

Was ist die B2B-Integration in Microsoft 365?

Ohne die Integration werden beim Teilen von Dokument per Link keine Gastkonten im Entra angelegt. Der Empfänger des Links bekommt lediglich diesen und muss beim Zugriff einen dann separat zugesendeten OTP Code für die Authentifizierung verwenden. Die Authentifizierung erfolgt also über den „Besitz“ des Links und den Zugriff auf den OTP–Code welche in das Postfach geschickt wurde, das auch den Link bekommen hat.

Sobald man die Funktion aktiviert erfolgt der Zugriff nicht mehr über den OTP-Code sondern es wird im Hintergrund ein Gast-Account angelegt. Das hat einige Vorteile, da man nun z.B. über Regeln im Bedingten Zugriff steuern kann, welche Anforderungen man an diese Gäste stellt, z.B. Multifaktorauthentifizierung oder die Bestätigung von Nutzungsbedingungen durch den Empfänger bevor man auf die Inhalte des Dokuments zugreifen kann.

Wie kann ich herausfinden ob die B2B-Integration bei mir aktiv ist?

Eine Faustregel ist: habe ich meinen Tenant im oder nach Juni  2023 erstellt, ist die Funktion automatisch aktiv. Bei älteren Tenants muss sie manuell aktiviert worden sein.

Die genaue Prüfung ob man betroffen ist kann nur über PowerShell erfolgen. Wenn die Abfrage „Get-SPOTenant | Select EnableAzureADB2BIntegration“ True ergibt, ist die Funktion aktiv.

Hier die notwendigen Schritte für die Prüfung:

# Modul laden oder aktualisieren

Install-Module Microsoft.Online.SharePoint.PowerShell -Scope CurrentUser -Force

# Verbinden (Tenant-Namen anpassen)

Connect-SPOService -Url https://<Tenant>-admin.sharepoint.com

# Flag prüfen – je nach Tenant heisst es so ...

Get-SPOTenant | Select EnableAzureB2BIntegration

# ... oder so

Get-SPOTenant | Select EnableAzureADB2BIntegration

Welche Links sind genau betroffen?

Das Ganze betrifft nur Links die auf Dokumente oder Ordner in SharePoint oder OneDrive vergeben wurden und zwar solche die auf „bestimmte Benutzer“ adressiert sind. Jeder-Links und interne Links sind nicht betroffen.

Auch für Teams Mitgliedschaften o.ä. ist die Änderung irrelevant, hier werden bereits für die Anwender Gastkonten angelegt.

Die Lösung mit Power BI 

Wie oben erwähnt, habe ich nach eine Lösung gesucht, die mir alle Links aus einem Tenant ermittelt. Die Beste die ich finden konnte (außer Drittanbieter Governance Werkzeuge)  basiert auf PowerShell und der Graph-API. Die Bordmittel, auch die in der Copilot integrierte SharePoint Advanced Management Lizenz (SAM), hilft nur bedingt. Hier werden nur Links ermittelt werden die in der letzten Zeit erstellt wurden.

Eine perfekte Lösung bietet das von Vasil Michev erstellte Skript (Report on externally shared files in Microsoft 365 via the Graph API – Blog). Das liefert als Ergebnis eine Excel Datei, das die entsprechenden Informationen enthält.

Dazu muss lediglich eine App Registrierung in Entra erstellt werden und das Skript mit den entsprechenden Daten (APPID, Secret, Tenantname) bestückt werden. Wichtig ist PowerShell 7.5 zu verwenden.

Per Power BI lässt sich das dann visualisieren und mit weiteren Informationen anreichern. Ebenso sind überflüssige Informationen ausgefiltert, z.B. Zugriffsberechtigungen aufgrund von Teams- oder SharePoint-Site-Mitgliedschaften.

Und z.B. durch Klick auf „Benutzer/Gruppe extern“ nur die anzeigen, die von der Änderung betroffen sind.

Was liefert mir der Report noch:

• Die Links pro SharePoint-Site
• Die Links pro OneDrive-Account
• Die Links pro Ziel Domain
• Link mit / ohne Ablaufdatum
• Links nach Typ (Jeder, unternehmensweit, intern, extern)

Weitere Datenquellen im Report:

• Eine Datumstabelle
• Export aller SharePoint Sites

Durch weitere Automatisierung kann man z.B. automatisch die Links aktualisieren und den Report neu veröffentlichen. Bei entsprechender Power BI Lizenz auch täglich, je nach dem was man erreichen möchte.