Wird mit einem externen Konto ein SharePoint/OneDrive Inhalt geteilt und hat die Person kein Microsoft Konto muss die Person in der aktuellen Standardkonfiguration ein neues Microsoft Konto erstellen, oder Microsoft legt automatisch ein Konto an. Ende 2019 hat Microsoft für solche Konten die Möglichkeit bereitgestellt sich statt einem Passwort über einen One-time Passcode (EOTP) anzumelden. Statt einem Passwort wird der Person für die Anmeldung ein mehrstelliger Code via Email gesendet. Die Registrierung von einem Microsoft Konto ist nicht mehr erforderlich.
So praktisch die EOTP-Methode ist, es gibt 3 beachtenswerte Punkte.
- One-time Passcode kann in Azure AD inaktiv sein, je nachdem wann der Tenant erstellt wurde. Ein Administrator sollte den Status in Azure AD > External Identities > All identity providers prüfen. Je nach Alter des Tenants kann die Konfiguration etwas unterschiedlich aussehen. Teilweise ist die Auswahl nur Ja/Nein. Am Ende hat es dieselbe Auswirkung.
- Ist es in Azure AD aktiv muss die Unterstützung für SharePoint Online und OneDrive aktiviert werden. Microsoft hatte die standardmässige Aktivierung in allen Tenants für Januar 2022 geplant. Die geplante Aktivierung wurde jedoch auf unbestimmte Zeit verschoben. Ein SharePoint Administrator kann die Unterstützung für Azure AD B2B manuell aktivieren. Es sind zwei Zeilen PowerShell. Das SharePoint PowerShell Modul ist erforderlich.
Connect-SPOService -Url https://[Tenantname]-admin.sharepoint.com
Set-SPOTenant -EnableAzureADB2BIntegration $true
Während der Aktivierung in SharePoint zeigt PowerShell einen Hinweis die Konfiguration ist nur aktiv sofern in Azure AD One-time Passcode ebenfalls aktiviert ist.
Sind die zwei Anforderungen erfüllt erhalten neue Gäste ohne Microsoft Konto einen aktualisierten Hinweis sich per Einmalcode anzumelden.
Wichtig ist hier der Hinweis für neue Gäste. Bei solchen externen Konten zeigt Azure AD den Issuer entweder mit Mail oder OTP an.
- Bestehende Gastkonten, die sich in der Vergangenheit noch nicht über einen EOTP-Code anmelden konnten, können die aktualisierte EOTP-Konfiguration ohne Anpassung nicht nutzen. Sie müssen sich weiterhin mit einem Passwort anmelden. Solche Konten sind in Azure AD mit dem Issuer ExternalAzureAD, MicrosoftAccount, [Tenantname].onmicrosoft.com oder ähnlich vermerkt.
Für diese Art von Konten ist seit Februar 2021 die Umstellung auf eine EOTP-Anmeldung möglich. Microsoft selbst passt es nicht automatisch an. Es muss von einem Administrator über den Reset vom Redemption Status zurückgesetzt werden. Anfang Januar hatte ich beschrieben wie so ein Reset möglich ist. Wichtig ist dabei die oben erwähnten Schritte 1 und 2 müssen aktiv sein. Sonst verändert sich nichts.
- Öffne das betroffene Benutzerkonto von einem Gast und wähle im Abschnitt für den Einladungsstatus Manage aus.
- Setze den Redemption Status zurück. Damit wird der Status für die Einladung auf No gesetzt und dem Gast via Email eine neue Einladung gesendet.
- Nimmt der Gast die Einladung an wird das System statt einer Anmeldung via Passwort die Anmeldung via Einmalcode anzeigen.
- Der Gast bestätigt die neue Einladung über den Code. Seine Anmeldeart wird in Azure AD auf EOTP angepasst. Ab dem Zeitpunkt kann sich die Person in SharePoint und anderen Diensten statt per Passwort über einen Einmalcode anmelden.
Zu beachten ist, eine Anmeldung über EOTP ist nur für externe Personen ohne Microsoft Konto möglich. Microsoft Geschäftskonten oder private Konten aus Outlook.com, Xbox, OneDrive Consumer melden sich über ihr normales Passwort an. Wurde zwischen Azure AD und Google eine Federation eingerichtet gilt dies auch für Gmail Konten.
