
Vanaf juli 2026 krijgen externe gebruikers die via een oud SharePoint-link toegang proberen te krijgen een 'access denied'. De reden: Microsoft vervangt de SharePoint OTP-authenticatie verplicht door Entra B2B-gastaccounts. Wat verandert er, wie merkt het en wat doet de IT-beheerder nu?
Externe samenwerking via SharePoint en OneDrive verloopt voor veel organisaties al jaren via een eenvoudig mechanisme: een gedeelde link, een e-mailadres opgeven en een eenmalige toegangscode ontvangen. Geen account aanmaken, geen gastuitnodiging doorlopen, gewoon direct bij het document. Handig, maar achter de schermen gebruikt Microsoft daarvoor een afzonderlijk SharePoint-authenticatiemechanisme dat losstaat van de rest van de identiteitsinfrastructuur in Entra ID. Dat mechanisme gaat er nu uit.
Vanaf juli 2026 start Microsoft de verplichte afbouw van SharePoint OTP-authenticatie. De volledige pensionering is gepland voor 31 augustus 2026. Externe gebruikers die via een oud link toegang proberen te krijgen en nog geen Entra B2B-gastaccount hebben, krijgen dan een 'access denied'-melding. Zonder vooraf communiceren, zonder automatische notificatie aan de betrokken gebruiker. Simpelweg geen toegang meer.
Toen Microsoft externe deling introduceerde in SharePoint Online, kozen ze voor een lichtgewicht model: de externe gebruiker hoeft geen Microsoft-account te hebben. In plaats daarvan verifieert SharePoint de identiteit via een eenmalig wachtwoord dat naar het opgegeven e-mailadres wordt verstuurd. Dit wordt aangeduid als SharePoint One-Time Passcode, afgekort SPO OTP. Het werkte los van Entra ID, had zijn eigen sessie-infrastructuur en leverde daardoor een identiteitssilostructuur op die moeilijk te beheren en te beveiligen is.
De reden voor de pensionering is architectureel: Microsoft wil alle externe identiteiten samenbrengen onder Entra ID. Entra B2B is het model waarbij externe gebruikers als gastaccount worden bijgehouden in de directory van de ontvangende organisatie. Dat maakt ze zichtbaar in de gebruikersadministratie, beheersbaar via Conditional Access, auditeerbaar in de aanmeldlogs en beheerbaar via Entra ID Governance. De losse SPO OTP-sessies bieden dat allemaal niet.
De migratie verloopt in drie fasen. Fase één startte in mei 2026: nieuwe uitnodigingen voor externe deling gebruiken vanaf dat moment al Entra B2B in plaats van de SharePoint OTP-methode. Organisaties die de Entra B2B-integratie eerder handmatig hadden uitgeschakeld via de instelling EnableAzureADB2BIntegration, merken dat deze instelling niet langer effect heeft. Microsoft heeft die schakelaar feitelijk ontkoppeld.
Fase twee loopt vanaf juli 2026: externe gebruikers die oudere links gebruiken die ooit via SPO OTP werden geverifieerd, beginnen 'access denied' te ontvangen als ze geen gastaccount in de directory hebben. Dit is de fase die nu actief is. IT-beheerders en eindgebruikers die externe partners hebben met wie al geruime tijd wordt samengewerkt, kunnen problemen verwachten zodra een externe gebruiker voor het eerst na de migratie een van die oude links probeert te openen.
Fase drie is de volledige pensionering op 31 augustus 2026. Na die datum bestaat SPO OTP-authenticatie niet meer. Entra B2B is dan het enige mechanisme voor externe toegang tot SharePoint en OneDrive inhoud die is gedeeld met specifieke personen.
Niet alle externe gebruikers ondervinden problemen. De impact is specifiek voor gebruikers die in het verleden toegang kregen via de SPO OTP-methode en niet al eerder een Entra B2B-gastaccount in uw tenant hebben gekregen. Wie al als gast in uw Entra-directory staat, kan gewoon blijven werken. Wie nog nooit als gast is uitgenodigd en alleen via een oud OTP-link toegang had, verliest die toegang.
In de praktijk gaat het om externe partners, leveranciers en klanten die u bestanden deelt via SharePoint of OneDrive met de optie 'specifieke personen'. Wie via een 'iedereen met de link'-link werkt, ondervindt van deze specifieke wijziging geen last. Die links werken anders en zijn niet afhankelijk van SPO OTP-authenticatie.
Het probleem is dat de overgang stil verloopt. Microsoft stuurt geen automatische notificatie naar de externe gebruiker als zijn toegang wegvalt. De gebruiker klikt op een link die gisteren nog werkte, ziet een foutmelding over gewijzigde gastinstellingen en weet niet wat er is veranderd. Uw helpdesk of de betrokken collega krijgt de vraag zonder context. Proactieve communicatie is daarom essentieel.
Na de migratie naar Entra B2B is de authenticatie-ervaring voor externe gebruikers anders, maar niet per definitie slechter. Wie een Microsoft-account heeft, logt in met dat account. Wie een werk- of schoolaccount heeft bij een andere organisatie, logt in via de federated identity van die organisatie. Wie geen van beide heeft, kan nog steeds via een eenmalig wachtwoord authenticeren, maar dan via het Entra B2B OTP-mechanisme in plaats van de oude SharePoint OTP-methode. Het verschil: de sessie wordt nu bijgehouden in Entra ID als een gastidentiteit.
Voor eindgebruikers binnen uw organisatie die bestanden delen verandert de deling zelf niet. SharePoint en OneDrive zien er hetzelfde uit, de deelknop werkt hetzelfde. Het verschil zit in wat er achter de schermen gebeurt: de externe ontvanger wordt automatisch als gast aangemaakt in Entra ID zodra hij de uitnodiging accepteert.
Vier concrete acties voor de komende weken. Ten eerste: inventariseer het externe deelgedrag in uw organisatie. Kijk in het SharePoint-beheercentrum onder Rapporten en externe deling welke externe gebruikers actief zijn, via welke methode ze authenticeren en of ze al een gastaccount in Entra ID hebben. Gebruikers die niet in Entra staan maar wel regelmatig bestanden ontvangen, zijn de risicogroep.
Ten tweede: communiceer proactief richting medewerkers die regelmatig extern delen. Leg in begrijpelijke taal uit dat externe contacten mogelijk gevraagd worden om opnieuw in te loggen, dat de link zelf nog geldig is maar dat de authenticatiemethode verandert, en dat zij bij vragen van externe contacten de helpdesk of IT kunnen betrekken. Een korte e-mail of intranetbericht volstaat.
Ten derde: controleer de Entra External ID-instellingen in het Microsoft Entra-beheercentrum. Zorg dat de one-time passcode-functie voor gasten niet is uitgeschakeld. Als die is uitgeschakeld, kunnen externe gebruikers zonder Microsoft-account zich niet authenticeren via Entra B2B OTP en krijgen ze dus geen toegang, ook niet na correcte uitnodiging.
Ten vierde: overweeg of uw organisatie gastaccounts wil vooraf aanmaken voor de meest kritieke externe partners, in plaats van te wachten tot zij zelf de uitnodiging doorlopen. Dat verkleint de kans op een verstoring op een ongelegen moment, bijvoorbeeld vlak voor een klantdeadline of een auditoplevering.
De migratie naar Entra B2B heeft een bijeffect dat veel IT-beheerders als positief ervaren: externe gebruikers worden nu zichtbaar en beheersbaar via Conditional Access. Waar SPO OTP-sessies buiten het bereik van Conditional Access vielen, kan elke gast die via Entra B2B inlogt nu worden onderworpen aan beleidsregels: vereiste authenticatiesterkte, apparaatcompliance, locatiebeperkingen of sessiebeheer.
Dit is ook het moment om het gastbeleid te herzien. Wie mag externe gastaccounts aanmaken in uw tenant? Standaard mogen alle leden uitnodigingen sturen. Als uw organisatie dat wil beperken, is dit een goed moment om in Entra External ID de uitnodigingsinstellingen aan te scherpen. Een beleid waarbij alleen specifieke rollen, zoals IT-beheerder of directie, gastaccounts mogen aanmaken, geeft meer controle over wie toegang heeft tot welke bedrijfsresources.
De keerzijde is dat meer gastaccounts in de directory ook meer beheerlast betekent. Entra ID Governance biedt hiervoor access reviews: periodieke controles waarbij de eigenaar van een gastaccount bevestigt dat de externe gebruiker nog steeds toegang nodig heeft. Voor organisaties met een groot aantal externe samenwerkingspartners is het opzetten van zo'n reviewcyclus een logische vervolgstap op de B2B-migratie.
Als uw SharePoint-omgeving is ingericht met externe deling volledig uitgeschakeld, heeft deze wijziging geen directe impact. De OTP-pensionering geldt alleen voor omgevingen waar externe deling is toegestaan. Controleer dit via het SharePoint-beheercentrum onder Beleid en vervolgens Delen. Als externe deling op 'Alleen personen in uw organisatie' staat, is er niets aan de hand.
Wilt u hulp bij het inventariseren van uw externe deelgedrag, het inrichten van Conditional Access voor gastaccounts of het opzetten van access reviews via Entra ID Governance? Neem contact op met Zarioh voor praktisch advies over uw specifieke situatie.
Was dit artikel nuttig?
Zarioh Digital Solutions
IT-specialisten uit Utrecht. Wij helpen bedrijven door heel Nederland met Microsoft 365, AI agents, hosting en telefonie — en delen hier wekelijks wat we in de praktijk tegenkomen. Volg ons op LinkedIn
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.