Probleme mit geteilen Ordnern für externe Gäste in Sharepoint

Ich hatte in den letzten Tagen große Probleme mit Ordnern, die in Sharepoint mit externen Gästen geteilt wurden. Entweder die Gäste konnten sich zwar anmelden, hatten aber keinen “Sync” Button im Sharepoint-Webinterface (und konnten daher die geteilen Ordner nicht in den Explorer bzw. Finder integrieren), oder sie bekamen gleich eine Fehlermeldung bei der Anmeldung.

Nach langer Recherche habe ich herausgefunden, dass sich die Problematik durch die Aktivierung des Sharepoint-Features “EnableAzureADB2BSharing” beheben läßt. Dieses Feature gilt für das komplette Tenant, ist bei neueren Tenants automatisch aktiviert und läßt sich in schon länger existierenden Tenants problemlos nachträglich aktivieren. Die Aktivierung ist nur (wie in dem oben verlinkten Artikel erklärt) in der “SharePoint Online Management Shell” mit dem folgenden Befehl möglich:

Set-SPOTenant -EnableAzureADB2BIntegration $true

Nachdem ich EnableAzureADB2BSharing aktiviert hatte, funktionierte das Teilen von Sharepoint-Ordnern endlich wie erwartet und die externen Gäste hatte auch den Sync-Button zur Verfügung.

Vorher (also mit deaktiviertem EnableAzureADB2BSharing) war das Verhalten sehr verwirrend:

  • Wenn man in Sharepoint einen Ordner für einen externen Gast freigegeben hat (also dessen E-Mailadresse eingetippt hat), hat dieser eine Einladungsmail von Sharepoint bekommen. Der Gast konnte sich anmelden (mit einem per E-Mail verschicktem 2FA-Code) und hatte so über das Sharepoint-Webinterface Zugriff auf den freigegebenen Ordner. Allerdings hat dort der Sync-Button in der Buttonleiste gefehlt.
    Durch diese Art des Teilens wurde in der Sharepoint SiteCollection ein “Sharepoint-User” erzeugt.
  • Wie ich durch lange Recherche gelernt habe, wird der Sync-Button für externe Gäste nur angezeigt, wenn Sie nicht über einen Sharepoint- sondern über einen Azure-User zugreifen.
    Deshalb habe ich nachträglich manuell in Azure einen “External User” mit der gleichen E-Mailadresse angelegt. Der Gast hat daraufhin eine Einladungsmail von Azure bekommen und – sofern nicht sofort ein Fehler angezeigt wurde – konnte sich jetzt mittels 2FA und der Authenticator-App anmelden und wie gehabt über das Sharepoint-Webinterface auf den freigegebenen Ordner zugreifen. Diesmal wurde auch der Sync-Button wie gewünscht angezeigt.
  • Allerdings hat dies bei mehreren Gästen überhaupt nicht funktioniert, weshalb ich versucht habe die Gast-User in Sharepoint und Azure zu löschen und sauber neu anzulegen. Dies hat sich aber als gar nicht so einfach herausgestellt:
    • Den Azure-User habe ich zuerst ganz normal im Microsoft 365 AdminCenter und anschließend im Entra AdminCenter aus den “Deleted Users” gelöscht.
    • Um den Sharepoint-User zu löschen, musste ich mir die User in der SiteCollection mit der URL http://sharepointsite/_layouts/15/people.aspx?MembershipGroupId=0 anzeigen lassen (die Userliste ist nur über diese URL zugänglich). Dort kann man dann die Sharepoint-User löschen, sofort man Admin dieser SiteCollection ist (!), sonst fehlt der Löschen-Befehl.

Alles sehr verwirrend und fehlerbehaftet! Nach Aktivierung von EnableAzureADB2BSharing (s.o.) wird beim Teilen eines Ordners automatisch ein Azure-User angelegt und alles funktioniert wie es soll. Daher: Sobald in Sharepoint Ordner mit externen Gästen geteilt werden sollen, unbedingt EnableAzureADB2BShareing aktivieren!