Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle Anleitungen
📘 Anleitung Windows & Microsoft 365 02.06.2026 · 10 min Lesezeit

SharePoint und OneDrive: Freigaben und externe Gäste sicher konfigurieren

So steuerst du externe Freigaben in SharePoint und OneDrive sicher: Freigabeebenen im SharePoint admin center, Link-Typen, Gast-Ablauf, Entra B2B sowie DLP und Download-Sperren per PowerShell und Portal.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Symbolbild IT-Sicherheit: Schloss-Symbol vor Programmcode für eine kritische Exchange-Schwachstelle

Mit den richtigen Freigabeeinstellungen in SharePoint und OneDrive steuerst du genau, wer von außen auf eure Daten zugreifen darf und wer nicht. Diese Anleitung richtet sich an Admins im Mittelstand, die externe Zusammenarbeit ermöglichen, aber Datenabfluss verhindern wollen. Du legst die organisationsweite Freigabeebene im SharePoint admin center fest, schränkst Link-Typen und Domänen ein, erzwingst den Ablauf von Gast-Links und koppelst den Gastzugriff über Entra External ID (B2B) an MFA. Ergänzend siehst du, wie DLP sensible Inhalte schützt und wie Downloads auf nicht verwalteten Geräten blockiert werden. Das Ergebnis: kontrollierte externe Zusammenarbeit statt unkontrollierter Freigaben.

Voraussetzungen

  • Adminrolle: SharePoint Administrator oder Global Administrator für die Freigabeeinstellungen; für DLP zusätzlich eine passende Purview-Rolle.
  • Das PowerShell-Modul Microsoft.Online.SharePoint.PowerShell (Cmdlets Set-SPOTenant, Get-SPOTenant, Set-SPOSite) für die Steuerung per Skript.
  • Für die Kopplung an MFA und Bedingten Zugriff: Entra ID P1 (Conditional Access, Basis) bzw. P2 (risikobasiert); MFA selbst ist in Microsoft 365 ohne Zusatzkosten enthalten.
  • Für die Download-Sperre auf nicht verwalteten Geräten: Microsoft Defender for Cloud Apps (Conditional Access App Control, Plan 1 oder 2).
  • Für das Blockieren externer Freigabe sensibler Inhalte: Microsoft Purview mit DLP, idealerweise mit Sensitivity Labels.
  • Zugriff auf die Portale: SharePoint admin center, Microsoft 365 admin center, Entra admin center (entra.microsoft.com), Microsoft Purview und Defender for Cloud Apps.

Für die reine Konfiguration entstehen keine Kosten. Conditional Access App Control und DLP setzen jedoch die oben genannten Lizenzen voraus.

Schritt 1: Organisationsweite Freigabeebene im SharePoint admin center festlegen

Die organisationsweite Freigabeebene ist die oberste Schranke: Keine Site und kein OneDrive kann permissiver freigeben, als hier erlaubt ist. Es gibt vier Stufen, von offen nach restriktiv:

  • Jeder – Anyone-Links ohne Anmeldung; auch Unauthentifizierte können zugreifen.
  • Neue und vorhandene Gäste – Externe müssen sich anmelden bzw. verifizieren; neue Gäste werden zugelassen.
  • Vorhandene Gäste – Nur bereits im Verzeichnis vorhandene Gäste; keine neuen Einladungen über Freigaben.
  • Nur Personen in der Organisation – Externe Freigabe ist vollständig deaktiviert.

Für die meisten Mittelständler ist Neue und vorhandene Gäste ein guter, sicherer Standard. Im Portal: SharePoint admin center (über admin.microsoft.com) → PoliciesSharing → Schieberegler External sharing für SharePoint auf die gewünschte Stufe stellen.

Per PowerShell setzt du die Stufe mit Set-SPOTenant. Der Wert ExistingExternalUserSharingOnly entspricht Vorhandene Gäste:

Connect-SPOService -Url https://DEINE-DOMAINE-admin.sharepoint.com

# Nur vorhandene Gäste zulassen (restriktiv)
Set-SPOTenant -SharingCapability ExistingExternalUserSharingOnly

Weitere gültige Werte sind ExternalUserSharingOnly (Neue und vorhandene Gäste), ExternalUserAndGuestSharing (Jeder) und Disabled (Nur Personen in der Organisation).

Schritt 2: OneDrive gleich oder restriktiver halten

Die OneDrive-Freigabeebene darf nicht permissiver als die SharePoint-Ebene sein. Stellst du sie höher ein, wird die Einstellung ignoriert und die restriktivere SharePoint-Schranke gilt. Halte OneDrive deshalb bewusst auf gleicher oder strengerer Stufe.

Im Portal: SharePoint admin centerPoliciesSharing → zweiter Schieberegler OneDrive. Setze ihn typischerweise auf Neue und vorhandene Gäste oder enger, etwa Vorhandene Gäste, wenn OneDrive nicht für externe Zusammenarbeit gedacht ist.

Prüfe deine aktuellen Werte jederzeit zentral:

Get-SPOTenant | Select-Object SharingCapability, EnableAzureADB2BIntegration, SharingDomainRestrictionMode

Schritt 3: Standard-Linktyp und Berechtigungen einschränken

Der Standard-Linktyp bestimmt, welcher Link beim Klick auf Teilen vorausgewählt ist. Drei Typen sind möglich:

  • Bestimmte Personen – der restriktivste und empfohlene Standard; der Link funktioniert nur für namentlich genannte Empfänger.
  • Nur Personen in der Organisation – intern nutzbar, aber nicht für Externe.
  • Jeder mit dem Link – nur verfügbar, wenn die Freigabeebene auf Jeder steht; offen und ohne Anmeldung.

Setze als Standard Bestimmte Personen und als Standardberechtigung Anzeigen statt Bearbeiten. So entstehen versehentliche Schreibfreigaben gar nicht erst. Im Portal findest du beides unter Sharing im Abschnitt File and folder links (Standardtyp) bzw. den Berechtigungs-Optionen daneben.

Wichtig ist die Unterscheidung der Geltungsebenen: Eine Freigabe kann auf Site-/Container-Ebene (ganze SharePoint-Site) oder auf Datei-/Ordner-Ebene erfolgen. Datei-Links sind feiner steuerbar; die Site-Ebene wiederum kann nie permissiver sein als die Organisationsebene – auch hier gewinnt die restriktivste Einstellung.

Dauerhafte externe Links sind ein klassisches Datenleck. Erzwinge deshalb einen automatischen Ablauf. Für den Gastzugriff legst du eine maximale Gültigkeit in Tagen fest; abgelaufene Gäste müssen erneut eingeladen werden:

# Gastzugriff läuft nach 90 Tagen ab
Set-SPOTenant -ExternalUserExpireInDays 90

Anyone-Links (nur relevant, falls Stufe Jeder aktiv ist) sollten zwingend ein Ablaufdatum haben, sonst entstehen permanente unauthentifizierte Freigaben:

# Anyone-Links laufen nach 30 Tagen ab
Set-SPOTenant -RequireAnonymousLinksExpireInDays 30

Den Ablauf für den Gastzugriff kannst du auch je Site verfeinern. Im Portal: SharePoint admin centerSitesActive sites → Site wählen → SettingsExternal sharing. Per PowerShell steuerst du die Freigabefähigkeit einer einzelnen Site so:

# Eine sensible Site auf vorhandene Gäste beschränken
Set-SPOSite -Identity https://DEINE-DOMAINE.sharepoint.com/sites/Projekt -SharingCapability ExistingExternalUserSharingOnly

Beachte: Eine Site-Einstellung darf nie permissiver sein als die Organisationsebene. Setzt du eine Site offener, greift sie nicht.

Schritt 5: Externe Freigaben auf erlaubte Domänen begrenzen

Mit einer Domänenbeschränkung erlaubst du externe Freigaben nur an definierte Partnerdomänen (AllowList) oder sperrst bestimmte Domänen (BlockList). Pro Liste sind bis zu 5000 Domänen möglich. Eine AllowList ist für Mittelständler mit festem Partnerkreis besonders wirksam:

Set-SPOTenant -SharingDomainRestrictionMode AllowList -SharingAllowedDomainList 'contoso.com fabrikam.com'

Beachte, dass die Domänenbeschränkung in SharePoint und die Allow-/Deny-Liste in Entra External Identities unabhängig voneinander wirken. Für ein konsistentes Verhalten konfigurierst du beide. Im Portal pflegst du die SharePoint-Variante ebenfalls unter PoliciesSharing → Abschnitt More external sharing settingsLimit external sharing by domain.

Schritt 6: Gastzugriff über Entra External ID (B2B) absichern

Mit der Entra-B2B-Integration erhalten Gäste echte Gastkonten in Entra ID und unterliegen damit MFA und Bedingtem Zugriff. Ab Mai 2026 wird diese Integration automatisch aktiviert; der frühere SharePoint-One-Time-Passcode entfällt. Du kannst sie auch jetzt schon aktiv setzen:

Set-SPOTenant -EnableAzureADB2BIntegration $true

Steuere danach im Entra admin center, wer überhaupt einladen darf. Im Portal: Entra admin center (entra.microsoft.com) → External IdentitiesExternal collaboration settings. Dort legst du fest, ob Members can invite und Guests can invite erlaubt ist. Schränke das auf Admins oder bestimmte Rollen ein, wenn Gasteinladungen kontrolliert ablaufen sollen.

Wichtig: Diese Entra-Einstellungen sind restriktiver als die SharePoint-Freigabeeinstellungen und dominieren. Blockierst du etwa die B2B-Direktverbindung oder eine Domäne in Entra, hilft eine offenere SharePoint-Einstellung nicht weiter. Plane außerdem einen Gast-Lebenszyklus: regelmäßige Zugriffsüberprüfungen (Access Reviews) und automatisches Löschen abgelaufener Gastkonten. Andernfalls können verwaiste Konten weiterhin auf alte Links zugreifen, weil der Entra-Lebenszyklus nicht automatisch mit SharePoint synchronisiert ist. Wie du MFA und Bedingten Zugriff dafür einrichtest, zeigt unsere verlinkte Anleitung am Ende.

Schritt 7: Datenabfluss per DLP und Download-Sperre verhindern

Selbst bei sauberen Freigabeeinstellungen sollen sensible Inhalte gar nicht erst nach außen gelangen. Eine DLP-Richtlinie in Microsoft Purview blockiert die externe Freigabe, sobald geschützte Inhalte erkannt werden. Im Portal: Microsoft PurviewData loss preventionPoliciesCreate policy → Speicherorte SharePoint sites & OneDrive accounts → Bedingung Content is shared with people outside my organization kombiniert mit einem Sensitivity Label (z. B. Confidential) oder einem Sensitive Info Type (z. B. Kreditkartennummer) → Aktion Block external access.

Damit DLP rechtzeitig greift, sollten Inhalte bereits vor dem Teilen klassifiziert sein. Setze Sensitivity Labels frühzeitig oder nutze eine Standardklassifizierung, denn nachträgliches Blockieren hilft nicht, wenn eine Datei schon freigegeben wurde.

Gegen den Abfluss über Downloads auf privaten, nicht verwalteten Geräten nutzt du Conditional Access App Control in Defender for Cloud Apps. Über eine Session-Richtlinie unterbindest du Aktionen wie Herunterladen, Ausschneiden, Kopieren und Drucken. Im Portal: Defender for Cloud AppsConditional Access App ControlSession policies → Richtlinie zum Einschränken von Aktionen auf nicht verwalteten Geräten anlegen.

Damit auch ad hoc erstellte Freigabelinks diesen App-erzwungenen Einschränkungen unterliegen, aktivierst du das in SharePoint:

Set-SPOTenant -ApplyAppEnforcedRestrictionsToAdHocRecipients $true

Details zur Geräteunterscheidung und zu den passenden Conditional-Access-Richtlinien findest du in unserer verlinkten MFA-/Conditional-Access-Anleitung.

Troubleshooting

  • Problem: Eine offenere Site-Einstellung greift nicht. Die Site-Ebene darf nie permissiver sein als die Organisationsebene; die restriktivste Einstellung gewinnt. Hebe zuerst die Org-Ebene an, dann die Site.
  • Problem: OneDrive-Freigabe verhält sich strenger als eingestellt. Eine OneDrive-Stufe, die permissiver als SharePoint ist, wird ignoriert. Senke die OneDrive-Stufe auf gleiches oder strengeres Niveau, oder hebe SharePoint an.
  • Problem: Alte OTP-Links funktionieren nach Juli 2026 nicht mehr. Mit der B2B-Integration (ab Mai 2026) entfällt der One-Time-Passcode. Betroffene Links müssen neu freigegeben (Resharing) werden, damit Gäste ein B2B-Konto erhalten.
  • Problem: Download-Sperre wirkt nicht. Conditional Access App Control benötigt eine Defender-for-Cloud-Apps-Lizenz (Plan 1 oder 2). Ohne Lizenz greift die Session-Richtlinie nicht.
  • Problem: Abgelaufene Gäste greifen weiter auf Inhalte zu. Der Entra-Gast-Lebenszyklus ist nicht mit SharePoint gekoppelt. Richte Access Reviews und automatisches Löschen in Entra ein und prüfe vorhandene Freigabe-Links.
  • Problem: Gäste teilen Dateien weiter. Ist Allow guests to share items they don’t own aktiv, können Gäste resharen. Deaktiviere die Option im SharePoint admin center für sensible Bereiche.
  • Problem: DLP blockiert zu spät. Wurde eine Datei vor der Klassifizierung geteilt, hilft die Blockade nicht mehr. Klassifiziere Inhalte vor dem Teilen oder nutze eine Standardklassifizierung.

Häufige Fragen

Welche Freigabeebene ist für den Mittelstand empfehlenswert?

In der Regel Neue und vorhandene Gäste auf Organisationsebene, kombiniert mit Bestimmte Personen als Standard-Linktyp und der Berechtigung Anzeigen. So ist externe Zusammenarbeit möglich, aber jede Freigabe authentifiziert und auf benannte Personen begrenzt.

Was ändert sich durch die Entra-B2B-Integration ab Mai 2026?

Gäste erhalten automatisch echte Gastkonten in Entra ID und unterliegen MFA sowie Bedingtem Zugriff. Der bisherige SharePoint-One-Time-Passcode entfällt; alte OTP-Links funktionieren nach Juli 2026 nicht mehr und müssen neu freigegeben werden.

Kann ich externe Freigaben auf bestimmte Partnerdomänen begrenzen?

Ja. Über Set-SPOTenant -SharingDomainRestrictionMode AllowList -SharingAllowedDomainList oder im Portal unter SharingLimit external sharing by domain. Konfiguriere zusätzlich die unabhängige Allow-/Deny-Liste in Entra External Identities, damit beide konsistent sind.

Wie verhindere ich Downloads auf privaten Geräten?

Mit Conditional Access App Control in Defender for Cloud Apps legst du eine Session-Richtlinie an, die Herunterladen, Kopieren und Drucken auf nicht verwalteten Geräten blockiert. In SharePoint aktivierst du zusätzlich Set-SPOTenant -ApplyAppEnforcedRestrictionsToAdHocRecipients $true, damit auch Ad-hoc-Links erfasst werden.

Worin unterscheiden sich Site-Ebene und Datei-Ebene?

Auf Site-/Container-Ebene gilt die Einstellung für die gesamte SharePoint-Site, auf Datei-/Ordner-Ebene nur für das einzelne Element. Datei-Links sind feiner steuerbar; keine der beiden Ebenen kann jedoch permissiver sein als die übergeordnete Organisationsebene.

Brauche ich Lizenzen für diese Konfiguration?

Die reinen Freigabeeinstellungen und MFA sind in Microsoft 365 ohne Zusatzkosten enthalten. Für Bedingten Zugriff brauchst du Entra ID P1 (bzw. P2 für risikobasierte Richtlinien), für die Download-Sperre Defender for Cloud Apps (Plan 1 oder 2) und für DLP eine passende Microsoft-Purview-Lizenz.

Fazit

Sichere externe Freigaben entstehen durch ein gestaffeltes Vorgehen: Lege die Organisationsebene fest, halte OneDrive gleich oder strenger, mache Bestimmte Personen zum Standard und erzwinge Ablauf für Gäste und Anyone-Links. Begrenze Freigaben auf erlaubte Domänen, koppele Gäste über Entra B2B an MFA und Bedingten Zugriff und ergänze DLP sowie eine Download-Sperre auf nicht verwalteten Geräten. So bleibt die Zusammenarbeit mit Externen produktiv und der Datenabfluss kontrolliert.

Weiterführende Anleitungen und Quellen

Passend dazu aus unseren Anleitungen:

Quellen: Microsoft-Learn-Dokumentation zu Freigabeeinstellungen für SharePoint und OneDrive, zur Entra-B2B-Integration, zum Schutz sensibler Inhalte per DLP sowie zu Conditional Access App Control in Defender for Cloud Apps.

Verwandt

Weiter lesen

Alle Artikel →
Administrator richtet Phishing-Schutz für Microsoft 365 am Bildschirm ein
02.06.2026 ·9 min

Microsoft Defender for Office 365: Phishing-Schutz einrichten

Phishing-Schutz mit Microsoft Defender for Office 365 einrichten: voreingestellte Sicherheitsrichtlinien, Anti-Phishing, Safe Links und Safe Attachments im Defender-Portal und per PowerShell.
Mitarbeiter richtet neuen Windows-Laptop per Autopilot ein
02.06.2026 ·9 min

Intune: Windows-Geräte per Autopilot ausrollen

So rollst du Windows-Geräte im KMU per Windows Autopilot über Intune aus: Hardware-Hash erfassen, Bereitstellungsprofil anlegen, ESP konfigurieren und automatische MDM-Enrollment aktivieren.
Symbolbild für VPS-Absicherung: Vorhängeschloss vor einem Server als Sinnbild für Firewall, SSH-Keys und Brute-Force-Schutz
02.06.2026 ·9 min

Microsoft 365: MFA und Conditional Access in Entra ID einrichten

MFA für alle Nutzer erzwingen und Conditional Access in Entra ID einrichten: vier praxiserprobte Richtlinien, Report-only-Test und Break-Glass-Konto.