Teams lädt Gäste nicht ein, obwohl Gastzugriff aktiviert ist: Ursachen und Lösungsweg über Azure AD, Teams und SharePoint

Kernprinzip: Gastzugriff wird in Microsoft Entra ID zentral gesteuert

Teams-Gäste sind Microsoft Entra ID-Gäste (B2B Collaboration). Wenn Einladungen nicht zugestellt werden oder Gäste sich nicht anmelden können, liegt die Ursache häufig in falsch gesetzten External-Collaboration-Parametern, fehlenden Einladungsrechten, blockierten Domänen, Cross-Tenant-Einstellungen oder Sicherheitsrichtlinien (zum Beispiel Conditional Access). Die folgenden Schritte beziehen sich auf das Microsoft Entra Admin Center und passen zur aktuellen Oberfläche.

Validieren Sie immer zuerst, ob der Gast im Verzeichnis existiert: Entra Admin Center → Identity → Users → All users → Filter „User type = Guest“. Öffnen Sie den Benutzer und prüfen Sie, ob der Einladungsstatus und die Anmeldeaktivität plausibel sind. Ein häufiges Missverständnis: Der Gast kann bereits als Objekt existieren, ohne dass er die Einladung jemals eingelöst hat. In diesem Zustand kann Teams ihn zwar teilweise anzeigen, aber der externe Benutzer scheitert am Zugriff, weil die Identität noch nicht „aktiv“ genutzt werden kann.

External Collaboration Settings gezielt prüfen

Pfad: Microsoft Entra Admin Center → Identity → External Identities → External collaboration settings.

Diese Seite entscheidet, ob Einladungen grundsätzlich möglich sind und wie „offen“ Ihre Organisation gegenüber externen Identitäten arbeitet. Wenn hier ein Block greift, ist es egal, wie korrekt Teams- oder SharePoint-Schalter stehen: Der Gast kommt nicht durch die Identitätsschicht. Prüfen Sie die folgenden Punkte bewusst als „Zulassungscheck“ für externe Zusammenarbeit.

• Guest user access: Empfehlung „Guest users have limited access…“. Das begrenzt Directory-Sichtbarkeit für Gäste und verhindert keine Einladung.
• Guest invite settings: Aktivieren, wer einladen darf:
  • „Admins and users in the guest inviter role can invite“: Ein = Basisvoraussetzung, wenn Sie Einladungen auf ausgewählte Rollen begrenzen.
  • „Members can invite“: Nur aktivieren, wenn organisatorisch gewünscht. Ist dies Aus und es gibt keinen „Guest Inviter“, schlagen Einladungen durch Team-Owner oder Benutzer in vielen Oberflächen fehl.
  • „Guests can invite“: In der Regel Aus lassen, weil Sie damit eine Einladungs-Kaskade durch externe Konten erlauben.
• Collaboration restrictions (Domänenbeschränkungen): Entweder Deny-Liste (nur ausgewählte Domänen blocken) oder Allow-Liste (nur ausgewählte Domänen erlauben). Verwenden Sie keine Platzhalter; Subdomänen müssen separat gepflegt werden.

Typisches Symptom einer zu strikten Allow-Liste: Die Einladung wird in Teams augenscheinlich versendet, der Gast erhält jedoch keine E-Mail und kann die Einladung nicht einlösen, weil die Domäne nicht zugelassen ist. In diesem Fall hilft kein „erneut einladen“, solange die Domäne nicht freigegeben ist.

E-Mail-Einladung nicht angekommen? Nicht jede Einladung erzeugt automatisch eine E-Mail. Einladungen über Automatisierung oder Graph können den Mailversand bewusst unterdrücken (typisch: Einladung erzeugen, Link separat verteilen). Dann existiert der Gast bereits, aber der Empfänger wartet vergeblich auf Posteingang. Für saubere Praxisabläufe entscheiden Sie tenantweit, ob Einladungen grundsätzlich per E-Mail anstoßen sollen, oder ob Sie Einladungslinien bewusst über Ticket/Portal und einen Link lösen.

Domänenbeschränkungen korrekt konfigurieren

Die Domänenlogik prüft die E-Mail-Domäne, mit der Sie den externen Benutzer einladen. Einträge müssen exakt sein (z. B. „example.com“ erlaubt nicht automatisch „sub.example.com“). Bei Partnern mit mehreren Markendomänen müssen Sie alle Varianten hinterlegen. Nutzen Sie eine Allow-Liste nur, wenn Sie die Pflege organisatorisch sicherstellen; für die meisten Umgebungen ist eine gezielte Deny-Liste robuster, weil sie wenig Wartung verursacht.

Achten Sie auf doppelte Restriktionen: Eine Domäne kann in External collaboration settings erlaubt sein, aber durch SharePoint-/OneDrive-Domänenfilter oder durch Cross-Tenant-Einstellungen später trotzdem scheitern. Das äußert sich in inkonsistenten Symptomen („Anmeldung geht, Dateien nicht“ oder „Einladung ging einmal, später nicht mehr“). Stellen Sie deshalb einen einzigen „Owner“ für Domänenlisten und dokumentieren Sie, welche Domänen in welchem Dienst gefiltert werden.

Wenn Partner den Anmeldeversuch mit externen Identitäten durchführen, spielt die Einlöse- und Authentifizierungsmethode eine Rolle. Für B2B-Gäste ist E-Mail One-Time Passcode (OTP) ein Fallback, wenn keine andere Identität (zum Beispiel ein Entra-verwaltetes Konto im Partnertenant oder ein Microsoft-Konto) verwendet werden kann. Deaktivieren Sie OTP nur, wenn Sie sicher sind, dass alle betroffenen externen Benutzer über eine alternative, funktionierende Identität einlösen und sich anmelden können.

Pfad für OTP: Entra Admin Center → Identity → External Identities → All identity providers → Built-in → „Email one-time passcode“ (Configured). Wenn OTP deaktiviert ist und der externe Benutzer keine andere akzeptierte Identität zur Einlösung nutzen kann, scheitert die Einladungseinlösung trotz korrekter Teams- und SharePoint-Konfiguration.

Wer darf einladen? Directory-Rollen und Teams-Szenarien

Wenn „Members can invite“ deaktiviert ist, brauchen einladende Personen die integrierte Rolle „Guest Inviter“ oder eine passende Admin-Rolle. Ohne Rolle zeigt Teams je nach Client zwar Eingabefelder, aber die Einladung wird nicht erstellt oder endet in generischen Fehlermeldungen („keine Übereinstimmungen gefunden“ oder „Kontaktieren Sie Ihren Administrator“).

• Rolle zuweisen: Entra Admin Center → Identity → Roles & administrators → „Guest Inviter“ → Add assignments → Benutzer auswählen.
• Verifizieren: In Teams den Gast erneut hinzufügen und parallel in Entra ID prüfen, ob ein neues/aktualisiertes Gastobjekt erscheint.

Zusätzlicher Global-Schalter, der oft übersehen wird: Microsoft 365 Groups kann Gastzugriff zentral blockieren, obwohl Entra ID Einladungen erlaubt. Da jedes Team auf einer Microsoft 365-Gruppe basiert, wirkt diese Einstellung direkt auf Teams-Owner und Gruppenmitgliedschaft. Prüfen Sie im Microsoft 365 Admin Center: Einstellungen → Organisationseinstellungen → Dienste → Microsoft 365 Groups und aktivieren Sie (falls gewünscht) sowohl „Group owners can add people outside your organization as guests“ als auch „Guest group members can access group content“. Wenn diese Häkchen fehlen, scheitern Einladungen oder Gäste sehen keine Gruppenressourcen, obwohl Teams-Gastzugriff „Ein“ ist.

Planen Sie außerdem team-/gruppenspezifische Ausnahmen: Sie können Gastzugriff pro Gruppe/Team blockieren, ohne den Tenant global zu schließen. Das ist wichtig, wenn Sie Gäste grundsätzlich erlauben, aber einzelne Teams (zum Beispiel HR, Legal, Security) dauerhaft ohne externe Mitglieder halten wollen.

Cross-tenant Access: B2B Collaboration nicht blockieren

Pfad: Entra Admin Center → Identity → External Identities → Cross-tenant access settings. Unter „Default settings“ muss „B2B collaboration (inbound)“ auf Allow stehen. Falls es partner-spezifische Einstellungen gibt, dürfen diese den Zugriff nicht blockieren. Ein inkompatibles Blocken führt dazu, dass Gäste zwar eingeladen werden, die Anmeldung jedoch mit einer Richtlinienmeldung abgewiesen wird.

Wichtig für gemeinsame (Shared) Kanäle: Hier greift nicht der klassische Gast (B2B Collaboration), sondern B2B Direct Connect. Dafür müssen beide Organisationen in den Cross-Tenant-Einstellungen die Direct-Connect-Pfade zulassen (Inbound und Outbound), sonst bleiben externe Teilnehmer im Shared Channel ausgesperrt, obwohl „Gastzugriff“ in Teams scheinbar korrekt ist. Prüfen Sie Direct Connect getrennt von Collaboration, weil beide Schalter unabhängig wirken.

Wenn Sie eine Blockade vermuten, arbeiten Sie mit Sign-in Logs: Entra Admin Center → Identity → Monitoring & health → Sign-in logs. Filtern Sie nach dem externen Benutzer und lesen Sie „Failure reason“ und „Conditional Access“ Details. Das ist die schnellste Methode, um „falscher Schalter“ von „Sicherheitsrichtlinie blockiert“ zu trennen.

Schnellcheck für Administratoren

• External collaboration: Einladungsrechte passend gesetzt, „Limited access“ aktiv.
• Microsoft 365 Groups: Gäste-Häkchen aktiv, wenn Team-Owner Gäste hinzufügen sollen und Gäste Gruppeninhalte sehen müssen.
• Domänenbeschränkungen: Keine unbeabsichtigte Allow-Liste; alle Partnerdomänen vollständig eingetragen (inklusive Subdomänen, falls genutzt).
• Cross-tenant access: B2B collaboration inbound = Allow; für Shared Channels zusätzlich B2B direct connect passend erlaubt.
• E-Mail-OTP für externe Benutzer sinnvoll konfiguriert oder alternative Einlösung/Identität gesichert.
• Rolle „Guest Inviter“ vergeben, wenn Mitglieder nicht einladen dürfen.
• Sign-in Logs geprüft, wenn Anmeldungen scheitern (nicht nur „Schalter raten“).

Gastzugriff in Teams aktivieren und verifizieren

Der Gastzugriff in Microsoft Teams muss im Teams Admin Center explizit eingeschaltet sein. Ohne diesen globalen Schalter können Gäste weder zu Teams hinzugefügt werden noch Chats/Meetings nutzen, selbst wenn der Zugriff in anderen Diensten erlaubt ist.

• Als Globaler Administrator oder Teams-Administrator beim Teams Admin Center anmelden.
• Zu Benutzer > Gastzugriff navigieren.
• Schalter „Gastzugriff in Teams zulassen“ auf Ein stellen.
• Änderungen speichern. Die Aktivierung kann bis zu 24 Stunden benötigen, bis sie überall wirksam ist.
• Hinweis: „Externer Zugriff (Federation)“ ist eine andere Funktion und ersetzt den Gastzugriff nicht.

Auch nach korrekter Aktivierung brauchen Änderungen Zeit: Nachdem Sie einen Gast zu einem Team hinzugefügt haben, kann es bis zu etwa 12 Stunden dauern, bis der Zugriff im Teams-Client konsistent erscheint. Wenn alles korrekt steht, aber der Gast „noch nichts sieht“, ist Geduld kein schwacher Trost, sondern ein realistischer Faktor in der Fehleranalyse. Prüfen Sie in dieser Phase lieber Entra ID und SharePoint-Rechte, statt in Teams ständig neu hinzuzufügen.

Gast-spezifische Messaging- und Meeting-Schalter prüfen

Im gleichen Bereich (Benutzer > Gastzugriff) steuern Detailschalter, was Gäste in Teams dürfen. Sind diese zu restriktiv, wirkt es so, als sei der Gastzugriff „kaputt“, obwohl er formal aktiviert ist.

• Messaging: „Chat zulassen“ aktivieren, falls Gäste Nachrichten schreiben sollen. Optional Giphy/Memes/Sticker gemäß Compliance-Richtlinien erlauben oder sperren.
• Meeting: „Meet now“ aktivieren, wenn spontane Besprechungen mit Gästen möglich sein sollen. „IP-Video“ und „Bildschirmfreigabe“ einschalten, wenn Gäste Kamera und Screen-Sharing nutzen dürfen.
• Calling: „Private Anrufe tätigen“ erlauben, falls 1:1-Audio/Video-Anrufe mit Gästen gewünscht sind.

Diese Schalter wirken auf B2B-Gastkonten in Teams und sind unabhängig von Richtlinien für interne Benutzer. Wenn ein Gast „nur lesen“ kann oder gar keine Interaktion hat, ist das häufig kein Berechtigungsfehler in SharePoint, sondern ein Teams-Schalter, der Interaktion (Chat, Anruf, Präsentation) unterbindet.

Meeting- und Messaging-Policies: Auswirkungen auf Gäste verstehen

Teams-Meeting-Policies steuern Funktionen in Besprechungen, die auch Gäste betreffen, sobald sie einer Besprechung beitreten. Prüfen Sie die für Organisatoren geltende Policy unter Besprechungen > Besprechungsrichtlinien (z. B. „Global“ oder eine benutzerdefinierte Richtlinie).

• Teilnehmer und Gäste: „Anonyme Benutzer können an einer Besprechung teilnehmen“ ist nur für anonyme Teilnehmer relevant. Gäste (B2B) sind nicht anonym; diese Einstellung blockiert B2B-Gäste nicht.
• Inhalt freigeben: Bildschirmfreigabe-Modus und „Externe Teilnehmer dürfen Steuerung anfordern/erteilen“ aktivieren, wenn Gäste präsentieren oder Remote-Steuerung nutzen sollen.
• Lobby-/Teilnahme-Optionen: Stellen Sie sicher, dass die Standardoptionen in der Policy das gewünschte Verhalten für Gäste erlauben (z. B. keine unnötige „immer Lobby“-Hürde, wenn Gäste als vertrauenswürdig gelten).

Messaging-Policies gelten primär für interne Benutzer. Gäste unterliegen vor allem den Einstellungen im Bereich „Gastzugriff“. Wird einem Gast dennoch eine Policy zugewiesen (gezielt oder durch Gruppen-/Benutzerzuordnung), wirken deren Regeln zusätzlich. Wenn Sie unerwartetes Verhalten sehen, prüfen Sie bei betroffenen Organisatoren und (falls möglich) bei Gästen, welche Policies tatsächlich zugewiesen sind.

Achten Sie außerdem auf Apps: Der Zugriff auf einzelne Teams-Apps (zum Beispiel Planner, Power BI, Drittanbieter-Apps) wird separat gesteuert und kann für Gäste abweichen. Ein Gast kann dann „im Team sein“, aber eine Registerkarte bleibt leer oder zeigt Zugriffsfehler, weil die App keine Gastnutzung zulässt oder eine zusätzliche Freigabe/Lizenz in dem Workload erforderlich ist. Trennen Sie in der Analyse strikt „Teams-Kanal/Dateien“ von „App-Inhalt“.

Schnellcheck: Relevante Teams-Schalter und typische Symptome

E-Mail-Benachrichtigungen: Einladung vs. Teams-E-Mails

Teams selbst versendet keine Gast-Einladungen. Diese E-Mails kommen aus dem Einladungsprozess in Entra ID beziehungsweise aus dem Workload, der die Einladung erzeugt. Wenn Einladungen sichtbar „verschickt“, aber nicht zugestellt werden, ist meist der Versandmodus nicht „E-Mail“, oder die Zustellung wird beim Empfänger gefiltert (Spam/Quarantäne, Transportregeln, strenge DMARC-Policy im Zielsystem). Das erklärt, warum im Teams Admin Center alles korrekt wirkt, Gäste aber keine Nachricht erhalten.

• Teams-seitig prüfen: Es gibt keinen Teams-Schalter für Einladungs-E-Mails. Stellen Sie lediglich sicher, dass der Gastzugriff in Teams eingeschaltet ist.
• Entra ID prüfen: External collaboration settings und die Einladungsrechte der einladenden Person (Rolle/Member-Setting) müssen passen; sonst wird die Einladung gar nicht korrekt erzeugt.
• Mailfluss prüfen: Empfänger-Tenant auf Quarantäne/Spam prüfen und beim Absender-/Empfängerteam klären, ob Einladungen als „Marketing“ oder „Bulk“ gefiltert werden.

Für Benachrichtigungen innerhalb von Teams (z. B. E-Mails bei verpasster Aktivität) steuern Anwender die Frequenz in den Teams-Client-Einstellungen. Eine zentrale Deaktivierung dieser Benachrichtigungs-E-Mails ist im Teams Admin Center in der Regel nicht als einfacher globaler Schalter vorgesehen. Wenn diese E-Mails stören, lösen Sie das über Nutzerkommunikation, Richtlinien für Postfächer oder organisatorische Standards – nicht über den Einladungsprozess.

Wie Teams-Dateien technisch in SharePoint landen

Ein Team basiert auf einer Microsoft 365-Gruppe mit einer zugehörigen SharePoint-Teamwebsite. Alle Dateien aus Standardkanälen liegen in der Dokumentbibliothek „Dokumente“. Private und gemeinsame (Shared) Kanäle besitzen jeweils eine eigene, separate SharePoint-Website. Sichtbarkeit und Zugriff werden daher letztlich durch SharePoint-Sharing-Policies und die Rechte der jeweiligen Site bestimmt – nicht nur durch die Teams-Einstellung „Gastzugriff“.

Merksatz für die Praxis: Wenn Dateien nur „manchmal“ fehlen, ist der Kanaltyp fast immer der Grund. Gäste sehen Inhalte aus privaten Kanälen erst nach expliziter Kanalmitgliedschaft. Inhalte aus gemeinsamen Kanälen sind für klassische Gäste grundsätzlich nicht vorgesehen; hier brauchen Sie den Direct-Connect-Weg und eine passende Cross-Tenant-Konfiguration zwischen den Organisationen.

Tenant- und Site-weite Sharing-Policies prüfen

Auch wenn der Gastzugriff in Teams aktiviert ist, blockieren restriktive SharePoint-Policies Einladungen oder Dateiabrufe. Prüfen Sie immer beides: den Tenant-Level (oberste Grenze) und die Einstellung der einzelnen Site (kann restriktiver sein, darf aber nicht „mehr erlauben“ als der Tenant).

• SharePoint Admin Center > Richtlinien > Freigabe: „SharePoint und OneDrive“ auf „Neue und vorhandene Gäste“ stellen, falls Gastnutzung erforderlich ist. Prüfen Sie zulässige/gesperrte Domänen und gleichen Sie die Filterlogik mit Entra ID ab.
• SharePoint Admin Center > Aktive Websites: Team-Site auswählen > Freigabe: Der Site-Level darf nicht restriktiver sein als Ihr Ziel. Für Gastzugriff mindestens „Neue und vorhandene Gäste“.
• Für private/shared Channel-Sites: dieselben Prüfungen separat durchführen. Diese Sites erben Einstellungen nur bei Erstellung; spätere Änderungen am Eltern-Team wirken nicht automatisch.
• E-Mail-gestützte Einladungen: Wenn Sie externes Teilen über „Einladung per E-Mail“ nutzen, stellen Sie sicher, dass die SharePoint-Freigabefunktionen E-Mail-basierte Einladungen nicht einschränken. Wenn Sie stattdessen konsequent über „Spezifische Personen“-Links arbeiten, dokumentieren Sie, wie der Link sicher zum Gast gelangt.

Wenn Sensitivity Labels für Sites verwendet werden (Microsoft Purview), prüfen Sie am aktiven Team-Site-Eintrag, ob das Label externe Freigaben unterbindet. Ist externes Teilen pro Label deaktiviert, helfen Teams-Gasteinstellungen nicht. In diesem Fall müssen Sie das Label-Design korrigieren oder für betroffene Teams ein Label wählen, das externe Zusammenarbeit explizit erlaubt.

Ein besonders häufiger Praxisfehler ist der Standard-Linktyp: Wenn der Default-Link auf „Nur Personen in Ihrer Organisation“ steht, erzeugen Benutzer Links, die für Gäste zwangsläufig scheitern. Setzen Sie den Default für externe Zusammenarbeit auf „Spezifische Personen“ und schulen Sie Anwender auf den Unterschied zwischen „Jeder mit dem Link“, „Personen in der Organisation“ und „Spezifische Personen“. Damit vermeiden Sie viele „Ich habe doch geteilt“-Tickets.

Site-Berechtigungen und Gruppen korrekt zuordnen

Beim Standardkanal mappt Teams die Microsoft 365-Gruppen-Mitgliedschaft auf SharePoint: „Besitzer“ erhalten Vollzugriff, „Mitglieder“ Bearbeitungsrechte. Gäste, die der Microsoft 365-Gruppe hinzugefügt wurden, erhalten damit regulär Zugriff auf die Site – vorausgesetzt, externes Teilen ist erlaubt, Gastzugriff in Gruppen ist nicht blockiert und Labels/Policies erlauben den Zugriff.

• SharePoint Site > Websiteberechtigungen: Prüfen, ob die Microsoft 365-Gruppe in den SharePoint-Gruppen „Besitzer/Mitglieder“ steckt und ob der Gast in der Mitgliederliste auftaucht.
• Keine manuelle Entfernung zentraler SharePoint-Gruppen vornehmen: Das bricht die erwartete Synchronisation aus Teams und produziert schwer nachvollziehbare „teilweise sichtbar“-Zustände.
• Bei privaten Kanälen müssen Gäste gezielt als Kanalmitglieder hinzugefügt werden, sonst bleibt die zugehörige Site unsichtbar – auch wenn der Gast im Team korrekt geführt ist.

Für gemeinsame Kanäle gilt: Klassische Gäste (B2B Guest) können dort nicht als „Gast im Team“ mitlaufen. Externe Teilnahme erfolgt über B2B Direct Connect, bei dem Benutzer im eigenen Tenant bleiben und nur auf den Shared Channel zugreifen. Wenn Sie „Gastzugriff“ aktivieren, aber Shared Channels mit anderen Organisationen planen, brauchen Sie zusätzlich die Cross-Tenant-Konfiguration für Direct Connect, sonst bleibt der Zugriff auf Dateien und Kanalressourcen verwehrt.

Pragmatischer Zugriffstest ohne Rätselraten: Öffnen Sie im betroffenen Kanal die Registerkarte „Dateien“ und kopieren Sie die SharePoint-URL der Bibliothek. Öffnen Sie die URL in einem privaten Browserfenster und melden Sie sich als Gast an. Wenn der Zugriff dort schon scheitert, ist es ein SharePoint/Identitätsproblem. Wenn der Zugriff im Browser klappt, aber in Teams nicht, ist es eher ein Teams-Client-/Policy-/Provisioning-Thema.

Dateisichtbarkeit: Bibliothekseinstellungen und häufige Stolperfallen

Selbst bei korrekten Site-Rechten können Bibliotheks- und Ordnereinstellungen die Anzeige für Gäste verhindern. Das wirkt dann wie „Dateien verschwinden“, obwohl die Berechtigung auf Site-Ebene stimmt. Prüfen Sie deshalb immer auch den konkreten Ordner/Datei-Kontext.

• Einzelberechtigungen: Ordner/Dateien mit einzigartigen Berechtigungen prüfen (Details > Zugriff verwalten). Vermeiden Sie ungerechtfertigte „Nur Besitzer“-Einschränkungen.
• Versionsverwaltung: Bibliothek > Einstellungen > Versionierung – wenn Inhaltsgenehmigung aktiv ist und „Entwürfe nur für Genehmiger sichtbar“ gesetzt ist, sehen Gäste unveröffentlichte Dateien nicht.
• Erforderliche Spalten: Fehlen Pflichtmetadaten, bleiben Dateien im Status „Auschecken“ oder „Entwurf“ und erscheinen für Gäste nicht wie erwartet.
• Standard-Linktyp: Wenn der Default auf „Nur Personen in Ihrer Organisation“ steht, erhalten Gäste Links, die für sie nicht funktionieren. Setzen Sie den Default auf „Spezifische Personen“, wenn extern geteilt wird.
• Domäneneinschränkungen: Eine gesperrte Gastdomäne im SharePoint- oder OneDrive-Policy-Filter führt zu „Einladung ohne Zugriff“ oder zu Links, die nur intern auflösbar sind.

Prüfen Sie abschließend, ob die Kanalart zum Szenario passt: Gäste sehen keine Inhalte gemeinsamer Kanäle als klassische Teamgäste und private Kanäle erfordern explizite Mitgliedschaft – unabhängig vom Teambeitritt. Wenn Sie diese beiden Regeln im Ticketprozess als erstes abfragen, sparen Sie häufig die gesamte „SharePoint ist kaputt“-Debatte.

End-to-End-Check für „Gast sieht keine Dateien“ in fünf Minuten: (1) In Entra ID existiert der Benutzer als „Guest“ und kann sich anmelden (Sign-in Logs ohne Block). (2) Der Gast ist Mitglied der Microsoft 365-Gruppe (Team) oder – bei privaten Kanälen – des Kanals. (3) SharePoint Tenant- und Site-Freigabe steht auf „Neue und vorhandene Gäste“. (4) Kein Sensitivity Label blockiert externes Teilen. (5) Der Standard-Linktyp ist für Externe nutzbar („Spezifische Personen“) und die Datei/der Ordner hat keine einzigartigen, restriktiven Berechtigungen. Erst wenn alle fünf Punkte stimmen, lohnt sich Feinsuche in Client-Caching, Teams-App-Problemen oder Drittanbieter-Apps.