SharePoint Online、外部アクセスのOTPを2026年7月に廃止へ
Microsoftは2026年3月4日付のMicrosoft 365メッセージセンター通知(MC1243549)で、SharePoint OnlineおよびOneDrive for Businessにおけるワンタイムパスコード(OTP)による外部アクセスを2026年7月に完全廃止すると発表した。
2021年から続く段階的な移行の最終章
この変更は突然ではなく、長年にわたる段階的な移行の締めくくりにあたる。
- 2021年: Entra B2B コラボレーションとの統合がオプトイン形式で開始
- 2023年: 新規テナントへの自動有効化
- 2025年7月: B2B統合を選択済みのテナントでOTPを廃止
- 2026年5月〜: 新規の外部共有招待がすべてゲストアカウント方式に切り替わる
- 2026年7月: 既存のOTPリンクも無効化。対象は商用・政府・ソブリンクラウド全体で2026年8月31日までに完了予定
なぜゲストアカウントなのか
OTPは手軽な一方、テナント内の外部アクセスを追跡・管理する手段が限られていた。一方、Entra B2B コラボレーション(ゲストアカウント)を用いることで以下のガバナンス機能が利用可能になる。
- 監査ログ: 誰がいつアクセスしたかの記録
- 条件付きアクセスポリシー: Entraの豊富なアクセス制御をゲストにも適用
- B2B コラボレーションポリシー: 許可するドメインのホワイトリスト管理
- スポンサー割り当て: アクセス責任者の明確化
エンジニアリング・サポートコストの観点でも、認証方式が1本化されることでMicrosoft側の維持管理が効率化される。
日本の組織が今すぐ取るべきアクション
既にTeamsやOutlookグループでゲストアカウントを管理しているテナントは、実質的に影響が少ない。問題となるのは、これまでOTPに頼りきりでゲストアカウント管理の体制が未整備の組織だ。
外部共有が多いテナントほど、Entraディレクトリにゲストアカウントが急増する可能性がある。以下の対応を検討したい。
- ゲストアカウント管理フレームワークの整備: B2B コラボレーションポリシーの設定、スポンサー割り当てルールの策定
- アクセスレビューの導入: Entra IDアクセスレビュー(要: Entra P1ライセンス)を活用し、不要なゲストアカウントを定期的に棚卸し
- 既存OTPリンクの洗い出し: 2026年7月以降に無効化されるリンクを事前に把握し、再作成を計画する
7月の廃止まで残り4ヶ月。早めの準備が、ユーザーへの影響を最小化する鍵となる。
※出典: SharePoint Online Drops One Time Passcodes for External Access