Was passiert mit nicht angenommenen Gastkonten in Microsoft Entra?

Beim Arbeiten mit Gastkonten in Microsoft Entra ID taucht in der Praxis immer wieder eine Frage auf: Was geschieht mit Gästen, die zwar eingeladen wurden, die Microsoft Entra Einladung aber nicht akzeptiert haben?

Wir gehen dieser Frage nach und zeigen, wie wir nicht angenommene Gastkonten bei unserem Kunden individuell gelöst haben.

Wir beraten Sie gerne

Hinweis: Das Thema Gast-Accounts ist vielschichtig und beschäftigt Unternehmen zunehmend im Arbeitsalltag. In unserer Gastkonten-Serie betrachten wir verschiedene Herausforderungen und Lösungen, die uns in unseren Kundenprojekten begegnet sind.

Bei Interesse empfehlen wir Ihnen auch unseren Artikel „Kann man Gast Accounts in Verteilerlisten hinzufügen?“.

Verhalten von nicht angenommenen Einladungen

Microsoft beschreibt es recht eindeutig:

👉 Einladungstoken verfallen nicht automatisch. 

Das bedeutet, dass ein einmal erstellter Gastbenutzer in Entra ID bestehen bleibt – unabhängig davon, ob er die Einladung jemals annimmt. (Quelle: Microsoft-Dokumentation)

Früher (vor einigen Jahren) war es noch so, dass die Links nach 90 Tagen ihre Gültigkeit verloren. Heute gilt diese Einschränkung nicht mehr.

Warum wurde dies aufgehoben?

• Zum einen wollte Microsoft die Flexibilität und Benutzerfreundlichkeit bei der Verwaltung von Gastkonten in Entra ID erhöhen. Früher mussten Administratoren neue Einladungen senden, wenn ein Gast die Einladung nicht akzeptierte. Mit der neuen Regelung können Administratoren selbst entscheiden, wann sie eine Einladung zurückziehen oder löschen möchten, ohne an eine feste Frist gebunden zu sein.
• Einladungen, die nicht ablaufen, ermöglichen es externen Benutzern, die Einladung zu einem für sie passenden Zeitpunkt zu akzeptieren. Sie müssen sich dabei keine Sorgen machen, dass der Link abläuft.

❓Man könnte hier argumentieren, dass durch die Aufhebung der 90-Tage-Frist zwar eine höhere Flexibilität entstanden ist – insbesondere für den Gast, der keinen Druck mehr hat, die Einladung sofort zu akzeptieren. Für Administratoren bedeutet dies jedoch mehr Verantwortung, da sie nicht angenommene Einladungen überwachen und bei Bedarf manuell entfernen müssen.

Nicht angenommene Gastkonten: Konsequenz für die Praxis

Ein Gastbenutzer, der nie auf die Einladung reagiert,

• wird nicht als „inaktiv“ gezählt, da er ja nie aktiv war,
• verbleibt als „Pending Acceptance“ in Entra ID (und blockiert damit potenziell Namensräume oder Gruppenmitgliedschaften),
• läuft nicht automatisch ab.

Das bedeutet: Ohne manuelles Eingreifen oder Automatisierung bleiben diese Einträge dauerhaft als Karteileichen in Entra ID stehen.

Ist ein nicht angenommenes Gastkonto ein Sicherheitsrisiko?

Technisch gesehen ist das unmittelbare Sicherheitsrisiko gering:
Ein nicht angenommenes Gastkonto kann sich nicht anmelden und keinen Zugriff auf Ressourcen erhalten, solange der eingeladene Benutzer die Einladung nicht akzeptiert hat. Es existiert zwar in Entra ID, ist aber „schlafend“ (also inaktiv ohne Authentifizierungsfähigkeit).

Allerdings entsteht aus organisatorischer Sicht dennoch ein gewisses Risiko:

• Das Konto existiert real in Entra ID und kann später aktiviert werden – auch unbemerkt, wenn keine Überwachung erfolgt.
• Wenn der echte Account des Gasts kompromittiert wird (z. B. durch Phishing), könnte ein Angreifer die Einladung annehmen und sich Zugriff verschaffen.
• Zudem führen viele dieser „hängenden“ Einträge zu Unübersichtlichkeit, was das Identity Lifecycle Management und Access Reviews erschwert. Und genau aus dieser Unübersichtlichkeit entstehen oft langfristig Sicherheitsprobleme.

Kurz gesagt:
👉 Es besteht kein akutes technisches Risiko, aber ein potenzielles organisatorisches Risiko, vor allem, wenn keine regelmäßige Kontrolle oder Bereinigung erfolgt.

Umgang mit „hängenden“ Gastkonten

Viele Unternehmen haben daher Prozesse etabliert, um mit diesen verwaisten Einträgen umzugehen:

• Regelmäßige Review-Prozesse: z. B. durch den Identity-Governance-Zyklus oder Access Reviews.
• Automatisierte Bereinigung: Manche Kunden setzen eigene Skripte ein, die Gäste nach einem bestimmten Zeitraum (z. B. 30 Tagen ohne Akzeptanz) wieder löschen.

🔎 Beispiel aus der Praxis – Nicht angenommene Gastkonten automatisch entfernen:

Wir haben für einen Kunden ein „Guest Account Cleanup“-Skript implementiert, das nicht angenommene Einladungen nach 30 Tagen automatisch entfernt. So müssen sich die Administratoren nicht manuell darum kümmern und können sich darauf verlassen, dass verwaiste Einladungen zeitnah entfernt werden.

Bessere Steuerung von Gastkonten mit dem IDM-Portal

Mit dem IDM-Portal ist eine bessere Steuerung der Gastkonten möglich. Gäste erhalten erst Berechtigungen (Security Gruppen), wenn ein Zuständiger für den Gast festgelegt wurde. Dieser ist dann auch automatisch für den Gast verantwortlich. 

Für die automatische Bereinigung bereits aktivierter Gäste kann er ebenfalls eingebunden werden.

Auch unterschiedliche Prozesse für das Einladen sind möglich:

• So ist die direkte Einladung von Gästen in Teams für die Zusammenarbeit weiter für alle möglich.
• Vollwertige Gäste mit weiteren Berechtigungen werden Sie aber erst durch Prüfschritte im IDM-Portal.

Fazit

Nicht angenommene Gastkonten verschwinden nicht von alleine. Sie bleiben als schlafende Objekte in Entra ID bestehen und können so die Übersichtlichkeit beeinträchtigen.
Unternehmen sollten daher eine klare Strategie für den Umgang mit ungenutzten Gastkonten entwickeln, sei es durch Governance-Prozesse oder durch automatisierte Skripte.

Sprechen Sie uns an

Mehr über FirstWare IDM-Portal

Das FirstWare IDM-Portal von FirstAttribute ist eine integrierte Lösung für das Identity und Access Management (IAM), die die automatisierte Verwaltung von Nutzern und deren Berechtigungen ermöglicht, egal ob On-Prem oder in der Cloud.

Dieses Portal integriert sämtliche Facetten des Identity- und Access-Managements und ermöglicht einen zentralisierten Zugriff auf Identitäts- und Verzeichnisdienste.