La fine delle One Time Passcode in SharePoint

Perché la B2B Collaboration non è più opzionale

Chiunque condivida oggi file o cartelle con utenti esterni tramite SharePoint Online o OneDrive dovrà rivedere il proprio modello di accesso esterno entro agosto 2026.

Non si tratta di una configurazione opzionale: Microsoft ha deciso di ritirare le One-Time Passcode di SharePoint e di rendere obbligatorio l'uso di identità guest Entra B2B per tutti i tenant Microsoft 365.

Questa evoluzione segna un passaggio chiave: la collaborazione esterna in Microsoft 365 diventa definitivamente basata sull’identità, fondata su Microsoft Entra B2B.

Cosa ha annunciato Microsoft

Microsoft ha comunicato, tramite il Microsoft 365 Message Center, che il modello OTP di SharePoint Online (SPO OTP) verrà ritirato e sostituito dal framework di collaborazione basato su identità guest Entra B2B.

L’annuncio definisce con precisione cosa succederà:

• Le OTP di SharePoint verranno ritirate definitivamente.
• L’accesso esterno richiederà obbligatoriamente un account guest Entra B2B.
• Il ritiro sarà completato entro il 31 agosto 2026.

A supporto della portata del cambiamento, Microsoft ha anche chiarito due aspetti fondamentali:

• L’opzione per disabilitare l’integrazione Entra B2B verrà rimossa, rendendo impossibile mantenere configurazioni precedenti.
• Gli utenti esterni che accedono tramite link condivisi potranno essere convertiti automaticamente in guest B2B al primo accesso. Tuttavia, senza una pianificazione preventiva, questo processo avviene in modo reattivo e non governato, con il rischio di interruzioni operative e perdita di controllo sugli accessi.

Le date da segnare in agenda

• Maggio 2026: le nuove condivisioni inizieranno ad usare Microsoft Entra B2B al posto di SPO OTP
• Luglio 2026: inizio del retirement di SPO OTP
• Agosto 2026: completamento del retirement: le SPO OTP non funzioneranno più

Questa roadmap indica chiaramente che la migrazione non è solo consigliata: è imminente e obbligatoria.

Perché Microsoft sta eliminando le One‑Time Passcode di SharePoint

Le SPO OTP nascono come meccanismo ereditato dalle prime versioni di SharePoint, pensato per funzionare anche in assenza di un Identity Provider esterno.
Oggi, però, non sono più coerenti con i principi di sicurezza consigliati nell’adozione del modello Zero Trust in Microsoft 365, che presuppone identità verificabili, policy centralizzate e controlli contestuali.

Nel modello SPO OTP l’accesso è legato a un’identità persistente solo all’interno di SharePoint, ma non rappresentata nella directory Entra ID, rendendo di fatto invisibile l’utente ai meccanismi centrali di governance. Dal punto di vista di Entra ID e dei suoi processi, quella è una “identità fantasma”.

Sebbene gli accessi a SharePoint siano tracciabili anche con SPO OTP, manca una gestione strutturata dell’identità: nessuna interfaccia di lifecycle management, nessuna policy automatica, nessuna visibilità centralizzata sull’utente esterno.

L’integrazione con Conditional Access è assente, perché il processo di autenticazione non passa da Entra ID.

Infine, la visibilità su audit e accessi è ridotta e spesso insufficiente per contesti dove è richiesta compliance.

Nel proprio annuncio Microsoft dichiara esplicitamente che il passaggio a Entra B2B migliora sicurezza, governance e copertura delle policy di accesso condizionale.

Da identità fantasma a guest verificati: cosa cambia con Entra B2B

La collaborazione basata su Entra ID B2B non è una novità assoluta: da anni rappresenta il modello di riferimento per la gestione degli utenti esterni in Microsoft 365. La dismissione delle SPO OTP consolida questo approccio, portando anche le architetture più datate verso un modello più moderno, coerente e sicuro.

Come già detto, con le SPO OTP, l'accesso esterno era legato a identità invisibili ad Entra ID: ogni sessione era indipendente, non tracciabile in modo strutturato e impossibile da governare con le policy moderne. Un accesso rapido, ma cieco.

Microsoft Entra B2B ribalta questo modello. L'utente esterno diventa un guest a tutti gli effetti nella directory del tenant: ha un'identità persistente, è soggetto alle stesse policy di Conditional Access e MFA degli utenti interni, lascia un audit trail completo e può essere gestito nel suo intero ciclo di vita, dalla creazione alla revoca.

Per le organizzazioni questo si traduce in tre vantaggi concreti:

• Sicurezza applicabile anche all'esterno: diventano possibili controlli contestuali quali MFA e Conditional Access, inclusi (seppur in forma limitata) controlli sul dispositivo.
• Visibilità reale sugli accessi: ogni accesso è tracciato con identità, ora, risorsa e livello di autenticazione.
• La governance non riguarda più il link in sé, ma l’identità che lo utilizza: con Entra B2B l’accesso è sempre riconducibile a un guest gestito, revocabile e monitorabile.

Cosa cambia per l’esperienza utente

Uno degli aspetti più delicati è la percezione del cambiamento da parte degli utenti finali e dei clienti che accedono ai contenuti condivisi. Il cambiamento non è solo tecnico: richiede un aggiornamento delle abitudini, dei flussi e delle aspettative.

Prima: SPO One‑Time Passcode

Nel modello precedente, l’accesso esterno era estremamente rapido e poco strutturato. Il processo si basava su un flusso “usa e getta”, pensato più per minimizzare l’attrito che per garantire sicurezza e tracciabilità.

• Inserimento email: l’utente esterno inseriva semplicemente il proprio indirizzo nella schermata di accesso.
• Ricezione codice temporaneo: il sistema inviava un codice OTP valido solo per una singola sessione.
• Accesso immediato, ma “usa e getta”: l’utente accedeva rapidamente, senza dover creare un’identità o seguire procedure di validazione più avanzate.

Questa modalità offriva velocità, ma introduceva limiti importanti: nessuna identità persistente, nessuna continuità tra sessioni, impossibilità di applicare controlli moderni e poca visibilità su chi accedeva realmente.

Dopo: Entra B2B

Il nuovo modello introduce un flusso più strutturato nella fase iniziale, ma che garantisce un’esperienza più coerente e riutilizzabile nel tempo.

• Invito come guest user: l’utente esterno riceve un invito formale che crea un’identità guest nel tenant.
• Prima autenticazione guidata: al primo accesso, l’utente effettua una registrazione semplice ma completa, creando un’identità verificabile.
• Possibile richiesta di MFA: se previsto dalle policy aziendali, la piattaforma può richiedere l’abilitazione dell’autenticazione a più fattori.
• Accesso riutilizzabile e coerente nel tempo: dopo la registrazione iniziale, l’utente può accedere nuovamente ai contenuti senza ripetere la procedura, con un’esperienza molto più stabile.

Vale la pena chiarire un possibile punto di confusione: quello che viene ritirato è la SPO OTP, ovvero il meccanismo proprietario di SharePoint che permetteva l'accesso esterno senza nessuna identità.

Non scompare invece l'email OTP come metodo di autenticazione Entra, che può restare attivo per i guest che non dispongono di un account Microsoft o aziendale.

La differenza sostanziale è che in ogni caso sarà richiesta la creazione di un'identità guest B2B: il codice via email diventa un modo per autenticarsi, non un modo per aggirare l'identità.

In parole povere: niente più identità fantasma basate solo su di una mail, è necessaria una prima registrazione come guest B2B.

Il rischio concreto: cosa succede se non ci si prepara

Il problema non è la migrazione in sé, è rimandare senza un piano.

Dopo il retirement di agosto 2026, l’accesso richiederà comunque la presenza (esplicita o automatica) di un guest Entra B2B. Senza una preparazione adeguata, questo può tradursi in accessi negati o comportamenti non prevedibili.

Non ci sarà nessun messaggio di errore esplicativo o una guida automatica alla risoluzione: l’utente visualizzerà semplicemente un accesso negato.

Per un'organizzazione con centinaia di link condivisi o decine di partner attivi, l'impatto può essere immediato: partner bloccati, clienti che non riescono ad aprire documenti, IT sommerso di ticket urgenti. Il tutto in modo imprevedibile, perché senza un'analisi preventiva è difficile sapere quanti accessi dipendono ancora dalle SPO OTP.

Microsoft è esplicita su questo: non ci sono eccezioni dopo il retirement.

Raccomandazione finale

Il ritiro delle SPO One‑Time Passcode non è una scelta configurabile, ma una decisione di piattaforma.

Per le organizzazioni che collaborano con l’esterno, la domanda non è se adottare gli utenti guest Entra B2B per la collaborazione esterna, ma: quando farlo in modo governato, comunicato e allineato alla propria strategia di sicurezza.

Anticipare la transizione significa:

• ridurre il rischio operativo: evitando interruzioni improvvise e perdita di accesso ai contenuti condivisi;
• accompagnare utenti e clienti: fornendo istruzioni chiare e un percorso di adozione semplice e guidato;
• trasformare un obbligo tecnico in un miglioramento strutturale: rafforzando sicurezza, governance e compliance dell’intero ambiente Microsoft 365.

Il punto di partenza è un assessment delle condivisioni attive, un’attività che consente di mappare la situazione attuale, identificare i potenziali punti critici e definire un piano di transizione che consideri sia gli aspetti tecnici sia quelli comunicativi.

Prepararsi oggi permette di arrivare al retirement con un modello già solido, allineato alle best practice e capace di garantire continuità operativa e una collaborazione esterna più sicura e moderna.

Vuoi capire se il tuo tenant è pronto al retirement delle OTP?
Come Impresoft 4ward, possiamo supportarti con un assessment delle condivisioni esterne e un percorso di adozione guidato di Entra B2B, progettato per evitare interruzioni e garantire un passaggio sicuro e governato.

Fonte: Microsoft 365 Message Center – “Retirement of SharePoint One‑Time Passcode (SPO OTP) and transition to Microsoft Entra B2B guest accounts”, marzo 2026.