Pendant des années, SharePoint et OneDrive ont permis de partager facilement des documents avec des clients, fournisseurs ou partenaires grâce à un code temporaire envoyé par email. Ce mode d’accès, connu sous le nom de One-Time Passcode, a rendu de nombreux scénarios de collaboration très simples à mettre en place. Il a aussi installé une forme de confort, parfois trompeuse, dans des organisations qui ont accumulé des centaines de partages externes sans réelle gouvernance.
Cette période touche à sa fin. Microsoft a confirmé la retraite du SharePoint One-Time Passcode et le basculement vers Microsoft Entra B2B pour l’authentification des externes dans SharePoint et OneDrive. Le mouvement commence en mai 2026 pour les nouveaux partages, les refus d’accès apparaîtront à partir de juillet 2026 pour certains anciens partages, et la retraite est annoncée comme complète d’ici le 31 août 2026.
Ce changement ne relève pas d’un simple détail d’authentification. Il modifie la manière dont votre entreprise contrôle ses accès externes, audite ses invités et sécurise sa base documentaire. En clair, un partenaire externe ne sera plus traité comme un destinataire ponctuel d’un code reçu par email, mais comme un invité identifié, gouverné et traçable dans votre environnement Microsoft 365.
Une évolution structurelle, pas une simple mise à jour
Microsoft cherche depuis plusieurs années à aligner le partage externe SharePoint et OneDrive sur un modèle d’identité unifié. La documentation officielle explique que l’intégration SharePoint et OneDrive avec Microsoft Entra B2B permet d’utiliser le même fournisseur d’identité que le reste de Microsoft 365 pour les invités, avec des contrôles cohérents à l’échelle du tenant. Microsoft précise aussi qu’il ne sera plus possible d’opter hors de ce changement lors du déploiement généralisé de 2026.
Ce point est essentiel, car il montre que Microsoft ne remplace pas seulement une méthode de connexion par une autre. L’éditeur pousse un modèle dans lequel les externes deviennent de vrais objets de gouvernance. Une fois invités via Entra B2B, ils peuvent être soumis à des politiques d’accès conditionnel, à des exigences MFA, à des contrôles d’identité et à des règles de gestion de cycle de vie qui n’étaient pas appliquées de façon homogène avec OTP.
Autrement dit, Entra B2B n’est pas seulement un nouveau point d’entrée. C’est le passage d’une logique de partage opportuniste à une logique de collaboration gouvernée.
Le calendrier à retenir dès maintenant
Le calendrier est désormais suffisamment clair pour justifier une préparation immédiate. À partir de mai 2026, les nouvelles invitations de partage externe sont routées via Microsoft Entra B2B. À partir de juillet 2026, les anciens accès qui reposent encore sur OTP commencent à produire des refus d’accès pour les externes qui n’ont pas encore de compte invité dans le tenant. La retraite complète est annoncée au plus tard le 31 août 2026.
Ce point a une conséquence très concrète. Les entreprises qui pensent pouvoir traiter le sujet en réaction, au moment où les premiers partenaires seront bloqués, prennent un risque inutile. À cette échéance, le problème ne sera plus théorique. Il touchera des dossiers partagés, des espaces clients, des projets en cours et parfois des documents critiques consultés de manière intermittente, donc difficiles à repérer avant la panne.
Que se passe-t-il vraiment pour mes liens ?
C’est la question que tout responsable IT pose en premier, et c’est aussi celle qui intéresse le plus les métiers. La bonne nouvelle, c’est que Microsoft a documenté plusieurs cas très concrets. La moins bonne, c’est que tous les anciens partages ne survivront pas automatiquement à la transition.
Premier scénario : un lien OTP existe déjà, et le partenaire devient invité Entra B2B dans votre tenant. Dans ce cas, l’accès au contenu peut être conservé, car Microsoft indique que les utilisateurs externes gardent l’accès aux fichiers déjà partagés s’ils disposent d’un compte invité Microsoft Entra B2B dans votre annuaire. En pratique, le lien peut rester le même côté utilisateur, mais l’authentification bascule vers Entra B2B et entre donc dans le périmètre de vos politiques de sécurité.
Deuxième scénario : un lien OTP existe encore, mais la personne externe n’a pas de compte invité dans votre annuaire. C’est le cas le plus risqué. Microsoft précise que ces collaborateurs externes verront un accès refusé à partir de juillet 2026. Pour restaurer l’accès, il faudra soit créer ou faire créer le compte invité, soit republier le contenu via un nouveau partage compatible avec Entra B2B. Plusieurs experts Microsoft 365 confirment ce comportement et recommandent une création proactive des invités avant les premiers blocages.
Troisième scénario : un partage de type Specific people est transmis à une autre personne externe. Le comportement métier reste fondamentalement le même qu’aujourd’hui, à savoir que le lien a été destiné à une identité précise et non à n’importe quel destinataire. La différence, c’est que l’identité externe qui consomme le partage sera désormais gérée via Entra B2B au lieu d’un simple flux OTP. Cette nuance change beaucoup de choses pour la sécurité, car l’authentification devient pleinement rattachée à un compte invité gouverné.
Ce qui va réellement casser dans l’entreprise
Le risque le plus sérieux ne se situe pas dans les nouveaux partages. Ceux-là passeront naturellement sur le bon modèle. Le vrai sujet concerne les partages hérités, parfois vieux de plusieurs trimestres, qui continuent pourtant à soutenir des usages quotidiens. C’est souvent là que se cachent les accès externes les plus critiques et les moins visibles.
Dans la réalité, cela touche des cas très concrets. Un partenaire industriel peut perdre l’accès à une documentation de maintenance hébergée sur SharePoint alors que personne n’avait réévalué le partage depuis un an. Un cabinet externe peut se retrouver bloqué sur un dossier projet alors que les documents restent disponibles côté interne. Dans les deux cas, le problème n’est pas la disparition du contenu, mais la disparition du mode d’authentification historique qui permettait à l’externe d’entrer.
C’est précisément pour cette raison qu’il faut traiter le sujet comme un chantier de continuité de service, et non comme une simple mise à jour d’administration Microsoft 365.
Pourquoi Entra B2B, ce n’est pas seulement un changement de login
C’est ici que le sujet devient stratégique. Avec OTP, l’expérience externe était fluide, mais la gouvernance restait limitée. Avec Entra B2B, l’utilisateur externe devient visible dans votre annuaire, dans les journaux d’audit et dans vos mécanismes de contrôle d’accès. Microsoft indique explicitement qu’après la retraite d’OTP, les externes authentifiés via Entra B2B seront soumis à Microsoft Entra Conditional Access, Identity Protection et aux politiques de gouvernance des invités.
Cela veut dire qu’une entreprise peut enfin appliquer de manière cohérente des exigences comme la MFA, des restrictions par localisation, des conditions liées au terminal, ou encore des règles de vie des comptes invités. L’externe ne se réduit plus à un email qui reçoit un code. Il devient un compte que l’on peut suivre, auditer et révoquer. Cette différence paraît subtile sur le papier, mais elle change profondément la posture de sécurité.
Cette visibilité améliore aussi l’exploitation côté conformité. Les journaux d’audit Microsoft Entra et les capacités d’audit de Microsoft 365 permettent de suivre les activités initiées par des invités et de reconstituer des partages ou accès externes dans un cadre beaucoup plus propre qu’avec un historique épars de liens hérités. Microsoft documente par ailleurs l’usage de l’audit log pour identifier les ressources partagées avec des utilisateurs externes.
Revivez notre dernier webinaire
« IA & Gestion de la connaissance : structurer l’information pour la rendre réellement exploitable »
Comment gérer les partages hérités avant qu’ils ne deviennent un problème
Le premier réflexe consiste à auditer l’existant. Microsoft recommande, au niveau site, l’usage du rapport de partage externe pour identifier les invités créés via SPO OTP qui n’ont pas encore de compte invité Entra B2B. Cette information permet déjà d’isoler une partie des futurs cas bloquants. La documentation officielle précise aussi qu’il est possible de créer ces comptes invités de façon proactive pour conserver l’accès aux fichiers déjà partagés.
À l’échelle du tenant, il est utile de regarder quelques indicateurs simples mais révélateurs. Le nombre de partages Specific people réalisés sur les douze derniers mois, les sites qui concentrent le plus d’invités, les bibliothèques critiques ouvertes à l’externe ou encore les espaces qui servent de portail documentaire à des partenaires doivent remonter en priorité.
Il ne s’agit pas de lancer un chantier technique démesuré. Il s’agit d’identifier les zones où une panne d’accès externe aurait un coût métier élevé, puis de traiter ces zones avant l’été 2026.
Une occasion rare de remettre à plat votre gouvernance documentaire
La plupart des organisations abordent ce type d’annonce sous l’angle de la contrainte. C’est une erreur de lecture. La fin d’OTP crée une échéance, mais elle offre surtout une opportunité de nettoyer les héritages, de clarifier les responsabilités et d’aligner les partages externes sur une vraie politique de gouvernance documentaire.
Ce point est d’autant plus important que Microsoft avance en parallèle sur d’autres leviers de maîtrise des accès. En mars 2026, l’éditeur a par exemple annoncé le déploiement de politiques d’expiration pour les liens People in your organization dans SharePoint et OneDrive. Le signal est clair : Microsoft pousse les entreprises à réduire les accès persistants, qu’ils soient internes ou externes, et à mieux piloter leur durée de vie.
Autrement dit, la transition OTP vers Entra B2B n’est pas un épisode isolé. Elle s’inscrit dans une séquence plus large de remise en ordre des mécanismes de partage.
Ce que cela change pour Purview, Copilot et les agents
Le sujet ne se limite pas à SharePoint. Une fois les externes normalisés en invités Entra B2B, leurs activités deviennent beaucoup plus exploitables dans les logs, les enquêtes et les mécanismes de protection de Microsoft 365. Microsoft documente par exemple les capacités d’audit du partage et, côté Purview, la disponibilité d’une recherche d’audit dans Data Security Investigations pour retrouver des activités comme l’accès, la copie ou le téléchargement de fichiers et récupérer le contenu lié dans une investigation.
Pour une organisation qui prépare Copilot ou des agents spécialisés, c’est loin d’être un détail. Plus les accès sont gouvernés, plus il devient réaliste de savoir quelles données sont exposées, à qui et dans quelles conditions. Cela réduit le risque de laisser des documents sensibles dans un périmètre de collaboration mal maîtrisé au moment où l’IA commence à s’appuyer massivement sur la base documentaire de l’entreprise. Cette lecture est cohérente avec le positionnement de Microsoft, qui fait de SharePoint une plateforme de connaissance et de gouvernance pour les usages IA de Microsoft 365.
Trois questions à poser à votre DSI dès aujourd’hui
Avant même de définir un plan d’action détaillé, trois questions suffisent à mesurer votre niveau de préparation. Êtes-vous capables de lister les partages externes encore dépendants d’OTP et les sites qui concentrent le plus de risque ? Avez-vous défini une politique claire de gouvernance des invités Entra B2B, avec sponsor, revue et révocation ? Avez-vous prévu une communication métier pour éviter que les blocages de l’été 2026 soient découverts au moment où un partenaire essaie d’ouvrir un document critique ?
Si la réponse est non à au moins une de ces questions, il y a déjà un chantier prioritaire à ouvrir.
Conclusion
La fin du SharePoint One-Time Passcode ne doit pas être lue comme une note de bas de page dans le Message Center. C’est un changement de modèle. À partir de 2026, l’accès externe dans SharePoint et OneDrive ne reposera plus sur une logique de code temporaire, mais sur une logique d’identité gouvernée.
Les entreprises qui s’y préparent maintenant éviteront les accès refusés, assainiront leurs partages hérités et renforceront leur gouvernance documentaire. Les autres découvriront le sujet au moment où un client, un fournisseur ou un prestataire signalera qu’il ne peut plus ouvrir un dossier partagé depuis des mois. Dans un contexte où la sécurité, la conformité et l’IA dépendent de plus en plus de la qualité de la gouvernance documentaire, ce n’est plus un sujet que l’on peut repousser.
Mieux exploiter Microsoft 365, sans complexifier votre SI
Microsoft 365 évolue vite. Encore faut-il savoir activer les bonnes briques, au bon endroit, avec la bonne gouvernance.
Sodoc structure et consolide vos espaces SharePoint, déploie des politiques de rétention adaptées à vos métiers et met en place des tableaux de pilotage clairs pour vos équipes IT et conformité.
Notre approche est simple : clarifier, structurer, automatiser. Pour que votre GED devienne un outil fiable et durable.
Demandez votre diagnostic personnalisé.