Kosten Gastkonten in Microsoft 365 Geld?

Kurz gesagt: Nein, für die normale Zusammenarbeit brauchen Gäste in Microsoft 365 keine eigene Lizenz. Sie werden über ein Nutzungsmodell abgerechnet, das die ersten 50.000 aktiven Gäste pro Monat kostenlos lässt. Geld und Risiko entstehen an drei Stellen: fälschlich zugewiesene Lizenzen, seit 2026 kostenpflichtige Governance-Features und verwaiste Gäste, die niemand aufräumt. Und wenn ein Gast doch mehr braucht, etwa ein externer Berater, entscheidet die Frage „Add-on am Gast oder zum internen Member machen" über die Kosten.

Ein Gastkonto ist ein externer Nutzer (in Entra ID trägt es UserType = Guest), den Sie zur Zusammenarbeit in Teams, SharePoint oder eine Gruppe einladen. Die Technik dahinter heißt heute Microsoft Entra External ID, früher Azure AD B2B. Der Reiz für Angreifer und der Reiz für die Kostenrechnung liegen im selben Punkt: Gäste vermehren sich leise und werden fast nie entfernt.

Wie werden Gastkonten in Microsoft 365 abgerechnet?

Gäste zahlen keine Nutzerlizenz, sondern werden nach MAU abgerechnet, den monatlich aktiven Nutzern. Ein MAU ist ein eindeutiger externer Nutzer, der sich innerhalb eines Kalendermonats mindestens einmal anmeldet. Die ersten 50.000 MAU pro Monat sind kostenlos, erst darüber fällt eine geringe Gebühr je aktivem Gast an.

Wichtig für die Praxis:

  • Nur echte Gäste zählen. UserType = Guest fließt in die MAU, Ihre eigenen Mitarbeiter (Member) nicht.
  • Ein Gast wird nur gezählt, wenn er aktiv ist. Ein eingeladener, aber nie genutzter Gast erzeugt keine MAU-Kosten, bleibt aber ein Sicherheitsposten (dazu unten).
  • Für die Abrechnung braucht der Tenant eine verknüpfte Azure-Subscription. Ohne sie läuft die Zählung, aber ohne Rechnung.

Das alte 1:5-Verhältnis, wonach eine bezahlte Lizenz bis zu fünf Gästen Premium-Zugriff erlaubte, ist Geschichte. Microsoft hat es vor Jahren durch das MAU-Modell abgelöst. Für die allermeisten Unternehmen bedeutet das: Ihre Gäste sind faktisch kostenlos, solange Sie weit unter 50.000 aktiven externen Nutzern bleiben.

Wann braucht ein Gast doch eine Lizenz?

Die Basis-Zusammenarbeit ist immer lizenzfrei. Teams-Kanäle, Chats, Meetings, SharePoint- und OneDrive-Freigaben sowie Microsoft-365-Gruppen nutzt ein Gast unter der Lizenz des einladenden Unternehmens, gesteuert über Berechtigungen, nicht über eine Lizenz. Eine eigene Lizenz wird erst nötig, sobald der Gast einen Premium-Workload aktiv nutzt.

Workload Braucht der Gast eine Lizenz? Details
Teams, SharePoint, OneDrive, Gruppen Nein Basis-Kollaboration, immer frei
Power BI Pro-/PPU-Content Ja Pro oder PPU (rund 12 € netto), außer der Content liegt auf Premium-Kapazität
Power Apps / Power Automate mit Premium-Connector, Dataverse oder in Managed Environment Ja Power Apps bzw. Power Automate Premium
Project oder Visio Ja eigener Plan, keine Gast-Ausnahme
Microsoft 365 Copilot Nicht möglich Copilot ist für Gäste ausgeschlossen
Volle M365-Suite (E3/E5/Business Premium) Nicht vorgesehen technisch anheftbar, aber funktional wirkungslos

Die drei Premium-Fälle im Klartext:

  • Power BI. Sobald ein Gast geteilten Content in einem Pro- oder PPU-Workspace ansehen soll, der nicht auf dedizierter Kapazität liegt, braucht er Pro oder PPU. Wie Sie das oft ohne eigene Kosten lösen, steht gleich unten.
  • Power Apps und Power Automate. Ein Standard-Connector ist frei. Sobald aber ein Premium-Connector, ein Zugriff auf Dataverse oder eine Managed Environment im Spiel ist, braucht auch der Gast eine bezahlte Power-Platform-Premium-Lizenz. In einer Managed Environment gilt ohnehin alles als Premium.
  • Project und Visio. Beide sind reine Nutzer-Abos ohne Gratis-Pfad für Gäste. Wer damit arbeitet, braucht seinen eigenen Plan, genau wie ein interner Mitarbeiter.

Die volle M365-Suite dagegen weisen Sie einem Gast nie zu. Technisch lässt sie sich zwar anheften, funktional bleibt sie wirkungslos: Die Suite-Dienste sind an den Heimattenant des Nutzers gebunden und werden dem Gast in Ihrem Tenant gar nicht bereitgestellt. Sie zahlen dann für nichts.

Wer trägt die Lizenz, wenn der Gast eine braucht?

Wenn ein Gast wirklich eine Premium-Lizenz braucht, heißt das nicht automatisch, dass Sie sie bezahlen. Am Beispiel Power BI gibt es drei Wege, und zwei davon kosten Sie nichts:

  • Der Gast bringt seine Lizenz mit (Bring Your Own License). Hat der externe Berater in seinem eigenen Unternehmen bereits eine Power-BI-Pro- oder PPU-Lizenz, nutzt er genau die, um in Ihrem Tenant geteilten Content zu sehen. Sie geben ihm nur die Tenant-URL. Voraussetzung ist dieselbe Azure-Cloud, über Cloud-Grenzen hinweg (etwa Public zu Government) funktioniert das nicht.
  • Der Content liegt auf Premium-Kapazität. Weisen Sie einen Power-BI-Workspace einer Premium-Kapazität (P-SKU) oder Fabric-Kapazität ab F64 zu, reicht dem Gast eine kostenlose Fabric-Free-Lizenz. Niemand zahlt Pro.
  • Sie weisen dem Gast selbst eine Lizenz zu. Das geht, Microsoft nennt es ausdrücklich als Option, ist aber der teuerste Weg und nur nötig, wenn die anderen beiden nicht greifen. Vor der Zuweisung verlangt Microsoft zusätzlich, die Lizenzbedingungen zu prüfen.

Für einige Power-Platform-Pläne (Power Automate Premium, Power Apps pro Nutzer) gilt in der Public Cloud dasselbe Prinzip: Der Gast bringt sie aus seinem Heimattenant mit. Die Kernbotschaft: Ein Berater, der woanders schon lizenziert ist, kostet Sie meist nichts, solange Sie BYOL oder eine Kapazität nutzen, statt reflexartig eine zweite Lizenz zu kaufen.

Externer Berater braucht mehr: Add-on oder zum Member machen?

Irgendwann kommt der Fall, bei dem ein externer Berater nicht mehr nur zusieht, sondern wie ein Teammitglied arbeitet. Dann stehen zwei Wege offen, und die Wahl entscheidet über Kosten und Sicherheit.

Eine technische Grenze nimmt Ihnen die Entscheidung oft ab: Ein Gast kann in Ihrem Exchange Online kein eigenes Postfach besitzen. Sobald der Berater ein Postfach in Ihrem Tenant braucht, müssen Sie ihn zuerst zum Member machen, denn eine Postfach-Lizenz lässt sich nur einem Member zuweisen. Dasselbe gilt für Copilot: auch das geht nur über einen internen Member mit qualifizierender Basislizenz.

Gast belassen (bei Bedarf mit einem gezielten Add-on) ist richtig, wenn:

  • das Engagement befristet ist
  • nur ein einzelnes Premium-Feature nötig ist
  • der Berater in seinem eigenen Unternehmen bereits lizenziert ist, denn dann sparen Sie über BYOL die Doppelkosten
  • er in Teams-Shared-Channels arbeiten soll, denn das läuft ohnehin über B2B Direct Connect, nicht über Gast oder Member

Zum Member machen und regulär lizenzieren ist richtig oder nötig, wenn:

  • der Berater dauerhaft wie ein Mitarbeiter arbeitet
  • er ein eigenes Postfach in Ihrem Tenant braucht
  • er Copilot oder die vollen Office-Apps braucht
  • er tief in interne Ressourcen eingebunden ist

Die Merkregel: Braucht der Berater ein eigenes Postfach, Copilot oder volle Apps in Ihrem Tenant und arbeitet dauerhaft, machen Sie ihn zum Member. Braucht er nur Zugriff auf geteilte Ressourcen oder ein einzelnes Premium-Feature und ist woanders lizenziert, lassen Sie ihn Gast und sparen die Doppelkosten.

Wenn Sie konvertieren, drei Dinge im Blick behalten:

  1. Zwei Vorgänge nicht verwechseln. Den UserType von Guest auf Member zu ändern lässt den Berater weiter über sein Heimatkonto anmelden, er bleibt also extern, bekommt aber in Ihrem Tenant Member-Rechte. Das ist meist der richtige Weg. „Convert to internal user" dagegen kappt die Verknüpfung zur externen Identität und macht das Konto lokal, das ist deutlich invasiver.
  2. Der Sicherheits-Preis. Ein Member bekommt per Standard massiv mehr Verzeichniszugriff als ein Gast. Ein Gast sieht kaum mehr als sein eigenes Profil, ein Member kann die komplette Nutzer- und Gruppenliste auslesen, Rollen und Policies einsehen und Apps registrieren. Ein kompromittiertes Berater-Member-Konto kann also die ganze Organisation auskundschaften, was als Gast blockiert wäre. Konvertieren Sie deshalb selektiv und sichern Sie das Konto per Conditional Access ab.
  3. Teams-Fallen. Microsoft Teams unterstützt die Umwandlung von Gast zu Member nicht sauber, und Shared Channels bleiben für einen konvertierten Gast gesperrt. Vergessen Sie nach der Konvertierung außerdem die Lizenzzuweisung nicht, sonst kann das Konto keine Microsoft-365-Dienste nutzen.

Der Governance-Haken: seit 2026 kosten Gast-Governance-Features extra

Hier lohnt Genauigkeit, weil viele Ratgeber es falsch wiedergeben. Das kostenlose Kontingent von 50.000 MAU gilt für die Basis-Abrechnung der Zusammenarbeit. Es gilt nicht für Governance-Features.

Wer Gäste mit den Governance-exklusiven Features verwaltet, also automatische Access Reviews inaktiver Nutzer, ML-gestützte Empfehlungen oder Lifecycle Workflows für Externe, zahlt dafür ein eigenes MAU-basiertes Add-on ohne Freikontingent. Jeder Gast, an dem im Monat mindestens ein solches Feature läuft, ist abrechenbar. Microsoft setzt die Verknüpfung dieses Add-ons seit Anfang 2026 durch, mit Vollrollout bis Ende März 2026.

Das ist kein Grund, auf Governance zu verzichten, aber ein Grund, sie bewusst zu planen: Aufräumen kostet ab einer bestimmten Menge Geld, Nicht-Aufräumen kostet Sicherheit. Die Basis-Bausteine (einfache Access Reviews über Entra ID P2) laufen nicht über dieses Add-on.

Das eigentliche Risiko: verwaiste Gäste

Die größere Rechnung ist selten die Lizenz, sondern das Sicherheitsrisiko. Gastkonten entstehen automatisch, wenn jemand in Teams einlädt oder eine Datei nach außen teilt, und sie verschwinden fast nie von allein. So sammeln sich über Jahre inaktive externe Identitäten an.

Zur Größenordnung: In einem real dokumentierten Tenant waren 90 von 175 Gästen inaktiv, also gut die Hälfte. Das ist ein Einzelfall, keine repräsentative Studie, deckt sich aber mit der verbreiteten Faustregel erfahrener Administratoren, dass viele Tenants zwei- bis viermal mehr Gäste als Mitarbeiter führen.

Warum das gefährlich ist:

  • Dormante Konten sind ein bevorzugtes Angriffsziel. Ein alter Gast mit wiederverwendetem oder geleaktem Passwort wird kaum überwacht und öffnet trotzdem eine Tür in interne Ressourcen.
  • Zu weite Standardrechte. Die Fehlkonfiguration „Gäste haben dieselben Rechte wie Mitglieder" erlaubt externen Nutzern, das Verzeichnis auszulesen und die Organisation auszukundschaften. Sicherheits-Benchmarks flaggen genau das.
  • Gast als Mitglied statt Gast. Wird ein Gast in einem Team als Mitglied statt als Gast geführt, bekommt er in SharePoint oft mehr Rechte als beabsichtigt.

Microsofts verpflichtende Mehrfaktor-Authentifizierung für die Admin- und Azure-Portale greift auch bei Gästen. Darüber hinaus sollten Sie MFA für Gäste generell per Conditional Access erzwingen, wobei die Cross-Tenant-Vertrauensstellung die im Heimattenant registrierte MFA akzeptiert.

Wie Sie Gastkonten unter Kontrolle bekommen

Gast-Governance ist ein Prozess, kein einmaliger Klick. Die bewährten Hebel:

  1. Inaktive Gäste sichtbar machen. Der Inaktiv-Report in Entra ID misst standardmäßig 90 Tage ohne Anmeldung. Das ist der Startpunkt jeder Aufräumaktion.
  2. Access Reviews aufsetzen. Eine wiederkehrende Prüfung kann inaktive Gäste automatisch 30 Tage sperren und danach löschen, mit Wiederherstellungsfrist. Frisch eingeladene Gäste werden ausgenommen, damit sie sich einmal anmelden können.
  3. Ablauf und Lifecycle festlegen. Über Entitlement Management verlieren Externe ihren Zugang automatisch, wenn ein Projekt endet.
  4. Gastrechte einschränken. Prüfen Sie, dass Gäste nicht auf der Stufe „dieselben Rechte wie Mitglieder" stehen. Die restriktivste Stufe beschränkt einen Gast auf seine eigenen Verzeichnisobjekte und ist nicht der Standard.
  5. Dauerhafte Gäste zu Membern machen. Wird ein Externer fest im Unternehmen tätig, wandeln Sie ihn um und lizenzieren ihn regulär, mit den Abwägungen aus dem Abschnitt zum externen Berater weiter oben.

Ein ehrlicher Hinweis zur Lizenz: Der Inaktiv-Report sowie Access Reviews und Lifecycle Workflows für Gäste setzen Entra ID Governance beziehungsweise die Entra Suite voraus. Ganz ohne Lizenz kommen Sie nur mit einer manuellen Prüfung über die Anmeldeprotokolle aus.

Wie LessLicense die teuren Gäste findet

LessLicense deckt gezielt die Kostenseite des Gast-Problems ab, also die Gäste, die tatsächlich einen bezahlten Seat verbrauchen. Die Plattform erkennt lizenzierte Gastkonten automatisch und ordnet jedem einen Weg zu:

  • Hohe Exchange-Nutzung deutet auf einen dauerhaften Mitarbeiter hin, der ein Postfach braucht. Empfehlung: zu Member konvertieren und regulär lizenzieren.
  • Aktive Zusammenarbeit in Teams oder SharePoint ohne echten Postfachbedarf. Empfehlung: Lizenz entfernen, das kostenlose MAU-Modell reicht.
  • Über 90 Tage inaktiv. Empfehlung: Lizenz entfernen.

Damit fällt die klassische Fehllizenz auf, die niemand sucht. Für die vollständige Gast-Governance, also das Aufräumen unlizenzierter Gäste, Access Reviews und die Sicherheits-Posture, ist Entra ID Governance das richtige Werkzeug. LessLicense ergänzt es auf der Lizenzkosten-Seite und macht sichtbar, welche Gäste Sie unnötig bezahlen. Das ist dasselbe Muster wie bei den überlizenzierten technischen Konten und Service-Accounts, und einen breiteren Überblick über solche versteckten Posten gibt der Beitrag Microsoft-365-Lizenzkosten senken.

FAQ

Brauchen Gäste eine Microsoft 365 Lizenz?

Für die normale Zusammenarbeit nein. Gastkonten nutzen Teams, SharePoint und Gruppen unter der Lizenz des einladenden Unternehmens und werden über das MAU-Modell abgerechnet, nicht über eine eigene Nutzerlizenz. Eine Lizenz wird erst nötig, wenn ein Gast Premium-Dienste wie Power BI Pro nutzen soll oder dauerhaft zum internen Mitarbeiter wird.

Was kostet ein Gastkonto in Microsoft 365?

Für die meisten Unternehmen nichts. Die Abrechnung läuft über die monatlich aktiven Nutzer (MAU), und die ersten 50.000 aktiven Gäste pro Monat sind kostenlos. Erst darüber fällt eine geringe Gebühr je aktivem Gast an. Kosten entstehen praktisch nur durch fälschlich zugewiesene Lizenzen oder kostenpflichtige Governance-Features.

Sind die ersten 50.000 Gäste immer kostenlos?

Nur für die Basis-Zusammenarbeit. Das Freikontingent von 50.000 MAU gilt für die Standard-Abrechnung. Governance-Features für Gäste, etwa automatisierte Access Reviews, werden über ein separates Add-on ohne Freikontingent abgerechnet. Diese Unterscheidung wird oft übersehen.

Kann ein Gast eine Power BI Lizenz aus seinem eigenen Unternehmen nutzen?

Ja. Hat der Gast in seinem Heimattenant bereits eine Power-BI-Pro- oder PPU-Lizenz, nutzt er sie, um in Ihrem Tenant geteilten Content zu sehen (Bring Your Own License), solange beide in derselben Azure-Cloud liegen. Alternativ legen Sie den Content auf Premium- oder Fabric-Kapazität, dann reicht dem Gast eine kostenlose Fabric-Free-Lizenz. Nur wenn beides nicht greift, weisen Sie ihm selbst eine Lizenz zu.

Sollte ich einen externen Berater zum Member machen?

Nur wenn er ein eigenes Postfach, Copilot oder die vollen Apps in Ihrem Tenant braucht und dauerhaft wie ein Mitarbeiter arbeitet. Ein Gast kann kein eigenes Postfach besitzen, für ein Postfach ist die Konvertierung also Pflicht. Braucht er dagegen nur ein einzelnes Premium-Feature und ist woanders lizenziert, lassen Sie ihn Gast. Beachten Sie, dass ein Member deutlich mehr Verzeichniszugriff hat als ein Gast.

Wie finde und entferne ich inaktive Gastkonten?

Der Inaktiv-Report in Microsoft Entra (Teil von Entra ID Governance) zeigt Gäste ohne Anmeldung, standardmäßig über 90 Tage. Für die automatische Bereinigung richten Sie eine Access Review ein, die inaktive Gäste erst sperrt und nach einer Frist löscht. Lizenzierte Gäste, die unnötig einen Seat verbrauchen, macht zusätzlich eine Lizenzanalyse sichtbar.