Bei einem deutschen Microsoft 365 Tenant bedeutet dies konkrekt: Die Datenbasis, das sogenannte Grounding, auf der Microsoft 365 Copilot alle Informationen stützt, wird primär über den Microsoft Graph in den Rechenzentren in Frankfurt und bei Berlin bezogen.

Die korrekte Dokumentenklassifizierung und ein klar definierter Zugriff via Conditional Access nersetzlich bei der Nutzung vom Microsoft 365 Copilot. 

Prompt-Verarbeitung & Architektur 

Der Prozess des Abfragens und Erstellens von Prompts (siehe Grafik weiter unten) folgt einem konsistenten Aufbau, der in der untenstehenden Grafik sehr deutlich dargestellt ist.

Data-at-Rest vs. Data-in-Transit

Wir nutzen nicht die öffentlich zugänglichen OpenAI-Dienste, sondern unseren speziell seitens Microsoft bereitgestellten Azure OpenAI-Dienst. Das bedeutet, dass keine Kundendaten außerhalb der Heimatregion des Benutzers gespeichert werden. Deswegen ist es wichtig, grundlegend zwischen Data-in-Transit und Data-at-Rest zu unterscheiden.

Data-at-Rest (ruhende Daten): Werden mit einer 256-Bit-AES-Splitting-Verschlüsselung geschützt und verbleiben ausschließlich in unseren Rechenzentren.

Data-in-Transit (Daten während der Übertragung): Anfragen dürfen auch außerhalb unserer eigenen Rechenzentren zum Transport verarbeitet werden.

Das Microsoft Purview Compliance Portal ist quasi die Schaltzentrale für unsere "Microsoft 365 Copilots Datensicherheit". Hier legst du fest, welche Daten Copilot verarbeiten darf und welche tabu sind. Von Information Barriers über Sensitivity Labels bis zu eDiscovery - das Portal bietet alle Tools, um Copilot DSGVO-nah (nicht zwingend konform!) zu betreiben.

Hinweis: Die im Purview Compliance Portal getroffenen Einstellungen greifen direkt in Copilots Antwortverhalten ein. Wenn du zum Beispiel bestimmte Dokumente mit Sensitivity Labels versiehst, kann Copilot diese je nach Konfiguration komplett ignorieren oder nur für bestimmte Nutzergruppen zugänglich machen.

Zur Vorbereitung von Microsoft 365 Copilot empfiehlt es sich, verschiedene Richtlinien im Admin Center zu definieren, um Zugriff, Sicherheit und Datenindexierung gezielt zu steuern.

Copilot zeigt dann nur noch Inhalte an, für die Benutzer entweder explizit berechtigt sind oder die Teil der freigegebenen Seitenliste sind. Es entfallen automatisch Vorschläge zu Inhalten, auf die kein gezielter Zugriff besteht.

Außerdem erhält der Benutzer einen klaren Hinweis, dass eine eingeschränkte Suche aktiv ist und ihm nicht alle Ergebnisse angezeigt werden.

Hinweis an dieser Stelle: Wenn eine SharePoint Online Hub-Site besteht, die entsprechend verschiedene Unterseiten hat, so wird nur die Hub-Site als Eintrag gewertet und nicht jeden darin enthaltene Unterseite.

Zur Nutzung dieser Funktion ist keine zusätzliche Lizenz erforderlich.

Bestehende Berechtigungen bleiben unangetastet, aber die Sichtbarkeit über die Suche wird entsprechend begrenzt.

Nutzung des Nachrichtencenters für Microsoft 365 Copilot Updates

Pfad: admin.microsoft.com → Status → Nachrichtencenter

Über das Nachrichtencenter können wir uns zentral über alle aktuellen Microsoft 365 Updates informieren lassen. Die Inhalte stammen direkt von Microsoft – nicht von Drittanbietern – und bieten somit eine verlässliche Quelle für Produktneuigkeiten, Funktionsänderungen und sicherheitsrelevante Hinweise.

Wir können uns zudem E-Mail-Benachrichtigungen aus dem Nachrichtencenter einrichten. Auch wenn das nicht den regelmäßigen Blick in das Portal ersetzt, hilft es dabei, relevante Änderungen frühzeitig mitzubekommen.

Wenn es darum geht, in Microsoft 365 stets auf dem neuesten Stand zu bleiben, ist das Nachrichtencenter Deine zentrale Anlaufstelle.

Die Qualität der Copilot-Erfahrung hängt entscheidend von den in Microsoft 365 indexierten Datenquellen ab. Hierbei ergibt sich ein wichtiger Aspekt, der in der Praxis oft eine Herausforderung darstellt: der Aufbau einer Taxonomie. Es ist wahrscheinlich, dass die IT-Abteilung hierbei nicht allein agieren kann.

Eine klare Taxonomie und standardisierte Dokumentenbenennung sind entscheidend für effizientes Datenmanagement. Sogenannte Data Stewards oder Data Guards spielen eine wichtige Rolle hierbei. 

Der Aufbau einer Taxonomie beinhaltet die Verwendung von Tags in Teams, Hashtags in Chats und die Bearbeitung von Dokumenteigenschaften. Dazu gehören Informationen wie Autor, Dokumentkategorie (z. B. Verkaufs-, Finanz- oder Vertragsdokument) und die Einhaltung einer einheitlichen Namenskonvention.

Im Unternehmen sollten nicht nur die Admins, sondern eigene “Data Stewards” in die Dokumentenverwaltung innerhalb von Teams- und SharePoint-Sites  eingebunden werdne, um sicherzustellen, dass die Namenskonventionen schrittweise aufgebaut und auch dauerhaft eingehalten werden.

Das Microsoft 365 Admin Center navigiert durch SharePoint-Einstellungen, Berichte und Self-Service. Die Konfiguration von Freigaben, Installationsrisiken, Speicherlimits und Zugriffsmanagement - in Summe alles Einstellungen die auch für unsere Microsoft 365 Copilot Bereitstellung von Bedeutung sind.

Microsoft 365 Gruppen

Pfad: admin.microsoft.com → Teams und Gruppen → Aktive Teams und Gruppen

Die Kontoverknüpfung in den Organisationseinstellungen

Pfad: admin.microsoft.com → Einstellungen → Einstellungen der Organisation → Kontoverknüpfung

Die Kontoverknüpfung ermöglicht die Verknüpfung von Microsoft Entra ID-Konten mit MSA-Konten, um bei Bing-Suchen Belohnungspunkte zu sammeln. Hierbei handelt es sich nicht um eine reine Sicherheitskonfiguration, sondern um ein Compliance-Thema. Der Bing-Suchdienst ist in Microsoft 365 Copilot integriert.

Empfehlung: Falls Kontoverknüpfung aktiviert ist, deaktiviere diese.. Das hat in der Regel keine Auswirkungen auf die meisten Benutzer. Benutzer, die zuvor eine Verknüpfung hatten, werden jedoch möglicherweise aufgefordert, sich mit einem geschäftlichen Konto anzumelden, um den geschäftlichen Bereich nutzen zu können.

Unterm Strich gilt: Schalte Pseudonymisierung ein, damit Report-Daten datenschutzkonform bleiben, sperre Self-Service-Käufe, damit dir keine wilden Trial-Lizenzen durchs Netz rutschen, und regle bei Bedarf Ausnahmen. So behältst du Kontrolle bei der Auswertung von Daten und der Bereitstellung von Services.

Pfad: admin.sharepoint.com → Einstellungen → Grenzen des Versionsverlaufs

Da jede Änderung einer 100-MB-PowerPoint eine neue Version erzeugt und so bei 500 Versionen schnell 50 GB belegen – besonders, wenn mehrere Nutzer parallel arbeiten –, sollten wir die voreingestellten 500 Versionen ohne Ablaufdatum empfehlenswerterweise  herabsetzen.

OneDrive Speicherlimit definieren

Pfad: admin.sharepoint.com → Einstellungen → Speicherlimit

Die folgenden Einstellungen betreffen weniger Copilot direkt, sondern vielmehr die Validierung von Zugriffen und den Schutz unserer Daten.

Pfad: admin.sharepoint.com → Einstellungen → OneDrive Synchronisieren

Die zentrale Frage lautet: Wollen wir es zulassen, dass Benutzer über den Web-Zugriff auch Daten herunterladen dürfen? Entscheidend ist dabei, ob der Zugriff technisch auf verwaltete Unternehmensgeräte beschränkt ist. Hier würde wieder die Anwendung von Conditional Access eine entscheidene Rolle spielen.

Wenn das nicht der Fall ist, kann es sinnvoll sein, die Synchronisierungsfunktion zunächst zu deaktivieren – und schrittweise wieder zu aktivieren, sobald klar ist, wie die Zugriffssituation geregelt ist.

Diese Einschränkung scheint auf den ersten Blick sehr restriktiv, sorgt jedoch für mehr Kontrolle und reduziert das Risiko unkontrollierter Datenflüsse.

Die Erweiterte Verwaltung im SharePoint

Pfad: admin.sharepoint.com → Erweiterte Verwaltung

Anpassungen zum Thema 'Externes Teilen'

Pfad: admin.sharepoint.com → Richtlinien → Teilen

Die ersten beiden Schritte unterscheiden sich nicht von der Berichterstellung für Inactive Sites. Im dritten Schritt jedoch, können wir nun festlegen, wer informiert werden soll: Owner oder Admin.

So setzt Du Site Ownership Policies sinnvoll ein

Bevor Du in die Konfiguration einsteigst, solltest Du zunächst eine Bestandsaufnahme machen: Welche Inhalte sind aktiv, wer nutzt welche Seiten, und wo gibt es verwaiste oder unklare Zuständigkeiten? Erst danach geht es an die Owner-Struktur. Prüfe in allen Microsoft Teams, Gruppen und SharePoint-Sites, wie viele Owner hinterlegt sind – und ergänze konsequent einen zweiten.

Im nächsten Schritt legst Du fest, wer benachrichtigt werden soll, wenn sich etwas ändert oder Maßnahmen nötig sind. Du kannst sogar definieren, welche Aktion bei Inaktivität greifen soll – z. B. den automatischen Wechsel in den Schreibschutzmodus. Das schützt Deine Umgebung vor unkontrolliertem Zugriff und sorgt dafür, dass nur gepflegte Daten für Copilot & Co. zur Verfügung stehen.

Nur mit klaren Zuständigkeiten und aktiven Eigentümern lässt sich das Potenzial von Copilot wirklich sicher und verantwortungsvoll ausschöpfen.

Bei den Site-Ownership-Policies legst du nach der üblichen Bestands- und Inaktivitätsprüfung fest, wer Änderungen mitkriegt und welche Aktion (z. B. Schreibschutz) greift. Owners fungieren dabei als Data Stewards, kontrollieren Zugriffe und halten die Inhalte sauber. Prüfe daher deine aktuelle Owner-Verteilung und ergänze überall einen zweiten Owner, bevor du die automatischen Benachrichtigungen und Maßnahmen aktivierst.

Bereitstellung von Copilot Agents: So richtest Du sie technisch ein

Die Einrichtung von Copilot Agents beginnt im Copilot Studio, ehemals bekannt als Power Virtual Agents. Dort hast Du die Möglichkeit, entweder einen bestehenden Agent anzupassen oder einen komplett neuen zu erstellen. Wichtig ist dabei: Agents agieren kontextbezogen – das bedeutet, Du musst ihnen genau sagen, worauf sie zugreifen dürfen und was sie tun sollen. Die folgenden Schritte sind entscheidend für eine erfolgreiche Bereitstellung:

1. Zugriff auf Copilot Studio aktivieren
   Stelle sicher, dass betroffene Benutzer oder Admins über die notwendigen Lizenzen (z. B. Copilot Studio oder Microsoft 365 Copilot) verfügen und Copilot Studio im Tenant aktiviert ist.

2. Neuen Agent erstellen oder Vorlage verwenden
   Im Copilot Studio kannst Du eine leere Vorlage starten oder auf branchenspezifische Szenarien zurückgreifen (z. B. HR, IT-Support). Dabei bestimmst Du:

   • Name und Beschreibung des Agents

   • Zielgruppe (z. B. nur bestimmte Teams oder Abteilungen)

   • Sprache und Antwortverhalten

3. Datenquellen und Konnektoren anbinden
   Über Microsoft Graph, SharePoint Online, Dataverse, Exchange oder eigene APIs kannst Du genau definieren, woher der Agent seine Informationen bezieht. Nutze hier bevorzugt:

   • Graph-Konnektoren für Microsoft 365-Inhalte

   • Power Platform-Konnektoren für Dynamics, SQL, SAP etc.

   • Eigene REST-APIs, falls interne Systeme angebunden werden sollen

4. Themen, Trigger und Flows definieren
   Richte sogenannte Topics (Themenbereiche) ein, auf die der Agent reagieren soll – z. B. „Wie beantrage ich Urlaub?“ oder „Wo finde ich meine Lohnabrechnung?“. Du kannst auch Power Automate Flows hinterlegen, damit der Agent z. B. Tickets automatisch erstellt oder Daten ausliest.

5. Sicherheit und Zugriff regeln
   Lege per RBAC und Dataverse Security Roles fest, wer den Agent verwenden oder verwalten darf. Zusätzlich kannst Du Conditional Access nutzen, um die Verwendung auf bestimmte Netzwerke oder Geräte einzuschränken.

6. Veröffentlichen und Testen
   Sobald der Agent fertig ist, veröffentlichst Du ihn und testest das Verhalten – zunächst im internen Preview-Modus, bevor Du ihn produktiv freigibst. Über die integrierten Analysetools kannst Du die Nutzung, Fragen und Antwortqualität überwachen.