Consulting Briefing: Thema des Tages
Copilot Wave 3: Agenten arbeiten quer durch Teams und Outlook
Agentische Funktionen verändern Teams: Was Wave 3 jetzt wirklich bedeutet
Am 9. März 2026 hat Microsoft Wave 3 von Microsoft 365 Copilot angekündigt; in der Roadmap und den Release-Notizen tauchen zentrale Einträge am 10. März 2026 auf. Inhaltlich geht es um denselben Schwenk: weg vom reinen Prompt-Helfer, hin zu agentischen Funktionen, die Arbeit über mehrere Schritte hinweg übernehmen und direkt in Word, Excel, PowerPoint, Outlook und Copilot Chat eingebettet sind. Microsoft beschreibt das als Übergang von Assistenz zu eingebetteten, ausführenden Fähigkeiten.
Für Teams ist das keine hübsche Oberfläche mit ein bisschen KI-Puderzucker. Das ist ein Betriebsmodellwechsel. Sobald Agenten nicht nur formulieren, sondern Termine organisieren, Informationen zusammensammeln, Briefings erzeugen und Folgeaktionen anstoßen, ändern sich Zuständigkeiten, Kontrollpunkte und Risikoflächen. Genau dort beginnt die eigentliche Arbeit der IT und der Fachbereiche. Der Zaubertrick heißt nicht „mehr KI“, sondern „mehr Governance, bevor es scheppert“.
Was Wave 3 für den Arbeitsalltag bedeutet
Microsoft beschreibt Wave 3 als Version von Microsoft 365 Copilot mit agentischen Fähigkeiten, mehrstufiger Ausführung und Erfahrungen wie Copilot Cowork, bei denen Arbeit länger läuft, Kontext nutzt und Zwischenschritte sichtbar macht. Dazu kommt laut Microsoft eine multimodellfähige Ausführung, bei der Copilot je nach Aufgabe unterschiedliche Modelle nutzt. Gleichzeitig verweist Microsoft auf Work IQ als Kontextschicht, die den Arbeitskontext eines Unternehmens besser einbeziehen soll.
Für Teams hat das drei unmittelbare Folgen. Erstens verschiebt sich die Erwartung: Anwender sehen Copilot nicht mehr nur als Antwortmaschine, sondern als digitalen Ausführer. Zweitens steigen die Anforderungen an Datenqualität, Berechtigungen und Informationsarchitektur, weil Agenten nur so gut arbeiten wie der Zugriff, den sie bekommen. Drittens wird aus „Nutzung von KI“ ein kontrollbedürftiger Prozess, der beobachtet, protokolliert und im Zweifel begrenzt werden muss. Microsoft positioniert dafür Agent 365 als Verwaltungsebene, mit der Administratoren Agenten überwachen, Richtlinien durchsetzen und Risiken steuern sollen.
Governance: Agenten brauchen Leitplanken, keine guten Wünsche
Die wichtigste Regel lautet: Jeder Agent braucht einen fachlichen Besitzer und einen technischen Besitzer. Der Fachbereich definiert Zweck, Grenzen und Nutzen. Die IT verantwortet Plattform, Zugriff, Protokollierung, Sicherheitsrichtlinien und Betrieb. Ohne diese Trennung entsteht schnell das klassische Bürodrama: Alle wollten den Agenten, aber keiner wollte den Audit-Fund.
In Microsoft 365 gibt es dafür inzwischen belastbare Bausteine. Die Administration von Agenten in Microsoft 365 stützt sich auf Rollen wie AI Administrator; Microsoft empfiehlt ausdrücklich, hochprivilegierte Rollen sparsam zu verwenden und auf Least Privilege zu achten. Für besonders sensible Rollen verweist Microsoft auf Privileged Identity Management, also zeitlich begrenzte, genehmigte Erhöhungen statt Dauer-Adminrechten.
Praktisch heißt das: Unternehmen sollten eine kleine Agent-Registry führen. Darin stehen mindestens Zweck, Owner, Datenquellen, betroffene Systeme, genutzte Connectoren, DLP-Einstufung, Freigabestatus, Logging-Ort und Abschaltverfahren. Das klingt unsexy, ist aber Gold wert, sobald ein Agent plötzlich einen Kalender blockiert, vertrauliche Inhalte in ein Briefing schiebt oder in einem Fachbereich munter Schatten-IT spielt.
Datenzugriff: Der Agent darf nie mehr sehen als der Mensch
Der kritischste Punkt ist der Datenzugriff. Agentische Funktionen wirken nur deshalb schlau, weil sie auf Mails, Dateien, Termine, Chats und weitere Geschäftsdaten zugreifen. Genau deshalb gilt: Der Agent erbt kein Wunderrecht. Er muss technisch und organisatorisch so gebaut sein, dass er nur auf Daten zugreift, die für seinen Zweck nötig sind.
Microsoft verweist in den Agent-Voraussetzungen und Verwaltungsleitfäden auf klare Lizenz-, Rollen- und Berechtigungsvoraussetzungen. In Copilot Studio wiederum sind Data-Loss-Prevention-Richtlinien, regionale Steuerung und Governance-Funktionen Teil des Sicherheitsmodells. Das ist wichtig, weil Agenten oft nicht nur Microsoft-Daten, sondern auch externe Dienste und Connectoren einbinden können. Je bunter der Connector-Zoo, desto größer das Ausbruchspotenzial.
Für Teams bedeutet das organisatorisch: Vor jedem produktiven Agenten gehört eine Datenklassifizierung. Welche Inhalte darf der Agent lesen? Welche darf er zusammenfassen? Welche darf er in neue Artefakte schreiben? Und ganz wichtig: Welche Inhalte darf er niemals anreichern, exportieren oder mit externen Diensten verknüpfen? Diese Fragen sollten nicht erst nach dem Rollout auftauchen, sondern vor dem Pilot.
Logging: Ohne Protokolle ist jede Agentenstrategie blind
Agenten ohne Logging sind wie Gabelstapler ohne Rückspiegel. Es fährt vielleicht, aber keiner möchte danebenstehen. Microsoft stellt klar, dass es für Copilot- und KI-Anwendungen Audit-Protokolle gibt und dass diese bei aktivierter Überwachung automatisch erfasst werden. Zusätzlich werden für Copilot Studio spezifische Aktivitäten im Microsoft Purview Audit protokolliert und sind auch über die Office-Management-API zugänglich.
Für die Praxis reicht es nicht, nur „irgendwo Logs“ zu haben. Teams sollten mindestens vier Dinge auswerten: Wer hat einen Agenten erstellt oder geändert? Welche Datenquellen nutzt er? Welche sensiblen Inhalte wurden in Interaktionen berührt? Und welche Aktionen hat der Agent tatsächlich ausgelöst oder vorgeschlagen? Ergänzend helfen die Microsoft 365 Copilot Reports, um Nutzung, Performance und Compliance im Blick zu behalten.
DLP: Nicht die Spaßbremse, sondern der Airbag
Microsoft Purview DLP kann Interaktionen mit Microsoft 365 Copilot und Copilot Chat schützen. Microsoft beschreibt zwei Schutzwege: Richtlinien können Copilot-bezogene Interaktionen überwachen und an sensiblen Daten ausrichten; zudem lassen sich DLP-Mechanismen in die Sicherheits- und Governance-Architektur einbetten. Parallel gibt es in Purview inzwischen sogar agentengestützte Triage-Funktionen für DLP- und Insider-Risk-Warnungen.
Für Unternehmen heißt das: Ein Agent darf nicht einfach deshalb ein Meeting-Briefing aus Mails, Chats, Dateien und Kalendereinträgen bauen, weil es technisch möglich ist. DLP muss vorher festlegen, ob Inhalte mit Vertraulichkeitsbezug, personenbezogene Daten, Vertragsdaten oder Finanzinformationen in solchen Zusammenfassungen auftauchen dürfen. Sonst produziert der Agent ausgerechnet das perfekte Briefing für den nächsten Compliance-Schluckauf.
Beispiel: Agent organisiert Meetings und erstellt ein Meeting-Briefing
Nehmen wir einen Agenten in Outlook und Copilot, der ein Kundengespräch vorbereitet. Microsoft beschreibt für Outlook neue agentische Erfahrungen für E-Mail und Kalender, bei denen Copilot von der Absicht zur Ausführung übergeht. Ein solcher Agent könnte Teilnehmer koordinieren, freie Termine suchen, relevante Mails und Dokumente zusammenfassen und vor dem Termin ein Briefing erstellen.
So ein Szenario ist nützlich, aber nur mit Kontrollen:
Der Agent darf nur auf die Mailboxen, Kalender und Dateien zugreifen, die dem Nutzer ohnehin offenstehen. Für gemeinsam genutzte Postfächer, Archive oder besonders sensible Ordner gelten gesonderte Freigaben. Microsoft hat in den Release-Notizen sogar neue Fähigkeiten wie die Suche in Archivpostfächern dokumentiert; genau deshalb muss festgelegt werden, ob solche Quellen für den Agenten zulässig sind.
Das Briefing sollte vor Versand oder Freigabe als menschlich prüfpflichtig markiert sein. Besonders bei externen Teilnehmern ist ein Vier-Augen-Prinzip sinnvoll. DLP-Richtlinien prüfen, ob das Briefing verbotene Daten enthält. Audit-Logs erfassen Erstellung, Änderungen und Zugriffe. Der Fachbereich definiert, welche Quellen einfließen dürfen: etwa letzte drei Kundenmails, offener Maßnahmenplan, CRM-Notizen und Agendaentwurf, aber eben nicht wahllos der halbe Dateiberg aus SharePoint.
Fazit
Wave 3 ist für Teams kein nettes Update, sondern der Moment, in dem KI von der Antwort zur Handlung springt. Genau deshalb müssen Governance, Datenzugriff, Logging, Rollenmodell und DLP vor der breiten Einführung stehen, nicht dahinter herhecheln. Wer Agenten sauber führt, bekommt echte Entlastung. Wer sie einfach laufen lässt, baut sich einen sehr fleißigen Praktikanten mit Generalschlüssel. Und das ist im Büroalltag ungefähr so beruhigend wie ein Espresso auf einem Serverrack.