Purview DLP: Dynamische Scopes für SharePoint

Whitepaper: Adaptive Scopes in Microsoft Purview DLP – dynamische Geltungsbereiche ohne Listen-Chaos

Wer schon mal eine DLP-Richtlinie (Data Loss Prevention) für SharePoint und Teams sauber „eingezäunt“ hat, kennt das klassische Spiel: statische Standortlisten. Also: Site A rein, Site B rein, Site C… ach, da sind ja noch 400. Und morgen kommen 20 neue Projekt-Teams dazu. Viel Spaß beim Nachpflegen.

Adaptive Scopes drehen den Spieß um: Statt „Hier ist die Liste meiner Sites“ definieren Sie Regeln, nach denen Purview automatisch entscheidet, welche Sites zur Richtlinie gehören – heute, morgen und auch dann noch, wenn das Projekt „Falke“ plötzlich „Albatros“ heißt. Microsoft positioniert „Adaptive Scope für SharePoint“ ausdrücklich als dynamische Scoping-Funktion für DLP, um Policies automatisch auf die richtigen Sites zu zielen.

Was ist ein Adaptive Scope überhaupt?

Ein Adaptive Scope ist im Kern eine dynamische Abfrage, die regelmäßig ausgeführt wird und daraus eine Mitgliedschaft ableitet: Welche Benutzer, Gruppen oder SharePoint-Sites gehören gerade in diesen Geltungsbereich?

Wichtig dabei:

• Für Benutzer und Microsoft-365-Gruppen läuft die Abfrage gegen Entra ID (Microsoft Entra).

• Für SharePoint-Sites wird mit Keyword Query Language (KeyQL) gearbeitet, also der Suchsyntax, die SharePoint für indizierte Eigenschaften nutzt.

• Die Mitgliedschaft aktualisiert sich nicht „instant“, sondern braucht Zeit: Microsoft weist darauf hin, dass die vollständige Population und Änderungen bis zu fünf Tage dauern können.

• Die Auswertung läuft „regelmäßig“; für Nutzer-/Gruppenbeispiele nennt Microsoft „einmal täglich“ als Takt.

Das ist keine Schwäche, sondern eine Design-Entscheidung: Adaptive Scopes sind Governance-Werkzeuge, keine Hochfrequenz-Trading-Algorithmen.

Wie funktioniert das praktisch bei SharePoint und Teams?

1) Beispiel: „Alle HR-Sites“ anhand der URL

Sie möchten eine DLP-Richtlinie auf alle Sites anwenden, deren URL „/HR/“ enthält (oder die etwa nach einem Schema wie /sites/HR-… angelegt werden). Mit einem Adaptive Scope definieren Sie genau dieses Muster. In der Praxis nehmen viele Organisationen URL-Konventionen aus der Provisionierung (z. B. HR-, FIN-, PRJ- als Präfixe), weil das stabiler ist als Site-Namen, die ein Site Owner jederzeit umbenennen kann.

Gedanke dahinter: Wenn die Provisionierung sauber ist, wird die Compliance automatisch sauber mit-provisioniert.

2) Beispiel: „Alle Sites mit Klassifikationsmetadatum“

Noch eleganter wird es, wenn Sie nicht nur „wie heißt die Site“, sondern „was ist die Site“ auswerten. Adaptive Scopes für SharePoint können auf Site-Eigenschaften gehen – und Microsoft erwähnt explizit, dass es bei benutzerdefinierten Websiteeigenschaften zusätzliche SharePoint-Konfiguration geben kann.

Heißt übersetzt: Wenn Ihr SharePoint-Team Site-Attribute (z. B. ein Klassifikationsfeld wie DataClassification=Confidential oder ein Projekttyp) zuverlässig pflegt oder automatisiert setzt, kann Purview diese Eigenschaften als Selektor nutzen. Genau hier wird aus „DLP-Richtlinie“ plötzlich „DLP-Autopilot“.

3) Und was ist mit Teams?

Teams „hängen“ an Microsoft-365-Gruppen und meist an der zugehörigen SharePoint-Team-Site. Container-Kennzeichnungen wie Sensitivity Labels spielen in der Governance häufig eine große Rolle (und sind ein bewährter Weg, Schutz auf Site-/Gruppenebene zu steuern).
Adaptive Scopes helfen Ihnen dann, DLP nicht mühsam pro Team nachzuziehen, sondern über Eigenschaften und Muster automatisch mitzunehmen.

Warum Adaptive Scopes besser skalieren als statische Listen

Das Problem mit statischen Listen

Statische Listen sind „ehrlich“ – aber sie sind auch gnadenlos: Sie bilden nur ab, was jemand manuell gepflegt hat. In Umgebungen mit hunderten Sites und Teams passiert zuverlässig Folgendes:

1. Neue Projekt-Sites werden erstellt, aber nicht in die DLP-Liste aufgenommen.

2. Alte Sites werden stillgelegt, bleiben aber in der Liste (und erzeugen unnötige Policy-Auswertung).

3. Zuständigkeiten sind unklar: SharePoint-Team? Security? Projektleitung? Ergebnis: „Jeder dachte, der andere macht’s.“

Der Adaptive-Scope-Vorteil

Adaptive Scopes verschieben die Arbeit nach vorne: Sie investieren einmal in gute Kriterien, und danach pflegt sich der Scope im Wesentlichen selbst. Praktisch heißt das:

• Neue Sites werden automatisch erfasst, wenn sie die Kriterien erfüllen (z. B. URL-Muster oder Klassifikationsmetadatum).

• Fehleinstellungen fallen schneller auf, weil die Scope-Mitgliedschaft regelmäßig neu berechnet wird. Wenn eine Site „aus dem Raster fällt“, ist das ein Signal: URL falsch? Metadatum nicht gesetzt? Provisionierung kaputt?

• Sie reduzieren „Policy Drift“: Richtlinien, die im Lauf der Monate immer weniger das abdecken, was sie sollten.

Konkrete Anwendungsfälle (die nicht nach PowerPoint riechen)

Use Case 1: DLP für alle Projektseiten mit vertraulichen Daten

Sie haben Projektseiten, auf denen Vertragsentwürfe, Kalkulationen oder Kundendaten liegen. Früher: neue Projekt-Site = manuell in DLP aufnehmen. Heute: Projekt-Site bekommt beim Anlegen ein Attribut wie SiteType=Project und DataClass=Confidential (oder ein Sensitivity Label auf Container-Ebene). Dann:

• Adaptive Scope selektiert alle passenden Sites,

• DLP-Richtlinie greift automatisch,

• neue Projekte sind ab Tag 1 geschützt.

Das ist der Punkt, an dem Security endlich nicht mehr hinterherläuft wie ein Hund, der den Postboten zu spät erwischt.

Use Case 2: HR-Schutz ohne Dauerpflege

HR-Inhalte sind fast immer sensibel: Bewerbungen, Arbeitsverträge, Gesundheitsdaten, Abmahnungen. Wenn HR-Sites anhand /HR/ (oder HR- im Pfad) identifizierbar sind, können Sie DLP dort konsequent scharf schalten: Blockieren, Warnen, Policy Tips, Incident Reports – je nach Reifegrad.

Und: Wenn HR eine neue Site erstellt, ist sie automatisch drin. Keine Ticketschleife, kein „Ach, das haben wir vergessen“.

Use Case 3: M&A / Sonderteams mit eigener Compliance-Schicht

Bei M&A-Projekten oder internen Ermittlungen gibt es oft temporäre Teams/Sites mit besonders strengen Regeln. Statt eine Liste zu pflegen, können Sie per Provisionierungsprozess ein eindeutiges Kennzeichen setzen (URL-Präfix oder Metadatum). Der Scope zieht die Umgebung automatisch in die „Sonderzone“.

Kontinuierliche Prüfung: Wie „lebendig“ ist das Ganze?

Adaptive Scopes sind nicht „set and forget“, sondern „set and let it re-evaluate“. Die Abfragen werden regelmäßig ausgeführt; Microsoft beschreibt, dass die Mitgliedschaft nicht sofort validiert wird und Änderungen Zeit brauchen, aber eben kontinuierlich nachgezogen werden.

Das hilft gegen zwei Klassiker:

• Schleichende Fehlkonfiguration: Ein Team nutzt die falsche Vorlage oder benennt Sites um, und plötzlich passt das Muster nicht mehr.

• Governance-Lücken durch Wachstum: 300 Sites werden 1.200, und niemand möchte mehr Listen pflegen (verständlicherweise).

Pro-Tipp aus der Praxis: Planen Sie mit der Verzögerung. Adaptive Scopes sind stark – aber kein Instant-Kleber.

Einführungstipps, damit es nicht in Woche 2 knallt

1) Klein anfangen: erst „enger Scope“, dann erweitern

Starten Sie mit sehr klaren, kleinen Bedingungen. Beispiel: erst HR--Prefix für eine Handvoll Sites, nicht gleich „alles, was irgendwie nach HR aussieht“. Das senkt das Risiko, versehentlich falsche Sites einzusammeln.

2) Validieren wie ein Wissenschaftler (ja, auch montags)

Microsoft empfiehlt für SharePoint-Site-Scopes die Validierung über SharePoint Search (…/search) mit der KeyQL-Abfrage. Damit sehen Sie, ob Ihr Filter wirklich die erwarteten Sites trifft.

3) Erst beobachten: Simulation/Audit statt sofort „Block“

Für DLP gibt es den Simulation Mode, um Richtlinien zu testen und False Positives zu reduzieren, ohne Nutzer zu beeinträchtigen. Das gehört in jeden sauberen Rollout.
Praktisch: Sie sehen Treffer, Muster, Nebenwirkungen – und schärfen nach, bevor es produktiv „aua“ macht.

4) Mit dem SharePoint-Team ein Site-Attribut-Design festzurren

Adaptive Scopes sind nur so gut wie die Daten, auf die sie filtern. Deshalb: Ein kurzes, hartes Alignment mit dem SharePoint-Team:

• Welche URL-Konventionen sind verbindlich?

• Welche Metadaten werden beim Provisionieren automatisch gesetzt?

• Welche Attribute sind stabil (nicht frei editierbar)?

• Was ist die Quelle der Wahrheit: Template, Site Script, Provisionierungs-Workflow?

Microsoft weist ausdrücklich darauf hin, dass für benutzerdefinierte Site-Eigenschaften zusätzliche SharePoint-Konfiguration nötig sein kann.
Das ist kein „nice to have“, das ist der Unterschied zwischen „läuft“ und „läuft zufällig“.

5) Governance mit Rollen sauber machen

Zum Erstellen von Adaptive Scopes braucht es passende Rollen (Scope Manager ist in mehreren integrierten Rollengruppen enthalten).
Und beachten Sie die Einschränkung: Wenn Sie Verwaltungseinheiten (Administrative Units) zur Einschränkung verwenden, können SharePoint-Sites dabei aktuell ein Problem sein (Microsoft nennt, dass SharePoint-Sites von Verwaltungseinheiten in diesem Kontext noch nicht unterstützt werden).

Fazit

Adaptive Scopes sind für Purview DLP das, was eine gute Provisionierung für SharePoint ist: ein Multiplikator für Ordnung. Sie ersetzen nicht die fachliche Entscheidung, welche Daten wie geschützt werden müssen – aber sie eliminieren den unerquicklichsten Teil: das ewige Nachpflegen statischer Standortlisten in einer Umgebung, die sich schneller vermehrt als Kaninchen im Frühling.

Wenn Sie viele Sites und Teams haben, sind Adaptive Scopes weniger ein „Feature“ und mehr ein Rettungsboot: Sie halten DLP aktuell, verhindern typische Drift-Fehler und machen Governance endlich skalierbar.

Neu im Intranet: Copilot liest mit – und vor 🎧

Ab sofort bekommt unser Intranet eine praktische „Ohren-Option“: Microsoft 365 Copilot erzeugt KI-basierte Audio-Zusammenfassungen für Inhalte in SharePoint (Seiten und News-Beiträge) und in Viva Connections (News-Reader). Damit gibt es über Artikeln und News-Posts einen kurzen Audio-Überblick, der die Kernaussagen vorliest – wie ein Mini-Podcast, nur ohne Intro-Jingle und ohne „Lasst ein Abo da“.
Rollout: Ende Januar bis Ende Februar 2026.

Was bringt mir das im Alltag?

Kurzfassung: Weniger Scrollen, schneller Bescheid wissen.

• Pendeln: Kopfhörer rein, Audio-Überblick an, und schon bist du inhaltlich im Bild, bevor der Zug wieder entscheidet, ob er heute „Betriebsablauf“ kann.

• Multitasking: Während du E-Mails sortierst, unterwegs bist oder zwischen Terminen hängst, kannst du News „nebenbei“ aufnehmen. Microsoft nennt das ausdrücklich als „Listen your way“-Prinzip: weiterarbeiten und trotzdem hören.

• Schneller Kontext: Audio-Overviews liefern eine kompakte Kernaussagen-Version – ideal, um zu entscheiden: „Lese ich das komplett oder reicht mir die Kurzfassung?“

Wo taucht das auf?

Viva Connections (Teams, Desktop oder mobil)

• Audio-Briefings für die Top-News im Viva-Connections-News-Reader: Copilot fasst die Top 10 personalisierten News-Elemente als Audio zusammen.

SharePoint (Intranet)

• Audio-Zusammenfassungen auf SharePoint-Seiten und News-Posts – wenn auf der jeweiligen Site der SharePoint Knowledge Agent aktiviert ist.

Wichtiger Punkt: Es ist nicht „irgendwo im Nirwana“, sondern direkt dort, wo man ohnehin liest: auf der Seite bzw. über dem News-Beitrag.

In welchen Sprachen klappt das?

Microsoft erweitert hier die Sprachunterstützung. Konkret gilt:

• In Viva Connections läuft das Audio-Briefing in der Profil- oder Gerätesprache.

• In SharePoint wird die Audio-Zusammenfassung in der Sprache der Site bzw. der Seite erzeugt.

Heißt praktisch: Wer sein Profil/Endgerät (bzw. die Intranet-Site) auf Deutsch nutzt, bekommt das Feature auch „deutsch denkend und deutsch sprechend“ – sofern die jeweilige Sprache unterstützt ist.

Muss man etwas einrichten?

Die angenehmste Nachricht für alle, die schon genug Schalter am Tag umlegen: Nein.
Das Feature ist standardmäßig aktiviert und erfordert keine Admin-Konfiguration.

Datenschutz & Berechtigungen: Hört Copilot Dinge, die er nicht hören soll?

Nein. Copilot arbeitet innerhalb der bestehenden Berechtigungen:

• Du bekommst Audio-Overviews nur für Inhalte, auf die du ohnehin Zugriff hast.

• Es wird nichts „aus dem Nichts“ erfunden, sondern aus dem vorhandenen Seiteninhalt eine Audio-Zusammenfassung erzeugt. (Die bestehenden SharePoint-/Viva-Einstellungen gelten weiter.)

Praktische Tipps: So nutzt du das im Intranet clever

1. Audio zuerst, Text danach: Höre den Überblick an, entscheide dann, ob du den ganzen Beitrag brauchst. Das spart Zeit – besonders bei langen News.

2. „News-Routine“ bauen: Zwei Minuten Audio am Morgen (oder im Bus) reichen oft, um den wichtigsten Kontext zu haben.

3. Mobil nutzen: Audio ist ideal, wenn du gerade keine Lust auf Mini-Schriftgröße und Daumenakrobatik hast.

4. Sprache prüfen: Wenn dir die Ausgabe „komisch“ vorkommt, prüfe deine Profil-/Gerätesprache (Viva Connections) bzw. die Seitensprache (SharePoint).

Tipp für Führungskräfte: Botschaften barriereärmer platzieren

Audio-Overviews machen wichtige Informationen leichter konsumierbar – gerade für Kollegen, die:

• Inhalte lieber hören als lesen,

• unterwegs sind,

• oder sich durch lange Textwüsten kämpfen müssen.

Das erhöht die Chance, dass Kernbotschaften wirklich ankommen – nicht nur „veröffentlicht“, sondern auch „verstanden“.

Kleiner Realitätscheck (damit niemand später sagt: „Stand aber nicht im Newsletter“)

Die Experience in SharePoint hängt daran, dass auf der Site der SharePoint Knowledge Agent verfügbar/aktiv ist. In Viva Connections betrifft es News im News-Reader für Copilot-lizenzierte Nutzer.

So wird aus Intranet-Lesestoff ein kleines Stück „Intranet-Hörfunk“ – nur ohne Wetterbericht. (Den übernimmt ja schon der Blick aus dem Fenster.)