SharePoint Informationsarchitektur: Updates 2026

von | Juni 28, 2026 | CB-M365, Consulting Briefing | 0 Kommentare

SharePoint Informationsarchitektur: Updates 2026

Governance als Copilot-Voraussetzung – was sich 2026 in SAM und Purview geändert hat

Consulting Briefing

28.06.2026 · boddenberg.de

SharePoint / Teams · Informationsarchitektur & Governance

SharePoint Informationsarchitektur Updates

Executive Summary

Kurz gesagt: SharePoint ist 25 Jahre alt geworden und benimmt sich in vielen Tenants immer noch wie ein Teenagerzimmer — irgendwo liegt alles, gefunden wird nichts, und reinschauen will man lieber nicht. Genau das wird jetzt zum Problem, weil Microsoft 365 Copilot exakt in diesem Zimmer wühlt und alles, was er findet, brav an deine Nutzer ausliefert. Die gute Nachricht: Microsoft hat 2026 reihenweise Governance-Werkzeuge nachgeschoben — in SharePoint Advanced Management (SAM) und in Microsoft Purview. Die schlechte Nachricht: Sie schalten sich nicht von selbst ein, und ein paar davon können dir bei falscher Konfiguration den Tag ruinieren.

Die Kernbotschaft für die Geschäftsführung in einem Satz: Wer Copilot ausrollt, ohne vorher die Informationsarchitektur und die Berechtigungen aufzuräumen, kauft sich keine Produktivität, sondern eine Maschine, die Oversharing in Lichtgeschwindigkeit sichtbar macht. Dieses Briefing zeigt dir, was sich konkret geändert hat, wo die Chancen und die Fallstricke liegen, und was du noch vor dem nächsten Copilot-Pilotprojekt erledigt haben solltest.

Auf den Punkt

Informationsarchitektur ist 2026 keine Fleißaufgabe mehr für Ordnungsfanatiker, sondern die Voraussetzung dafür, dass KI in deinem Tenant nicht zur Haftungsfrage wird. Architektur zuerst, Copilot danach.

 

Worum geht es im Detail?

Reden wir Klartext. "Informationsarchitektur" klingt nach Beratersprech, meint aber etwas sehr Bodenständiges: Wie sind deine Sites strukturiert, wer darf was, welche Inhalte sind als wie sensibel eingestuft, und was davon ist eigentlich noch in Benutzung? In den meisten Tenants lautet die ehrliche Antwort auf alle vier Fragen: "weiß keiner so genau". Genau dort setzen die aktuellen Updates an.

Der erste große Baustein heißt Catalog Management in SharePoint Advanced Management. Statt tausende Sites als undifferenzierten Haufen zu verwalten, gruppierst du sie in logische Kategorien — nach Region, Abteilung, Informationsbarriere oder eigenen Custom Properties. Der eigentliche Clou ist nicht das Sortieren an sich, sondern dass du anschließend Reports, Richtlinien und auch den Copilot-Rollout präzise auf diese Strukturen scopen kannst. Du rollst Copilot also erst für die saubere Abteilung X aus und lässt die Datenhalde Y noch ein paar Wochen länger draußen.

Abb. 1: Governance-Stack — von der ungeordneten Site bis zur Copilot-tauglichen Quelle.

Der zweite Baustein ist der Lebenszyklus. SAM bringt eine Site-Ownership-Policy (definiere Mindestanzahlen an Ownern und lass Sites ohne klare Verantwortung automatisch anmahnen), eine Inactive-Site-Policy (tote Sites werden erkannt und ihre Owner per Mail benachrichtigt) und Site-Attestations (Owner müssen regelmäßig bestätigen, dass eine Site noch gebraucht wird und die Berechtigungen stimmen). Neu ist außerdem, dass Owner ihre Aufgaben gebündelt bekommen — eine Mail für Lifecycle, eine für Oversharing-Reviews, plus eine zentrale Governance-Übersicht. Wer schon mal einen Site-Owner mit vierzehn Einzelmails pro Woche genervt hat, weiß, warum das wichtig ist.

Der dritte Baustein kommt aus Microsoft Purview und betrifft den Schutz der Inhalte selbst. Das Sensitivity-Label-Schema wurde 2026 auf Label-Gruppen migriert (allgemein verfügbar), das Auto-Labeling für SharePoint und OneDrive ist jetzt GA — inklusive der Option, ein automatisch gesetztes Label auch dann durchzusetzen, wenn ein Nutzer manuell ein niedrigeres Label vergeben hatte. Dazu kommen Container-Labels für neue Kollaborationsräume wie Viva-Engage-Communities und Loop-Workspaces sowie das manuelle Labeln von MP4-Dateien (etwa Teams-Aufzeichnungen) in der Vorschau. Übersetzt: Schutz wandert immer weiter weg vom guten Willen des Nutzers hin zur Automatik.

Fakten-Kasten: Was "GA" und "Preview" für dich bedeuten

GA (General Availability) heißt: produktiv einsetzbar, supported, planbar. Preview heißt: anschauen, testen, eine Meinung bilden — aber niemals einen Produktiv-Rollout oder gar einen Audit darauf aufbauen. Preview-Features ändern Verhalten und Oberfläche ohne Vorwarnung. Wer Preview mit GA verwechselt, schreibt Dokumentation, die schneller veraltet als der Kaffee kalt wird.

 

Der vierte Baustein ist die Sichtbarkeit gegenüber Copilot. Zwei Werkzeuge sind hier zentral: Restricted Content Discovery (RCD) verhindert, dass hochriskante Sites und Dateien überhaupt in Copilot- und Agenten-Antworten auftauchen — und neuerdings dürfen SharePoint-Admins diese Kontrolle an Site-Admins delegieren, die RCD mit Begründung selbst setzen können. Die Data-Access-Governance- Reports (DAG) zeigen dir umgekehrt, wo überhaupt Oversharing passiert: Permission-State-Reports, der berüchtigte "Everyone except external users"-Report, Sharing-Link-Aktivität und ein Sensitivity-Label-Snapshot. Aus diesen Reports lassen sich direkt Site-Access-Reviews anstoßen, die du an die Owner delegierst.

Und ja, es gibt einen SharePoint Admin Agent — eine KI, die über deine SAM-Daten argumentiert, tenantweite Berechtigungen analysiert, Oversharing-Risiken markiert und herrenlose oder inaktive Sites aufspürt. Schöne neue Welt: Du brauchst inzwischen eine KI, um den Schaden aufzuräumen, den du gleich einer anderen KI zum Fraß vorwerfen willst. Dazu passt, dass Microsoft SharePoint pünktlich zum 25. Geburtstag mit einer ganzen Reihe KI-gestützter Bau- und Governance-Werkzeuge ausgestattet hat — die Botschaft dahinter ist eindeutig: Governance soll endlich Chefsache werden und nicht mehr die Aufgabe sein, die niemand machen will.

Ein Wort noch zum Hintergrund, warum das alles gerade jetzt mit solchem Tempo kommt. Die Schutzlogik verschiebt sich grundlegend: weg vom Schützen einzelner Dateien, hin zum Steuern, was die KI überhaupt sehen und als Grundlage verwenden darf. In Purview ist deshalb 2026 sogar eine Funktion in Vorschau gegangen, die verhindert, dass Copilot externe E-Mails als Wissensquelle heranzieht — schlicht, um Prompt-Injection durch nicht vertrauenswürdige Absender zu erschweren. Parallel sind die Schutzfunktionen für Microsoft 365 Copilot Cowork allgemein verfügbar geworden. Das Muster ist überall dasselbe: Die KI wird produktiver, also muss die Leine drumherum kürzer und präziser werden.

Abb. 2: Die wichtigsten Governance- und Labeling-Updates 2026 im Monatsraster.

Was sind Chancen? Was sind Risiken?

Fangen wir mit den Chancen an, denn die sind real und nicht bloß Marketing. Wenn du die Informationsarchitektur in Ordnung bringst, bekommst du gleich mehrere Fliegen mit einer Klappe: Copilot wird spürbar besser, weil er aus kuratierten statt verschimmelten Quellen antwortet. Storage-Kosten sinken, weil tote Sites endlich verschwinden. Und du kannst gegenüber dem Datenschutzbeauftragten und dem Auditor zum ersten Mal mit Reports statt mit Bauchgefühl argumentieren. Das ist ein Wechsel von "wir glauben, das passt" zu "hier ist der Beweis" — und dieser Wechsel ist im Ernstfall bares Geld.

Die Risiken sind genauso real, werden aber gern unter den Teppich gekehrt. Auto-Labeling und Container-Labels sind mächtig — und mächtig bedeutet, dass ein falsch konfiguriertes Label im Zweifel halbe Abteilungen aussperrt oder externen Zugriff über Nacht kappt. RCD ist großartig, um Sensibles vor Copilot zu verstecken, aber wer es zu großzügig einsetzt, versteckt Inhalte so gründlich, dass auch die berechtigten Kollegen sie nicht mehr in der Suche finden. Und das klassische Beraterthema: Lizenzen. SAM ist kein Geschenk, sondern an bestimmte Lizenzpakete gebunden. Wer die Features einschaltet, ohne vorher zu rechnen, erlebt beim nächsten True-Up eine unschöne Überraschung.

Abb. 3: Chancen und Risiken gegenübergestellt — beide Seiten gehören in jeden Business Case.

Es gibt noch eine dritte Kategorie, die in keinem Business Case fehlen darf: die Risiken des Nichtstuns. Wer die Architektur nicht anfasst und Copilot trotzdem ausrollt, verlagert das Problem nur — vom unsichtbaren "die Daten liegen halt irgendwo" zum sehr sichtbaren "der Assistent hat es vorgelesen". Das ist kein neues Leck, sondern ein altes, das plötzlich beleuchtet wird. Erfahrungsgemäß ist genau dieser Moment — wenn ein Vorstand zum ersten Mal eine vertrauliche Zahl aus Copilot zitiert bekommt, die er nie hätte sehen dürfen — der teuerste Weckruf von allen. Günstiger ist es, vorher aufzuräumen.

Warnung: Der "Everyone except external users"-Klassiker

Wenn in deinem Tenant historisch ganze Sites mit "Everyone except external users" geteilt wurden, ist das für Copilot ein Buffet. Prüfe den EEEU-Report in den DAG-Reports, bevor du Copilot freischaltest — sonst zitiert dir der Assistent fröhlich die Gehaltsliste aus der HR-Site, weil die technisch ja "für alle" freigegeben war.

 

Copilot-Realität

Copilot erfindet keine Berechtigungen — er nutzt exakt die, die du hast. Jede Schludrigkeit in der Architektur war schon immer da; Copilot macht sie nur durchsuchbar, schnell und in ganzen Sätzen. Das ist kein KI-Problem, das ist ein Hausaufgaben-Problem.

 

Was müssen wir jetzt schon vorbereiten?

Genug Theorie, jetzt die To-do-Liste für die nächsten Wochen. Erstens: Lizenz- und Rechtelage klären. Prüfe, ob deine Pläne SharePoint Advanced Management abdecken und welche Admin-Rollen die Features überhaupt bedienen dürfen. Das ist die langweiligste, aber wichtigste Aufgabe — ohne sie scheitert der Rest an einer Fehlermeldung.

Zweitens: Bestandsaufnahme mit den DAG-Reports. Lass dir den Permission-State-Report, den EEEU-Report und den Sensitivity-Label-Snapshot generieren. Du brauchst ein ehrliches Bild davon, wie schlimm es wirklich ist, bevor du irgendetwas ausrollst. Erfahrungsgemäß ist der erste Blick in den EEEU-Report ein guter Anlass, sich einen Kaffee mit Schuss zu gönnen.

Drittens: Catalog Management einrichten. Definiere ein paar sinnvolle Kategorien — fang nicht mit fünfzig an, sondern mit den drei, vier, die deinem Copilot-Rollout-Plan entsprechen. Diese Struktur ist später dein Steuerinstrument für Richtlinien und für die schrittweise Freigabe.

Viertens: Lifecycle-Policies scharf schalten — aber zuerst im Reporting-Modus. Site-Ownership und Inactive-Site-Policy zeigen dir zunächst nur, wo es brennt, ohne gleich Sites zu archivieren. Erst wenn die Owner sauber benachrichtigt sind und das Verfahren steht, drehst du auf Durchsetzung.

Fünftens: Labeling-Strategie und RCD im kleinen Kreis testen. Auto-Labeling und RCD gehören in eine Pilot-Site-Gruppe, nicht in den ganzen Tenant am Freitagnachmittag. Nutze die neuen per-Policy- Review-Seiten in Purview, um zu sehen, was tatsächlich gelabelt wird und was fehlschlägt, bevor du breit ausrollst.

Tipp aus der Praxis: Erst messen, dann scharfschalten

Bei einem mittelständischen Maschinenbauer haben wir die Inactive-Site-Policy zunächst sechs Wochen nur im Benachrichtigungsmodus laufen lassen. Ergebnis: 38 Prozent der Sites hatten keinen aktiven Owner mehr, eine "wichtige" Projekt-Site war seit 2021 tot. Hätten wir sofort automatisch archiviert, wäre genau die eine Site erwischt worden, die der Chef doch noch brauchte. Reihenfolge ist alles: erst sichtbar machen, dann aufräumen, dann automatisieren.

 

Und der goldene Beratergrundsatz zum Schluss dieses Abschnitts: Mach die Hausaufgaben, bevor du Copilot lizenzierst, nicht danach. Architektur und Berechtigungen aufzuräumen, während die Nutzer schon mit dem Assistenten arbeiten, ist, als würdest du das Fundament gießen, während die Gäste schon im Wohnzimmer tanzen.

Häufig gestellte Fragen

Brauche ich SharePoint Advanced Management zwingend für Microsoft 365 Copilot?

Technisch nein, praktisch ja. Copilot läuft auch ohne SAM, aber ohne die DAG-Reports, RCD und das Lifecycle-Management fehlt dir genau das Werkzeug, um Oversharing zu erkennen und einzudämmen, bevor Copilot es sichtbar macht. Für einen verantwortbaren Rollout ist SAM faktisch die Mindestausstattung.

Was ist der Unterschied zwischen Restricted Content Discovery und Sensitivity Labels?

Sensitivity Labels klassifizieren und schützen den Inhalt selbst — etwa durch Verschlüsselung oder Zugriffsregeln, die mit der Datei mitwandern. Restricted Content Discovery dagegen verhindert lediglich, dass eine Site oder Datei in Copilot- und Suchergebnissen auftaucht, ohne die Berechtigungen zu ändern. Das eine schützt den Inhalt, das andere blendet ihn vor der KI aus.

Sperrt Auto-Labeling versehentlich Nutzer aus?

Das kann passieren, wenn ein Label mit Verschlüsselung oder strengen Zugriffsrechten automatisch und zu breit angewendet wird. Genau deshalb solltest du Auto-Labeling zuerst in einer kleinen Pilotgruppe testen und die per-Policy-Review-Seiten in Purview auswerten, bevor du es tenantweit scharf schaltest.

Wie unterscheide ich Preview-Features von produktiv nutzbaren Funktionen?

In der Microsoft-Dokumentation und im Admin Center sind Features als "Preview" oder "GA" (General Availability) gekennzeichnet. Verlass dich für Produktivbetrieb, Audits und verbindliche Dokumentation ausschließlich auf GA-Features — Preview-Funktionen können sich jederzeit ändern oder wieder verschwinden.

Wo fange ich an, wenn mein Tenant über Jahre gewachsen und unübersichtlich ist?

Mit der Bestandsaufnahme, nicht mit dem Aufräumen. Generiere zuerst die DAG-Reports, um die größten Oversharing-Risiken zu finden, gruppiere deine Sites über Catalog Management und lass die Lifecycle-Policies eine Weile nur beobachten. Erst mit diesem Lagebild triffst du sinnvolle Entscheidungen, statt blind Sites zu löschen.

Anmelden zum Consulting Briefing per Mail

Wenn Sie kostenlos das tägliche Consulting Briefing von Ulrich Boddenberg per Mail erhalten möchten, melden Sie sich auf dieser Seite an.

Die zehn letzten Consulting Briefings

Claude Fable 5 ist wieder da

Sonder-Consulting Briefing 02.07.2026 · boddenberg.de AI / COPILOT   Claude Fable 5 ist wieder da Executive Summary Kurz für die Eiligen: Anthropics Spitzenmodell Claude Fable 5 ist seit dem 1. Juli 2026 wieder global verfügbar – nach 19 Tagen...

mehr lesen

Claude Sonnet 5 vorgestellt

Consulting Briefing 01.07.2026 · boddenberg.de AI / COPILOT Claude Sonnet 5 vorgestellt Executive Summary Anthropic hat am 30. Juni 2026 Claude Sonnet 5 vorgestellt – und damit still und leise die Rechnung für die halbe Branche neu aufgemacht. Die...

mehr lesen