SharePoint: Neue Collaboration- und Governance-Tools

von | Juli 5, 2026 | CB-M365, Consulting Briefing | 0 Kommentare

SharePoint: Neue Collaboration- und Governance-Tools

Wie SharePoint Advanced Management zur vollständigen Content-Governance-Suite wird – und warum das vor dem Copilot-Start zählt.

Consulting Briefing

05.07.2026 · boddenberg.de

SharePoint · Collaboration & Governance

SharePoint: Neue Collaboration- und Governance-Tools

Executive Summary

Kurz gesagt: SharePoint ist im Sommer 2026 kein reiner Datei-Ablageschrank mehr, sondern das Governance-Cockpit für deine gesamte Microsoft-365-Kollaboration. Der Grund ist unbequem, aber ehrlich: Sobald Copilot in der Firma losrennt, liest die KI genau das, was jahrelang niemand aufgeräumt hat. Jede falsch gesetzte Berechtigung, jeder „Teilen mit allen“-Link und jede vergessene Alt-Site wird plötzlich durchsuchbar – und zwar von jedem, der fragen darf.

Microsoft hat SharePoint Advanced Management (SAM) deshalb von einer Handvoll Reports zu einer vollständigen Content-Governance-Suite ausgebaut. Detaillierte Berechtigungen, Restricted Access Control, Restricted Content Discovery, Data-Access-Governance-Reports und intelligente Versionierung greifen jetzt ineinander. Für dich als Entscheider heißt das: Die Werkzeuge für DSGVO-konforme Prozesse liegen im Karton – du musst sie nur auspacken, bevor die KI den Karton für dich öffnet. Startpunkt ist eine Architektur-Review, kein neues Lizenzabenteuer.

Consultant-Klartext

Copilot ist kein Sicherheitsproblem. Copilot ist ein Aufdeck-Problem. Es macht sichtbar, was in den Berechtigungen seit Jahren faul ist – nur eben in Sekunden statt erst beim nächsten Audit. Wer vorher aufräumt, gewinnt. Wer wartet, erklärt später dem Betriebsrat, warum die Gehaltsliste im Chat auftauchte.

 

Worum geht es im Detail?

SharePoint Advanced Management ruht auf drei Säulen, die Microsoft 2026 um zwei weitere Themen (Content-Relevanz und Content-Resilienz) ergänzt und mit einem eigenen KI-Assistenten, dem SharePoint Admin Agent, gekrönt hat. Für die Praxis reichen aber erst einmal die drei tragenden Säulen: Wildwuchs eindämmen, Lebenszyklus steuern, Oversharing verhindern.

Die erste Säule bekämpft den Wildwuchs. Über eine Site-Ownership-Policy legst du fest, dass jede Site mindestens zwei verantwortliche Besitzer hat – Schluss mit verwaisten Team-Sites, deren einziger Owner vor drei Reorganisationen das Unternehmen verlassen hat. Inaktive Sites werden automatisch erkannt und die Besitzer per Mail aufgefordert, Stellung zu beziehen. Mit Site-Attestierungen zwingst du die Owner in regelmäßigen Abständen, die Notwendigkeit, die Mitglieder und die Freigaben ihrer Site zu bestätigen. Das Catalog Management gruppiert tausende Sites nach Region, Abteilung oder Information-Barrier, sodass Governance im großen Maßstab überhaupt handhabbar bleibt.

Die zweite Säule steuert den Lebenszyklus und liefert Nachvollziehbarkeit. Change-History-Reports zeigen dir alle Änderungen an einer Site oder Einstellung der letzten 180 Tage – Gold wert, wenn du bei einem Vorfall rekonstruieren musst, wer wann welche Berechtigung aufgerissen hat. Das Recent-Actions-Panel protokolliert Admin-Aktionen der letzten 30 Tage. Dazu kommt die intelligente Versionierung: Statt 500 Versionen einer Datei ewig zu horten, setzt du Grenzwerte und automatische Ablauffristen. Das spart Speicher, reduziert die Angriffsfläche und hält die Versionshistorie für Compliance-Zwecke trotzdem sauber.

Abb. 1: Die vier Governance-Schichten – jede schließt eine typische Oversharing-Lücke.

Die dritte Säule ist die spannendste: Oversharing verhindern. Restricted Access Control (RAC) sperrt eine Site hart auf eine definierte Sicherheitsgruppe – wer nicht in der Gruppe ist, kommt selbst dann nicht rein, wenn ihm jemand versehentlich einen Link geschickt hat. Restricted Content Discovery (RCD) sorgt dafür, dass riskante oder schlicht alte Sites weder in der Organisationssuche noch in Copilot-Antworten auftauchen. Über Conditional-Access-Authentifizierungskontexte hängst du eine Entra-Richtlinie direkt an eine Site (etwa: nur von verwalteten Geräten). Und die Block-Download-Policy verhindert das Herunterladen und Verschieben von Dateien und Teams-Meeting-Aufzeichnungen – Ansehen im Browser ja, Herausschleppen nein.

Das Herzstück für die DSGVO sind die Data-Access-Governance-Reports (DAG). Der Permission-State-Report liefert einen organisationsweiten Schnappschuss, welche Sites die breiteste Streuung haben – tausende Nutzer, externe Gäste oder die berüchtigte Gruppe „Jeder außer externen Nutzern“ (EEEU). Der Report „Berechtigungen für einen Nutzer“ beantwortet in Sekunden, worauf ein einzelner Mitarbeiter überall Zugriff hat – die klassische Auskunftsanfrage nach Artikel 15 DSGVO, früher ein Tagewerk mit PowerShell, heute ein Klick. Der Sensitivity-Label-Report zeigt, wo vertraulich klassifizierte Dateien liegen. Zwei Aktivitäts-Reports (Sharing-Links und EEEU) machen frisches Oversharing der letzten 28 Tage sichtbar. Und neben jedem Report sitzt der „AI-Insights“-Knopf, der die Muster zusammenfasst und konkrete Nächste-Schritte vorschlägt.

Neu ist, wie stark diese Werkzeuge zusammenwachsen. Das Content-Management-Assessment bündelt Bewertungen und Empfehlungen an einer Stelle, App-Insights zeigen dir, welche Nicht-Microsoft-Anwendungen über registrierte Berechtigungen auf deine SharePoint-Inhalte zugreifen, und ein eigener Report deckt auf, wie viele KI-Agenten wo bereits erstellt wurden – ein Thema, das vor einem Jahr noch niemand auf dem Schirm hatte. Über die Site-Policy-Comparison legst du eine Handvoll Muster-Sites als Baseline fest und vergleichst per KI bis zu 10.000 weitere Sites dagegen. Das klingt nach Spielerei, ist aber der Unterschied zwischen „wir glauben, unsere Sites sind sauber konfiguriert“ und „wir wissen es und können es belegen“.

Fakt am Rande

Die DAG-Reports funktionieren nur mit pseudonymisierten Report-Daten sauber. Ist im Microsoft-365-Admin-Center die Option „Echte Nutzer-, Gruppen- und Site-Namen anzeigen“ aktiv, kann der Report streiken. Ironie der Datenschutz-Werkzeuge: Sie wollen selbst datenschutzfreundlich betrieben werden.

 

Was sind Chancen? Was sind Risiken?

Die größte Chance ist Vertrauen auf Knopfdruck. Wenn dich der Datenschutzbeauftragte fragt, wer auf die Personalakten zugreifen kann, ziehst du einen Report statt einer Ausrede. Auskunfts- und Löschbegehren nach DSGVO werden vom Drama zum Prozess. Least Privilege ist nicht mehr das fromme Ziel im Sicherheitskonzept, sondern eine durchsetzbare Policy – einmal auf Web-Application-Ebene gesetzt, über alle Site-Collections erzwungen.

Die zweite Chance heißt Copilot-Readiness. Eine aufgeräumte Berechtigungsstruktur ist die Voraussetzung dafür, dass Copilot nützlich statt gefährlich wird. Autoritative Sites lenken die KI gezielt auf die offiziellen Quellen – die aktuelle Reiserichtlinie statt der Entwurfsversion von 2019 aus dem Praktikanten-Ordner. Sauberes SharePoint macht KI-Antworten präziser; unsauberes macht sie zur Haftungsfalle.

Warnung: Der Copilot-Röntgenblick

Der Klassiker aus der Praxis: Ein Mittelständler schaltet Copilot frei, ein Sachbearbeiter tippt „Wie hoch ist eigentlich mein Gehalt im Vergleich zu den Kollegen?“ – und Copilot antwortet brav aus einer Excel-Liste, die die Personalabteilung 2021 „nur kurz“ auf einer Team-Site geteilt und dann vergessen hatte. Kein Hack, kein Leak im klassischen Sinn. Nur eine Berechtigung, die nie jemand zurückgenommen hat. Genau solche Zeitbomben findest du mit dem EEEU-Report, bevor die KI sie für dich findet.

 

Die Risiken sind real, aber beherrschbar. Erstens die Lizenzfrage: Der volle SAM-Funktionsumfang hängt an einer Zusatzlizenz (bzw. steckt in Microsoft 365 Copilot). Mit reinem Microsoft 365 E5 kommst du an die DAG-Reports heran, aber ohne Snapshot-Reports und ohne die direkten Remediation-Aktionen – und die Aktivitäts-Reports sind auf 10.000 Sites gedeckelt. Zweitens die Betriebsblindheit: Reports allein räumen nichts auf. Wer den Permission-State-Report generiert, ihn bewundert und dann nichts tut, hat nur eine schönere Dokumentation seines Problems. Drittens der Overblocking-Reflex: Wer aus Panik RAC und Block-Download über halb SharePoint kippt, würgt die Zusammenarbeit ab und produziert Schatten-IT – dann landen die Dateien eben wieder auf privaten Laufwerken, wo gar keine Governance greift.

Ein Praxisbeispiel für den Overblocking-Reflex: Ein Versicherer hatte nach einem Audit-Schreck reflexartig auf hunderten Sites die Block-Download-Policy scharf geschaltet. Ergebnis nach zwei Wochen: Die Sachbearbeiter mailten sich die Dokumente wieder gegenseitig als Anhang zu und legten Kopien im persönlichen OneDrive ab – exakt die Streuung, die man verhindern wollte, nur jetzt unsichtbar für jeden Report. Governance, die den Arbeitsalltag ignoriert, erzeugt keine Sicherheit, sondern nur kreativere Umwege. Die Kunst liegt darin, hart dort zu sperren, wo es wirklich weh täte, und ansonsten mit Transparenz statt mit Verboten zu führen.

Tipp: Risikobasiert statt flächendeckend

Starte die Remediation bei den zehn Sites mit der breitesten Streuung und dem sensibelsten Inhalt – nicht bei allen 4.000 auf einmal. Der Permission-State-Report sortiert dir die Kandidaten. 80 Prozent des Risikos stecken erfahrungsgemäß in einer Handvoll Sites, die jeder kennt und keiner anfasst.

 

Was müssen wir jetzt schon vorbereiten?

Bevor du auch nur einen Knopf drückst, kommt die Architektur-Review – und zwar als eigenes, kleines Projekt mit klarem Fahrplan. Der Fehler Nummer eins ist, Werkzeuge zu aktivieren, ohne die Ausgangslage zu kennen. Du würdest ja auch nicht ein Haus abreißen, ohne zu wissen, welche Wände tragen.

Abb. 2: Der Architektur-Review als 8-Wochen-Fahrplan – erst messen, dann eingreifen.

In den ersten beiden Wochen steht die Bestandsaufnahme: Wie viele Sites gibt es wirklich, wer sind die Owner, wo laufen externe Freigaben, wo sind Sensitivity-Labels gesetzt (und wo fehlen sie schmerzhaft)? Parallel klärst du die Lizenzlage, damit du in Woche drei nicht vor einer verschlossenen Tür stehst. Danach fahren die DAG-Reports: Permission-State als Baseline, dann Sharing-Links und EEEU als Bewegungsbild. Die AI-Insights nimmst du als Vorschlagsliste, nicht als Befehl – die KI kennt deinen fachlichen Kontext nicht.

In den Wochen fünf und sechs folgt die eigentliche Remediation: RAC auf die Top-Risiken, RCD für Alt-Sites, die niemand mehr braucht aber niemand löschen will, und delegierte Site-Access-Reviews an die Fachbereiche. Wichtig ist die Delegation: Die IT kann nicht fachlich entscheiden, ob der Vertrieb Zugriff auf die Projektkalkulation braucht – der Site-Owner schon. Ab Woche sieben gehst du in den Betrieb: Attestierungen terminieren, den Permission-State-Report als Quartals-Ritual verankern, und das Ganze in ein Playbook gießen, das auch dann noch funktioniert, wenn der Kollege mit dem Wissen im Kopf mal krank ist.

Tipp: Governance-Board vor Technik

Kläre organisatorisch, wer entscheidet – bevor du technisch entscheidest. Ein kleines Governance-Board aus IT, Datenschutz und je einem Fachbereichsvertreter trifft die Regeln (Namenskonventionen, Freigabe-Standards, Aufbewahrung). Die SAM-Werkzeuge setzen diese Regeln dann durch. Technik ohne Zuständigkeit ist nur ein teureres Chaos.

 

Häufig gestellte Fragen

Brauche ich für SharePoint Advanced Management eine Zusatzlizenz?

Für den vollen Funktionsumfang ja – SAM ist entweder als eigenständige Zusatzlizenz oder als Bestandteil von Microsoft 365 Copilot lizenziert. Mit Microsoft 365 E5 kommst du zwar an die Data-Access-Governance-Reports heran, allerdings ohne Snapshot-Reports und ohne die direkten Remediation-Aktionen, und die Aktivitäts-Reports sind auf 10.000 Sites begrenzt.

Verhindert Restricted Content Discovery, dass Nutzer eine Site öffnen können?

Nein, und das ist wichtig zu verstehen. RCD steuert nur die Auffindbarkeit – die Site erscheint nicht mehr in der Organisationssuche und nicht in Copilot-Antworten. Wer den direkten Link hat und berechtigt ist, kommt weiterhin rein. Für echte Zugriffssperren brauchst du Restricted Access Control oder Conditional Access.

Wie hilft SharePoint konkret bei einer DSGVO-Auskunftsanfrage?

Der Report „Berechtigungen für einen Nutzer“ listet alle Sites auf, auf die eine bestimmte Person Zugriff hat, und zeigt, ob der Zugriff direkt oder über eine Gruppe gewährt wurde. Damit beantwortest du die Frage, worauf jemand zugreifen kann, in Minuten statt in Tagen – die Grundlage für Auskunft nach Artikel 15 und für die Prüfung von Löschbegehren.

Womit sollten wir anfangen, ohne uns zu verzetteln?

Mit dem Permission-State-Report als Baseline und einer ehrlichen Architektur-Review. Erst messen, welche Sites die breiteste Streuung haben, dann risikobasiert bei den sensibelsten Kandidaten aufräumen. Flächendeckendes Sperren am Anfang ist der sicherste Weg, die Zusammenarbeit zu würgen und Schatten-IT zu erzeugen.

Müssen wir das alles selbst auswerten oder hilft die KI?

Neben den Reports sitzt jeweils ein „AI-Insights“-Knopf, der die Muster zusammenfasst und Maßnahmen vorschlägt; zusätzlich gibt es mit dem SharePoint Admin Agent einen dedizierten KI-Assistenten. Die Vorschläge sind ein guter Startpunkt, ersetzen aber nicht die fachliche Entscheidung – die KI kennt euren Kontext nicht und sollte nie blind ausgeführt werden.

Anmelden zum Consulting Briefing per Mail

Wenn Sie kostenlos das tägliche Consulting Briefing von Ulrich Boddenberg per Mail erhalten möchten, melden Sie sich auf dieser Seite an.

Die zehn letzten Consulting Briefings

Claude Fable 5 ist wieder da

Sonder-Consulting Briefing 02.07.2026 · boddenberg.de AI / COPILOT   Claude Fable 5 ist wieder da Executive Summary Kurz für die Eiligen: Anthropics Spitzenmodell Claude Fable 5 ist seit dem 1. Juli 2026 wieder global verfügbar – nach 19 Tagen...

mehr lesen

Claude Sonnet 5 vorgestellt

Consulting Briefing 01.07.2026 · boddenberg.de AI / COPILOT Claude Sonnet 5 vorgestellt Executive Summary Anthropic hat am 30. Juni 2026 Claude Sonnet 5 vorgestellt – und damit still und leise die Rechnung für die halbe Branche neu aufgemacht. Die...

mehr lesen