ArtikelRahmen V5 MS365 SPO 2025

SharePoint | RCD Delegation: Copilot-Zugriff sicher steuern

26. Januar 2026 MS365-SharePoint, MS365, Nicht kategorisiert

Microsoft 365 Copilot ist ein zweischneidiges Schwert: Es steigert die Produktivität massiv, erhöht aber gleichzeitig das Risiko eines unkontrollierten Datenabflusses (Oversharing). Die technische Antwort auf dieses Problem ist Restricted Content Discovery (RCD).

Lange Zeit war dieses Feature ein rein administratives Werkzeug, das zentral gesteuert wurde, was bei wachsenden Tenant-Strukturen zwangsläufig zu einem operativen Flaschenhals führt. Seit Anfang Januar 2026 hat Microsoft die Kontrolle dezentralisiert, wodurch Du die Entscheidungsgewalt an die Site-Administratoren delegieren kannst, um Governance dort stattfinden zu lassen, wo das Inhaltswissen am größten ist.

Die Architektur hinter Restricted Content Discovery

Restricted Content Discovery ist kein oberflächlicher Filter, sondern greift tief in den Suchindex von SharePoint Online ein. Wenn RCD für eine Site aktiviert wird, schließt das System diese Inhalte explizit von der organisationsweiten Suche und damit vom Zugriff durch Microsoft 365 Copilot aus. Dies ist technisch notwendig, da Copilot auf dem Graph-Index basiert. Ohne RCD würde die KI jedes Dokument, auf das ein Nutzer Zugriff hat, als potenzielle Wissensquelle nutzen, auch wenn diese Informationen niemals für eine KI-Verarbeitung vorgesehen waren.

Um RCD nutzen zu können, benötigt Dein Tenant das SharePoint Advanced Management (SAM) Add-on. SAM bündelt fortgeschrittene Governance-Funktionen und ist für Kunden mit Microsoft 365 Copilot-Lizenzen oft bereits integraler Bestandteil der Sicherheitsstrategie. Die technische Logik hinter RCD sorgt dafür, dass die Site-Inhalte für Nutzer innerhalb der Site über die lokale Suche auffindbar bleiben, aber im globalen Kontext der KI „unsichtbar“ werden. Dies verhindert, dass Copilot Informationen aus verwaisten oder schlecht berechtigten Sites an die Oberfläche spült.

Delegation der Kontrolle: Warum die Zentralisierung scheitert

In der Praxis ist es für zentrale SharePoint-Administratoren unmöglich, die Vertraulichkeit jeder einzelnen Site in einem Tenant mit mehreren tausend Instanzen manuell zu bewerten. Eine fehlerhafte Einstufung führt entweder zu Datenlecks oder zu unproduktiven Wissenssilos.

Durch die neue Möglichkeit der Delegation verschiebt Microsoft die Verantwortung auf die Site-Besitzer. Diese kennen den Kontext ihrer Daten genau und können entscheiden, ob ein Projektordner für die KI-Indexierung geeignet ist oder nicht.

Bevor Deine Site-Administratoren jedoch selbst Hand anlegen können, musst Du die Funktion auf Tenant-Ebene freischalten. Dieser Schritt ist als Opt-in konzipiert, damit Du die volle Kontrolle über den Rollout behältst.

Schritt 1: Aktivierung der Delegation via PowerShell

Die Freischaltung erfolgt ausschließlich über die SharePoint Online Management Shell. Du benötigst mindestens die Version 16.0.26712.12000 des Microsoft.Online.SharePoint.PowerShell-Moduls, da ältere Versionen den entsprechenden Parameter nicht erkennen. Zuerst verbindest Du Dich mit Deinem Tenant:

Connect-SPOService -Url https://deintenant-admin.sharepoint.com

Anschließend aktivierst Du die delegierte Verwaltung mit folgendem Befehl:

Set-SPOTenant -DelegateRestrictedContentDiscoverabilityManagement $true

Durch diesen Befehl wird die Benutzeroberfläche sowohl im Admin Center als auch in den Site-Einstellungen für Site-Administratoren angepasst. Beachte, dass die Replikation dieser Einstellung innerhalb der Microsoft 365-Infrastruktur einige Zeit in Anspruch nehmen kann.

Schritt 2: Konfiguration durch den Site-Administrator

Sobald die Delegation auf Tenant-Ebene aktiv ist, können Site-Besitzer die Discoverability ihrer Inhalte selbst steuern. Dieser dezentrale Ansatz ist technisch notwendig, um die Governance-Last von der zentralen IT auf die Dateneigentümer zu verlagern.

  1. Navigiere zur betreffenden SharePoint-Site.
  2. Klicke auf das Zahnrad-Symbol (Einstellungen) in der oberen Navigationsleiste.
  3. Wähle den Menüpunkt „Websiteinformationen“ (Site Information).
  4. Scrolle im erscheinenden Panel nach unten zum Abschnitt „Inhalte von M365 Copilot einschränken“ (Restrict content from M365 Copilot).

Wenn der Site-Administrator den Toggle aktiviert, öffnet sich ein obligatorisches Textfeld für die Begründung. Dieser Schritt ist fest in die Logik integriert, wodurch sichergestellt wird, dass jede Einschränkung der KI-Suche im Audit-Log mit einem nachvollziehbaren Grund hinterlegt ist. Ohne diese Angabe lässt sich die Änderung nicht speichern.

Nach dem Speichern wird die Website für die organisationsweite Suche und damit für Microsoft 365 Copilot markiert. Beachte, dass es bis zu 24 Stunden dauern kann, bis der Suchindex die Änderung vollständig verarbeitet hat und die Inhalte tatsächlich nicht mehr in Copilot-Antworten auftauchen.

Schritt 3: Monitoring und Auditing der RCD-Aktivitäten

Da nun potenziell hunderte Nutzer Einfluss auf die Suchbarkeit von Inhalten haben, ist ein effektives Monitoring im Unified Audit Log (UAL) unerlässlich. Mit folgendem PowerShell-Skript kannst Du die Aktivitäten der letzten 24 Stunden abrufen:

# Definition der relevanten Operationen
[array]$Operations = "RestrictContentOrgWideSearchDisabled", "RestrictContentOrgWideSearchEnabled", "SharePointRCDUpdateJustification"

# Abruf der Audit-Daten
[array]$Records = Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-1) -EndDate (Get-Date) -Formatted `
    -SessionCommand ReturnLargeSet -ResultSize 5000 -Operations $Operations

$Report = [System.Collections.Generic.List[Object]]::new()

ForEach ($Rec in $Records) {
    $AuditData = $Rec.AuditData | ConvertFrom-Json
 
    Switch ($AuditData.Operation) {
        "RestrictContentOrgWideSearchEnabled" {
            $Action = ("RCD aktiviert für {0}" -f $AuditData.ObjectId)
        }
        "SharePointRCDUpdateJustification" {
            $Action = ("Begründung: {0}" -f $AuditData.RCDJustification)
        }
        "RestrictContentOrgWideSearchDisabled" {
            $Action = ("RCD deaktiviert für {0}" -f $AuditData.ObjectId)
        }
        Default {
            $Action = $AuditData.Operation
        }
    }
    
    $ReportLine = [PSCustomObject][Ordered]@{
        Zeitstempel     = Get-Date ($AuditData.CreationTime) -format 'dd.MM.yyyy HH:mm'
        Benutzer        = $AuditData.UserId
        Aktion          = $AuditData.Operation
        SiteURL         = $AuditData.ObjectId
        Details         = $Action
    }
    $Report.Add($ReportLine)
}

$Report | Out-GridView -Title "RCD Audit Report"

im SPO Admin Center

Auch wenn Du die Delegation aktiviert hast, bleibt das SPO Admin Center Dein primäres Werkzeug für Massenoperationen und Überprüfungen. Du nutzt es nicht für das Micro-Management jeder einzelnen Site, sondern für die Durchsetzung von Compliance-Leitplanken.

  1. Navigiere zu Aktive Websites im SPO Admin Center.
  2. Wähle die Site aus und öffne das Panel Einstellungen.
  3. Hier siehst Du den Status der Inhaltsbeschränkung für Microsoft 365 Copilot, den der Site-Admin ggf. bereits gesetzt hat.

Der Vorteil: Du siehst hier sofort, welche Site-Admins ihrer Verantwortung nachgekommen sind. Wenn Du feststellst, dass eine Site mit dem Label „Secret“ nicht für RCD markiert ist, kannst Du hier zentral intervenieren, wodurch Du die Governance-Lücke schließt, die der Site-Admin hinterlassen hat.

RCD Einstellungen im SharePoint Online Admin Center

Kritische Würdigung und Sicherheitsaspekte

Die Verlagerung der RCD-Kontrolle auf die Site-Ebene ist eine notwendige Evolution, bringt jedoch auch neue Risiken mit sich. Du musst Dir darüber im Klaren sein, dass Site-Administratoren nun die Macht haben, die Effektivität von Copilot massiv zu beschneiden. Wenn Nutzer aus Unwissenheit RCD für unkritische Sites aktivieren, sinkt der Nutzwert der teuren Copilot-Lizenzen, da die KI keinen Zugriff mehr auf relevante Wissensdatenbanken hat.

Andererseits ist die Gefahr durch „Schatten-Daten“ real. Ein Site-Besitzer, der RCD aktiviert, schützt das Unternehmen aktiv vor der versehentlichen Preisgabe vertraulicher Informationen durch die KI. Aus Performance-Sicht ist zu beachten, dass RCD-Änderungen nicht sofort greifen. Der Suchindex benötigt Zeit, um die Ausschlusskriterien zu verarbeiten. In der Regel dauert es zwischen 24 und 48 Stunden, bis Inhalte einer neu beschränkten Site tatsächlich aus den Copilot-Antworten verschwinden.

Mein Rat für Deine Strategie: Aktiviere die Delegation, aber begleite sie mit einer klaren Richtlinie. Site-Besitzer müssen verstehen, dass RCD kein Tool zum „Verstecken von Unordnung“ ist, sondern ein präzises Instrument für hochgradig schützenswerte Daten. Kombiniere RCD zudem immer mit Sensitivity Labels. Während RCD den Zugriff für die KI regelt, sichern Labels das Dokument selbst ab – auch wenn es die Site verlässt. Nur durch dieses Zusammenspiel erreichst Du eine belastbare Cyber-Resilienz in der Ära generativer KI.

weitere Quellen

Microsoft LearnSet-SPOTenant cmdlet documentationhttps://learn.microsoft.com/en-us/powershell/module/sharepoint-online/set-spotenant

This post is also available in: Deutsch English

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*