Microsoft verschiebt mit Copilot Cowork den Fokus von der Informationsbeschaffung auf die proaktive Ausführung delegierter Aufgaben. Basis dafür ist Work IQ – ein Intelligence-Layer, der Unternehmensdaten und organisatorische Zusammenhänge indiziert.
Cowork greift auf den bestehenden Semantic Index zu (Graph APIs, SharePoint, OneDrive, Teams, Exchange) und führt asynchrone Tasks im Hintergrund aus: Recherchen, Posteingangs-Workflows, ganze Webseiten. Die mobile Integration in iOS und Android sorgt dafür, dass Tasks in Microsoft-Rechenzentren weiterlaufen, auch wenn dein Endgerät offline ist.
Skills und Plugins
Skills sind wiederverwendbare Anweisungssets für Struktur, Tonalität und Prozesslogik – damit standardisierst du wiederkehrende Aufgaben teamweit. Plugins verbinden Cowork mit Fachanwendungen: native Microsoft-Integrationen (Fabric IQ, Power BI, Dynamics 365), Drittanbieter (LSEG, Miro, monday.com) oder eigene Custom-Plugins für LOB-Systeme.
OAuth 2.0: Was du freigeben musst
Cowork agiert als Client, der über Entra ID per OAuth 2.0 Access Tokens (Standard: 1 Stunde) anfordert. Bei der Plugin-Registrierung gibt es zwei Berechtigungstypen:
- Delegierte Berechtigungen: Applikation handelt im Namen des angemeldeten Benutzers
- Applikationsberechtigungen: Zugriff ohne Benutzerkontext – für Hintergrunddienste
Da Cowork asynchron läuft, kommen oft Applikationsberechtigungen zum Einsatz. Diese gewähren tenant-weiten Zugriff – nur Globale Administratoren oder Administratoren für privilegierte Rollen dürfen den Consent erteilen.
Konfiguriere zwingend, welchen Berechtigungen Endbenutzer zustimmen dürfen und wann Admin Consent nötig ist. Berechtigungs-Phishing ist ein realer Angriffsvektor für dauerhaften Datenzugriff. Überprivilegierte Anwendungen identifizierst du skalierbar über App Governance (Add-on für Defender for Cloud Apps).
Informationsschutz mit Purview
Copilot zeigt nur Daten an, für die der Benutzer bereits berechtigt ist. Den Zugriff steuerst du über Freigaben, Sensitivity Labels oder eingeschränkte SharePoint-Suche. Purview DLP verhindert Datenverlust über Exchange, SharePoint, OneDrive, Teams und Endgeräte – die Regeln greifen auch dort, wo Cowork über Plugins aggregiert. Für die Trennung sensibler Bereiche (M&A, HR) implementierst du Information Barriers, damit asynchrone Tasks keine vertraulichen Daten an Drittanbieter-Plugins weiterreichen.
Fazit
Cowork transformiert Microsoft 365 zur aktiven Ausführungsumgebung – mit massiv mehr Machine-to-Machine-Kommunikation im Hintergrund. Wende Zero Trust konsequent an: explizit verifizieren, Least Privilege, Assume Breach. Drei Stellschrauben für deinen Tenant:
- Conditional Access Policies in Entra ID anpassen
- OAuth-Grants über App Governance überwachen
- Datenbestände über Purview Sensitivity Labels klassifizieren
Nur mit sauberer Berechtigungs- und Informationsarchitektur entfaltet Cowork sein Potenzial, ohne zum Compliance-Risiko zu werden.
Sei der Erste und starte die Diskussion mit einem hilfreichen Beitrag.
Kommentar hinterlassen
Dein Beitrag wird vor der Veröffentlichung kurz geprüft — fachlich, respektvoll und auf den Punkt ist hier genau richtig.