Ab Mitte Juni 2026 schaltet Microsoft Copilot in SharePoint für alle Tenants scharf. Was bisher ein Opt-in war, wird zum Opt-out. Für jeden Nutzer mit einer Microsoft 365 Copilot-Lizenz aktiviert Microsoft die KI-Schnittstelle auf allen Site Collections. Der Tenant-Parameter KnowledgeAgentScope wechselt dabei automatisch von NoSites auf AllSites. Wer jetzt nichts tut, lässt Copilot auf jahrelang gewachsene Berechtigungsstrukturen los, die oft nie für dieses Szenario ausgelegt wurden.
Architektur und Berechtigungsstruktur
Copilot in SharePoint agiert nicht als statisches Chat-Fenster, sondern als kontextsensitive Intelligenz, die sich der jeweiligen Berechtigungsstufe des Nutzers in der Informationsarchitektur anpasst. Die Interaktion erfolgt primär über einen schwebenden Button unten rechts auf SharePoint-Seiten und in Dokumentenbibliotheken, von wo aus kontextbezogene Empfehlungen geliefert werden.
Um die operative Last zu reduzieren und Sicherheit zu gewährleisten, variieren die verfügbaren Aktionen je nach Rolle: Während einfache "Content Consumer" Dokumente vergleichen, Zusammenfassungen anfordern oder Audiodeskriptionen generieren können, greifen "Content Manager" mit Listenberechtigungen tiefer in die Struktur ein. Sie automatisieren Workflow-Regeln und erstellen Autofill-Spalten basierend auf Dateiinhalten.
"Site Manager" wiederum nutzen die KI, um veraltete Seiten zu identifizieren, Inhaltslücken zu schließen und defekte Links zu reparieren, womit sich die laufende Inhaltspflege des Intranets auf die KI verlagert.
Modell und Subprozessoren
Laut MC1311968 läuft Copilot in SharePoint ab dem Juni-Rollout auf OpenAI GPT-5.4. Eine Modellauswahl durch den Admin ist aktuell nicht vorgesehen, Microsoft behält sich die Modellwahl vor. Der Anthropic-Subprozessor-Toggle im Microsoft 365 Admin Center ist für EU-, EWR- und UK-Tenants weiterhin relevant, greift aber bei anderen M365 Copilot-Erfahrungen: Word, Excel und PowerPoint Agents sowie Copilot Studio. Für diese Dienste ist Anthropic standardmäßig deaktiviert und muss manuell freigeschaltet werden, da Anthropic-Modelle aktuell von der EU Data Boundary ausgenommen sind.
Tenant-weite Steuerung via PowerShell
Bisher hat der Standardwert NoSites im Parameter KnowledgeAgentScope verhindert, dass Copilot auf SharePoint-Inhalte zugreift. Mit dem Rollout überschreibt Microsoft diesen Wert auf AllSites. Um die KI-Funktionen vorerst abzuschalten oder nur auf geprüfte Sites zu begrenzen, steuerst du die Inklusionsliste über die SharePoint Online Management Shell. Bei Multi-Geo-Tenants muss dieses Setup in jeder Geo-Region separat ausgeführt werden.
Ein häufiger Fehler: Ältere Modulversionen im Speicher führen dazu, dass der Parameter KnowledgeAgentScope nicht gefunden wird. Die Lösung ist, alle veralteten Module vollständig zu entfernen und Version 16.0.26615.12013 oder neuer zu installieren:
Get-Module -Name *SharePoint* -ListAvailable | Uninstall-Module
Install-Module -Name Microsoft.Online.SharePoint.PowerShell -Force
Connect-SPOService -Url https://yourtenant-admin.sharepoint.com
Set-SPOTenant -KnowledgeAgentScope IncludeSelectedSites
Set-SPOTenant -KnowledgeAgentSelectedSitesList @("https://yourtenant.sharepoint.com/sites/safe-site")Wenn du später weitere Sites hinzufügen möchtest, nutzt du den Parameter -KnowledgeAgentSelectedSitesListOperation Append. Die bestehende Liste wird damit erweitert, nicht überschrieben.
Suchindex-Isolierung durch Restricted Content Discovery
Auch bei einem kontrollierten Rollout gibt es Sites mit hohem Oversharing-Risiko, deren Berechtigungen sich nicht ad hoc bereinigen lassen, ohne operative Prozesse zu stören. Hier kommt das Feature Restricted Content Discovery aus dem SharePoint Advanced Management-Portfolio ins Spiel. Die Aktivierung auf einer Site setzt ein Flag direkt auf Dateiebene. Dieses Flag weist den Semantic Index und die Graph API an, die Inhalte bei der Grounding-Phase von Copilot-Prompts zu ignorieren.
Die Inhalte werden damit aus den organisationsweiten Suchergebnissen herausgenommen. Das betrifft auch den Office.com-Suchschlitz, den Microsoft 365 Feed und den Copilot Business Chat. Nutzer finden die Dateien nur noch über die site-lokale Suche oder wenn sie kürzlich direkt mit der Datei gearbeitet haben. eDiscovery und Purview Compliance Prozesse bleiben davon unberührt, die Daten verlassen den Tenant-Suchindex nicht physisch, sie werden lediglich für Discovery-Endpunkte ausgeblendet. OneDrive-Sites lassen sich auf diese Weise nicht einschränken, die Personal Site-Architektur unterstützt keine globalen Such-Exklusionen.
Diese Einstellung muss in den Suchindex propagiert werden, was bei Sites mit über 500.000 Elementen mehr als eine Woche dauern kann. Für große Umgebungen konfigurierst du die Einschränkung über PowerShell:
Set-SPOSite -Identity "https://yourtenant.sharepoint.com/sites/risk-site" -RestrictContentOrgWideSearch $trueDelegation und Auditing
Um die Last in der IT-Administration zu verteilen, kannst du die Verwaltung von Restricted Content Discovery an die jeweiligen Site Admins delegieren. Site Owner erhalten damit die technische Befugnis, den Suchindex-Status ihrer Site über das UI selbst zu steuern:
Set-SPOTenant -DelegateRestrictedContentDiscoverabilityManagement $trueSobald diese Richtlinie aktiv ist, erzwingt das System bei jeder Statusänderung durch den Site Admin die Eingabe einer Begründung. Diese Aktionen landen als dedizierte Events im Unified Audit Log, das Signale aus Exchange Online, SharePoint Online, Teams und Entra ID sammelt. Aktivierungen, Deaktivierungen und die eingegebenen Begründungen lassen sich damit lückenlos nachvollziehen. Auf der SharePoint-Site selbst erscheint nach erfolgreicher Aktivierung ein sichtbares Label für die Nutzer.
Zur Überprüfung der Abdeckung im gesamten Tenant startest du asynchrone Insights Reports über PowerShell. Die Reports zeigen blinde Flecken in der Berechtigungsstruktur, bevor Copilot sie findet.
Start-SPORestrictedContentDiscoverabilityReport
Get-SPORestrictedContentDiscoverabilityReport -Action Download -ReportId Fazit
Die tiefe Integration von Copilot in die SharePoint-Architektur zwingt dazu, Berechtigungs- und Suchkonzepte neu zu bewerten. Der Wechsel zum Opt-out-Verfahren bedeutet konkret: Du musst die Ingestion-Pipelines durch Restricted Content Discovery aktiv beschneiden, um Sites mit problematischen Berechtigungsstrukturen aus dem KI-Zugriff herauszuhalten.
Eine weitreichende Nutzung dieser Isolierungsmöglichkeit hat einen direkten Preis: Copilot verliert den Grounding-Kontext für die isolierten Bereiche und kann keine unternehmensweiten Zusammenhänge mehr herstellen. Generierte Berichte oder Zusammenfassungen werden dadurch schlechter. Das ist eine technische Konsequenz, die du der Geschäftsführung klar kommunizieren musst, damit keine unrealistischen Erwartungen entstehen.
Der einzig skalierbare Weg in großen Enterprise-Tenants ist die Kombination aus Delegation an die Site Owner und sauberem Auditing. Die Beschäftigung mit den PowerShell-Parametern vor dem Rollout ist keine optionale Aufgabe. Wer den automatischen Rollout ignoriert, riskiert, dass Daten im KI-Kontext auftauchen, die dort nichts zu suchen haben.
weitere Links
| Quelle | Thema | URL |
| Microsoft Learn | Erste Schritte mit KI in SharePoint (Vorschau) | https://learn.microsoft.com/de-de/sharepoint/ai-in-sharepoint-get-started |
| Microsoft Learn | Restrict discovery of SharePoint sites and content | https://learn.microsoft.com/en-us/sharepoint/restricted-content-discovery |
| MVP - João Ferreira | Copilot in SharePoint Opt-out Rollout (MC1311968) | https://m365admin.handsontek.net/copilot-sharepoint-will-start-rolling-tenants-opt-preview-starting-mid-june-2026/ |
Sei der Erste und starte die Diskussion mit einem hilfreichen Beitrag.
Kommentar hinterlassen
Dein Beitrag wird vor der Veröffentlichung kurz geprüft — fachlich, respektvoll und auf den Punkt ist hier genau richtig.