top of page

Copilot-Zugriff mit DLP-Richtlinie steuern

  • Autorenbild: Fabio Bonolo
    Fabio Bonolo
  • 4. Aug.
  • 5 Min. Lesezeit

👨🏻‍🎓 In den vergangenen Wochen habe ich mich an diverse Applied Skills Zertifizierungen gewagt. Im Vordergrund: Datenschutz mit Microsoft Purview. Dabei ist mir eine neue Data Loss Prevention (DLP) Richtlinie ins Auge gestochen, mit welcher man einzelne Dateien in SharePoint und OneDrive sowie auch E-Mails vor dem Verwenden von Microsoft 365 Copilot schützen kann. 🚫


In diesem Artikel zeige ich euch, wie ihr mit dieser neuen Funktion in Microsoft Purview verhindern könnt, dass Microsoft 365 Copilot auf bestimmte Inhalte zugreift – und zwar basierend auf Sensitivity Labels. Klingt technisch? Keine Sorge – ich erkläre es euch Schritt für Schritt und in einfacher Sprache. 🎯



🧠 Was ist das Problem?


🫸🏻 Es gibt Situationen und sensible Inhalte, die nicht von Copilot verarbeitet werden sollen. Dabei ist es immer ein Thema der Granularität, wie weit ich gewisse Inhalte einschränken soll. Dazu gehören beispielsweise vertrauliche Projektpläne, HR-Dokumente oder Finanzdaten.


Obwohl Copilot Sensitivity Labels berücksichtigt, konnte Copilot diese Inhalte oft trotzdem sehen. Wie also kann ich einzelne Dateien oder Inhalte vor Copilot «verstecken», ohne dass ich eine zu grosse Einschränkung für die Enduser erwirke?


✅ Ein Ansatz: DLP-Richtlinie für Copilot


Mit einer neuen Funktion in Microsoft Purview könnt ihr jetzt sagen:

👉🏻 «Wenn ein Dokument dieses Label trägt, darf Copilot es nicht verwenden.»


Das Ganze funktioniert über eine Data Loss Prevention (DLP)-Richtlinie mit einer speziellen Einstellung für Microsoft 365 Copilot als Scope. Diese Funktion ist aktuell noch im Public Preview, das heisst: Sie ist bereits nutzbar, aber noch nicht allgemein verfügbar und kann sich in Details noch ändern. Ausserdem hat die Richtlinie bei mir im Tenant noch ein wenig gezickt (später im Artikel mehr).


 

🎯 Was macht diese DLP-Richtlinie besonders?


Im Gegensatz zu klassischen DLP-Richtlinien, bei denen ihr viele Bedingungen und Aktionen kombinieren könnt, ist die Copilot-spezifische Variante bewusst einfach gehalten:


  • Es gibt genau eine Bedingung:

    👉🏻 Der Inhalt trägt ein bestimmtes Sensitivity Label


  • Und genau eine Aktion:

    👉🏻 Copilot darf diesen Inhalt nicht verarbeiten


Das macht die Konfiguration sehr übersichtlich – aber auch etwas eingeschränkt. Ihr könnt z. B. nicht zusätzlich nach Dateityp, Benutzer oder Standort filtern, wenn ihr Copilot als Ziel auswählt.


💡 Wichtig zu wissen: Sobald ihr «Microsoft 365 Copilot» als Ziel auswählt, könnt ihr keine anderen Speicherorte (wie Exchange, SharePoint oder OneDrive) in derselben Richtlinie hinzufügen. Diese Richtlinie ist also ausschliesslich für Copilot gedacht.


Konfiguration der DLP Richtlinie
Konfiguration der DLP Richtlinie


🔍 Was passiert genau?


Die Datei bleibt sichtbar für euch – z. B. über die M365-Suche oder in SharePoint. Copilot kann sie aber nicht analysieren oder in Antworten einbauen. Zudem wird der M365 Copilot in Word, Excel oder PowerPoint sogar deaktiviert, wenn ihr eine geschützte Datei öffnet. D.h. Funktionen wie der Narrative Builder in PowerPoint oder das Umwandeln von Text in Tabelle in Word funktionieren nicht. 🙅🏻

 

Diese DLP-Richtlinie lohnt sich besonders, wenn:

  • ihr einzelne Dateien schützen wollt, nicht ganze Sites

  • ihr bereits Sensitivity Labels im Einsatz habt

  • ihr Copilot gezielt einschränken, aber nicht komplett deaktivieren wollt


 

🆚 Alternative: SharePoint Advanced Management


Neben der DLP-Richtlinie gibt es noch eine weitere Möglichkeit, Copilot-Zugriff auf Inhalte zu verhindern: SharePoint Advanced Management (SAM). Auch hier könnt ihr steuern, ob Inhalte für Copilot sichtbar sind – allerdings auf eine andere Art.


Mit SAM könnt ihr eine SharePoint-Seite oder Bibliothek so konfigurieren, dass sie nicht in den Microsoft Search Index aufgenommen wird. Dadurch wird sie auch für Copilot unsichtbar – unabhängig davon, ob die Dateien gelabelt sind oder nicht.


Das ist besonders nützlich, wenn ihr Inhalte komplett verstecken wollt, etwa für HR-, Legal- oder M&A-Projekte. Die Konfiguration erfolgt manuell über das SharePoint Admin Center oder per PowerShell und ist eher für gezielte, punktuelle Ausschlüsse gedacht.


 

🧠 Wann nutze ich was?

✅ DLP mit Sensitivity Labels

✅ SharePoint Advanced Management

Wenn ihr Copilot-Zugriff gezielt blockieren, aber Inhalte weiterhin sichtbar halten wollt

Wenn ihr Inhalte komplett verstecken wollt, z. B. für HR-, Legal- oder M&A-Dokumente

Wenn ihr bereits Sensitivity Labels für Gruppen und/oder Items verwendet

Wenn ihr (temporär) eine Site aus Copilot und der M365 Suche nehmen wollt

Wenn ihr eine automatisierte, skalierbare Lösung sucht

Wenn ihr keine Labels einsetzen könnt oder wollt

 

 

💡Meine Erfahrungen mit dem Public Preview


Wir müssen beachten: Diese DLP befindet sich noch im Public Preview und auch die Learn-Dokumentation von Microsoft gibt nicht allzu viel her:


🤔 Bei mir war die DLP recht zickig. Der Copilot Chat hat diverse Verhaltensweisen an den Tag gelegt, teilweise hat die Funktion richtig gewirkt und Copilot hat mir keine Dokumente mit dem Label in seiner Response angezeigt. Ausserdem hat es auch geklappt, dass die «Skills» von Copilot in der Word-App (wo ich das Label gesetzt hatte) nicht funktioniert haben – d.h. die Canvas-Funktionen wie Umschreiben oder Text in Tabelle haben nur endlos «gedreht» und auch der Chat rechts in Word hat endlos versucht eine Antwort zu generieren. ⌛


☝🏻 ABER: bei den meisten Versuchen gab es keine Veränderungen im Verhalten von Copilot, trotz diverser Checks im Purview-Portal, in PowerShell sowie direktes Nachfragen bei Copilot. Was mir zudem aufgefallen ist: Es braucht immer einige Stunden, bevor die Synchronisierung abgeschlossen ist und Purview die Richtlinie über den ganzen Tenant angewendet hat. Ebenfalls solltet ihr darauf verzichten, zuerst ein neues Sensitivity Label zu konfigurieren und gleich anschliessend die DLP Richtlinie einzurichten, denn dann schlägt die Synchronisierung erst recht fehl. ⛔


PowerShell-Check ob DLP aktiv
PowerShell-Check ob DLP aktiv

Bestätigung in Purview
Bestätigung der DLP in Purview

 

🛠️ Schritt-für-Schritt: So richtet ihr die DLP-Richtlinie ein


  1. Geht ins Microsoft Purview-Portal

    👉🏻 https://purview.microsoft.com


  2. Stellt sicher, dass euer Sensitivity Label korrekt konfiguriert ist

    • Navigiert zu «Information Protection» > Richtlinien > Richtlinien zur Veröffentlichung

    • Es muss veröffentlicht und für die betroffenen Benutzer sichtbar sein.


  3. Navigiert zu «Verhinderung von Datenverlust» > «Richtlinien»


  4. Erstellt eine neue benutzerdefinierte Richtlinie

    • Wählt als Ziel«Microsoft 365 Copilot»

    • ⚠️ Wichtig: Wenn ihr Copilot als Ziel auswählt, könnt ihr keine anderen Speicherorte (wie Exchange oder SharePoint) in derselben Richtlinie hinzufügen.


  5. Fügt eine Bedingung hinzu:

    • «Inhalt enthält Sensitivity Label»

    • Wählt euer Label (z. B. «Private») aus


  6. Aktion festlegen:

    • Wählt «Verarbeitung durch Copilot blockieren»


  7. Richtlinie benennen, überprüfen und veröffentlichen

 

 

🧾 Fazit


Die neue DLP-Richtlinie für Microsoft 365 Copilot in Microsoft Purview bietet eine gezielte Möglichkeit, sensible Inhalte auf Dateiebene vor der Verarbeitung durch Copilot zu schützen – und das auf Basis bestehender Sensitivity Labels. Besonders überzeugend ist die Einfachheit der Konfiguration: eine Bedingung, eine Aktion. Das macht die Richtlinie leicht verständlich und schnell einsetzbar. 🚀

 

Gleichzeitig zeigt sich, dass die Funktion noch nicht ganz ausgereift ist. Im Public Preview treten vereinzelt Inkonsistenzen auf, etwa bei der Synchronisierung oder der tatsächlichen Wirkung der Richtlinie in Copilot. Ich bin sehr gespannt, wie sich die DLP entwickeln wird und werde die Praxistauglichkeit über die nächste Zeit hinweg weiter testen. 👨🏻‍💻

 
 
 

Kommentare

🔔 Jetzt Abo dalassen und nichts mehr verpassen!

Logo Green.png

Vielen Dank für's Abonnieren! 👍🏼

Datenschutz

bottom of page