top of page

SharePoint Advanced Management

  • Autorenbild: Fabio Bonolo
    Fabio Bonolo
  • vor 6 Minuten
  • 8 Min. Lesezeit

Governance, Sicherheit und KI‑Readiness im Fokus 🚀


Wenn ich mit Unternehmen daran arbeite Microsoft 365 Copilot einzuführen, fällt mir immer wieder eines auf: Datenqualität und Governance sind kein „Nice‑to‑have“, sondern ein grundlegender Erfolgsfaktor. Denn Copilot arbeitet nicht im luftleeren Raum, er stützt sich vollständig auf die Inhalte, die in eurem SharePoint und OneDrive liegen. Sind diese veraltet, unsauber strukturiert, ungeschützt oder intransparent, spiegelt sich das in der Antwortqualität von Copilot wider. 🤖


SharePoint Advanced Management (SAM) ergänzt eure SharePoint- und OneDrive-Umgebung um Funktionen, die ihr im Alltag wirklich braucht: Automatisierung, klare Verantwortlichkeiten im Business, bessere Zugriffssteuerung und ein feineres Verständnis dafür, was in eurer Umgebung passiert. Besonders hilfreich ist dabei der Fokus auf Site‑Ebene, denn dort entsteht die tägliche Realität eurer Daten, nicht in den Adminportalen. Mit SAM könnt ihr die Übersicht bewahren, Risiken minimieren und gleichzeitig sicherstellen, dass Copilot nicht mit veralteten oder ungeeigneten Daten arbeitet. 🌟


In diesem Blogartikel schauen wir auf die diversen Funktionen, ohne im Detail auf die einzelnen Konfigurationen einzugehen. Mir geht es darum sowohl für die IT, als auch für Endanwendende und Business Entscheider Transparenz zu schaffen und Wissen aufzubauen, wo und warum SAM helfen kann. 💡



💰 Was sind die Lizenzanforderungen?


Ganz Microsoft-untypisch reicht bereits eine einzige Microsoft 365 Copilot Lizenz aus, um SharePoint Advanced Management in eurem Tenant freizuschalten. Wichtig: Die Lizenz muss zwingend einem User zugewiesen sein! Habt ihr keine Copilot-Lizenz(en), dann benötigt ihr im Mindestens eine Microsoft 365 Enterprise-Lizenz (E1, E3 oder E5) sowie die Add-On Lizenz von SAM, welche 3$ pro Monat kostet. 💰


Habt ihr erstmal die notwendigen Lizenzen beschafft, könnt ihr sogleich in die Umgebung eintauchen und die diversen Features konfigurieren. Alle relevanten Funktionen findet ihr direkt im SharePoint Admin Center in der Navigation links unter "Advanced Management". Jedes SAM-Feature hat ein PRO-Symbol angeheftet, sodass ihr SAM schnell erkennen könnt.


Überblick SAM Features


Site Lifecycle Management: Ordnung und Verantwortlichkeit schaffen 🔄️


Je länger eine SharePoint‑Umgebung im Einsatz ist, desto stärker wächst sie, und desto schneller entsteht sogenannter Content‑Sprawl. Im Laufe der Zeit sammeln sich nämlich in jedem Unternehmen unzählige SharePoint‑Sites an. Manche bleiben aktiv, andere verwahrlosen oder werden schlichtweg vergessen. Und genau hier setzt das Site Lifecycle Management von SAM an: SAM bietet drei Policies, welche helfen, die gesamte Umgebung sauber und lebendig zu halten.


Site Lifecycle Management
Site Lifecycle Management

✨ Inactive Sites Policy - inaktive Seiten automatisiert eliminieren


1️⃣ Mit der Inactive Sites Policy könnt ihr sicherstellen, dass nicht (mehr) benutzte Sites nicht einfach vergessen werden. Nach einer definierten Zeit ohne Aktivität werden die Site Owners (im Normalfall Business-Endanwendende) automatisch benachrichtigt und müssen entscheiden: behalten, archivieren oder löschen? So verhindert ihr, dass alte Inhalte weiterhin in der Suche auftauchen oder Copilot in seinem Reasoning irritieren. Hier die wichtigsten Fakten: 👇🏻


  • Diese Policy erkennt automatisch Sites, auf denen für 1/2/3/6 Monate keine Aktivität stattfand

  • Eine Policy beschränkt sich auf maximal 100 SharePoint-Sites

  • Entweder als Vorlage mit Exklusion von Seiten aus der Policy oder mittels CSV-Upload mit den gewünschten Site-URLs konfigurierbar

  • E‑Mail‑Reminder an Site Owner, anpassbar mit Einrichtung einer No‑reply‑Mailadresse

  • Out‑of‑Scope: OneDrive, Root Site, Shared/Private Channels, App Catalog

  • Owner können bestätigen, archivieren oder löschen/retiren

    • M365 Archive erforderlich für automatische Site-Archivierung

  • Policies analysieren Aktivitäten auch aus mit der Site verbundenen Diensten wie Teams, Viva Engage und Exchange Mailboxen


E-Mail Benachrichtigung bei inaktiven Sites
Bearbeitbare E-Mail Benachrichtigung bei inaktiven Sites

✨ Site Ownership Policy - keine besitzerlosen Seiten mehr


2️⃣ Die Site Ownership Policy sorgt dafür, dass jede Site eine klare Verantwortlichkeit hat. Gerade bei Mitarbeiterwechseln entstehen schnell verwaiste Sites und damit Risiken. Wenn ich mir die SharePoint‑Landschaften vieler Unternehmen anschaue, sehe ich ein wiederkehrendes Muster: Sites ohne aktive Business-Besitzer. Die Policy prüft regelmässig, ob die von euch definierte Mindestanzahl Site Owner vorhanden ist, und fordert bei Bedarf eine Aktualisierung ein. 👇🏻


  • Die Policy stellt sicher, dass pro Site 1–2 Owner oder Admins zwingend hinterlegt sind.

  • Maximal 100 Sites können explizit von der Policy ausgeschlossen werden.

  • Die Policy überwacht permanent, ob noch genügend Owner vorhanden sind

  • Owner werden automatisch per E‑Mail aufgefordert, ihre Rolle zu bestätigen oder anzupassen.

  • Automatische Massnahmen greifen erst nach 3 Monaten Nicht‑Compliance.

  • Es erfolgt keine automatische Löschung. Mögliche Enforcement‑Aktionen sind „Read‑Only“, "archivieren" oder „keine Aktion“.

  • Die Policy gilt ausschliesslich für SharePoint‑Sites und ist nicht gültig für OneDrive, Root Site, Home Site, App Catalog und Tenant‑Admin‑Sites.

  • M365 Archive ist nötig, falls ihr automatische Archivierung nutzen wollt.

  • Ziel ist klar: Besitzerlose Sites verhindern, Governance sicherstellen und Datenqualität für Copilot erhöhen


Einrichtung der Site Ownership Policy
Einrichtung der Site Ownership Policy

✨ Site Attestation Policy - endlich eine gute Datenkultur!


3️⃣ Mit der Site Attestation Policy könnt ihr darüber hinaus sicherstellen, dass Sites regelmässig überprüft und bestätigt werden. Denn wenn ihr eure Umgebung nachhaltig sauber halten wollt, reicht es nicht, nur Owner festzulegen, ihr solltet auch sicherstellen, dass Sites regelmässig geprüft werden. Genau dafür ist die Site Attestation Policy gedacht.


  • Die Policy sorgt für regelmässige Überprüfung der Inhalte auf den Sites durch die Owner.

  • Ziel ist das Reduzieren von Oversharing und das Sicherstellen korrekter Einstellungen.

  • Bis zu 100 Sites können explizit aus einer Attestation‑Policy ausgeschlossen werden.

  • Owner werden automatisch benachrichtigt, wenn eine Überprüfung fällig ist.

  • Bei fehlender Attestation stehen Erzwingungsaktionen zur Verfügung: „Read‑Only“ oder „Archivieren“.

  • Auch hier gilt: M365 Archive ist nötig für automatische Archivierungen.

  • Ihr könnt damit sicherstellen, dass Copilot auf aktuelle, korrekte und überprüfte Inhalte zugreift.


Einrichtung der Site Attestation Policy
Einrichtung der Site Attestation Policy

Zugriffssteuerung & Sichtbarkeit 🛡️


Im Grundsatz gilt: Copilot greift auf Inhalte zu, auf die ihr als User berechtigt seid. Jedoch kann Copilot nicht nur ausschliesslich durch Berechtigungen gesteuert werden! Denn SAM bietet mehrere Funktionen, die nicht den Zugriff, sondern die Auffindbarkeit regeln, was entscheidend für die Qualität der Copilot-Antworten sein kann.


✨ Site-Level Access Restrictions - Zugriff und Sichtbarkeit auf Gruppenebene


👉🏻 Site-Level Access Restrictions sind dann wirkungsvoll, wenn ich besonders sensible Sites schützen will. Diese Einschränkungen auf Site-Ebene sorgen im Gegensatz zu klassischen Berechtigungen dafür, dass Sites für Unberechtigte schlicht unsichtbar werden. Das verhindert ungewollte Einsicht in sensible Bereiche und reduziert ganz nebenbei auch die Menge an potenziell verwertbarem Material für Copilot, ohne dass ich die eigentlichen Berechtigungen anfasse. 🛡️


  • Diese Einstellung verhindert versehentlichen Zugriff auf sensible Inhalte, indem Sites für nicht berechtigte Benutzer unsichtbar werden.

  • Der Zugriff erfolgt ausschliesslich über Gruppenmitgliedschaft (keine Einzeluser‑Zuweisungen). Gruppen können inkludiert und exkludiert werden.

  • Die Funktion ist nicht geeignet für externe Benutzer.

  • Sensitivity Labels werden nicht überschrieben.

  • Ihr erhöht damit die Sicherheit und kontrolliert gleichzeitig, welche Daten Copilot potenziell berücksichtigen kann.

  • Ideal für HR, Legal, Finance und alle Bereiche, die nicht sofort in Copilot’s Wissensraum auftauchen sollen.

Site-Level Access Restriction einstellen
Site-Level Access Restriction einstellen

✨ Restrict Content Discovery - was wirklich passiert (und was nicht)


👉🏻 Rein vom Namen her verspricht die Restrict Content Discovery (RCD) Richtlinie einiges, was sich viele Admins und Datenschützer wünschen. Nur leider funktioniert die Policy nicht so, dass einzelne SharePoint-Seiten komplett für Copilot "geblockt" werden. Lasst mich hier kurz erklären, was diese Policy tut und was nicht:


✔️ Was Restricted Content Discovery bewirkt:


  • Die Site erscheint nicht mehr in:

    • organisationweiten Suchresultaten

    • Microsoft Search

    • Microsoft 365 Copilot Business Chat

      ➡️ Ausser der Benutzer hat kürzlich damit interagiert.

  • Elemente aus der Site werden ebenfalls versteckt.

  • Benutzer können weiterhin Inhalte finden, die sie besitzen oder kürzlich geöffnet haben.


❌ Was Restricted Content Discovery nicht bewirkt:


  • Keine Änderungen an Berechtigungen

  • Kein Blockieren von Copilot

  • Keine Anwendung auf OneDrive

  • Keine Auswirkungen auf Empfehlungen innerhalb von Site‑Kontexten


💡 Das bedeutet konkret:

🔸 Copilot nutzt Inhalte dieser Site nicht als Kontext

🔸 die Site erscheint nicht mehr in der globalen Suche

🔸 Inhalte bleiben aber vollständig nutzbar, wenn ihr kürzlich damit gearbeitet habt oder sie euch gehören.


Diese Funktion ist besonders hilfreich, wenn ihr Inhalte habt, die noch nicht „Copilot‑ready“ sind, oder wenn ihr in Pilotphasen vorsichtig testen wollt. Gleichzeitig solltet ihr mit RCD bewusst umgehen. Wenn ihr zu viele Sites ausblendet, entzieht ihr Copilot die Informationen, die er benötigt, um präzise Antworten zu liefern. Übermässiger Einsatz der Richtlinie kann nämlich die Qualität von Copilot‑Antworten verschlechtern, da Copilot weniger Inhalte zum Grounding erhält.


Restrict Content Discovery (Copilot)
Restrict Content Discovery (Copilot)


✨ OneDrive Access Restriction - endlich (wahre) Kontrolle!


👉🏻 OneDrive ist oft der „Wild West“ einer Organisation, und genau deshalb ist die OneDrive Access Restriction so wertvoll. Mit ihr könnt ihr granular auf Gruppenebene festlegen, wer überhaupt OneDrive nutzen darf. Selbst ältere Datei-Freigaben werden dadurch eingeschränkt! Ihr könnt dadurch verhindern, dass Copilot Inhalte von OneDrive referenziert, die nicht für ein breiteres Publikum gedacht waren. 📂


  • Zugriff auf OneDrive kann nur für definierte Entra‑Sicherheitsgruppen erlaubt werden.

  • Ihr könnt maximal 10 Sicherheitsgruppen hinterlegen.

  • Die Einschränkung wirkt auch auf bestehende Freigaben – Freigaben bleiben, werden aber nur innerhalb der erlaubten Gruppen wirksam.

  • Dateien bleiben für Copilot sichtbar, können aber nicht geöffnet werden, wenn Zugriff fehlt.

  • Die Funktion ist nicht fein granular und nicht kompatibel mit M365‑Gruppen.

  • Ihr erreicht damit eine klare Zugangskontrolle und verhindert, dass Copilot Inhalte aus persönlichen OneDrives nutzt, die nicht zur gewünschten Wissensbasis gehören.


OneDrive Access Restriction im SharePoint Admin Center aktivieren
OneDrive Access Restriction im SharePoint Admin Center aktivieren

Data Access Governance Reports – Transparenz über Risiken und Datenqualität 📊


SAM bringt eine beeindruckende Sammlung an Berichten mit, die euch helfen, eure Umgebung besser zu verstehen und Risiken frühzeitig zu erkennen. Diese Reports sind gedeckelt unter den Data Access Governance Reports, die aufzeigen, wo potenzielles Oversharing stattfindet oder wo Inhalte sensible Labels tragen. Ihr könnt erkennen, welche Sites möglicherweise zu viele Berechtigungen haben, wo Freigabelinks Überhand nehmen oder wo sich Risiken über die Zeit aufgebaut haben. Es dauert jeweils ein paar Stunden, bis die gewünschten Reports generiert sind. Hier ein paar weitere Infos:


  • Momentaufnahme-Reports + 28‑Tage‑Aktivitätsberichte

  • Analyse von bis zu 10’000 Sites (ohne SAM deutlich weniger)

  • Daten müssen manuell aktiviert werden

  • Datenerfassung stoppt nach 3 Monaten ohne Bericht


Überblück über die verschiedenen Data Access Governance Reports
Überblück über die verschiedenen Data Access Governance Reports

Die Data Access Governance Reports sind entscheidend für Copilot‑Readiness:

👉🏻 Sie zeigen euch, wo Copilot potenziell zu viel sieht.

👉🏻 Sie helfen, Daten zu klassifizieren und Zugriffsmodelle zu bereinigen.


Dabei bietet euch diese Reporting-Funktion verschiedene, standardmässig eingebaute Datenanalysen. Dazu gehören: 👇🏻


  • Sharing Reports (Anyone Links / Org‑Links / Specific People)

  • Sensitivity‑Label Reports

  • Intern geteilter Content

  • OneDrive Accounts Report

  • Site Policy Vergleiche


👀 Diese Informationen sind für Admins wie ein Blick unter die Motorhaube eurer Umgebung: Ihr seht auf einen Blick, wo Risiken entstehen, wo Handlungsbedarf besteht und wie sich eure Governance über die Zeit entwickelt.


Beispiel Berechtigungsreport über alle SharePoint Seiten
Beispiel Berechtigungsreport über alle SharePoint Seiten

Admin-Logs - Änderungen nachvollziehen und Steuerung behalten 🛠️


Gerade in grossen Organisationen gibt es oft mehrere Administratoren oder komplexe Freigabestrukturen. Wenn plötzlich etwas anders funktioniert als gestern, hilft euch SAM, den Durchblick zu behalten.


Admin-Logs in SharePoint Advanced Management
Admin-Logs in SharePoint Advanced Management

🕝 Die Change History zeigt detailliert, wer welche Änderungen vorgenommen hat – sei es an Konfigurationen, Berechtigungen oder Site‑Einstellungen. Damit könnt ihr Probleme schneller einordnen und Verantwortlichkeiten klar nachvollziehen. Präzise Nachverfolgung von Änderungen auf Site‑ oder Organisationsebene:

  • bis zu 10 Berichte parallel

  • exportierbar als CSV

  • Filter für Site, Datum und Benutzer

  • 180‑Tage‑Fenster

  • nicht alle Einstellungen werden erfasst, Erstellung kann dauern

  • Perfekt für Audits oder zur Rückverfolgung von Problemen, die Copilot‑Ergebnisse beeinflussen.



⏮️ Die Recent Actions bieten eine schnelle Momentaufnahme der letzten Admin‑Aktivitäten. Für spontane Analysen oder schnelle Checks ist das unglaublich hilfreich und bietet folgende Abhilfen, ideal für schnelle Checks im Alltag:

  • unterstützt Fehleranalyse

  • kein vollständiges Audit Log

  • nur Admin‑Aktionen

  • keine Filter und kein Export


Recent Actions über aktive Seiten
Recent Actions über aktive Seiten

🔒 Mit Conditional Access auf Site‑Ebene könnt ihr zusätzlich besonders sensible Sites mit zusätzlichen Sicherheitskriterien aus Entra ID schützen. MFA, Geräteanforderungen oder Einschränkungen auf vertrauenswürdige Standorte lassen sich so gezielt pro Site durchsetzen. Das schafft Sicherheit für alle Inhalte, die Copilot nutzen könnte.

  • MFA, Geräte‑Compliance oder weitere Bedingungen erzwingbar

  • Integration mit Sensitivity Labels

  • Einschränkungen bei Apps (Teams Webinars, OneDrive Sync, OneNote etc.)

  • nur via PowerShell konfigurierbar



Fazit – der richtige Mix aus Usability und Governance 🎯


Am Ende geht es bei SharePoint Advanced Management nicht darum, eure Umgebung restriktiver zu machen, sondern intelligenter. Ihr schafft Strukturen, die euch helfen, Risiken zu reduzieren, Verantwortlichkeiten klarer zu definieren und die Datenqualität zu erhöhen. Dadurch stärkt ihr euer Bestreben, Copilot die Daten geben, die er braucht, um wirklich gute Arbeit zu leisten.


🌱 Enduser profitieren von klarer Struktur und weniger Chaos.

🛠️ IT‑Teams gewinnen Kontrolle und Automatisierung.

📊 Entscheider erhalten Transparenz, Sicherheit und klare Governance.

🤖 Copilot bekommt eine saubere Datenbasis – und liefert entsprechend bessere Antworten.

 
 
 

🔔 Jetzt Abo dalassen und nichts mehr verpassen!

Logo Green.png

Vielen Dank für's Abonnieren! 👍🏼

Datenschutz

bottom of page