Office 365 / SharePoint: Kontrollierte Einführung von Copilot in Unternehmen

Neue Technologien und Möglichkeiten bringen oft neben zahlreichen Verbesserungen von Geschäftsprozessen (leider) oft auch neue Herausforderungen bzw. Risiken mit, die beachtet und gelöst werden müssen.

Dies gilt auch für die aktuell im hype-befindliche "Künstliche Intelligenz" (kurz: KI). In vielen Software-Anwendungen werden vermehrt KI-gestützte Funktionen angeboten, die den Benutzer bei bestimmten Aufgabenstellungen unterstützen sollen. Dies gilt auch für Microsoft Office 365 / SharePoint Online und der Erweiterungen mit Copilot. Zu unterscheiden ist hierbei zwischen Copilot Chat und Copilot 365. Bei der Chat-Variante handelt es sich um eine kostenlose Version, die jeder Office 365 Benutzer mit seiner bestehenden Lizenz verwenden kann. Die Chat Variante ist zunächst im Hinblick auf interne Unternehmensdaten unkritisch, da hier nur auf öffentlich verfügbare Informationen zugegriffen wird. D. h. ein sog. "Grounding" der Unternehmensdaten ist nicht inbegriffen. Copilot Chat ist also zusammengefasst ein kostenloser, webbasierter KI-Assistent, der Informationen aus dem Internet nutzt, während Microsoft 365 Copilot ein kostenpflichtiges Add-on ist, das KI-Funktionen in Microsoft 365-Anwendungen integriert und ein Grounding der Unternehmensdaten ermöglicht bzw. verwendet. Das folgende Video zeigt u.a. die neuen Funktionen in SharePoint Online.

Daher ist bei der Einführung von Copilot 365 im Unternehmen etwas mehr Vorsicht und eine gute Planung hinsichtlich der Verwendung notwendig, da auch ein Zugriff auf Organisationsdaten möglich ist. Neben der reinen technischen und sicherheitsrelevanten Betrachtung bei der Einführung sollten im Vorfeld auch die Lizenzkosten beachtet werden. Um die erweiterten Copilot 365 Funktionen nutzen zu können, ist eine Lizenz erforderlich. Dabei handelt es sich nicht um eine klassische Lizenz für ein Produkt, sondern um eine zusätzliche Lizenz (Add-on) zu einer bestehenden Office 365 Lizenz. Die aktuellen Preise sind hier zu finden: Übersicht Copilot Preise


Vor der geplanten Einführung sollten die zusätzlichen Lizenzkosten berechnet werden, damit nicht am Ende der Planung eventuell eine (negative) Überraschung bezüglich laufender Lizenzkosten aufkommt. Zu beachten ist hierbei, dass nicht zwingend jeder Benutzer eine Lizenz benötigt, sondern es existiert auch ein nutzungsbasiertes Abrechnungsmodell für die Verwendung eines Agenten. Somit reduzieren sich die Kosten, da nicht jeder eine vollwertige Copilot Add-On Lizenz benötigt, nur um einen Agenten zu befragen. Weitere Informationen zu diesem Abrechnungsmodell können der folgender Seite entnommen werden: Microsoft 365 Copilot pay-as-you-go overview for IT admins

Sind die Lizenzkosten und die Benutzer identifiziert, die eine Copilot-Lizenz benötigen, kann mit der Planung für die weitere Einführung fortgesetzt werden.

Speziell in SharePoint stehen einige neue Funktionen zur Verfügung, um den Benutzer bei der Erledigung von allgemeinen Aufgaben zu erleichtern. Aber es bestehen auch einige Risiken, die VOR der Einführung und Verwendung betrachtet, bewertet und ggf. behoben werden sollten. Neben der reinen technischen Einführung sollten auch Aspekte bezüglich der Verwendung und Akzeptanz im Unternehmen geschaffen werden. Was nutzen sonst KI-gestützte Prozesse, wenn Anwender diese nicht effektiv nutzen können?

Technische Einführung und Risiken

Ein wichtiger Punkt bei der Einführung von Copilot 365 ist der Datenzugriff. Damit die "KI" gut arbeiten und antworten kann, benötigen die KI-Modelle Zugriff auf Datenquellen. Zunächst ist klarzustellen, dass Copilot 365 - im übrigen genauso wie die SharePoint Suche - bei Anfragen die Zugriffsrechte des Benutzers auswertet und respektiert. D. h. es werden nur Inhaltsquellen für die Generierung der Antworten verwendet, auf die der anfragender Benutzer auch Zugriffsrechte hat. Die untere Abbildung verdeutlicht die Datenzugriffe durch Copilot Agenten. Dies setzt allerdings voraus, dass eine saubere Rechtestruktur innerhalb des Office 365 Mandanten etabliert wurde. Ist dies nicht der Fall, können nun versehentliche Freigaben auf Daten durch Copilot-Anfragen schnell zu Tage treten. Gerade im SharePoint Bereich können "falsche" Berechtigungen bzw. nicht durch die IT-Administration kontrollierbare Zugriffe durch das einfache Teilen von Inhalten entstehen.

Abruf von Daten bei Anfragen (Quelle: User access and data privacy)

Werkzeuge für Datensicherheit

Copilot verwendet und respektiert alle möglichen Sicherheits- und Zugriffsregeln die im Office 365 Umfeld getroffen werden können. Konkret bedeutet dies das die folgenden Einstellungen berücksichtigt werden:

  • SharePoint Berechtigungen
  • Microsoft Purview Vorgaben
  • Microsoft Bedingte Zugriffe (Conditional Access policies)
  • Microsoft Entra Privileged Identity Management (PIM)
  • Microsoft Intune
  • Microsoft Defender for Cloud App Security
  • Microsoft Entra ID Governance

Somit stehen genügend Werkzeuge bereit, um den Zugriff auf Daten durch den Copilot zu kontrollieren.

Berechtigungen auf Daten

Auch sind übermäßige Berechtigung auf Daten, auch wenn der Benutzer theoretisch darauf zugreifen darf - diese aber nicht für seine Arbeit benötigt, für den Copilot eher negativ. Hier sollte vor der Einführung ein besondere Betrachtung und Risikobeurteilung erfolgen. Dabei sind die folgenden Bereiche und Einstellungen zu überprüfen:

  • SharePoint Site Einstellung
  • Einstellung für das Teilen von Inhalten
  • dedizierte Berechtigungen
  • Verwendung der "Alle" (Everyone) Berechtigungsgruppe
  • Fehlende Purview Kennzeichnungen (Labels)

Es sollten nicht alle SharePoint Sites mit allen geteilt werden (Public to everyone), wenn es nicht unbedingt notwendig ist. SharePoint Sites sollten speziell für die Zielgruppe berechtigt werden. Somit sollte die Gruppe "Alle" (Everone) möglichst wenig, bzw. z. B. nur für die Intranet-Homepage Site, verwendet werden. Die Möglichkeit der Teilung von Inhalten (Sharing options) sollte möglichst restriktiv eingesetzt werden. Wenn innerhalb eines Office 365 Mandanten die Berechtigungsstruktur strukturiert etabliert wurde, müssen i. d. R. keine Inhalte explizit geteilt werden. Auch die übermäßige Verwendung dedizierter Berechtigungen, in dem die Berechtigungsvererbung unterbrochen wird, führt zu schwer kontrollierbaren und komplexen Berechtigungsstrukturen. Alle Inhalte sollten durch Purview-Labels gemäß ihrer Sicherheitseinstufung markiert werden. Die Labels werden auch von Copilot-Agenten beachtet, wenn z. B. neue Inhalte basierend auf geschützte Inhalte automatisiert erstellt werden.

Ebenfalls ist die Datenqualität von entscheidender Bedeutung für eine erfolgreiche Einführung von Copilot 365 im Unternehmen. Dabei kommt es nicht darauf an, dass möglichst viele Daten zur Verfügung stehen, sondern das diese auch alle aktuell und gültig sind. Veraltete Daten führen in der Regel nur zu Verwirrungen, wenn diese in generierten Antworten von Agenten verwendet werden.

Begrenzung der SharePoint Suche (Restricted SharePoint Search) 

Um das Risiko einer möglichen Datenpanne oder falscher Antworten zu reduzieren sollte die Copilot 365 Einführung in Schritten erfolgen. Optional kann zunächst mit einer Pilot-Einführung begonnen werden. Dabei sollten die meist verwendeten SharePoint Sites identifiziert werden und die Berechtigungen im Detail geprüft und ggf. angepasst werden. Auf diese Sites kann dann der Copilot zugelassen werden. Um die Zugriffe auf Inhalte zu reduzieren, können über die Funktion "Eingeschränkte SharePoint Suche" (Restricted SharePoint Search)  bis zu 100 ausgesuchte SharePoint Site gewählt werden. Nur diese SharePoint Sites werden dann von der SharePoint Suche und Copilot ausgewertet. Mit der eingeschränkten SharePoint-Suche können Administratoren die unternehmensweite Suche einschränken und gezielt SharePoint-Websites für die Verarbeitung in der Suche auswählen. Diese ausgewählten Websites sowie die eigenen und zuvor aufgerufenen Dateien und Inhalte des Benutzers sind dann in der Suche und in Copilot verfügbar. Das bedeutet, dass Benutzer einer Organisation unabhängig davon, ob sie die Enterprise-Suche oder die eingeschränkte SharePoint-Suche aktiviert haben, weiterhin mit ihren OneDrive-Informationen in Copilot interagieren können. Standardmäßig ist die eingeschränkte SharePoint-Suche deaktiviert. Wird diese aktiviert, können sowohl Copilot- als auch Nicht-Copilot-Benutzer Inhalte von folgenden Websites finden und verwenden:

  • Eine von Administratoren eingerichtete Liste zulässiger SharePoint-Websites (mit bis zu 100 SharePoint-Websites) unter Berücksichtigung der bestehenden Berechtigungen der Websites.
  • OneDrive-Dateien der Benutzer, Chats, E-Mails, Kalender usw.
  • Eigene erstellte, bearbeitete oder angezeigte Dateien.
  • Dateien von häufig besuchten SharePoint-Websites.
  • Dateien, die direkt für einen Benutzer freigegeben wurden.

Zu beachten ist, dass die Gesamtzahl der Dateien, die in den letzten drei Aufzählungspunkten enthalten sind, auf die letzten 2.000 Einträge beschränkt sind. Der Grenzwert von bis zu 100 SharePoint-Websites umfasst Hub-Websites, aber nicht die zugehörigen Websites. Wenn Hubwebsites aktiviert sind, werden die zugeordneten Websites einer Hubwebsite in die Zulassungsliste aufgenommen, aber diese wirken sich nicht auf die Berechnung der Gesamtzahl aus. Dieser Ansatz ermöglicht eine größere Flexibilität bei gleichzeitiger Einhaltung der bestehenden Einschränkungen. Wenn Hub-Websites ausgewählt werden, muss sichergestellt sein, dass alle zugeordneten Websites über entsprechende Berechtigungen verfügen. Das untere Video zeigt die Verwendung der eingeschränkte Suche und wie diese konfiguriert wird.

Aktivierung und Konfiguration der eingeschränkten Suche

Die Pilot-Phase sollte dann über eine gewisse Zeitspanne überwacht werden, um mögliche Risiken  oder Probleme erkennen zu können. 

Mögliche Probleme

Werden die möglichen Daten-, Zugriffs- und Teilungsprobleme nicht im Vorfeld gelöst, kann es zu folgenden Problemen führen:

  • Benutzer erhalten Antworten die Informationen oder Anweisungen erhalten, die für ihre Arbeit nicht relevant sind.
  • Falsche und nicht zielführende Inhaltsteilung.
  • Falsche oder veraltetet Antworten

Werden zum Beispiel veraltete Daten weiterhin in der Datenquelle für einen Agenten verwendet, z. B. eine veraltete Montageanleitung, können Anfragen bezüglich des Aufbaus zu falschen bzw. veralteten Daten führen.

https://adoption.microsoft.com/de-de/scenario-library/ https://adoption.microsoft.com/en-us/microsoft-365-community-conference-resources/?filter=developer

Kommentare

Kommentar veröffentlichen

Beliebte Posts aus diesem Blog

Connect-SPOService: The remote server returned an error: (400) Bad Request

Bild
Today I ran in a problem during connection to a customer Office 365 tenant. I tried to connect via PowerShell (7) with the standard cmdlet "Connect-SPOService". But after I entered my valid credentials 😉 and confirmed the two-factor validation the command ends with: "The remote server returned an error: (400) Bad Request." 😒 Error message In my script I imported the SharePoint Online PowerShell module with: Import-Module Microsoft.Online.SharePoint.PowerShell To solve the issue I had to append -UseWindowsPowerShell Import-Module Microsoft.Online.SharePoint.PowerShell - UseWindowsPowerShell After this change I was able to connect to the customer SharePoint Online tenant. 😊 Happy scripting ...
Mehr anzeigen

SharePoint Online: Optimale Bildgrößen für Seiten (Teil 1)

Bild
Bilder sind ein wichtiger Faktor für einen gelungenen Web-Auftritt. Richtig eingesetzt sorgen Bilder für eine professionelle Darstellung des Inhalts. Konsumenten von Webseiten sind eher motiviert - auch längere Texte zu lesen - wenn ein passendes Bildmaterial die Inhalte zusätzlich transportiert. Dies gilt nicht nur für Internet-Webseiten - auch im Intranet sorgen professionelle Bilder dafür, dass Mitarbeiter eher motiviert sind, das Intranet zu verwenden. Zwar stehen im Intranet eher funktionale sowie inhaltliche Aspekte im Vordergrund, aber ein professionell eingesetztes Bildmaterial fördert die Verwendung des Intranets zusätzlich. SharePoint Online stellt mit der modernen Benutzeroberfläche, im Gegensatz zu der veralteten klassischen Ansicht, eine neue Version zur Verfügung, die so konzipiert ist, dass sie auf allen Geräten vollständig flexibel reagiert (fully responsive website). Die Inhalte werden dynamisch je nach verfügbarer Bildschirmgröße optimiert ausgegeben. Vereinfacht a...
Mehr anzeigen

Power Automate: Abrufen von SharePoint Listenelementen mit ODATA-Filter

Bild
Innerhalb eines Power Automate Flows im Bereich SharePoint kommt nicht selten die Aktion "Elemente abrufen" zum Einsatz. Diese ermöglicht das Auslesen einer SharePoint Liste. Die Aktion ist nicht ganz ungefährlich, da diese ohne weitere Konfiguration immer die gesamten SharePoint Listeninhalte verarbeitet und zurückliefert. Aus diesem Grunde sollte bei umfangreichen Listeninhalten immer ein Filter angewendet werden, der die Treffermenge reduziert. Dazu besitzt die Aktion eine Filtereigenschaft, wie in der nachfolgenden Abbildung erkennbar ist. Im Feld "Abfrage filtern" kann ein Filterausdruck angegeben werden, um die Treffermenge einzuschränken. Dabei muss der Filter mittels ODATA-Syntax definiert werden. Dazu ist kurz zu klären, was überhaupt ODATA ist. Das Open Data Protocol (OData) ermöglicht die Erstellung von REST-basierten Datendiensten, die es ermöglichen, mithilfe von Uniform Resource Identifiers (URIs) identifizierte und in einem Datenmodell definierte Ress...
Mehr anzeigen