MT LogoMichél
M365 Governance: Die Minimal-Baseline, mit der Sie 80 Prozent des Chaos vermeiden
M365
16. Mai 2026
7 Min. Lesezeit

M365 Governance: Die Minimal-Baseline, mit der Sie 80 Prozent des Chaos vermeiden

Zurück zum Blog
M365

Governance in Microsoft 365 wird gerne aufgeschoben, weil sie nach einem Großprojekt klingt. In Wirklichkeit decken vier Minimalregeln den Großteil der Risiken ab — und mit der Einführung von Microsoft 365 Copilot wird ihr Fehlen zum messbaren Qualitätsproblem.

Es gibt einen Satz, der in fast jeder M365-Beratung früher oder später fällt: „Wir müssten mal Governance angehen.“ Was die Person, die das sagt, meistens meint, ist nicht ein formales Governance-Projekt, sondern ein konkretes Unbehagen. Teams-Gruppen wuchern. Niemand weiß mehr, welche SharePoint-Site noch aktiv ist und welche nicht. Externe Gäste haben Zugriffe, an die sich keiner mehr erinnert. Und Copilot liefert seit kurzem Antworten, die offenbar aus Dokumenten kommen, die längst archiviert sein sollten.

Das Gefühl ist berechtigt. Der Lösungsweg wird allerdings oft zu groß gedacht. Governance gilt als Themenkomplex, der ein Konzeptpapier, eine Policy-Bibliothek und sechs Monate Vorlauf braucht. Genau deshalb passiert es selten.

Die unbequeme Wahrheit: Für etwa 80 Prozent der typischen M365-Probleme reichen vier Regeln aus, die sich in wenigen Wochen einführen lassen. Der Rest ist Optimierung — sinnvoll, aber nicht akut. Dieser Post beschreibt, welche vier Bereiche das sind, was sich konkret tun lässt und was Sie ohne Verlust erstmal weglassen können.

Warum die Dringlichkeit gerade steigt

Lange Zeit war M365-Governance ein Ordnungsthema. Wenn jemand eine Datei nicht mehr fand oder eine Teams-Gruppe nicht mehr gepflegt wurde, war das ärgerlich, aber kein Geschäftsrisiko. Mit der Einführung von Microsoft 365 Copilot ändert sich diese Bewertung — und zwar deutlich.

Copilot durchsucht den gesamten Tenant nach Inhalten, auf die ein Nutzer Zugriff hat, und nutzt diese Inhalte zur Beantwortung von Fragen. Das bedeutet: Veraltete Dokumente, falsch abgelegte Entwürfe, vergessene SharePoint-Sites — all das fließt potenziell in jede Copilot-Antwort ein. Aus einem Ablage-Chaos wird ein Informationsqualitätsproblem mit direkter Auswirkung auf Entscheidungen.

Wer Copilot ernsthaft einsetzen will, muss vorher eine Grundordnung schaffen. Andernfalls wird das KI-Werkzeug zur Verstärkung des bestehenden Chaos — und das Vertrauen in die Antworten leidet schnell.

Die vier Bereiche, die zuerst zählen

1. Namens- und Lifecycle-Konventionen für Teams und Sites

Die häufigste Ursache für unübersichtliche M365-Tenants: Teams und SharePoint-Sites werden ohne einheitliche Konvention angelegt. Nach zwölf Monaten existieren Dutzende von Gruppen mit unklarem Inhalt, ohne erkennbaren Verantwortlichen und ohne Hinweis darauf, ob sie noch genutzt werden.

Was als Minimum hilft:

  • Einheitliches Namensschema — Zum Beispiel ABT-Projekt-Thema oder Kunde-Vorgang-Jahr. Vorgegeben durch eine Policy, technisch durchgesetzt durch Provisioning-Vorgaben im Admin Center.
  • Mindestens zwei benannte Owner pro Team und Site — Ohne Owner kein Zugriff für neue Mitglieder. Verlässt der einzige Owner das Unternehmen, hängt die Verantwortung sonst in der Luft.
  • Halbjährliche Lifecycle-Reviews — Eine kleine Power-Automate-Routine fragt alle 180 Tage bei den Owners nach: „Wird das noch aktiv genutzt?“ Bei ausbleibender Antwort wird die Site oder das Team nach einer Vorlauffrist archiviert.

Das klingt banal. Es ist banal. Und genau deshalb funktioniert es.

2. Externe Freigaben bewusst steuern

In den Standardeinstellungen sind die externen Freigabe-Optionen von M365 relativ offen. In vielen Tenants können Mitarbeitende ohne Rücksprache externe Gäste einladen, Dokumente per anonymem Link teilen oder ganze SharePoint-Sites freigeben.

Die Minimal-Regeln:

  • Definierter Prozess für Gast-Einladungen — Anfrage per Formular oder Ticket, kurze Prüfung durch IT oder Bereichsverantwortliche, befristeter Zugriff mit klarem Ablaufdatum.
  • Defaults anpassen — In den SharePoint- und OneDrive-Admin-Einstellungen die externe Freigabe auf „nur vorhandene Gäste“ oder zumindest „neue und vorhandene Gäste“ beschränken. „Jeder mit dem Link“ sollte technisch unterbunden sein.
  • Quartalsweise Gäste-Reviews — Welche externen Konten sind noch aktiv? Welche wurden seit Monaten nicht mehr genutzt? Wer das nicht regelmäßig prüft, sammelt im Jahr mehrere hundert vergessene Zugriffe an.

Externe Freigaben sind kein Bug, sondern ein Feature von M365. Aber sie müssen aktiv gesteuert werden — sonst wandern Angebote, Verträge und interne Unterlagen unkontrolliert nach außen.

3. SharePoint-Verantwortlichkeiten klären

Schatten-Intranets entstehen nicht aus böser Absicht. Sie entstehen, weil das Anlegen einer SharePoint-Site so einfach ist, dass es regelmäßig ohne strukturelle Überlegung passiert. Drei Jahre später hat der Tenant 400 Sites, von denen vielleicht 80 noch aktiv betreut werden.

Die wichtigste Regel: Jede SharePoint-Site braucht einen namentlich benannten Verantwortlichen. Ohne Verantwortlichen wird keine neue Site angelegt. Verlässt ein Verantwortlicher das Unternehmen, gibt es einen Eskalationspfad, der innerhalb von 30 Tagen einen Nachfolger oder eine Archivierung erzwingt.

Das setzt voraus, dass es überhaupt einen Überblick gibt. Das SharePoint Admin Center reicht im Einstieg vollkommen aus — eine separate Governance-Plattform ist nicht nötig. Wichtig ist nur, dass jemand regelmäßig in den Bestand schaut und ein Auge auf neue Sites hat.

Optional, aber wertvoll: Hub-Sites für thematisch zusammengehörende Bereiche (Abteilungen, Standorte, Produktlinien). Das hält die Navigation übersichtlich und unterstützt die spätere Anwendung von Berechtigungs-Vererbung.

4. Sensitivity Labels: minimal anfangen

Microsoft Purview Information Protection klingt nach Enterprise-Projekt — und kann es auch werden, wenn man falsch einsteigt. Dreißig-stufige Label-Hierarchien mit vollautomatischer Klassifizierung sind ein Folgeschritt, kein Startpunkt.

Was am Anfang reicht:

  • Drei Labels, mehr nichtIntern als Standard für alles Reguläre, Vertraulich für sensible Daten (Personal, Finanzen, Kundenverträge), Öffentlich für explizit freigegebene Inhalte.
  • Eine DLP-Regel pro Sensitivitätsstufe — Vertrauliche Dokumente dürfen nicht per unverschlüsseltem Link extern geteilt werden, vertrauliche Inhalte werden in der E-Mail-Vorschau gewarnt.
  • Klare Anwendungsregeln, kommuniziert in einer Seite — Wer entscheidet, welches Label welcher Inhalt bekommt? Welche Defaults gelten?

Auto-Labeling, Trainable Classifiers und tiefe Integration mit externen Datenklassifizierungs-Tools sind sinnvolle Erweiterungen — aber erst, wenn die Basis sitzt und im Betrieb verankert ist.

Was Sie zunächst weglassen können

Genauso wichtig wie die vier Baseline-Regeln ist die Liste dessen, was nicht zum Einstieg gehört. Zwei besonders häufige Fehlinvestitionen:

Vollautomatisierte Provisioning-Portale. Ein Self-Service-Portal mit automatisiertem Teams-Provisioning, integrierten Genehmigungsworkflows und gekoppeltem Lifecycle-Management ist langfristig sinnvoll. Kurzfristig kostet es Wochen Einrichtungsaufwand und blockiert den Fortschritt in den eigentlichen Problembereichen. Ein manueller Prozess, der konsequent gelebt wird, schlägt einen automatisierten Prozess, den niemand nutzt.

30-Seiten-Governance-Richtlinien. Policy-Dokumente haben ihren Platz — aber ein langes PDF, das einmal verfasst, einmal in SharePoint abgelegt und nie wieder geöffnet wird, ist keine Governance, sondern Aktivität. Besser sind zwei Seiten mit klaren, lesbaren Regeln, die Führungskräfte verstehen und in ihre Teams tragen können.

Zur Veranschaulichung der Prioritäten:

Jetzt angehenErstmal vertagen
Namensschema und Owner-PflichtVollautomatisches Provisioning
Definierter Gästezugriff-Prozess30-seitige Richtliniendokumente
Site-Verantwortlichkeiten30+ Label-Hierarchien
Drei Sensitivity LabelsAuto-Labeling und Klassifizierungs-Pipelines

Was die Baseline messbar bewirkt

Die vier Regeln haben einen entscheidenden Vorteil: Sie wirken sofort, nicht erst nach einem Jahr Vorlaufzeit. Innerhalb der ersten 90 Tage nach konsequenter Einführung lassen sich typischerweise mehrere Effekte beobachten:

  • IT-Support-Tickets rund um Berechtigungen und „Wer ist eigentlich für diese Site verantwortlich?“ gehen spürbar zurück
  • Externe Freigabe-Vorfälle reduzieren sich oder werden frühzeitig in Reviews erkannt
  • Copilot-Antworten werden verlässlicher, weil weniger veralteter und falsch abgelegter Inhalt im Index landet
  • Neue Mitarbeitende finden sich schneller zurecht, weil die Struktur erkennbar ist
  • Audits und Compliance-Prüfungen werden weniger schmerzhaft, weil die Grundstruktur belastbar dokumentiert ist

Governance ist kein Selbstzweck. Sie ist die Grundlage, auf der produktive Zusammenarbeit funktioniert — und die Voraussetzung dafür, dass KI-Werkzeuge wie Copilot überhaupt verlässliche Ergebnisse liefern können.

Was ich für Sie entwickle

Ich unterstütze mittelständische Unternehmen dabei, die M365-Baseline in einem Quickstart-Format zu etablieren — pragmatisch, ohne Monatsprojekt, mit klar definierten Ergebnissen.

Ist-Stand-Analyse — Sichtung von Tenant-Konfiguration, Berechtigungsstruktur, Site-Bestand und bestehenden Richtlinien. Welche der vier Bereiche sind am dringendsten?

Minimal-Policies dokumentieren — Zwei bis vier Seiten, in einer Sprache, die Führungskräfte und Mitarbeitende verstehen. Kein Juristendeutsch, keine Fußnoten-Wüsten.

Technische Umsetzung im Tenant — Konfiguration im M365-Admin-Center, SharePoint Admin Center, Purview-Portal. In den meisten Fällen ohne Custom Development.

Lifecycle-Automatisierung mit Power Automate — Halbjährliche Owner-Reviews, Quartals-Gäste-Reviews, einfache Notifizierungen für Site-Verantwortliche.

Team-Enablement — Eine 60-minütige Einführung für Führungskräfte und Key User, damit klar ist, was gilt und warum.

Der Aufwand für die Baseline liegt typischerweise im Bereich von zwei bis vier Wochen — abhängig von Tenant-Größe und Ausgangslage. Kein Großprojekt, aber ein wirksamer Schritt.

Fazit

Governance muss kein Monatsprojekt sein. Die vier Bereiche — Namens- und Lifecycle-Konventionen, externe Freigaben, SharePoint-Verantwortlichkeiten und ein minimales Information-Protection-Setup — decken den Großteil der typischen M365-Risiken ab. Wer dort konsequent anfängt, hat innerhalb weniger Wochen ein deutlich aufgeräumteres Bild.

Mit der zunehmenden Verbreitung von Copilot wird diese Baseline keine optionale Aufgabe mehr, sondern eine Voraussetzung für sinnvollen KI-Einsatz. Schlechte Datenhaltung wird sichtbar, sobald ein KI-Assistent darauf zugreift — und sie wird teurer, je länger sie unbearbeitet bleibt.

Wenn Sie unsicher sind, wo in Ihrem Tenant am ehesten anzusetzen ist, sprechen Sie mich gerne an. Eine kurze Bestandsaufnahme reicht meistens, um die richtigen Prioritäten zu setzen.

Teilen:X / TwitterLinkedIn

Weiterlesen

Agent Loop in Azure Logic Apps: Wie aus klassischer Integration ein agentischer Workflow wird
M365
23. Mai 2026·12 Min. Lesezeit

Agent Loop in Azure Logic Apps: Wie aus klassischer Integration ein agentischer Workflow wird

Agent Loop bringt agentische KI in das Logic-Apps-Universum: Modelle aus der GPT-5-Reihe oder dem Foundry Agent Service können selbständig auf das gesamte Logic-Apps-Konnektor-Ökosystem zugreifen. Dieser Post erklärt, wie das Feature aufgebaut ist, welche Anwendungsfälle sich damit erschließen und was es bei produktivem Einsatz zu beachten gibt.

Weiterlesen
Microsoft Foundry verstehen: GPT-5, Reasoning-Modelle und der Agent-Stack im Überblick
M365
23. Mai 2026·14 Min. Lesezeit

Microsoft Foundry verstehen: GPT-5, Reasoning-Modelle und der Agent-Stack im Überblick

Microsoft Foundry (bis Anfang 2026 noch Azure AI Foundry) hat sich in zwei Jahren von einer Modell-Spielwiese zu Microsofts zentraler Enterprise-KI-Plattform entwickelt. Dieser Post erklärt die GPT-5-Reihe, die Reasoning-Modelle und den Agent Service — ohne Marketing-Filter, mit realistischen Mittelstand-Anwendungsfällen.

Weiterlesen