Seit geraumer Zeit bietet Microsoft Teams zwei Optionen für geschlossene Benutzergruppen innerhalb einer größeren Organisation. Sowohl private Teams als auch private Kanäle bieten Vertraulichkeit für den Austausch sensibler oder interner Themen.

Aber welche dieser Optionen nehme ich wofür? Argumente, die dabei zu berücksichtigen sind, hat Gregory Zelfond schoin vor einiger Zeit zusammengetragen. Aus meiner Sicht treffen die Anmerkungen immer noch zu:

[A new Team or a Private Channel? | SharePoint Maven]
https://sharepointmaven.com/a-new-team-or-a-private-channel/

Einen grundlegenden Überblick über private Kanäle und Teams gibt es hier:

[Standard, private, or shared channels in Microsoft Teams – Microsoft Support]
https://support.microsoft.com/en-us/office/standard-private-or-shared-channels-in-microsoft-teams-de3e20b0-7494-439c-b7e5-75899ebe6a0e

[Create a team from scratch in Microsoft Teams – Microsoft Support]
https://support.microsoft.com/en-us/office/create-a-team-from-scratch-in-microsoft-teams-174adf5f-846b-4780-b765-de1a0a737e2b

Jetzt geht’s ab: Videos generieren mit dem Visual Creator des M365 Copilot.

Der Visual Creator im Copilot (Business) Chat bietet jetzt an, Videos zu erstellen.

Wer jetzt allerdings erwartet, Sora-like neues Videomaterial aus seinen Textanweisungen erzeugt zu bekommen, der wird vielleicht ernüchtert. Der Visual Creator nutzt eine Menge Stock-Videos, um diese zusammenzuschneiden. Die Leistung steckt im Skript für die Vertonung und deren Erzeugung sowie in der Identifikation passender Videoschnipsel. Das Ergebnis ist gar nicht so verkehrt – und optisch eben besser als neu gerenderte KI-Videos, da echtes Material verwendet wird. … weiterlesen

Kürzlich wurde mir auf LinkedIn die Frage gestellt, ob oder wann denn wohl die Spracheingabe für Copilot käme. In der Tat hatten wir die ja schonmal – ebenso wie die Möglichkeit, Bilder zu verarbeiten. Beides ging verloren im Zusammenhang mit der Umstellung des Copilot Chat von CDP (Commercial Data Protection) auf EDP (Enterprise Data Protection). Zumindest für die Bildverarbeitung ist das der Zusammenhang, bei der Spracheingabe bin ich nicht sicher.

Die Rückkehr der Bildverarbeitung ist angekündigt für die M365 Copilot Lizenz. Noch im Februar soll der Rollout einer Funktion starten, mit der wir bis zu 5 Bilder in OneDrive auswählen können, um sie beschreiben oder Text daraus extrahieren zu lassen [https://www.microsoft.com/en-us/microsoft-365/roadmap?id=469499]. Prompts zu diktieren steht ebenfalls kurz vor dem Rollout (ab März 2025) [https://www.microsoft.com/en-us/microsoft-365/roadmap?id=475968].

Allerdings kann man eigentlich schon immer auch mit anderen Mitteln Prompts einsprechen. Etwa in Word:

https://youtu.be/ist3xX05W1M

Eigentlich in so ziemlich allen Office Apps kann man diktieren. Hier OneNote Web:

Da das nur für die Inline-Prompts funktioniert, bleibt für die Sidebar noch die systemweite Spracherkennung als Option. Die kann ich in den Einstellungen zur Barrierefreiheit aktivieren:

Damit kann ich in beliebige Textfelder rein sprechen. Die Verarbeitung findet dabei lokal auf meinem Gerät statt, es wird nichts in die Cloud weitergeleitet. Für die Qualität der Erkennung wäre das aber vielleicht besser – man kann die lokale Maschine aber trainieren für die eigene Stimme.

Genau heute vor 25 Jahren erschien Windows 2000 auf dem Markt. Als Nachfolger von Windows NT machte es Ernst mit einigen Entwicklungen, die Microsoft schon länger in Arbeit hatte. Darunter war Active Directory als Verzeichnisdienst, der Microsoft endgültig in den Rechenzentren etablierte. Windows 2000 kam in drei Fassungen auf den Markt: Windows 2000 Professional, Server und Advanced Server. (Damals übrigens stand die Jahreszahl noch direkt hinter dem “Windows”.)

Wem auch immer man nun symbolisch gratulieren darf – alles Gute jedenfalls.

(Das nächste relevante Server-Jubiläum in der Microsoft-Welt ist der 29. November und betrifft Exchange Server.)

Man darf sich erinnert fühlen an die plötzliche „Aktivierung“ der DSGVO vor 7 Jahren: mit 2 Jahren Vorlauf werden Regeln plötzlich verbindlich. Im Februar 2025 sind das einige Bestimmungen des EU AI Act (mit nur einem halben Jahr Vorlauf). Diese gelten für „Anbieter und Betreiber von KI-Systemen“. Viele Unternehmen werden sich da vielleicht nicht direkt angesprochen fühlen, aber nach allgemeiner Lesart auch von IHKen und Arbeitnehmervereinen betreffen die Bestimmungen etwa zur AI Literacy alle Organisationen, in denen KI zum Einsatz kommt.

Was bedeutet das in der Praxis? Wenn KI-Systeme wie ChatGPT, Copilot (egal welcher) und andere im Arbeitskontext verfügbar sind, ist das Unternehmen verpflichtet, Nutzenden mindestens eine Grundlagenschulung einschließlich technischer, rechtlicher und ethischer Aspekte angedeihen zu lassen. Zwar gibt es noch keine Struktur, die die Einhaltung kontrolliert und ggf. sanktioniert. Abgesehen von der rechtlichen Vorgabe sind die vorgesehenen Maßnahmen aber in jedem Fall sowieso sinnvoll.

Da Microsoft ja nun den M365 Copilot Chat in alle Teams Clients spült, steht ohne weitere Regelungen potenziell allen Mitarbeitenden in Unternehmen mit M365 E3/E5 Lizenz ein KI-System „offiziell“ zur Verfügung. Was also ist zu tun?

Aus meiner Sicht mal mindestens eine Grundbesohlung in Form einer verpflichtenden Schulung vergleichbar einer Arbeitsschutz- oder Informationssicherheitsunterweisung; fester Bestandteil des Onboardings und für bestehende Mitarbeitende eine Pflichtveranstaltung, deren Teilnahme bestätigt werden muss. Inhalte sollten unter anderem sein:

• Grundlagen zu KI allgemein

• Grundlagen Generativer KI

• Grundlagen und Funktionsweisen von Sprachmodellen

• Grundlagen wissensbasierter KI

• Grundzüge des EU AI Act

• Aktueller Stand bzgl. Urheberrecht und Nutzungsrechten

• Hinweis auf DSGVO und die Verarbeitung personenbezogener Daten im KI-Prozess

Für viele Leute ist es im Job (oder auch privat) wichtig zu wissen, wann die Schulferien sind. Leider stehen die aber im Outlook-Kalender nicht drin.

Seit vielen Jahren gehört es daher bei mir zu Jahres-Routine, die Ferientermine einfach in meinen Kalender zu importieren. Meine Anleitung dazu von 2013 funktioniert auch immer noch tadellos – wenn du noch das „alte“ Outlook verwendest:

[Outlook: Schulferien-Termine importieren | faq-o-matic.net]
https://www.faq-o-matic.net/2013/02/20/outlook-schulferien-termine-importieren/

Für das „neue“ Outlook lädst du die ICS-Datei herunter, die in meiner Anleitung verlinkt ist, und importierst sie über Kalender – Kalender hinzufügen – Aus Datei importieren:

Ende Januar findet der Teams Community Day statt, eine verteilte Community-Konferenz zum MS-365-Universum im Allgemeinen und zu Teams im Speziellen. In einer Mischung aus Vor-Ort-Konferenzen und Online-Beiträgen bringt das Format die Community zusammen.

In Hannover wird es ein lokales Event geben, das am 28. Januar 2025 in den Räumen vom ATD Systemhaus stattfindet. Die Agenda ist aktuell in Planung, es steht aber schon fest, dass es spannende Sessions u.a. zu Teams und zu Microsofts Copilot geben wird. Die Planung und Organisation liegt bei der MS Cloud and Collaboration Community Hannover (MSCCCH).

Das Event ist kostenlos und öffentlich – kurze Anmeldung genügt.

[TeamsCommunityDay Hannover 2025]
https://atd-systemhaus.de/teamscommunityday2025

Kurz und knapp: Ich brauchte einen Jahreskalender in Excel und habe keine Vorlage gefunden, die das machte, was ich wollte. Da habe ich mir selbst eine gebaut.

Mein Jahreskalender ist klassisch nach Monaten und Tagen aufgeteilt mit einem Feld pro Tag, das beschreibbar ist. Oben links kann man eine Jahreszahl eintragen, der Kalender passt sich dann an.

Alle Felder mit Formeln sind gegen versehentliche Eingaben geschützt. Wer die Vorlage verändern möchte, hebt über das Menü Überprüfen/Schützen/Blattschutz aufheben den Schutz auf. An derselben Stelle kann man ihn dann wieder einschalten.

  Excel-Jahreskalender (11,8 KiB, 340-mal heruntergeladen, letzte Änderung am 10. Dezember 2024)

Ihr kennt sicher die Sorgenfalten, die sich einstellen, wenn klar wird, dass M365 Copilot der noch viel schlimmere Nachfahre von Delve ist. Delve? Was war das nochmal?

Delve als Vorgeschmack

Noch bis Mitte Dezember 2024, dann wird es zugunsten einer Bearbeiten-Funktion in den Personenkarten in den Ruhestand geschickt, ist Delve eine in vielen Unternehmen eilig abgeschaltete App in M365, die unter delve.office.com einen kleinen Einblick in die Möglichkeiten des Microsoft Graph bietet. Neben der willkommenen Funktion, meine persönlichen Informationen zu bearbeiten bis hin zu einem #Skillprofil (!), zeigt Delve mir auch, mit wem ich organisatorisch verbunden bin (Organigramm nach Manager im EntraID), viel zusammenarbeite (Signale dafür kommen z. B. aus Chats und Terminen) und woran diese Personen in meinem Umfeld so arbeiten (kürzlich bearbeitete Dokumente in Teams/SharePoint Online u.ä.).

Diese Informationsfülle ist hierzulande ein rotes Tuch und ruft den Betriebsrat und den Datenschutz auf den Plan. Dabei zeigt Delve mir nichts an, worauf ich keinen Zugriff habe oder was ich nicht selbst wissen kann. Und es zeigt das nur mir und nur meine Perspektive auf Daten. Wenn durchdiskutiert, hatte das eigentlich immer Bestand. Aber es soll hier eigentlich nicht um Delve gehen, sondern um M365 Copilot und die Fortsetzung dieser alten Risiken:

Copilot bringt es ans Licht

M365 Copilot nutzt den Microsoft Graph, um auf alle Informationen, Signale, Daten, Inhalte unseres M365 Tenants zuzugreifen. Ebenfalls strikt unter Beachtung meiner Berechtigungen habe ich so alles als Quelle für Antworten auf meine Anforderungen an die KI-Assistenz zur Verfügung, was im Graph angebunden ist. Das ist eine tolle Superpower. Kann aber auch dazu führen, dass mir Informationen ans Tageslicht gespült werden, von denen ich gar nicht wusste, dass es sie gibt. Weil Datenverantwortliche zu laxe Berechtigungen vergeben haben, zu breit geteilt haben („alle in der Organisation“) oder schlicht am falschen Ort gespeichert haben (öffentliches Team). Das sind organisatorische Missgeschicke, die passieren, oder auch systematische Schwächen in der Nutzung. Nichts davon kann dem technischen Produkt angelastet werden, das sich regelkonform verhält und die bestehenden Berechtigungen beachtet.

Die Sorge vor den Folgen von Oversharing und unkontrollierten Berechtigungsstrukturen ist zwar nicht neu, wird mit den Implikationen bei der Nutzung von M365 Copilot aber potenziert. Durchaus zu Recht stellen Unternehmen daher fest, dass sie hier erstmal Ordnung und Sicherheit schaffen müssen, bevor sie den nächsten Schritt in die Nutzung der KI-Assistenz gehen können (auch wenn das alles keine neuen Themen sind). Nun gibt es aber seit Mitte September ein Heftpflaster von Microsoft, mit dem wir M365 Copilot auf einem Auge blind machen können, um uns Zeit zu erkaufen für diese vorbereitenden Schritte: die SharePoint Restricted Search (SRS).

SRS als Pflaster

Mit SharePoint Restricted Search [Restricted SharePoint Search – SharePoint in Microsoft 365 | Microsoft Learn] können Administratoren eine Whitelist aktivieren von SharePoint Sites, die in der SharePoint Search und „verbundenen Erfahrungen“ wie Copilot verfügbar sind. Wir legen damit also fest, wo wir mit der Sensibilität der Inhalte und/oder der Belastbarkeit der Berechtigungsstrukturen so zufrieden sind, dass wir Copilot darauf loslassen wollen. Alles andere steht dann nicht als Quellen zur Verfügung.

Achtung: alles andere steht dann auch nicht für die Suchergebnisse der SharePoint Search und allen Apps, die die Enterprise Search nutzen, zur Verfügung! Die Liste sollte also tunlichst alle Sites des Corporate Intranets enthalten. Je nach Struktur und Organisationsgröße können dann auch mal die Begrenzungen der SRS ein Thema werden: maximal 100 Sites können auf der Liste stehen. Dabei zählen zu dort eingetragenen Hub-Sites gehörende Sites nicht einzeln:

• The limit of up to 100 SharePoint sites includes Hub sites, but not their associated sites. When you enable Hub sites, the associated sites of a Hub site are included in the allowed-list but do not count towards the 100-site limit. This approach allows for greater flexibility while still adhering to the existing constraints. When you are picking Hub sites, make sure all the associated sites have proper permissions.
• The total number of files included from the last three bullet points (frequently visited sites, files shared directly with the user, and files the users viewed, edited, or created) is limited to the last 2,000 entities.

Microsoft positioniert SRS als temporäre Maßnahme, um in die Nutzung von M365 Copilot zu starten, während begleitend das Data-Governance-Projekt läuft, das die nötigen Voraussetzungen in der Breite schafft. Geben wir uns also keinen Illusionen hin: an der Arbeit führt kein Weg vorbei. Aber Vorsicht: Provisorien halten bekanntlich meist am längsten …

Update Februar 2025: Inzwischen sind die angekündigten DLP-Funktionen mit Labels teilweise als Preview verfügbar: man kann jetzt DLP Policies aktivieren, die Copilot zwingen, entsprechend klassifizierte Dokumente (derzeit in SharePoint und OneDrive) nicht zu betrachten. In Kombination mit automatischer Klassifizierung mit RSA und RCD lassen sich so viele Sorgen rund um sensible Daten endlich gut behandeln. Ein entsprechendes Projekt zur Datenklassifizierung mit viel Aufklärung, Befähigung und Einordnung brauchen trotzdem noch die allermeisten Unternehmen dafür.

Wenn man automatisiert Benutzerkonten in einer AD-Umgebung erzeugt, kann es – je nach Methode – vorkommen, dass diese Konten keine Kennwörter haben. Das passiert etwa, wenn man solche Konten mit dem uralten Kommando csvde.exe erzeugt. Die Konten sind dann auch deaktiviert, es entsteht also keine direkte Gefahr. Es lauert aber eine – mit der man wahrscheinlich nicht rechnet.

Hinter den Kulissen setzen solche Tools nämlich oft ein Attribut bei den Konten, damit sie diese überhaupt mit leerem Kennwort erzeugen können, auch wenn die Kennwortrichtlinie das gar nicht zulässt. Das Attribut heißt “PasswordNotRequired” oder auch “PASSWD_NOTREQD”. Das Perfide daran: die grafischen AD-Tools zeigen das Attribut nicht an. Und auch sonst ist es nicht ganz einfach zu handhaben, es ist nämlich ein Flag in einem Binärfeld des AD, nämlich “userAccountControl” (mehr dazu findet sich bei Microsoft Learn).

Manche Schwachstellen-Scanner schlagen aber – zu Recht – an, wenn sie solche Accounts auffinden. Aber wie wird man das Attribut nun wieder los?

Da man es meist wohl einfach für alle Konten zurücksetzen will, habe ich hier ein Holzhammer-Skript. Es sucht alle Konten, bei denen das Flag gesetzt ist, und setzt es bei jedem dieser Accounts zurück. Am Ende prüft es noch mal, ob das auch geklappt hat.

$SuspectUsers = (Get-ADUser -Filter {PasswordNotRequired -eq $true})

$Count = $SuspectUsers.Count

"Found $Count suspect users."


$SuspectUsers | ForEach-Object {

    "Correcting $_.name ..."

    Set-ADUser $_ -PasswordNotRequired $false

}


$SuspectUsers = (Get-ADUser -Filter {PasswordNotRequired -eq $true})

$Count = $SuspectUsers.Count

"$Count suspect users left."