Alle Notizen
27. Mai 202612 Min. Lesedauercopilot-studioagent-governanceai-agentsmicrosoft-365complianceengineering

Governance ist der neue Agent-Bottleneck

Governance ist der neue Agent-Bottleneck

Ein kleiner KI-Assistent, der in Microsoft Teams lebt, im Chat antwortet, unter eigener Adresse E-Mails versendet und Ihre Unternehmensdateien liest. Vor zwei Jahren brauchte das Verdrahten eines solchen Agents wochenlange Klempnerarbeit. Bei Microsoft Build 2026 sah ich dasselbe in unter 25 Minuten live auf der Bühne entstehen. Diese Beschleunigung ist nicht die Geschichte, die ich mitnahm. Die Geschichte, zu der ich immer wieder zurückkehre, ist, dass nichts sonst in der Pipeline um 25 Minuten schneller wurde, sodass der langsame Schritt nicht mehr "kann ein Entwickler das bauen" lautet; sondern "wer darf einen solchen Agent ausrollen, gegen welche Daten, mit welchem Audit Log." Diese Lücke möchte ich hier durchgehen, denn es ist die Lücke, der ich an den Mittelstands-IT-Schreibtischen, mit denen ich arbeite, immer wieder begegne.

Kernpunkte

  • Die Bauzeit ist auf 25 Minuten kollabiert, also ist die bindende Restriktion stromaufwärts gewandert: zu der Frage, wer einen neuen Agent autorisieren, scopen und auditieren darf.
  • Microsoft hat Agent 365 am 01.05.2026 GA geschaltet, weil es die erste Runde Schatten-KI in den eigenen Tenants bereits verloren hatte.
  • Entra Agent ID, Purview, DLP und Managed Environments sind die vier Hebel, die jeden Copilot Studio Agent abriegeln, der nach dem 18.03.2026 ausgerollt wird.
  • EU-Mittelstand-Leser stehen einer einzigen Deadline gegenüber: 02.08.2026 GPAI-Durchsetzung, nicht einer separaten "KI-Governance"-Deadline.
  • Wenn Ihr Stack auf GitHub und Slack läuft, gilt nichts davon (noch nicht), und Ihre Frage zur Control Plane ist eine andere.

In diesem Artikel

Die 25-Minuten-Zahl ist das Indiz

Im Replay des DEM332-Walkthroughs auf Build 2026 zeigte der Microsoft-Developer-Kanal einen funktionsfähigen Projektmanagement-Agent: provisioniert, in Teams deployed, in einen Gruppenchat gezogen und mit eigener E-Mail-Identität verdrahtet, alles in einem einzigen Live-Stream getaktet gegen die Titelzahl des Talks. Die Session selbst ist kurz, etwa zwanzig Minuten Laufzeit auf der Aufzeichnung, und die gesamte Demo passt hinein.

Das ist die Schlagzeile. Mein ehrliches Lesen ist das Gegenteil dessen, was die Schlagzeile suggeriert. Wenn ein Schritt, der früher Tage dauerte, auf Minuten kollabiert, ist die bindende Restriktion nicht beseitigt; sie ist verschoben worden. Agents zu bauen war nie der langsame Teil beim Ausrollen von Agents in einem regulierten Unternehmen. Die Freigabe war es. Das Daten-Scoping war es. Das Audit war es. Die 25-Minuten-Zahl macht diese Schritte nicht schneller; sie macht sie sichtbarer, indem sie die Tarnung langsamer Klempnerei entfernt. Ich lese das als Indiz, nicht als Siegerrunde.

Microsofts eigenes Timing liest sich genauso. Am 01.05.2026 wurde Agent 365 generell verfügbar, standalone für 15 USD pro Nutzer pro Monat oder gebündelt in M365 E7 für 99 USD pro Nutzer pro Monat, und ausdrücklich positioniert als "Control Plane für das Beobachten, Steuern und Absichern von KI-Agents". Ich lese das Timing als Quittung: eine Control-Plane-GA im gleichen Kalender wie eine 25-Minuten-Build-Demo ist kein Zufall. Es ist, was die Runde Schatten-KI in den eigenen Tenants sie bereits gekostet hat.

💡 Der 25-Minuten-Build macht Governance nicht schneller. Er macht Governance zu der einzigen Sache, die noch langsam sein kann.

Das ist meine These. Alles unten ist die Verdrahtung, die ich tatsächlich verwenden würde.

Was kollabierte: der Build-Pfad

Der DEM332-Build-Pfad ist tatsächlich kürzer. Der einzige CLI-Befehl teams app create provisioniert eine Entra-App-Registrierung, eine Bot-Ressource, Secrets und ein Manifest in einem Rutsch, und das neue Teams SDK ist jetzt GA in Python, JavaScript und C#. Ein Copilot-getriebener Scaffolder liest die Doku und schreibt den Integrationscode in eine bestehende Web-App, während der Presenter spricht. Die Deployment-Fläche ist Teams selbst, was die Demo als die neue Eingangstür für jeden Agent positioniert, unabhängig davon, wo er läuft (Foundry, Vercel, CrewAI, Replit).

Die Teams-Oberfläche ist auch ein Decision Lock. In dem Moment, in dem Sie Teams als Publishing-Fläche wählen, haben Sie implizit Tenant Graph Grounding eingeschaltet und die M365-Datengrenze für den Agent akzeptiert. Das ist ein anderes Argument als das im Beitrag zur Copilot-Studio-Flächenwahl, aber es schärft denselben Punkt: Die Fläche ist keine UX-Entscheidung, sondern eine Auth-Entscheidung. Montag kann der IT-Leiter im Microsoft 365 Admin Center auf der Seite für Agent-Management unter Copilot Control System Hebel zwei ("Sharing") die erlaubten Publishing-Flächen benennen, sodass "der nächste Agent wird in Teams ausgerollt" zu einer Tenant-Policy wird, nicht zur Maker-Wahl. Ohne diese Policy ist die Publishing-Fläche die Präferenz des Makers, und die Datengrenze folgt der Fläche, nicht der Absicht.

Was schneller wurde, ist also der Pfad Entwickler-zu-Installation-Link. Nicht der Pfad Agent-zu-Produktion. Diese Unterscheidung würde ich mir von keiner Vendor-Demo verwischen lassen.

Was nicht kollabierte: die Governance-Fläche

Hier ist der Teil, den die 25 Minuten nicht beinhalten. Jeder neue Copilot-Studio-Agent, der nach dem 18.03.2026 angelegt wird, erhält automatisch eine Entra Agent ID. Bestehende Agents brauchen eine Recreate-mit-Agent-ID-Migration, die echte Arbeit ist. Sobald der Agent eine Identity hat, können Conditional-Access-Policies für Agents ihn mit demselben Vokabular wie eine Nutzer-Policy anvisieren: Device-Compliance, Netzwerkstandort, Sign-in-Risk. Montag schreibt der IT-Leiter eine CA-Policy, die jede Agent-Identity blockiert, die einen Sign-in von außerhalb des Unternehmensnetzes oder von einem nicht-konformen Gerät versucht. Diese eine Policy macht aus "der Agent erbt den Scope des Makers" ein "der Agent erbt den Scope des Makers, minus der Kontexte, die die Policy verweigert", was der Unterschied zwischen einer Demo und einer verteidigungsfähigen Haltung ist.

Die Audit-Story ist da, wo die Sprache zählt. Purview Audit Logs zeichnen auf, dass eine Agent-Interaktion stattgefunden hat, mit Zeitstempel, Nutzer und Workload, aber die Substanz von Prompt und Response liegt im Postfach des Nutzers und ist via eDiscovery gegen dieses Postfach mit der Bedingung "Copilot activity" abrufbar. Das ist dieselbe Audit-Trail-Fläche, aus der das deterministische Workflow-Rückgrat liest, und es ist die stromaufwärtige Hälfte desselben Governance-Problems, das in der Agent-Inventory-Kritik dokumentiert ist. Ein Beitrag fragt, was passiert, nachdem Sie bereits 50 Agents ausgerollt haben. Dieser fragt, was die nächsten 50 überhaupt am Ausrollen hindert.

DLP ist der dritte Hebel. Purview Data Security für Copilot-Studio-Agents erlaubt es, sensible Items davon zu blockieren, in den Antworten eines Agents verarbeitet oder referenziert zu werden. Montag stellt der Datenschutzbeauftragte eine DLP-Policy auf, die die bestehenden Sensitivity Labels ("Confidential / Finance", "PII / Customer") in jedem Copilot-Studio-Agent fängt, und testet sie gegen einen synthetischen Prompt, der nach einer Gehaltstabelle fragt. Wenn der Agent antwortet, ist die Policy falsch.

Environment-ALM ist der vierte. Das Default-Power-Platform-Environment ist die dokumentierte Oversharing-Gefahr. Managed Environments tragen abgestufte DLP und eine Premium-Lizenzpflicht für aktive Nutzer, mit In-App-Benachrichtigungen ab Juni 2026, und der Power-Apps-Per-App-Plan wurde am 02.01.2026 für Neukunden eingestellt. Die AI-Builder-Free-Credit-Klippe schlägt am 01.11.2026 ein, was die Unit Economics jeder Citizen-Developer-Flotte verändert. Die April-2026-Welle von Copilot Studio hat die Admin-Approval-Queue bereits als dokumentierten Default für Tenant-Publishing etabliert, nicht das Maker-Direkt-Sharing. Der Hebel existiert. Die Frage ist, ob er gezogen wird.

Eine grobe Form der DLP-Policy, die ein Power-Platform-Admin tatsächlich schreibt, ausgedrückt als PowerShell-Muster (Form, nicht exakte Syntax; aktuelle Cmdlets siehe Managed-Environment-Doku oben):

# Form, nicht wörtliche Syntax; konsultieren Sie die Doku des Power Platform Admin Modules
New-AdminDlpPolicy `
  -DisplayName "Copilot Studio Sandbox - blocking" `
  -EnvironmentType OnlyEnvironments `
  -Environments @("env-copilot-sandbox") `
  -BlockGroup @(
    "Microsoft.HTTPConnector",
    "Microsoft.HTTPWithAzureADConnector",
    "Microsoft.CustomConnector"
  ) `
  -BusinessGroup @(
    "Microsoft.SharePointConnector",
    "Microsoft.Office365OutlookConnector"
  )

Es geht nicht um die Cmdlet-Namen. Mein Punkt ist, dass das Policy-Artefakt benannt ist, auf ein Environment gescopt ist und beliebigen HTTP-Egress verweigert. Das ist der Keil, auf den ich mich zuerst stützen würde.

Die umstrittenen Zahlen

Ein arbeitender IT-Leiter verdient ehrliche Quellen, und ich schulde Ihnen die Vorbehalte, bevor ich mich auf eine dieser Zahlen stütze. Drei Zahlen kursieren im Schatten-KI-Diskurs: 29% der Mitarbeitenden nutzen nicht sanktionierte KI-Agents, 41% der Mitarbeitenden gelten als Citizen Developer, und 65% der Enterprise-Security-Verantwortlichen stufen Schatten-IT als Top-3-Sorge ein, während weniger als 30% ein formelles Governance-Framework haben. Alle drei tauchen im Cosnet-Global-Aggregator-Beitrag auf, jeweils Microsoft Cyber Pulse 2026 und Gartner zugeschrieben. Ich konnte für keine der drei beim Suchen eine saubere primäre Microsoft- oder Gartner-URL finden, und auf dieser Basis würde ich sie keinem Auditor vorlegen. Ich nutze sie als Gefühl für den Gradienten, nicht als audit-verteidigungsfähige Zahlen, und zitiere den Aggregator, wenn ich sie wiedergebe.

Was ich als audit-verteidigungsfähig behandle: den Agent-365-Preis (15 USD pro Nutzer pro Monat oder gebündelt in E7 zu 99 USD), das EU-AI-Act-GPAI-Durchsetzungsdatum (02.08.2026), das Inkrafttreten der Entra-Agent-ID-Auto-Provisionierung (18.03.2026) und das Power-Platform-Per-App-Auslaufdatum (02.01.2026). Jede davon steht in der Primärquellen-Linkbank oben. Den Rest behandle ich als Ambient Signal.

Das Mittelstand-Szenario

Die Fallstudie, der die meisten Leser hier tatsächlich begegnen, ist kein US-Fortune-500-Konzern mit einer CISO-Organisation von vierzig Köpfen. Von dem, was ich bei Mittelstandskunden sehe, ist die reale Gestalt viel näher daran: Stellen Sie sich den IT-Leiter eines 120-Personen-Spezialchemielieferanten in Nordrhein-Westfalen vor. Der Stack ist Microsoft 365 Business Premium plus eine kürzlich hinzugefügte Copilot-für-Microsoft-365-Lizenz für das Vertriebs- und Operations-Team, ein On-Prem-ERP mit SharePoint-Frontend und Dataverse für zwei Produktionsplanungs-Apps. Es gibt keine separate Security-Organisation. Der IT-Leiter ist die Security-Organisation. Der Justiziar arbeitet zwei Tage pro Woche und hat bereits nach dem EU AI Act gefragt.

Ein Vertriebsmitarbeiter hat die DEM332-Demo am Morgen nach Build auf YouTube gesehen und gefragt: "Kann ich das heute Nachmittag für unsere Kunden-Status-Updates bauen?" Meine ehrliche Antwort lautet ja, die Demo funktioniert auf Business Premium. Meine schwierigere Antwort ist, was passiert, wenn der Agent aus einer SharePoint-Site liest, die 2021 überteilt wurde, und in einem kundenseitigen Chat eine Margenspalte aus einer eingestellten Produktlinie offenlegt. Das ist das Szenario, das ich vor jedem Montags-Build nicht unbeantwortet ließe.

Montag, hier ist, was ich den IT-Leiter tun lassen würde, und nichts davon ist theoretisch. Erstens, im Microsoft 365 Admin Center Copilot Control System Hebel eins ("Access") von "alle Copilot-lizenzierten Nutzer" auf "die Sicherheitsgruppe der Agent-Maker" mit drei namentlich benannten Personen umstellen und Hebel drei ("Publishing") aktivieren, sodass jeder neue Agent vor dem Teilen vom IT-Leiter freigegeben werden muss. Zweitens, das Default-Power-Platform-Environment sperren ("keine neuen Maker, keine neuen Apps") und ein "Copilot Studio Sandbox" Managed Environment mit der oben skizzierten DLP-Policy-Form aufsetzen, das den HTTP-Connector und den Custom-Connector blockiert, aber SharePoint und Outlook erlaubt. Drittens, eine Conditional-Access-Policy schreiben, die alle Agent-Identities anvisiert und ein konformes Gerät plus einen Sign-in aus dem Unternehmensnetz verlangt. Viertens, mit dem Justiziar besprechen, welche der vorgeschlagenen Agents Annex-III-Kategorien des EU-AI-Act-Zeitplans berühren würden, und diese im Agent-Register als "Hochrisiko, Review ausstehend" markieren.

Das messbare Ergebnis ist ebenfalls unromantisch. Innerhalb von 24 Stunden hat jeder neue Agent im Tenant eine Entra Agent ID, einen Purview-Audit-Trail, eine an seine Identity gebundene Conditional-Access-Policy und ein Admin-Approval-Gate, bevor er über die Sandbox hinaus geteilt werden kann. Innerhalb von sieben Tagen zeigt das Agent-Register im Microsoft 365 Admin Center null "unmanaged" Agents und null "Agents ohne Owner". Das ist die einzige ehrliche Definition von "wir haben Agent-Governance", die ich ein externes Audit überleben sah.

Dieses Szenario ist nicht glamourös, und ich würde nicht so tun. Eine 120-Personen-Firma kauft kein Agent 365 zu 15 USD pro Nutzer pro Monat für die gesamte Belegschaft. Meine Mittelstands-Lesart von Agent 365 lautet "kaufen Sie es für die fünf Agent-Maker, nicht für die 120 Nutzer". Die Rahmung von Schatten-KI als gesteuerte Asset-Klasse zahlt sich erst aus, wenn es eine Flotte zu steuern gibt. Fünf Agents und ein Genehmiger sind keine Flotte, sondern eine Namensliste am Monitor des IT-Leiters, und das ist in Ordnung; es ist auch die korrekte Form für eine 120-Personen-Firma, die keine Control Plane braucht, die für ein Enterprise-SOC bepreist ist.

Wo die These verliert

Meine These ist nicht universell, und so zu tun, als wäre sie es, wäre die gleiche Art Vendor-geformtes Argument, das der Talk selbst macht. Hier sind die Stellen, an denen ich sie brechen sah.

Sie verliert für Shops, die nicht in M365 leben. Wenn Ihr Stack GitHub, Slack, Linear und ein Vercel-Deployment ist, sind die Copilot-Control-System-Hebel nicht Ihre Control Plane. Ich würde diesen Beitrag in dieser Situation gar nicht erst öffnen. Ihre äquivalente Frage ist, ob Ihre CI ein Deployment ohne explizite menschliche Freigabe abriegelt, ob Ihr Slack-Workspace App-Installation-Gating aktiviert hat und ob Ihr Secrets-Manager der einzige Egress-Punkt für jeden ausgerollten Agent ist. Keines der Microsoft-spezifischen Tools in diesem Beitrag hilft Ihnen, und das Bottleneck-Framing gilt weiterhin, nur mit anderen Hebeln.

Sie verliert für Read-only-Summarizer, die auf öffentliche Korpora gegroundet sind. Ein Agent, der einen öffentlichen RSS-Feed beobachtet und jeden Morgen eine Slack-Zusammenfassung schreibt, ist nicht der Agent, der Entra Agent ID, eDiscovery und DLP braucht. Ihn so zu behandeln ist der umgekehrte Fehler, den ich oft sehe: Governance-Overhead wird zum Bottleneck für diesen Agent, nicht die Bauzeit. Mein ehrliches Prinzip ist: Die Steuerungsfläche skaliert mit den Daten, die der Agent lesen kann, und den Aktionen, die er ausführen kann, nicht mit der Schlagzeilen-Build-Velocity.

Sie verliert teilweise für jede Firma, die klein genug ist, dass der IT-Leiter zugleich der Maker ist. In einem Zehn-Personen-Shop ist "Admin-Approval-Queue" Theater. Der Maker ist der Genehmiger. Was ich in dieser Größe behalte, ist eine Regel: Jeder Agent, der das Kundenpostfach lesen oder in die Produktionsdatenbank schreiben kann, muss von einer benannten zweiten Person geprüft werden. Das ist Governance, auch wenn es keine Purview-Policy zum Vorzeigen gibt.

Sie verliert auch beim Zeitplan, und das ist die Stelle, die mich am meisten beunruhigt. EU-AI-Act-Durchsetzungsbefugnisse und Hochrisiko-Pflichten werden am 02.08.2026 aktiviert. Der volle Microsoft-Governance-Stack (Agent 365 GA, Entra-Agent-ID-Auto-Provisionierung, CCS-Publishing-Queue, Managed-Environment-DLP) ist technisch verfügbar, aber die operative Reifelücke zwischen "der Toggle existiert" und "wir haben eine audit-verteidigungsfähige Haltung" ist breiter, als der Kalender suggeriert. Wer einem Mittelstands-Finanzdienstleister erzählt, er werde im Juli durch das Umlegen von Copilot-Studio-Einstellungen "AI-Act-ready" sein, verkauft ihm meiner Lesart nach eine Gutenachtgeschichte.

Was Sie am Montag tun

Streichen Sie den Beitrag auf vier Aktionen zusammen, und Sie haben das Montags-Backlog, das ich tatsächlich abarbeiten würde. Keine davon braucht eine neue Lizenz.

  1. Öffnen Sie die Agent-Management-Seite im Microsoft 365 Admin Center (Link im Abschnitt oben). Lesen Sie die drei CCS-Hebel. Entscheiden Sie, wer erstellen darf, wer teilen darf, wer freigeben muss. Ziehen Sie Hebel eins vom Default "alle Copilot-lizenzierten Nutzer" enger, falls noch nicht geschehen.
  2. Sperren Sie das Default-Power-Platform-Environment auf keine neuen Maker und keine neuen Apps. Stellen Sie ein einzelnes Managed Environment namens "Copilot Studio Sandbox" mit einer DLP-Policy auf, die HTTP-, HTTP-mit-AAD- und Custom-Connectoren blockiert. Testen Sie die Policy, indem Sie versuchen, einen Flow zu erstellen, der gegen sie verstößt.
  3. Schreiben Sie eine Conditional-Access-Policy, die alle Agent-Identities anvisiert, ein konformes Gerät verlangt und risikoreiche Sign-ins blockiert. Testen Sie sie, indem Sie versuchen, einen Agent von einem privaten Laptop in einem Hotel-Netz aufzurufen, und bestätigen, dass der Sign-in abgelehnt wird. Falls er gelingt, ist die Policy falsch.
  4. Gehen Sie ins Büro des Justiziars mit einer gedruckten Liste jedes Copilot-Studio-Agents, der aktuell im Tenant existiert. Markieren Sie jeden als "Low Risk", "Limited Risk" oder "Annex-III-Review nötig" unter dem EU AI Act. Übertaggen Sie nicht. Alles, was "Annex-III-Review nötig" trägt, geht in einen Approval-Freeze, bis es geprüft ist.

Das ist die vierschrittige audit-verteidigungsfähige Haltung, auf die ich meinen Namen setzen würde. Sie ist nicht glamourös. Sie ist nicht die Demo. Sie ist der Teil, der jetzt der langsame Schritt ist, weil der Build schnell ist, und ich würde kein Agent-Programm ohne ihn betreiben.

Falls Sie dieselbe Control Plane in vergleichbarer Größe verdrahten, würde ich Notizen vergleichen. Das 20-bis-200-Mitarbeiter-Mittelstandsmuster ist im öffentlichen Diskurs unterbewertet, und die F500-geformten Governance-Inhalte haben die falsche Form für die Leute, mit denen ich tatsächlich spreche. Melden Sie sich, und ich teile die Policy-Form, auf die wir uns geeinigt haben.