SharePoint-Anbindung Berechtigungen

Diese Seite erklärt dir, wie die SharePoint-Integration von innoGPT technisch funktioniert, welche Daten tatsächlich synchronisiert werden und welche Berechtigungsmodelle dir für deine IT- und Datenschutz-Governance zur Verfügung stehen.

💡 Für wen ist dieser Artikel? IT-Admins, Datenschutzbeauftragte und Workspace-Owner, die die SharePoint-Anbindung sauber aufsetzen oder gegenüber Compliance/Security begründen wollen.

Überblick: Zwei getrennte Ebenen

Die SharePoint-Anbindung von innoGPT trennt bewusst zwischen zwei Ebenen, die du unabhängig voneinander an deine Governance-Anforderungen anpassen kannst:

  1. Operative Ebene – was tatsächlich angebunden und synchronisiert wird

  2. Permission-Ebene – welche Berechtigungen die App technisch besitzt

Diese Trennung ist wichtig, weil sie dir erlaubt, technische Standardkonfigurationen zu nutzen und trotzdem operativ scharf einzugrenzen, was innoGPT wirklich sieht.

1. Operative Ebene – Was wird angebunden und synchronisiert?

Bei der Einrichtung wählt dein Admin im Konfigurationsdialog genau einen Ordner innerhalb einer SharePoint-Site und einer Dokumentbibliothek aus. innoGPT speichert ausschließlich drei IDs und synchronisiert ausschließlich aus diesem definierten Bereich.

Was innoGPT speichert

  • Site-ID – die ID der ausgewählten SharePoint-Site

  • Drive-ID – die ID der ausgewählten Dokumentbibliothek

  • Folder-ID – die ID des konkret freigegebenen Ordners

Synchronisation

  • Delta-Sync: stündlicher Delta-Sync ausschließlich aus dem konfigurierten Ordner

  • Scope: andere SharePoint-Sites werden nie angefasst, da sie nicht in der Konfiguration hinterlegt sind

  • Unterordner einbeziehen: kann pro Konfiguration an- oder abgewählt werden

ℹ️ Hinweis zum Delta-Sync Beim Delta-Sync werden nur Änderungen seit dem letzten Sync übertragen – nicht jedes Mal der komplette Ordner. Das hält Last und Latenz niedrig.

On-Demand-Upload über den Microsoft File Picker

Zusätzlich zur automatischen Synchronisation können Nutzer einzelne Dateien aktiv per Klick übertragen – über den nativen Microsoft File Picker. Es findet kein automatischer Sync statt, sondern eine bewusste Auswahl pro Datei durch den Nutzer.

Typische Anwendungsfälle:

  • Ein Dokument aus einer anderen Site einmalig in einen Chat ziehen

  • Eine konkrete Datei zur Analyse auswählen, ohne sie dauerhaft zu syncen

  • Ad-hoc-Zusammenarbeit mit Inhalten außerhalb des Sync-Ordners

2. Permission-Ebene – Welche Berechtigungen hat die innoGPT App technisch?

Standardkonfiguration: Sites.Read.All

Die Azure-App-Registrierung von innoGPT ist standardmäßig mit der Berechtigung Sites.Read.All (lesend, tenant-weit) ausgestattet. Diese Konfiguration ist erforderlich, damit die Microsoft-Komponenten – insbesondere der Graph File Picker und der Folder Browser – out-of-the-box funktionieren.

⚠️ Wichtig Trotz tenant-weiter Leseberechtigung synchronisiert innoGPT operativ ausschließlich aus dem in Ebene 1 definierten Ordner. Die Permission ist die technische Voraussetzung, der Sync-Scope wird durch deine Konfiguration definiert.

Optional: Sites.Selected (Hardened Setup)

Wenn aus Governance- oder Datenschutzsicht eine harte serverseitige Beschränkung auf genau eine SharePoint-Site auf Berechtigungsebene gewünscht ist, lässt sich das über Microsofts Sites.Selected-Permission-Modell umsetzen.

So funktioniert es:

  • Euer Entra-Admin vergibt den Zugriff explizit pro Site

  • Die innoGPT-App kann technisch keine anderen Sites lesen – die Einschränkung greift bereits auf Microsoft-Ebene

  • Einrichtung: zusätzliche Setup-Variante, die wir gemeinsam mit eurer IT konfigurieren

Vergleich der beiden Permission-Modelle

Out-of-the-box

Zusätzliche Konfiguration mit Entra-Admin

Microsoft-Permission

Sites.Read.All

Sites.Selected

Technischer Lese-Scope

Tenant-weit (lesend)

Nur explizit freigegebene Sites

Operativer Sync-Scope

Nur konfigurierter Ordner

Nur konfigurierter Ordner

Live Search

Funktioniert sofort

Nur innerhalb freigegebener Sites

Aufwand IT

Standard-Consent durch Admin

Zusätzlicher Setup-Schritt pro Site

Empfohlen für

Standard-Setups

Hohe Compliance-Anforderungen, regulierte Branchen

Welches Modell passt zu euch?

🟢 Out-of-the-box wählen, wenn: Ihr ein schnelles Rollout wollt, der operative Sync-Scope ausreicht und ihr dem dokumentierten Verhalten der App vertraut.

🔵 Sites.Selected wählen, wenn: Ihr eine harte technische Garantie auf Microsoft-Ebene braucht – etwa für Datenschutzfreigaben, ISO-Audits oder regulatorische Anforderungen.

In beiden Fällen ist der operative Sync-Scope identisch: nur der konfigurierte Ordner wird tatsächlich übertragen.

Häufige Fragen

Greift innoGPT auf andere SharePoint-Sites zu, wenn Sites.Read.All aktiv ist? Nein. Auch wenn die Permission technisch tenant-weit lesen könnte, ist der Sync hart auf die gespeicherte Site-, Drive- und Folder-ID begrenzt. Andere Sites werden nicht abgefragt.

Können Nutzer über den File Picker auf alle Sites zugreifen? Im Standard-Setup (Sites.Read.All) ja – im Rahmen ihrer eigenen SharePoint-Berechtigungen. Im Hardened Setup (Sites.Selected) nur auf explizit freigegebene Sites.

Wie oft läuft der Sync? Stündlich als Delta-Sync. Nur Änderungen seit dem letzten Lauf werden übertragen.

Was passiert mit Dateien, die im SharePoint gelöscht werden? Der Delta-Sync entfernt sie auch aus innoGPT.

Können wir mehrere Ordner gleichzeitig anbinden? Ja, durch mehrere Konfigurationen – jede mit eigener Site-/Drive-/Folder-ID.

Nächste Schritte

  • Einrichtung starten: Workspace → Settings → Integrationen → SharePoint

  • Library befüllen: Sidebar → Studio → Library, um synchronisierte Inhalte sichtbar zu machen