Preparar SharePoint Online para Copilot y agentes de IA

Casi todos los pilotos de Microsoft 365 Copilot que veo en España chocan con el mismo muro, y suele pasar en la segunda semana: la IA funciona bien — el SharePoint que tiene debajo, no. Permisos acumulados durante una década, junglas de carpetas sin metadatos, seis versiones del mismo procedimiento y un almacén de términos que nadie toca desde 2018. El agente lo recupera todo. Fielmente.

Esta es la estrategia que aplico para dejar SharePoint Online preparado de verdad para IA: seguro (el sobreuso compartido bajo control) y útil (contenido que la recuperación puede encontrar, distinguir y citar). No es teoría: es el orden de trabajo que repito proyecto tras proyecto.

¿Qué significa que SharePoint esté "preparado para IA"?

Un tenant de SharePoint Online está preparado para IA cuando se cumplen tres condiciones a la vez: cada contenido es accesible solo para quien debe acceder (permisos), el contenido que importa se puede encontrar y distinguir del ruido (metadatos y búsqueda), y existe un ritmo operativo que mantiene ambas cosas con el tiempo (gobernanza). Los agentes de Copilot no crean permisos nuevos ni inventan estructura: exponen, a velocidad de máquina, exactamente lo que tu tenant ya es.

Merece la pena interiorizar esto antes de cualquier despliegue: la preparación para IA es una propiedad de tu contenido, no de la IA. El mismo agente da respuestas brillantes sobre un tenant cuidado y respuestas equivocadas — con total seguridad en sí mismo — sobre un tenant abandonado.

¿Por qué el sobreuso compartido es la primera puerta y no la última?

Porque la recuperación respeta los permisos — y nada más. Si una hoja de nóminas está compartida con "Todos excepto usuarios externos", el índice semántico de Copilot se la servirá a cualquier empleado que haga la pregunta adecuada. El oversharing que era teórico en la era de la búsqueda se vuelve operativo en la era de los agentes.

La secuencia de remediación que funciona en la práctica:

1. Inventariar y medir. Ejecuta la evaluación de contenido de SharePoint Advanced Management y los informes de gobernanza de acceso a datos para obtener la lista priorizada: qué sitios están sobrecompartidos, sin propietario o con contenido sensible mal protegido.
2. Frenos provisionales. Restricted Content Discovery saca los sitios de alto riesgo de Copilot y de la búsqueda global sin tocar permisos — la medida temporal correcta mientras remedias. Restricted SharePoint Search es la versión más brusca, a nivel de organización. Mi opinión: es un freno, no una solución. Quien lo deja activado un año está pagando Copilot para no usarlo.
3. Pagar la deuda. Revisiones de acceso a sitios, eliminación de enlaces "Cualquiera" y EEEU en sitios críticos, reparación de herencias de permisos rotas y Restricted Access Control para sitios que deberían estar limitados a un grupo.
4. Etiquetar lo que importa. Las etiquetas de confidencialidad de sitio más el auto-etiquetado son el único control que viaja con el contenido: a las decisiones de grounding del agente, a las exportaciones y a las descargas.

La versión completa de esta secuencia, puerta por puerta y con casillas que tu equipo puede ir marcando, está en la SharePoint AI-Readiness Checklist que acompaña a este artículo.

La capa que casi todo el mundo se salta: el almacén de términos

La seguridad se lleva los titulares, pero los metadatos deciden la calidad de las respuestas. Cuando un agente tiene que elegir entre el borrador de 2019 y la política vigente, entre la versión de Alemania y la de España, entre una plantilla de propuesta y un contrato firmado, la similitud de contenido por sí sola muchas veces no puede distinguirlos. Los metadatos sí.

¿Qué papel juega el almacén de términos?

El almacén de términos (metadatos administrados) es el servicio de taxonomía corporativa de SharePoint: conjuntos de términos jerárquicos, gestionados de forma central, aplicables como columnas en cualquier sitio o biblioteca. Para cargas de IA hace tres trabajos a la vez:

• Desambiguación — un término "Departamento: Finanzas" distingue la versión financiera de un documento de sus parecidos, tanto para personas como para filtros de recuperación.
• Definición de alcance — al construir un agente de Copilot o un índice de recuperación en Azure AI Foundry, una taxonomía limpia te permite definir el ámbito de grounding por significado ("Ciclo de vida: Aprobado") en lugar de por contenedor ("esta carpeta, espero").
• Señal de ciclo de vida — términos como Borrador / Aprobado / Sustituido son la forma más barata de evitar que un agente cite contenido obsoleto sin borrar tu histórico.

La taxonomía mínima viable

Resiste la tentación de modelar el universo. Cuatro conjuntos de términos cubren la mayoría de necesidades: Departamento (propiedad de IT, estable), Tipo de documento (política, contrato, propuesta, runbook), Etapa del ciclo de vida (borrador, en revisión, aprobado, sustituido) y Cliente/Proyecto (propiedad de la PMO, el único que cambia rápido).

Asigna un propietario a cada conjunto, elimina los conjuntos abandonados de iniciativas anteriores y haz obligatorias las columnas clave en las bibliotecas que alimentan a tus agentes. Una biblioteca con Tipo de documento y Ciclo de vida obligatorios convierte una jungla de carpetas en una fuente de conocimiento consultable en una tarde.

De la taxonomía a la recuperación: el esquema de búsqueda

Los metadatos solo ayudan si la búsqueda puede usarlos. En el esquema de búsqueda, confirma que las columnas de sitio están asignadas a propiedades administradas (consultables y refinables donde haga falta). Diez minutos en el esquema ahorran semanas de tickets de "por qué el agente no encuentra el documento correcto".

¿Cómo escalonar el despliegue de agentes?

El patrón que funciona de forma consistente es curado primero: pilotar los agentes contra tres a cinco sitios que hayan pasado todas las puertas — permisos remediados, etiquetas aplicadas, metadatos obligatorios, propietarios responsables — en lugar de apuntar nada al tenant completo. La guía de preparación para Copilot con SharePoint Advanced Management es la referencia canónica para esta fase.

Durante el piloto, recoge ejemplos de respuestas incorrectas y traza cada una hasta su causa raíz: un permiso, una etiqueta que falta, un hueco de metadatos o contenido obsoleto. Ese bucle de evidencia — no un corpus más grande — es lo que justifica la expansión a más sitios.

Y el cierre del bucle es la monitorización: la gestión de postura de seguridad de datos para IA de Purview más revisiones de acceso recurrentes convierten la preparación en un ritmo operativo. La preparación para IA se degrada sola — cada sitio nuevo, cada enlace compartido y cada reorganización la erosionan — así que el ritmo importa más que la limpieza inicial.

El plan de 90 días, condensado

• Días 1–15: evaluaciones e informes (SAM, DAG, DSPM). Frenos provisionales en la lista roja. Métricas de partida registradas.
• Días 16–45: remediación de permisos en los sitios prioritarios; etiquetas de confidencialidad desplegadas; almacén de términos auditado y taxonomía mínima definida.
• Días 46–75: metadatos aplicados a las bibliotecas piloto (columnas obligatorias); asignaciones del esquema de búsqueda verificadas; piloto de agente en marcha sobre el alcance curado.
• Días 76–90: bucle de revisión de respuestas incorrectas; monitorización y revisiones recurrentes programadas; criterios de expansión acordados con negocio.

Noventa días parecen muchos hasta que los comparas con la alternativa: un despliegue de agentes parado indefinidamente en la segunda semana porque la primera demo sacó un archivo de salarios.

Lectura relacionada: Blueprint de preparación de datos SharePoint para IA · El marco de gobernanza de Copilot M365

Preguntas frecuentes

¿Copilot se salta los permisos de SharePoint?

No. Copilot y los agentes respetan los permisos existentes exactamente — y ese es precisamente el problema cuando esos permisos son más amplios de lo que nadie recuerda. El riesgo no es que se los salte; es la exposición fiel del oversharing acumulado.

¿Restricted SharePoint Search es una solución permanente?

No. Microsoft la posiciona como freno temporal mientras remedias, y limita el valor de Copilot en toda la organización. Usa Restricted Content Discovery para control selectivo por sitio, remedia los permisos de verdad y retira los frenos.

¿Necesito SharePoint Premium (Advanced Management) para todo esto?

Las evaluaciones, revisiones de acceso, RCD y políticas de propietario citadas son capacidades de SharePoint Advanced Management (incluido con la licencia de Microsoft 365 Copilot en los planes elegibles — verifica tu derecho de uso). El almacén de términos, el esquema de búsqueda y las etiquetas de confidencialidad están disponibles sin él.

¿Carpetas o metadatos?

Para cargas de IA, ganan los metadatos. Las carpetas codifican una sola jerarquía y esconden todo lo que hay por debajo del primer nivel; los metadatos soportan varias vistas simultáneas y dan a la recuperación señales filtrables. Mantén las carpetas por memoria muscular si hace falta, pero haz obligatorias las columnas.