No products added!
Mange organisationer vil gerne have AI-hjælp tæt på hverdagsarbejdet i Microsoft 365, uden at give køb på sikkerhed, roller og compliance. Det er netop her, Copilot Studio er interessant: en visuel low-code platform, hvor du kan bygge agenter, chatoplevelser og agentflows, der arbejder med jeres data på en kontrolleret måde.
Et godt Copilot Studio-kursus handler derfor ikke kun om at få en bot til at svare. Det handler om at designe løsninger, der respekterer adgangsrettigheder, reducerer risiko for dataudslip og kan drives ansvarligt over tid, også når platformen og kravene ændrer sig.
Hvad Copilot Studio egentlig er, og hvorfor det passer til Microsoft 365
Copilot Studio er bygget til at skabe AI-agenter og workflows med et grafisk designmiljø. Du arbejder typisk med emner (topics), triggers og handlinger, og du kobler agenten på data og funktioner via connectorer fra Power Platform.
Det centrale er, at Copilot Studio kan genbruge de kontroller, mange allerede har i Microsoft 365 og Power Platform. Når en agent henter viden fra eksempelvis SharePoint, kan den i høj grad arve den underliggende adgangskontrol. Brugeren får svar ud fra de rettigheder, vedkommende allerede har, i stedet for at agenten bliver en bagdør til materiale, der burde være afskærmet.
En moderne kursustilgang giver mest værdi, når den går på tværs af tre spor samtidigt: funktionalitet (hvad kan vi bygge), styring (hvem må bygge hvad), og sikker drift (hvordan overvåger og forbedrer vi).
Fra chatbot til agent: de typiske byggeklodser på kurset
I praksis bliver Copilot Studio stærkest, når du kombinerer dialog med handling. En agent kan svare på spørgsmål, men den kan også igangsætte processer: oprette sager, slå information op, generere statusudkast eller sende godkendelser videre.
På et Copilot Studio-kursus giver det mening at bygge progressionen op fra “svar” til “arbejde”:
- Start med en afgrænset vidensagent, der kun må svare ud fra en kontrolleret kilde.
- Udvid med handlinger via connectorer, så agenten kan udføre konkrete opgaver.
- Tilføj agentflows, så flere trin kan orkestreres, og fejl kan håndteres ordentligt.
- Afslut med udrulning i den rigtige kanal, ofte Microsoft Teams, hvor brugerne allerede er.
Når øvelserne er baseret på virkelige arbejdsprocesser, bliver det tydeligt, at den gode løsning sjældent er den mest avancerede. Den er den mest robuste.
Efter en kort introduktion til grænsefladen og begreberne, kan et kursus med fordel fokusere på, hvad deltageren faktisk skal kunne bygge og forklare bagefter:
- Vidensbaseret Q&A: agenten svarer ud fra godkendte kilder med tydelig kildeafgrænsning
- Handlinger i Microsoft 365: opgaver der bruger connectorer til fx SharePoint, Outlook eller Teams
- Agentflows til processer: flertrinsflows med kontrolpunkter, validering og fallback
- Udrulning i kanaler: Teams, web eller andre kanaler, hvor governance stadig gælder
- Drift og forbedring: logning, overvågning, ændringsstyring og løbende kvalitetstjek
Sikkerhed som designprincip, ikke som eftertanke
Når en AI-agent bliver nyttig, bliver den også en potentiel angrebsflade. Det gælder især, når agenten kan kalde systemer, finde dokumenter eller opsummere indhold, som ellers kræver manuel søgning.
Derfor bør sikkerhed læres som en del af designet. Ikke som et ekstra modul til sidst.
Et stærkt udgangspunkt er mindst privilegium. Mange opsætninger kan konfigureres, så handlinger udføres med brugerens egne rettigheder (“run as user”), hvilket reducerer risikoen for privilegie-eskalering. Samtidig kan du arbejde med tydelige miljøer til udvikling, test og produktion, så eksperimenter ikke foregår direkte på produktionsdata.
Et kursus, der tager sikkerhed seriøst, vil også adressere prompt injection og input-validering. Det er ikke nok at skrive “du må ikke lække fortrolige data” i systembeskeder. Du skal planlægge, hvad agenten må tilgå, og hvordan den reagerer, når den bliver presset af en brugerprompt.
Governance i praksis: sådan spiller Copilot Studio sammen med M365-kontroller
Mange bliver positivt overrasket over, hvor meget governance der allerede findes, hvis man aktiverer det rigtigt. Copilot Studio kan indgå i Microsoft Purview, så der er sammenhæng til audit, DLP-politikker, eDiscovery og klassifikation via følsomhedslabels.
Samtidig arver Copilot Studio en stor del af Power Platform-styringen. Data policies kan styre, hvilke connectorer der er tilladt, og om de er i “Business”, “Non-business” eller blokeret. Det er en meget konkret måde at gøre “det sikre valg” til standardvalget.
Nedenstående oversigt kan bruges som et praktisk kort over, hvilke kontroller der typisk er relevante, og hvordan de ofte indgår i undervisning og øvelser.
| Område | Kontrol i Microsoft 365/Power Platform | Betydning i Copilot Studio | Typisk kursusøvelse |
|---|---|---|---|
| Identitet | Entra ID, roller, MFA, Conditional Access | Afgrænser hvem der kan bygge, udgive og administrere | Opsæt roller og test adgange for maker vs. bruger |
| Dataadgang | Kildesystemets rettigheder (fx SharePoint) | Svar afhænger af brugerens rettigheder | Samme spørgsmål fra to brugere med forskellige rettigheder |
| DLP | Purview DLP og Power Platform data policies | Forebygger dataudslip via connectorer og flows | Forsøg at bruge en blokeret connector og se håndhævelsen |
| Klassifikation | Sensitivity labels og MIP | Etiketter kan følge dokumenter og påvirke håndtering | Brug en label-kilde og gennemgå forventet adfærd |
| Sporbarhed | Purview Audit, logning, evt. SIEM-integration | Gør hændelser og ændringer efterprøvelige | Identificér “hvem ændrede hvad”, og hvornår |
| Drift | Overvågning og alarmer | Tidlig detektion af fejl og misbrug | Definér simple alarmer for uventede fejlmønstre |
GDPR og ansvarlig AI: det, der afgør om løsningen kan skaleres
Når en agent arbejder med personoplysninger, gælder de samme krav som ved andre systemer: formål, dataminimering, behandlingsgrundlag, transparens og dokumentation. En praktisk tilgang er at tvinge sig selv til at beskrive dataflowet, før man bygger: Hvilke data går ind, hvilke systemer kontaktes, og hvad bliver gemt.
Det lyder tørt, men det skaber fart senere. Du undgår at skulle lave store ombygninger, når compliance eller sikkerhed bliver involveret tættere på udrulningen.
En god vane i kursusarbejdet er at indbygge “svar med omtanke”: Agenten bør kunne afvise anmodninger om følsomt indhold, og den bør kunne forklare, hvorfor den ikke kan udføre bestemte handlinger. Det øger tilliden hos brugerne og reducerer risikoen for, at systemet bliver presset ud i uforudsete situationer.
Hvem har mest udbytte af et Copilot Studio-kursus?
Copilot Studio rammer tværfagligt. IT-folk kan lide kontrollen og integrationerne. Forretningen kan lide hastigheden og den lave friktion. HR, marketing, undervisere og jurister kan lide, at viden og processer kan gøres mere tilgængelige uden at bygge et helt produkt fra bunden.
Det største udbytte kommer ofte, når flere roller deltager sammen. Ikke fordi alle skal kunne det samme, men fordi løsningen bliver bedre, når governance, data og brugerbehov mødes tidligt.
En lille, men vigtig pointe: Low-code gør det muligt at bygge mere. Det gør det også muligt at bygge mere forkert, hvis man ikke har et fælles sprog for kvalitet og ansvar.
Sådan vælger du den rigtige kursusstruktur
Markedet for AI-kurser spænder fra korte introduktioner til længere forløb med certificering. En praktisk tommelfingerregel er at vælge ud fra det, du skal levere bagefter: en intern Teams-agent, en procesagent med flows, eller et set-up hvor flere afdelinger skal kunne bygge under fælles regler.
Hos Nordisk Business Academy arbejdes der typisk praksisnært med cases, AI som rød tråd og forløb, der kan tages online i eget tempo. Den type opbygning passer godt til Copilot Studio, fordi deltagerne kan bygge, teste, få feedback og bygge igen, i stedet for kun at se demoer.
Når du vurderer en kursusbeskrivelse, kan du med fordel kigge efter, om sikkerhed og governance er integreret i øvelserne, og ikke kun nævnt som teori.
Her er en kort tjekliste, der ofte gør forskellen i praksis:
- Miljøer til udvikling, test og produktion
- Klare roller for maker, reviewer og admin
- Godkendte connectorer og DLP-politikker
- Logning, audit og fast ændringsproces
- Retention og håndtering af chatdata
Fra idé til drift: et realistisk roadmap på 2 til 4 uger
Mange teams kan gå fra nul til en sikker første version hurtigt, hvis de vælger et afgrænset scope. Det kan være en agent, der svarer på spørgsmål om en bestemt politik, en onboarding-guide, eller en intern “hvem gør hvad” assistent.
Et simpelt roadmap ser ofte sådan ud:
- Vælg én proces og én datakilde, der allerede er godt styret.
- Byg en agent med tydelige begrænsninger og test med en lille pilotgruppe.
- Tilføj en eller to handlinger, der skaber konkret værdi, og mål fejltyper og misforståelser.
- Udrul gradvist, og justér governance, når mønstre i brugen bliver synlige.
Det spændende er, at Copilot Studio netop gør denne iterative metode realistisk. Du kan forbedre dialog, kilder og flows løbende, samtidig med at M365-kontrollerne giver et sikkerhedsnet.
Spørgsmål der skærper kvaliteten, før agenten går live
Hvis du vil have en agent, der både er nyttig og tryg at bruge, er det sjældent nok at spørge “kan den svare rigtigt?”. Spørg også:
Hvilke svar må den aldrig give, selv hvis brugeren spørger pænt? Hvilke systemer må den aldrig kalde uden ekstra bekræftelse? Og hvordan opdager I, at agenten er ved at blive brugt på en måde, den ikke var tænkt til?
Når de spørgsmål er afklaret, bliver Copilot Studio en platform, der kan løfte arbejdsgange i Microsoft 365 på en måde, som både brugere, IT og compliance kan stå på mål for.
