הגדרת OneDrive באמצעות Endpoint Manager
האפשרויות, היכולות והפוליסי של Endpoint Manager מאפשרות להשיג כל כך הרבה אפשרויות ויכולות מול תחנות קצה, כמו, אוטומציה, אכיפת מדיניות אבטחה, שליטה על ניידות של תחנות ובעיקר ניהול תחנות מרוחקות. כאשר זה מגיע אל OneDrive for Business עומדות לרשותינו אפשרויות מגוונות לשיפור חווית המשתמש ואכיפת מדיניות אבטחה.
המאמר הגדרת OneDrive באמצעות Endpoint Manager מתמקד באכיפת מדיניות ספציפית מול OneDrive for Business.
אחד השינויים שניתן לראות בממשקים של Endpoint Manager הוא צמצום הפערים בין Group Policy מקומי לבין Administrative Template וכן Group Policy Analytics.
טיפ: ישנה דרך לבדוק מהם הפערים בין Group Policy לבין Administrative Template עם הכלי NMAT
אם מזכירים את האפשרויות של Administrative Template אז כיום ניתן לבצע אינספור פעולות ברמת Windows, Office, Edge. אומנם זה עדיין אינו שווה ערך לאפשרויות של Group Policy מקומי אל הפערים מצטמצמים בצורה מהירה.
מכיוון שהפוסט מתמקד באכיפת מדיניות מול OneDrive for Business נמשיך אל האפשרויות הקיימות, וכיום ישנם ברמת Administrative Template בסביבות 39 הגדרות מובנות לטובת OneDrive for Business.
ישנן הגדרות ברמת Computer Configuration וכן ברמת User Configuration.
טיפ: חשוב להדגיש כי ניתן להוסיף הגדרות מקוסטמות ברמת CSP, או PowerShell או Device Configuration נוספות.
הגדרת OneDrive for Business באמצעות Endpoint Manager
הפוליסים המומלצים מתבססים על ההגדרות הבאות:
– Prevent users from syncing personal OneDrive accounts
– Set the default location for the OneDrive folder
– Silently move Windows known folders to OneDrive
– Silently sign in users to the OneDrive sync client with their Windows credentials
– Allow syncing OneDrive accounts for only specific organizations
– Disable the tutorial that appears at the end of OneDrive setup
– Prevent users from changing the location of their OneDrive folder
– Prevent users from fetching files remotely
– Prevent users from moving their Windows known folders to OneDrive
כמו שניתן לראות הפוליסים מתמקדים בהגדרות IT רגילות לצד אכיפת הגדרות אבטחה בסיסיות, ומטרת ההגדרות היא לאפשר סנכרון אוטומטי ללא מעורבות המשתמש מול ספריות דיפולטיות, ורק מול הטננט הארגוני וללא אפשרות סנכרון מול ספקי אחסון צד שלישי.
הקופיגורציות הספציפיות שבהן נתמקד הם:
Allow syncing OneDrive accounts for only specific organizations – הגדרה ברמת Device המאפשרת סנכרון טננט ספיצפי בלבד ע”י רישום הטננט
Prevent users from syncing personal OneDrive accounts – הגדרה ברמת User שמטרתה למנוע סנכרון של אחסון צד שלישי עם חשבון Microsoft account אישי
טיפ: במידה והוגדר חשבון אישי לפני כן (לפני אכיפת הפוליסי) הסנכרון מול החשבון האישי יופסק באופן אוטומטי
Silently sign in users to the OneDrive sync client with their Windows credentials – הגדרה ברמת Device המאפשרת סנכרון אוטומטי של OneDrive for Business ללא צורך בהתערבות המשתמש וללא ביצוע פעולות כלשהן.
מומלץ להוסיף את ההגדרות הבאות בנוסף
– Set the maximum size of a user’s OneDrive that can download automatically
– Set the default location for the OneDrive folder
Silently move Windows known folders to OneDrive – הגדרת ברמת Device המאפשרת הפניית תיקיות מוכרות (Desktop, Documents, Pictures, Screenshots, and Camera Roll) אל OneDrive for Business ללא כל אינטראקציה של המשתמש.
הערה: מצריך הגדרת טננט דיפולטי של המשתמש
יתר ההגדרות המוזכרות הם הגדרות קלות ונוספות המאפשרות לאכוף פוליסי נוסף שיכול לשפר את חווית המשתמש.
בסיום יש לבצע Assignment ולהגדיר קבוצות ספציפיות ברמת User וברמת Device.
ישנם אפשרויות נוספות להקשיח את הסנכרון, הגישה והפעולות מול OneDrive for Business באמצעות MCAS ובאמצעות Azure AD Conditional Access וכן באמצעות Microsoft Information Protection – נתמקד במאמרים הבאים.
