הגדרת OneDrive באמצעות Endpoint Manager

האפשרויות, היכולות והפוליסי של Endpoint Manager מאפשרות להשיג כל כך הרבה יתרונות מול תחנות קצה, כמו, אוטומציה, אכיפת מדיניות אבטחה, שליטה על ניידות של תחנות ובעיקר ניהול תחנות מרוחקות. כאשר זה מגיע אל OneDrive for Business עומדות לרשותינו אפשרויות מגוונות לשיפור חווית המשתמש ואכיפת מדיניות אבטחה.

המאמר הנוכחי מתמקד באכיפת מדיניות ספציפית מול OneDrive for Business

אחד השינויים שניתן לראות בממשקים של Endpoint Manager הוא צמצום הפערים בין Group Policy מקומי לבין Administrative Template וכן Group Policy Analytics.

טיפ: ישנה דרך לבדוק מהם הפערים בין Group Policy לבין Administrative Template עם הכלי NMAT

אם מזכירים את האפשרויות של Administrative Template  אז כיום ניתן לבצע אינספור פעולות ברמת Windows, Office, Edge. אומנם זה עדיין אינו שווה ערך לאפשרויות של Group Policy מקומי אל הפערים מצטמצמים בצורה מהירה.

מכיוון שהפוסט מתמקד באכיפת מדיניות מול OneDrive for Business נמשיך אל האפשרויות הקיימות, וכיום ישנם ברמת Administrative Template בסביבות 39 הגדרות מובנות לטובת OneDrive for Business.

ישנן הגדרות ברמת Computer Configuration וכן ברמת User Configuration.

טיפ: חשוב להדגיש כי ניתן להוסיף הגדרות מקוסטמות ברמת CSP, או PowerShell או Device Configuration נוספות. 

הגדרת OneDrive for Business באמצעות Endpoint Manager

הפוליסים המומלצים מתבססים על ההגדרות הבאות:

– Prevent users from syncing personal OneDrive accounts
– Set the default location for the OneDrive folder
– Silently move Windows known folders to OneDrive
– Silently sign in users to the OneDrive sync client with their Windows credentials
– Allow syncing OneDrive accounts for only specific organizations
– Disable the tutorial that appears at the end of OneDrive setup
– Prevent users from changing the location of their OneDrive folder
– Prevent users from fetching files remotely
– Prevent users from moving their Windows known folders to OneDrive

כמו שניתן לראות הפוליסים מתמקדים בהגדרות IT רגילות לצד אכיפת הגדרות אבטחה בסיסיות, ומטרת ההגדרות היא לאפשר סנכרון אוטומטי ללא מעורבות המשתמש מול ספריות דיפולטיות, ורק מול הטננט הארגוני וללא אפשרות סנכרון מול ספקי אחסון צד שלישי.

הקופיגורציות הספציפיות שבהן נתמקד הם:

Allow syncing OneDrive accounts for only specific organizations – הגדרה ברמת Device המאפשרת סנכרון טננט ספיצפי בלבד ע"י רישום הטננט

Prevent users from syncing personal OneDrive accounts – הגדרה ברמת User שמטרתה למנוע סנכרון של אחסון צד שלישי עם חשבון Microsoft account אישי

טיפ: במידה והוגדר חשבון אישי לפני כן (לפני אכיפת הפוליסי) הסנכרון מול החשבון האישי יופסק באופן אוטומטי

Silently sign in users to the OneDrive sync client with their Windows credentials – הגדרה ברמת Device המאפשרת סנכרון אוטומטי של OneDrive for Business ללא צורך בהתערבות המשתמש וללא ביצוע פעולות כלשהן.

מומלץ להוסיף את ההגדרות הבאות בנוסף

– Set the maximum size of a user's OneDrive that can download automatically
– Set the default location for the OneDrive folder

Silently move Windows known folders to OneDrive – הגדרת ברמת Device המאפשרת הפניית תיקיות מוכרות (Desktop, Documents, Pictures, Screenshots, and Camera Roll) אל OneDrive for Business ללא כל אינטראקציה של המשתמש.

הערה: מצריך הגדרת טננט דיפולטי של המשתמש

יתר ההגדרות המוזכרות הם הגדרות קלות ונוספות המאפשרות לאכוף פוליסי נוסף שיכול לשפר את חווית המשתמש.

בסיום יש לבצע Assignment ולהגדיר קבוצות ספציפיות ברמת User וברמת Device.

מאמרים נוספים של Endpoint Manager

ישנם אפשרויות נוספות להקשיח את הסנכרון, הגישה והפעולות מול OneDrive for Business באמצעות MCAS ובאמצעות Azure AD Conditional Access  וכן באמצעות Microsoft Information Protection – נתמקד במאמרים הבאים.

מה דעתך?

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.