OneDrive Richtlinien
Im privaten Bereich kann der Anwender mit OneDrive ja eigenverantwortlich arbeiten. In Firmen hingegen ist etwas mehr Kontrolle erforderlich. Zum einen geht es um die Steuerung der genutzten Bandbreite aber auch der Umfang der Daten und das Mischen von privaten und geschäftlichen Daten ist natürlich ein Thema. Daher gibt es für OneDrive Business natürlich auch eine Gruppenrichtlinienvorlage zur Konfiguration der verschiedenen Einstellungen. So kann die Verknüpfung mit einem persönlichen OneDrive deaktiviert werden. Bei der Steuerung der Bandbreite aber sind die Möglichkeiten doch begrenzt. Für Firmen ist hier QoS und aktiven Traffic-Management ratsam.
In dem Zuge empfehle ich die umfangreiche Seite auf
- "Use Group Policy to
control OneDrive sync client settings"
https://docs.microsoft.com/de-de/onedrive/use-group-policy - Network utilization planning for the
OneDrive sync client
https://docs.microsoft.com/de-de/onedrive/network-utilization-planning
ADMX beziehen
Die Vorlage für die Gruppenrichtlinien ist diesmal kein Download von Microsoft und auch nicht in einem Office Deployment Kit oder dem Betriebssystem enthalten sondern wird durch die Installation des OneDrive Clients auf jeden PC übertragen. Microsoft selbst schreibt, dass die ADMX-Dateien in folgendem Pfad liegen
%localappdata%\Microsoft\OneDrive\%BuildNumber%\adm
Wobei die Build-Nummer die Versionsnummer des gerade installierten OneDrive Clients entspricht. Bei mir lagen hier jede Menge Dateien und Ordner für jede unterstützte Sprache:
Das ist aus meiner Sicht eine recht ungewöhnliche Methode der Verteilung, zumal ich nur genau eine Build-Nummer gefunden habe. Beim nächsten Update des OneDrive-Clients kann es ja schon wieder eine neue ADMX geben. Für einen Administrator ist diese schnelle Versionsfolge natürlich nicht einfach nachzuhalten, wenn Anwender auch noch selbst ein Update des Clients durchführen können. Da hoffen wir doch mal, dass auch ein neuerer OneDrive-Client die alten Richtlinien in der gleichen Weise befolgt. Als Administrator ist man daher gut beraten, nach einem OneDrive-Update nach neuen ADMX-Vorlagen zu suchen und diese ggfls. zu aktualisieren. Eine Liste der Versionen und die darin enthaltenen Änderungen habe ich noch nicht gefunden.
Einstellbare Dinge
Ein Blick in die Policies zeigt bei mir mit Version 18.240.1202.0003 (Stand Jan 2019) folgende 27 Einstellmöglichkeiten. Das hier sind die entsprechende Schlüssel, die dann in der Registrierung angelegt werden. Ich gehe auf die Werte nicht einzelne ein, da Sie auf https://docs.microsoft.com/de-de/onedrive/use-group-policy geht gut erklärt werden.
DisablePersonalSync EnableEnterpriseUpdate DefaultRootDir DisableCustomRoot EnableAllOcsiClients EnableHoldTheFile AutomaticUploadBandwidthPercentage UploadBandwidthLimit DownloadBandwidthLimit RemoteAccessGPOEnabled PreventNetworkTrafficPreUserSignIn SilentAccountConfig DiskSpaceCheckThresholdMB FilesOnDemandEnabled DehydrateSyncedTeamSites AllowTenantList BlockTenantList SharePointOnPremFrontDoorUrl SharePointOnPremPrioritization DisableFRETutorial BlockKnownFolderMove KFMOptInWithWizard KFMOptInNoWizard KFMBlockOptOut AutoMountTeamSites DisablePauseOnBatterySaver DisablePauseOnMeteredNetwork
Nur eine Auswahl möchte ich explizit beschreiben:
- DisablePersonalSync
Hiermit können Firmen den Sync-Client anweisen, keine persönlichen OneDrive Daten abzugleichen. Aus Compliance-Gründen kann das wichtig sei, denn der Zugriff auf ein persönliches OneDrive vermischt private und geschäftliche Daten auf dem gleichen Client und erleichtert eine Fehlbedienung, wenn der Anwender ein Firmendokument einfach mal in dem falschen fast gleichnamigen Verzeichnis ablegt. - AutomaticUploadBandwidthPercentage
Hiermit können Sie in Prozent festlegen, wie viel Bandbreite der Client für den Upload, nicht Download, von Dateien verwenden darf. Mehr Details finden sie im nächsten Abschnitt - KFMOptInWithWizard, KFMSilentOptIn
und KFMSilentOptInWithNotification
Mit diesen Einstellungen steuern sie das Verhalten von "Known Foldern", also "Desktop", "Bilder", "Dokumente", Sie können so als Firma sicherstellen, dass alles, was der Anwender dort anlegt, auch über OneDrive auf dem Cloud-Server landet. Das ersetzt zwar kein Backup aber ist immer noch besser also komplett ungesicherte lokale Daten.
Auf jeden Fall sollten Sie OneDrive nicht ohne entsprechende Vorarbeiten und Planungen im Unternehmen einführen.
Libraries per GPO verwalten
Lange Zeit mussten Anwender alle selbst die gewünschten Dateien und Ordner z.B. im SharePoint suchen und synchronisieren. Diese Funktion kommt aber. Im April 2019 war sie aber noch den "Windows Insidern" vorbehalten und die ein oder andere Einschränkung gibt es auch noch. Aber es ist schon mal ein Anfang.
- OneDrive | GPO: Configure team site
libraries to sync automatically
https://hansbrender.com/2019/03/27/onedrive-gpo-configure-team-site-libraries-to-sync-automatically/ - Websitebibliotheken für die automat.
Synchronisierung konfigurieren
https://hansbrender.com/2019/03/28/websitebibliotheken-fr-die-automat-synchronisierung-konfigurieren/
Bandbreitenlimits
Wenn Sie genau hingeschaut haben, dann gibt es da auch Werte für "UploadBandwidthLimit" und "DownloadBandwidthLimit". Das hört sich erst mal gut an aber wie soll der OneDrive Client ermitteln, wie gut denn die Leitung ist. Am heimischen DSL-Anschluss mag das noch funktionieren aber in der Firma könnte ein Client die Kapazität doch stark stressen. Microsoft beschreibt die Funktion wie folgt:
This calculated value is then multiplied by the percentage you select in the Bandwidth box
(from 10-99) and is used as the throughput cap for the next 10 minutes. After 10
minutes, the sync client will perform another 60-second measurement and readjust
based on the results of the new maximum upload throughput value for that
measurement period. Upload throughput is not throttled during the 60-second
measurement interval and allows files to be uploaded at the maximum available
throughput. This enables two key scenarios. First, a very small file will get
uploaded quickly because it can fit in the interval where the sync client is
measuring the maximum possible speed. Second, for any long running upload, sync
will keep optimizing the upload speed per the percentage value set by this
setting.
https://docs.microsoft.com/de-de/onedrive/use-group-policy
Ihr Client misst also 60 Sekunden lang ohne Limit den Durchsatz um basierend darauf dann die restlichen 10 Minuten dann die angegebene Prozentzahl (10%-99%) davon zu nutzen. Das bedeutet aber auch, dass jeder Client mit viel Synchronisationsbedarf alle 10 Minuten für 1 Minute "ungedrosselt" Bandbreite nutzen möchte. Bei Migrationen und einer größeren Datei, die von mehreren Personen synchronisiert wird, kann das schon unangenehm werden. Es kann aber auch nach hinten losgehen, wenn zum Moment der Messung die Bandbreite durch andere Übertragungen reduziert ist. Der Client wird dann weitere 10 Minuten mit angezogener Handbremse fahren.
Ich habe aber nicht gesehen, dass diese Drossel auf Subnetze oder nach "Intern/Extern" unterschieden wird. Ein Client könnte ja prüfen, ob er einen DomainController oder einen "ProbeHost" erreicht und so erkennen, dass er intern ist und sich an andere Regeln halten muss als ein Client im Home-Office.
Eine bessere Option ist aus meiner Sicht der Einsatz von DSCP-Kennzeichnungen und QoS-Begrenzungen auf der Netzwerkseite. Die Bandbreitengrenzen, die unter Windows auch per Policy auf Netzwerkkarten möglich sind, sind statisch und daher kaum geeignet. Letztlich ist es Aufgabe der aktiven Komponenten im Netzwerk, die unterschiedlichen Datenpakete und Dienste zu steuern, also an den Engstellen über Firewalls und ggfls. Proxy-Server mit Beschränkungen zu arbeiten.
Weitere Links
- Gruppenrichtlinien
- Use Group Policy to control OneDrive sync client settings
https://docs.microsoft.com/de-de/onedrive/use-group-policy - Prevent users from installing the OneDrive sync client
https://docs.microsoft.com/de-de/onedrive/prevent-installation - Block syncing of specific file types
https://docs.microsoft.com/de-de/onedrive/block-file-types - Network utilization planning for the OneDrive sync client
https://docs.microsoft.com/de-de/onedrive/network-utilization-planning - "Use Group Policy to
control OneDrive sync client settings"
https://docs.microsoft.com/de-de/onedrive/use-group-policy - Sync files with the OneDrive sync client in Windows
https://support.office.com/en-us/article/sync-files-with-the-onedrive-sync-client-in-windows-615391c4-2bd3-4aae-a42a-858262e42a49
Hinweise für Anwender - Block OneDrive Downloads and Audit OneDrive Activity!
(SharePoint too!)
https://blogs.technet.microsoft.com/skypehybridguy/2019/02/02/block-onedrive-downloads-and-audit-onedrive-activity-sharepoint-too/ - Microsoft Clamps Down on PST Version Storage for SharePoint
Online and OneDrive for Business
https://office365itpros.com/2021/05/24/pst-storage-sharepoint-onedrive-bad/ - KFM - Silent Folder Move doesn't work until user selects it
https://techcommunity.microsoft.com/t5/onedrive-for-business/kfm-silent-folder-move-doesn-t-work-until-user-selects-it/m-p/3628774