OneDrive Richtlinien

Im privaten Bereich kann der Anwender mit OneDrive ja eigenverantwortlich arbeiten. In Firmen hingegen ist etwas mehr Kontrolle erforderlich. Zum einen geht es um die Steuerung der genutzten Bandbreite aber auch der Umfang der Daten und das Mischen von privaten und geschäftlichen Daten ist natürlich ein Thema. Daher gibt es für OneDrive Business natürlich auch eine Gruppenrichtlinienvorlage zur Konfiguration der verschiedenen Einstellungen. So kann die Verknüpfung mit einem persönlichen OneDrive deaktiviert werden. Bei der Steuerung der Bandbreite aber sind die Möglichkeiten doch begrenzt. Für Firmen ist hier QoS und aktiven Traffic-Management ratsam.

In dem Zuge empfehle ich die umfangreiche Seite auf

ADMX beziehen

Die Vorlage für die Gruppenrichtlinien ist diesmal kein Download von Microsoft und auch nicht in einem Office Deployment Kit oder dem Betriebssystem enthalten sondern wird durch die Installation des OneDrive Clients auf jeden PC übertragen. Microsoft selbst schreibt, dass die ADMX-Dateien in folgendem Pfad liegen

%localappdata%\Microsoft\OneDrive\%BuildNumber%\adm

Wobei die Build-Nummer die Versionsnummer des gerade installierten OneDrive Clients entspricht. Bei mir lagen hier jede Menge Dateien und Ordner für jede unterstützte Sprache:

Das ist aus meiner Sicht eine recht ungewöhnliche Methode der Verteilung, zumal ich nur genau eine Build-Nummer gefunden habe. Beim nächsten Update des OneDrive-Clients kann es ja schon wieder eine neue ADMX geben. Für einen Administrator ist diese schnelle Versionsfolge natürlich nicht einfach nachzuhalten, wenn Anwender auch noch selbst ein Update des Clients durchführen können. Da hoffen wir doch mal, dass auch ein neuerer OneDrive-Client die alten Richtlinien in der gleichen Weise befolgt. Als Administrator ist man daher gut beraten, nach einem OneDrive-Update nach neuen ADMX-Vorlagen zu suchen und diese ggfls. zu aktualisieren. Eine Liste der Versionen und die darin enthaltenen Änderungen habe ich noch nicht gefunden.

Einstellbare Dinge

Ein Blick in die Policies zeigt bei mir mit Version 18.240.1202.0003 (Stand Jan 2019) folgende 27 Einstellmöglichkeiten. Das hier sind die entsprechende Schlüssel, die dann in der Registrierung angelegt werden. Ich gehe auf die Werte nicht einzelne ein, da Sie auf https://docs.microsoft.com/de-de/onedrive/use-group-policy geht gut erklärt werden.

DisablePersonalSync
EnableEnterpriseUpdate
DefaultRootDir
DisableCustomRoot
EnableAllOcsiClients
EnableHoldTheFile
AutomaticUploadBandwidthPercentage
UploadBandwidthLimit
DownloadBandwidthLimit
RemoteAccessGPOEnabled
PreventNetworkTrafficPreUserSignIn
SilentAccountConfig
DiskSpaceCheckThresholdMB
FilesOnDemandEnabled
DehydrateSyncedTeamSites
AllowTenantList
BlockTenantList
SharePointOnPremFrontDoorUrl
SharePointOnPremPrioritization
DisableFRETutorial
BlockKnownFolderMove
KFMOptInWithWizard
KFMOptInNoWizard
KFMBlockOptOut
AutoMountTeamSites
DisablePauseOnBatterySaver
DisablePauseOnMeteredNetwork

Nur eine Auswahl möchte ich explizit beschreiben:

  • DisablePersonalSync
    Hiermit können Firmen den Sync-Client anweisen, keine persönlichen OneDrive Daten abzugleichen. Aus Compliance-Gründen kann das wichtig sei, denn der Zugriff auf ein persönliches OneDrive vermischt private und geschäftliche Daten auf dem gleichen Client und erleichtert eine Fehlbedienung, wenn der Anwender ein Firmendokument einfach mal in dem falschen fast gleichnamigen Verzeichnis ablegt.
  • AutomaticUploadBandwidthPercentage
    Hiermit können Sie in Prozent festlegen, wie viel Bandbreite der Client für den Upload, nicht Download, von Dateien verwenden darf. Mehr Details finden sie im nächsten Abschnitt
  • KFMOptInWithWizard, KFMSilentOptIn  und KFMSilentOptInWithNotification
    Mit diesen Einstellungen steuern sie das Verhalten von "Known Foldern", also "Desktop", "Bilder", "Dokumente", Sie können so als Firma sicherstellen, dass alles, was der Anwender dort anlegt, auch über OneDrive auf dem Cloud-Server landet. Das ersetzt zwar kein Backup aber ist immer noch besser also komplett ungesicherte lokale Daten.

Auf jeden Fall sollten Sie OneDrive nicht ohne entsprechende Vorarbeiten und Planungen im Unternehmen einführen.

Bandbreitenlimits

Wenn Sie genau hingeschaut haben, dann gibt es da auch Werte für "UploadBandwidthLimit" und "DownloadBandwidthLimit". Das hört sich erst mal gut an aber wie soll der OneDrive Client ermitteln, wie gut denn die Leitung ist. Am heimischen DSL-Anschluss mag das noch funktionieren aber in der Firma könnte ein Client die Kapazität doch stark stressen. Microsoft beschreibt die Funktion wie folgt:

This calculated value is then multiplied by the percentage you select in the Bandwidth box (from 10-99) and is used as the throughput cap for the next 10 minutes. After 10 minutes, the sync client will perform another 60-second measurement and readjust based on the results of the new maximum upload throughput value for that measurement period. Upload throughput is not throttled during the 60-second measurement interval and allows files to be uploaded at the maximum available throughput. This enables two key scenarios. First, a very small file will get uploaded quickly because it can fit in the interval where the sync client is measuring the maximum possible speed. Second, for any long running upload, sync will keep optimizing the upload speed per the percentage value set by this setting.
https://docs.microsoft.com/de-de/onedrive/use-group-policy

Ihr Client misst also 60 Sekunden lang ohne Limit den Durchsatz um basierend darauf dann die restlichen 10 Minuten dann die angegebene Prozentzahl (10%-99%) davon zu nutzen. Das bedeutet aber auch, dass jeder Client mit viel Synchronisationsbedarf alle 10 Minuten für 1 Minute "ungedrosselt" Bandbreite nutzen möchte. Bei Migrationen und einer größeren Datei, die von mehreren Personen synchronisiert wird, kann das schon unangenehm werden. Es kann aber auch nach hinten losgehen, wenn zum Moment der Messung die Bandbreite durch andere Übertragungen reduziert ist. Der Client wird dann weitere 10 Minuten mit angezogener Handbremse fahren.

Ich habe aber nicht gesehen, dass diese Drossel auf Subnetze oder nach "Intern/Extern" unterschieden wird. Ein Client könnte ja prüfen, ob er einen DomainController oder einen "ProbeHost" erreicht und so erkennen, dass er intern ist und sich an andere Regeln halten muss als ein Client im Home-Office.

Eine bessere Option ist aus meiner Sicht der Einsatz von DSCP-Kennzeichnungen und QoS-Begrenzungen auf der Netzwerkseite. Die Bandbreitengrenzen, die unter Windows auch per Policy auf Netzwerkkarten möglich sind, sind statisch und daher kaum geeignet. Letztlich ist es Aufgabe der aktiven Komponenten im Netzwerk, die unterschiedlichen Datenpakete und Dienste zu steuern, also an den Engstellen über Firewalls und ggfls. Proxy-Server mit Beschränkungen zu arbeiten.

Weitere Links