OneDrive for BusinessでKFMを利用してデスクトップ、ドキュメントフォルダをGPO制御で自動保護(バックアップ)してみる

OneDrive for Businessでデスクトップ、ドキュメントをGPO制御で保護してみる

ついに!自分がやりたかったことが可能になりました!!(パチパチパチ〜
情シス的なことをしているとPCの故障時や入れ替え時って
ユーザにバックアップ取得をお願いしないといけないのですが
まぁやってくれなかったり取り忘れがあったりで、旧PCを数ヶ月保管しておく
なんてことはざらにあります。

せっかくOffice 365を利用しているのだから、OneDriveにフォルダリダイレクトを利用してどうにかできないものかと常々考えていたのです。
が、昔はフォルダリダイレクト等でデスクトップデータ等をOneDriveへ強制的に保存させることは不可能でした。

twitterでOneDrive for Businessで保護が可能になったとのツイートを発見し触っていたところクライアント側で制御しないとだめなのかなぁと思ったのですが、
GPOでも制御できるとの記事が!こちらとかも

この機能のことをKnown Folder Move(KFM)というそうです。

これは即設定だ!と思い設定してみました!

目次

まずは、新GPOファイルを取得する

OneDriveのインストールディレクトリにadmというフォルダがあります。
その中にKFMに対応したadmlやadmxファイルがあるためこのファイルをコピーします。
今回試した環境では下記ディレクトリ内にありました。
C:\Users\<<ユーザ名>>\AppData\Local\Microsoft\OneDrive\18.131.0701.0007\adm
コピーしたファイルをドメインコントローラーのC:\Windows\Sysvol\domain\Policies\PolicyDefinitions
へコピーします。
日本語の翻訳ファイルはドメインコントローラーのC:\Windows\Sysvol\domain\Policies\PolicyDefinitions¥ja-JP
へコピーします。

グループポリシーを設定する

グループポリシーエディタを起動し、グループポリシーを作成します。
コンピュータの構成ポリシー側にKFMのポリシーがあります。

コンピュータの構成→ポリシー→管理テンプレート→OneDrive

以下のポリシーを有効化しました。

  1. ユーザーがWindowsの既知のフォルダからPCにリダイレクトできないようにする
    ドキュメント、ピクチャ、デスクトップフォルダのOneDriveリダイレクトをユーザーが停止できないようにするための制御ポリシーです。
  2. サイレントモードでWindowsの既知のフォルダをOneDriveにリダイレクトする
    ユーザーの操作なしでリダイレクトするための設定ポリシーです。
    テナントIDはAzureADの管理ページで確認できます。
  3. プライマリWindowsアカウントを使用して自動でOneDriveを構成する
    自分の環境ではプライマリWindowsアカウントが[email protected]となっているので同期構成不可かなと思ったのですが、AAD Connectで同期されているユーザーであれば自動でOneDriveの構成が実行されました。

下記のポリシーは無効化しました。

  1. Windowsの既知のフォルダーをOneDriveに移動するメッセージをユーザーに表示する
    自動リダイレクトしたことをトースト等のメッセージ通知を実施しません。

こんな形のポリシー設定になりました。

 

Windowsクライアント側で確認

GPOにより正しく制御されているかを確認します。
コンピュータの構成ポリシーなので、再起動するのが早いかと思いますが
コマンドプロンプトで念の為gpupdate /forceコマンドを実行してから再起動してみます。

タスクバーにあるOneDriveアイコンを右クリックし、設定を開きます。
自動保存タブをクリックします。
IT部門はフォルダー保護の停止を許可していませんの表示がされており、
フォルダ保護の停止ができなくなっていますね!

デスクトップやドキュメントにファイルを作成すると自動的にOneDrive側にもファイルが作成されました!
これで万が一PCを紛失したり、破損してしまった場合でもユーザーが一番ファイルをおいているであろうフォルダを保護することができます!
ファイルサーバとかSharePoint使えよって話しですけどね・・・。

ともあれとても便利な機能なので活用していきたいと思います!
OneDriveのGPOは個人アカウントでの同期禁止や、指定したテナントIDにのみだけ同期させるといった制御も可能なので自分の組織にあったポリシーを適用していくことができると思います。

OneDriveは1TB利用できるので、PCに搭載されているディスクが1TB以下ならバックアップはすべてまかなえますね!

この記事が気に入ったら
フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次