Microsoft OneDriveの同期制御
今日の記事は、Microsoft OneDriveの個人用アカウントや、所属組織のテナント以外の 組織アカウント(Azure ADアカウント)を同期制御する方法についての内容です。
OneDriveの同期制限方法をご紹介する前に、まずは、同期アプリケーションとしての、OneDrive for BusinessとOneDriveの違いについてご説明します。
結論から記載すると、Windows10 に標準で搭載されているMicrosoft OneDriveは、旧型のアプリケーションであるOneDrive for Businessよりも、機能やパフォーマンスが強化された次世代型のアプリケーションであり、今後はこちらのアプリケーションを使用して同期を行うことが推奨されています。
この記事では、旧型のアプリケーションを(Groove.exe(OneDrive for Businessとしてインストールされるもの)として、次世代アプリケーションを(Onedrive.exe(OneDriveとしてインストールされているもの))として扱います。
□OneDrive 次世代同期クライアント
□OneDrive 旧同期クライアント
OneDriveの次世代クライアントへの切り替えはすでに開始されています。
参考情報:OneDrive for Business Next Generation Sync Client に関する変更(MC45072) に関するお知らせ
https://blogs.technet.microsoft.com/sharepoint_support/2016/05/11/
リンク先記事からの引用ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
2016 年 5 月 15 日 (日本時間では 5 月 16 日) 以降に小規模テナントから順次展開される変更によって、OneDrive for Business (SharePoint Online の個人用サイト) との同期では旧来の OneDrive for Business 同期クライアント (GROOVE.EXE) が利用できなくなり、OneDrive 次世代同期クライアント (ONEDRIVE.EXE) を使用することを要求するメッセージが表示されるようになります。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
現時点では、OneDrive for Businessの使用を継続した場合においても障害になるような事例は確認できませんでしたが、既にテナントに対して同期クライアントの変更が始まっていることから、今後はOneDrive for Business (Groove.exe)ではなく、Microsoft OneDrive (onedrive.exe)の使用を検討したほうがよさそうです。
※注意点1・・・OneDrive for Buiness(Groove.exe)は、今でもOffice展開ツールを使用してOfficeを構成した場合は、Groove.exeもonedrive.exeと一緒に同梱されているので、インストール時にxmlファイルなどを使用したgroove.exeのインストール拒否が必要です。
※注意点2・・・SharePoint オンプレミス環境からの同期、または別のユーザーの OneDrive ライブラリの同期を希望する場合は、従来の OneDrive for Business アプリケーション (groove.exe) を使用する必要があります。
参考情報: ファイルおよびフォルダーを同期する際の制限事項
OneDriveは次世代クライアントになったことによって、様々なパフォーマンスが改善されています。新機能や改善された点について、以下に記載をさせていただきます。
□次世代クライアント(onedrive.exe)での主な新機能や改善点
・Windows 8.1サポート(従来はWindows 7、8、10に対応)
・「Office 2016」との統合(Office 2016のアップデート配布とともに重要機能が利用可能に)
・セットアップの改良(レジストリキーが不要になり、インストールが容易に)
・シームレスなクライアント移行(これまでの同期クライアントを使っている場合、新しい同期クライアントの導入により、再同期なしでシームレスに移行可能に)
・同期の一時停止機能の改良
・ファイルのオンライン表示機能の改良
・1ファイルあたりの最大容量が10GBに
・選択型同期が可能
・複数のアカウントに対応(OneDrive for Business、個人用OneDrive)
・任意のファイルタイプの同期に対応
・特定のファイルタイプの同期禁止(管理者向け機能)
・パフォーマンスと信頼性の向上(特に、小さいファイルのアップロード及びダウンロード速度を向上)
これまで提供されていた同期クライアントの問題(同期が遅い、同期がされない、選択型同期ができない、ファイル数・1ファイルあたりの2GB制限など)が改善されています。
補足
※現在、自分がどのOneDriveクライアントを利用しているかを判断するには、Windowsエクスプローラーを開いて、左側のフォルダーナビゲーションウィンドウで確認することができます。
OneDrive -個人用が表示された場合:一般向け個人用の OneDriveサービスの同期クライアント
OneDrive -会社名が表示された場合:OneDrive for Businessの次世代同期クライアント
OneDrive for Business が表示された場合:既存の OneDrive for Business同期クライアント
注目していただきたい次世代クライアントでの変更点は、個人用Microsoftアカウントでも、組織用アカウントでもアプリケーションにサインインし、同期が出来るようになってしまっている事です。
会社貸与のPCでは、個人用Microsoftアカウントでの同期については制限をかけたいという声も多いと思います。そこで、今回はOne Drive管理用テンプレートをADに追加してグループポリシーで同期制御をする方法をご紹介します。
□OneDriveの同期制限について
Part1.OneDrive管理用テンプレートの追加
これからご紹介する方法は、オンプレミスAD環境にドメイン参加しているWindows10 PCに対してのOneDrive ライブラリの同期制御についてです。そもそも、OneDrive for Business や Office365へ の認証制御を行っていない状態ですと、企業貸与のPCでどれだけ同期制限をしても、ユーザーが自宅のPCなどで簡単にOneDriveライブラリの同期が出来てしまいます。
その為、本記事内では具体的な手順については記載を割愛させていただきますが、以下の方法などによって、Office365 または OneDrive for Businessへの認証制御を、本制御と併用して行う事が重要です。
- Azure AD 条件付きアクセスによる認証制御 (Azure AD Premium P1が必要です、)
- Office365 OneDrive管理センターからの IPアドレス または、 ドメインベースでの認証制御
- ADFS クレームルールなどを使用した認証制御
それでは、この次世代OneDriveアプリケーション (onedrive.exe) の同期制限の方法についてご紹介します。既にドメインにセントラルストアが構成されている場合はそれ程複雑な作業ではありません。
1_Windows10を実行しているPCに最新のOneDrive同期クライアント(onedrive.exe)をインストールします。
最新版のOneDriveについては、こちらからDLするか、標準でインストールされているアプリケーションを更新してください。
OneDriveのダウンロード
https://onedrive.live.com/about/ja-JP/download/
2_最新のOneDriveをインストールしたPCで、以下ディレクトリを参照します。
%localappdata%\Microsoft\OneDrive\BuildNumber\adm\,
※BuildNumberにはOneDriveアプリケーションのバージョン番号が入ります。
3_フォルダ内にある、admlファイル及び、admxファイル、及び言語のサブフォルダ内にあるadmlファイルをドメインのセントラルストア ( \ domain \ sysvol \ domain \ Policies \ PolicyDefinition ) にコピーします。
4.以上の操作によって、以下のようにグループポリシー管理エディタからOneDrive管理用テンプレートのポリシーを構成する事が可能になります。
このOneDrive管理用テンプレートを使用して、個人用MicrosoftアカウントでのOneDrive同期制御及び、組織外のAzure ADアカウントを使用したOneDrive同期を制御します。
Part2.個人用Microsoftアカウントの制御
[ ユーザーが個人用のOneDriveアカウントを同期できないようにする ] ポリシーを有効にした場合、ユーザーがOneDrive に対して個人用マイクロソフトアカウントを使用して認証を試みようとした際に、サインイン画面自体が表示されずに、以下のように[個人用OneDriveの同期は許可されていません]と表示されます。これによって、個人用Microsoftアカウントを使用したOneDrive同期をブロックすることが可能です。
本ポリシーを使用する事により、OneDrive の同期に使用できるアカウントを 組織アカウントのみに制限する事ができます。
Part3. 自分の組織アカウントのみ同期を許可する
[特定の組織にのみ OneDrive アカウントの同期を許可する] ポリシーを構成した場合、ユーザーは管理者が指定した Office 365 テナントに存在するアカウントでのみ OneDrive の同期を構成する事が可能となります。
本ポリシーを使用する事によって、他組織アカウントを使用した OneDrive 同期をブロックすることが可能です。パターン1の個人用 MS アカウントによる同期制御ポリシーと組み合わせて使用することによって、ユーザーに貸与されている Office 365 アカウントのみに、OneDrive 同期に使用するアカウントを制限することが可能です。
※このポリシーを有効にしただけでは、個人用Microsoftアカウントの同期は制御されません。
Part4. 全ての組織アカウントの同期を拒否する
[特定の組織にのみ OneDrive アカウントの同期を許可する] ポリシーを、架空のテナント GUID を指定して構成した場合、全ての Office365 テナントへの同期が制限されます。この制御は、OneDrive for Businessをユーザーに対して展開するまでの間、同期制限をかけたいといった際に有効です。
指定する架空のGUID例を以下に記載します。
00000000-0000-0000-0000-00000000000A
Tips テナントIDの調べ方
1.Azure Portal にログインし、[Azure Active Directory] を選択します。
2.テナント ID を取得するには、Azure AD テナントの [プロパティ] を選択します。
3.ディレクトリ ID をコピーします。 この値がテナント ID です。
■ 参考情報
OneDrive for Business Next Generation Sync Client に関する変更(MC45072) に関するお知らせ
https://blogs.technet.microsoft.com/sharepoint_support/2016/05/11/
ファイルおよびフォルダーを同期する際の制限事項
https://support.microsoft.com/ja-jp/help/3125202/restrictions-and-limitations-when-you-sync-files-and-folders
グループ ポリシーを使用し、OneDrive 同期クライアント設定を制御する
https://support.office.com/ja-jp/article/0ecb2cf5-8882-42b3-a6e9-be6bda30899c