【Office365】OneDrive for Businessとは?展開方法を考えた結果のまとめ

みなさんこんにちは、Miyaです。

今回は私がOffice365のサービスの一つであるOneDrive for Businessの展開にあたって、色々と調べた結果や検証した内容のメモ書きをまとめてみました。

読み物としてはあまりキレイにまとまっていない状態ではありますが、OneDriveの導入を検討されてる方のお役に立てればと思います。

Office365を導入時に購入するライセンスは、E1やE3などのスイート版の方がメリットがあるため、大抵の場合はサービス単品でライセンスを購入するのではなく、スイート版を購入するケースが多いです。

スイート版にはもちろんの如くOneDrive for Businessが付属しており、「どうせならOneDrive for Businessも使いたいなぁ」と呟くお客様も多いですが、設計段階で断念することがあります。

なぜならば、「OneDrive for Businessを利用者にこんな感じで使わせたい!」というゴールに対して、設定や制御機能が他サービスと比べ乏しいことから、上手く設計に落とし込めないからです。

しかし、せっかくスイート版ライセンスを購入したのであれば、何かしらの形で使いたいですよね。現在、OneDrive for Businessの機能、同期クライアントの制御がずいぶんと充実しており、展開のハードルも下がったと私は思うのです。

本記事では、OneDrive for Businessを展開するには?を考え、色々と触ってみた筆者のメモ書きをまとめてみました。一部検証ベースの動きを載せていることもあり、誤りがある場合が在るかもしれませんが、その際は厳しいご指摘をお願い致します。

また、本記事に記載の「OneDrive」はOneDrive for Business、「個人用OneDrive」をコンシューマ向けOneDriveと読み替え下さい。

スポンサーリンク:

OneDrive for Businessとは?

OneDriveとは個人用OneDriveのエンタープライズバージョンです。

個人用OneDriveは2008年にコンシューマ向けに提供されたクラウド型ストレージサービスで、無償で5GBのストレージ容量が利用でき、50GB単位で課金していくサービス形態です。

Windows 10ではOneDriveの同期アプリがプリインストールされており、MSアカウントを登録するだけで個人用OneDriveを利用できることから、コンシューマ向けにも認知度が高いのではないでしょうか。

OneDrive for Businessとは

一方でOneDriveはPlan1であれば1TB、Plan2であれば最大10TBのストレージ容量が利用できるだけでなく、実態は組織のSharePoint Onlineの個人用サイトであることから、IT部門からの制御・監査などの管理機能が実装されたエンタープライズバージョンです。

OneDriveの単品ライセンス(Plan1,2)の比較表を作ってみました。DLPによるデータ損失防止、インプレースホールドによる保持機能がPlan2で提供されています。ちなみに、スイート版であればE1がPlan1、E3~がPlan2に該当します。

機能

OneDrive Plan1

OneDrive Plan2

ストレージ容量

1TB

10TB(条件有)

保存可能な最大サイズ

15GB

15GB

ファイル共有

同期クライアント

機能の制御

アクセス制御

監査ログ

DLP

インプレースホールド

参考:OneDrive for Business プランを比較する

以前、Plan2は容量無制限の話が挙がっていたのですが、基本的には1TBからスタートで、対象のライセンスを5人以上所持している場合に限り5TBに拡張されます。

5TBでも足りないという方向けには次に10TBへの拡張(サポート窓口での対応)となりますが、それでも足りません…って方にはNextStepとして、現在9TB以上を利用していることを条件にSharePoint側の領域を拡張する対応になるとのことです。

また、下記参考サイトのように、ユーザーがOneDriveにアップロードしたファイルを監査のために長期間保持しておきたい(インプレースホールド)などのセキュリティ要件が在れば、迷わずPlan2(or E3以上)を購入しておきましょう。
参考:Office365 セキュリティ/コンプライアンス センターで電子情報開示ケースを管理する

OneDrive for Businessの使わせ方

OneDriveの使わせ方って企業それぞれにあって、単純に安価なクラウドストレージとして理解しただけで「はい、採用」と判断してしまうと、展開で大コケする可能性があります。

OneDriveをどのような位置づけで利用するか、ユーザーにどう使わせたいのかなどをフワフワした感じでも良いので考えておき、シナリオに沿った検証を通して設計していくのが良いでしょう。

例えば、社内ドキュメント(プレゼン資料・設計資料、etc)などの比較的サイズが小さいファイルの置き場所としての利用や、外出先で撮った写真をアップロード→社内端末からダウンロード、いわゆるマルチデバイス間でのファイル交換、ファイル共有による複数人でのファイル編集など…が考えられます。

OneDrive for Businessとは

組織規模や業種によって、OneDriveの最適な使い方があり、設計方針も大きく変わってくるかと思うので、「ユーザーにどのように使わせるのか」を簡単にでも良いので思い描いておきましょう。

OneDrive for Businessアプリケーション

OneDriveでは各OSでクライアントアプリケーションが用意されています。

利用者のOneDriveを利用するシーンに沿って必要なアプリケーションを案内しましょう。また、ここでは紹介していませんが、Mac OSにも同期クライアントがあるので、必要であれば展開・案内しましょう。

同期クライアント

ローカル⇔OneDriveのファイルをバックグラウンドで同期状態を保ちつつ、エクスプローラーからシームレスに操作が出来るのが、OneDrive同期クライアントです。
ダウンロード先:OneDrive の新しい同期クライアントのリリース ノート

OneDrive for Businessとは

Windows 10にプリインストールされているモノと同等です。つまり、個人用OneDriveにも接続できるため、一つのアプリでOneDrive/個人用OneDriveどちらにも接続できる優れものです。(もともとはアプリが分かれて提供されていたのですが、現在は一つに統合されています。)

「同期したら結局ローカル領域が占有されるんじゃ…?」とか「個人用OneDriveに接続されたくない」など、突っ込み所がございますが、後に紹介するグループポリシーで制御することが出来る優れものです。

ブラウザ

IE、Edgeは勿論のこと、一般的なWebブラウザ(Firefox、Chrome、Safari)でも、最新バージョンであることが前提ですが、ブラウザからファイルのダウンロード/アップロードが可能です。

OneDrive for Businessとは

Office365のポータル画面やナビゲーションタイルからアクセス可能なのですが、逆に非表示にすることも可能です。
参考:OneDrive および SharePoint アプリのタイルを非表示にする

OneDrive for Businessとは

※Word,Excel,PowerPoint Onlineも非表示になります。

ブラウザをユーザーに案内したくない場合は非表示にしておきましょう。(サービスが無効になるわけではないのでURL直打ち、もしくはリンクからアクセス可能です。)

iOS・Android

iOS・AndroidにはOneDriveアプリが配信されており、アプリ経由でモバイル端末のデータをアップロード/ダウンロードすることが可能です。モバイル端末からもアクセス出来ることでマルチデバイス間でのファイル共有や外出先からのファイル参照/編集が可能となっております。
※編集にはOffice ProPlusのサブスクリプションが必要です。
⇒フル機能のOffice Mobileを利用できるサブスクリプションが増えました!
参考:Microsoft announces mobile editing availability for more subscribers
OneDrive for Businessとは

Office

普段Officeアプリを利用している人であればよく見かけると思うのですが、Office365にサインインすると、自動でOneDriveやSharePoint Onlineが接続済みサービスとして表示されます。

OneDrive for Businessとは

これらのサービスに接続することで、OneDriveを保存先として選択したり、逆にOneDriveにあるファイルを開いて編集したりなどの操作が可能になります。また、OneDriveの共有メニューもOfficeから設定できちゃいます。これは案内しておきたい。

OneDrive for Businessとは

Officeにサインインすると自動で接続されるため、よく「この自動接続機能を無効してくれ!」と要望を頂くことがあるのですが、現状ここを制御することは出来ません(あったらすみません…)

唯一の対策は、Office365へのサインインを無効にしてあげるぐらいですが、その他サービスを利用する際の弊害となることから現実的ではありません。

その他

Microsoft Graph API群のOneDrive REST APIを経由して、OneDriveのファイルを操作することが出来ます。

自社独自で使われているシステムと連携したいとかであれば、このAPIを組み込んで連携したりなども出来ちゃいます。
参考:Microsoft Graph での OneDrive と SharePoint

私は普段、開発とは無縁な職種であるため、Microsoft Graph APIと言われてもサッパリなのですが、APIを通じて各サービスにアクセスが出来るのですからおもしろそうですし、やってみたい気持ちがあります。

OneDrive for Businessの制御

OneDriveは安価で膨大なストレージ容量が提供されることから、IT管理者としても導入したい気持ちがあるものの、やはりインターネットへの通信トラフィックを懸念して断念するケースが多いですね。

上記以外にも「かゆいとこに手が届かない」状態で見送りにするケースもございますが、最近では管理者から制御できる項目も充実してきましたので、役立ちそうな機能を整理してみました。

↓がOneDrive専用の管理者画面で、ストレージや共有、端末制御などがGUIから設定可能です。

OneDrive for Businessとは

もともとOneDrive専用の管理者画面は無かったのですが、これがオープンされてからはOneDriveの敷居がかなり低くなりました。

OneDrive管理画面からの制御

OneDriveの管理者画面ではストレージ設定や、同期設定、アクセス制限、共有の制限など、あらゆる設定をGUIで簡単に構成できる魔法の画面です。

見た目もシンプルなのも好印象が持てますし、設定メニューもMSにしては分かりやすく取っつき易いのではないでしょうか。

OneDrive for Businessとは

それでは、管理者画面からどのような設定が出来るのかを確認していきましょう。

OneDriveの外部共有を制御する

OneDriveのファイル/フォルダ共有についての制御メニューです。OneDriveはSharePoint Onlineと同様でアップロードされたファイルやフォルダを相手と共有することで、相手に閲覧・ダウンロード、編集などを提供出来ます。

既定では内部・外部問わず全てのユーザーに対して共有設定が可能な状態であるため、ユーザーはファイル/フォルダを外部組織や一般ユーザー(匿名共有)にまで共有できてしまう状態にあります。

OneDrive for Businessとは

外部共有をユーザーに任せるのがセキュリティポリシー上好ましくない場合、共有機能を制限するか、ユーザーへのOneDrive教育が必要になってくるでしょう。

[リンク]メニュー

[リンク]メニューでは、利用者が共有設定する時の規定値を決めれます。

OneDrive for Businessとは

[共有可能なリンクの詳細設定]では、匿名共有の期限とアクセス権を制御するメニューです。

OneDrive for Businessとは

期限、アクセス権ともに管理者で設定したメニューから緩和することができず、例えば期限を延ばそうとすると、以下のように怒られちゃいます。

OneDrive for Businessとは

[外部共有]メニュー

[外部共有]メニューでは、OneDriveとSharePoint Onlineそれぞれの共有できる範囲を設定できます。

OneDrive for Businessとは

“外部ユーザー”とはOffice365のゲストユーザーに該当します。ゲストユーザーについて、ここでの詳しい説明は割愛します。

個人用の領域を外部と共有することについて、管理(運用)が追いつかないことから、共有範囲を内部間に留めるケースが多いような気がします。

個人的な意見ですが、匿名共有を有効にすることで、顧客とサイズの大きなファイルのやり取りがスムーズに進みますし、ユーザーとしては有難いのですが、日本企業ではなかなかYesとは言えないですね…。

[外部共有の詳細設定]メニュー

[外部共有の詳細設定]では、外部共有するときの条件を細かく設定することができます。外部共有する際は、これらのオプション機能をうまく活用しれリスク低減に繋げましょう。

OneDrive for Businessとは

[その他の設定]

[その他の設定]では、OneDriveのファイル統計情報からファイルを表示したユーザーの名前を表示するさせるかどうかの設定です。(相変わらず設定メニューの説明が分かりづらい…)

OneDrive for Businessとは

同期クライアントの制限

同期ボタンの非表示設定

[OneDrive Webサイトに[同期]ボタンを表示する]にチェックすることで、OneDrive上から[同期]ボタンを非表示とすることが出来ます。あくまでボタンが非表示になるだけで、OneDrive同期クライアントからの同期は可能です。

OneDrive for Businessとは

ドメイン参加端末のみ許可する

[指定のドメインに参加しているPC上でのみ同期を許可する]では、同期できるクライアント端末をオンプレのドメインに参加しているPCのみに限定することが出来ます。

OneDrive for Businessとは

※設定の反映には最大24時間かかります

MacOSはドメイン参加によるアクセス制限はサポートされていないため、MacOS全体を拒否することになります。

後で登場するIPアドレス制限で事足りるなら、本設定を投入する必要はないかと思います。

ちなみに、ActiveDirectoryのGUIDは、DCのPowerShellから下記コマンドを確認できます。補足ですが、存在しないGUIDを設定することで全てのPCからの同期を禁止にすることも可能です。

特定ファイル拡張子の禁止

[指定したファイルの種類の同期を禁止する]では、拡張子単位で同期の可否を設定出来ます。比較的サイズが膨れやすい動画ファイルやイメージファイルなどは、予め制御しておくのが良いでしょう。

OneDrive for Businessとは

設定の反映にはしばらく掛かりますが、OneDrive同期クライアントからアップロードしようとすると、以下のように怒られます。

OneDrive for Businessとは

[補足]本設定はあくまで”同期の禁止”であるため、ブラウザからのアップロードは継続して行えます。

ストレージ設定

ストレージの上限設定

[既定のストレージ(GB)]では、OneDriveのストレージクォーターを設定することが出来ます。

既定では1024GB(1TB)とされているため、必要に応じて値を変更しておきましょう。なお設定可能な値は1GB~5120GB(E3以上かつライセンス数5以上)までです。

OneDrive for Businessとは

本設定の注意として、ここで設定する値はあくまで初期値であるため、既にOneDriveを利用しているユーザーの領域には反映されません。

OneDriveは、ユーザーが初回ログインしたタイミングでサイトが構成されるのですが、その時に上記の設定値したがってクォーターが設定されます。後から変更する場合はPowerShellからの操作となるため、出来るだけ展開前に設定しておきましょう。

削除ユーザーのデータ保持期間

[ユーザーアカウントが削除対象として指定された後…]では、アカウントが削除された後のサイトを保持期間の設定になります。

退職もしくは休職された場合にアカウントを削除/ライセンスはく奪する運用があるかと思うのですが、そのタイミングでそのアカウントに紐づくメールボックスやOneDriveサイトには削除フラグが立ちます。

Office365ではアカウントを削除した時点から30日間は復元可能なゴミ箱に残るため、アカウント復元&ライセンスの再付与でアカウントに紐づくサービスのデータも一緒に復元される仕組みとなってます。

本設定では、「アカウントは削除してもOneDriveの領域は置いておきたい!」って時のための設定で、最大3650 日で設定可能だそうです。

OneDrive for Businessとは

そもそもアカウント削除したときに、OneDriveってどのようなフローで削除されるの?と疑問を持たれている方は下記サイトをご参考ください。
参考:OneDrive for Business の保持および削除方法

3.OneDrive のクリーンアップ ジョブが実行され、ユーザー プロファイルが削除予定としてマークされます。プロファイルは削除のステータスでデータベースに保存されます。既定の保持期間は 30 日間ですが、この値は SharePoint Online 管理シェルを使用して、Set-SPOTenant コマンドレットの -OrphanedPersonalSitesRetentionPeriod パラメーターを設定することで変更が可能です。Set-SPOTenant コマンドレットの詳細については、以下の Microsoft Web サイトを参照してください。

上記は参考URLから抜粋した一文になります。「OrphanedPersonalSitesRetentionPeriod」オプションが本設定の値になります。

[補足]
アカウントを削除することでOrphanedPersonalSitesRetentionPeriodの設定値に従ってデータが保持されるのと同時に、その個人用サイトのアクセス権が、削除したアカウントに設定されている[上司]、もしくは代理管理者に委任されます。

代理管理者の設定は、SharePoint Onlineの管理ポータルから、[ユーザープロファイル]→[個人用サイトのセットアップ]→[個人用サイトのクリーンアップ]で設定可能です。このあたりの削除運用の深い話は長くなりそうなので、本記事ではここまでとしておきます。

デバイスアクセスの制御

続いてはデバイスアクセス制御の設定になります。セキュリティポリシー上、社外からOneDriveに接続させたくない場合は、設定しておきましょう。

グローバルIPアドレスベースでOneDriveへのアクセス制限が可能で、追加のライセンスは必要としません。

OneDrive for Businessとは

上図はブラウザからのアクセスをイメージとして載せていますが、OneDrive同期クライアントでも同様にログインが出来ない(永遠にサインイン試行中)状態となります。

[注意]
管理者画面へのアクセスも制限されるため、動的IP環境で本設定をお試しする際は気を付けましょう。設定したまま放置した状態でIPアドレスが変わると、設定変更も出来ない状態になるので、にっちもさっちもいきません。

[先進認証を使用していないアプリからのアクセスを許可する]では、先進認証(=モダン認証)ではなく従来のレガシー認証を利用するアプリからのアクセスを許可するかどうかの設定になります。
参考:Office 製品の Office 365 モダン認証フローと認証キャッシュについて

なぜこのような設定があるかと言うと、AzureADの条件付きアクセスがレガシー認証をサポートしていないためです。
参考:ネットワークの場所またはアプリに基づいてアクセスを制御する

一部のサード パーティ製アプリや、Office 2013 より前のバージョンの Office では、先進認証を使用しないため、デバイス ベースの制限を適用することができません。すなわち、それらのアプリでは、Azure で構成された条件付きアクセス ポリシーをユーザーがバイパスできるということです。

バイパスするということは、条件付きアクセスで構成しているアクセス制限に関係なく接続できてしまうということです。

モダン認証はOffice 2013~サポートされているのですが、2013の場合はレジストリを変更する必要があります。
参考:Windows デバイスの Office 2013 の先進認証を有効にする

OneDrive同期クライアントでは、旧同期クライアントである「OneDrive for Business 2013」がレガシー認証に該当します。そのためレガシー認証を拒否すると、下図のようにメールアドレス/パスワードを入力してもサインイン出来ない状態となります。

OneDrive for Businessとは

レガシー認証を許可した場合、自宅のOneDrive for Business 2013以前の同期クライアントから接続できてしまうため、ユーザーが使っているOfficeのバージョンを整理し、レガシー認証を利用しているのであれば、モダン認証に対応しているバージョンに移行しましょう。

[モバイルアプリケーション管理]では、IntuneによるMDM/MAMの一部サービスであるため、別途ライセンスが必要になります。

OneDrive for Businessとは

Intuneについては、本記事では取り扱わないため省略します。また機会があれば…

コンプライアンス

監査ログ

Office365では各サービスで、誰が・どのサービスで・何をしたのか、などの詳細な情報を監査ログとして90日間保持しています。

OneDriveでも、「誰が、どこで、どのファイルに、何をしたのか」の監査情報を保持しており、管理者は[セキュリティ]ポータルからそれらの情報を検索/参照することが出来ます。

OneDrive for Businessとは

本機能は既定でOFFになっているため、下記URLを参考に有効しておきましょう。
参考:Office 365 の監査ログの検索を有効または無効にする
※有効化してから検索できるようになるまで最大1時間程度かかります。

また、監査ログは90日間だけしか保持されないため、監査のために保持しておく必要があるのであれば、エクスポートで対応するしかありません。
参考:検索結果をファイルにエクスポートする
↑あまり広範囲にデータを取りすぎると5万エントリを超えてしまうので、計画的にエクスポートしましょう。

DLPポリシー(Plan2)

DLPポリシーについては、下記公開情報がよくまとまっています。
参考:データ損失防止ポリシーの概要

様々なテンプレートがありますが、一般的な例でいうとクレジットカード情報が記載されたドキュメントを内部/外部に共有させないように構成することができます。

OneDrive for Businessとは

ただ、精度があまりよろしくなかったり、暗号化してるファイルについてはDLPから検知できないことから、念のため精神で設定しておきましょう。

電子情報開示(Plan2)

電子情報開示とは、Ofice365に保存された訴訟事件に関連のある機密情報を、管理者が作成したルールによって保留(保持)する機能です。

最大で無期限の保持ルールを作成できるこの機能は、Office365の特徴の一つであり、その対象はExchangeのメールやSkypeの会話履歴、SharePoint、OneDriveのサイト単位にまで機能します。

保留のルールは、Office365の[セキュリティ]ポータルにある、[電子情報開示]もしくは[保持]のいずれかで作成可能です。
※設定名称は異なりますが、出来ることは概ね同じです。

OneDrive for Businessとは

各手順については、以下の参考情報によくまとまっているのでご参考下さい。ちなみに保持ポリシーでは、削除ルールも作れたりするので、目的に沿っていずれかで保持ルールを作成しておきましょう。
参考:Office 365 セキュリティ/コンプライアンス センターで電子情報開示ケースを管理する
参考:アイテム保持ポリシーの概要

保留したコンテンツは、[コンテンツの検索]から検索&抽出することができ、クエリを使った「”社外秘”を含むコンテンツを検索する」などの細かな検索も可能です。
参考: Office 365 セキュリティ/コンプライアンス センターでコンテンツ検索を実行する

監査ログや過去データの保持を何年も持たないといけない場合、オンプレではストレージの費用だけでかなり高額になってしまいます。その点Office365では、ストレージを気にせず運用できるのが良いですね。

同期ツールのカスタマイズ

これまで紹介したのはサーバーサイドのカスタマイズでしたが、OneDrive同期ツール(クライアント側)はグループポリシーオブジェクト(GPO)と呼ばれるActive Directoryの機能、もしくはレジストリを配布することでカスタマイズ可能です。

OneDrive同期ツールでは、GPOのテンプレートが用意されており、それを構成することで管理者から動作を制御することが出来ます。

GPOテンプレートの準備

まずは、OneDrive同期ツールのGPOを利用するために、Active Directoryにテンプレートを追加してあげましょう。

テンプレートファイル(admx,adml)の場所は、同期クライアントのインストールディレクトリに潜んでいます。

%localappdata%\Microsoft\OneDrive\ビルド番号/adm 配下OneDrive.admxと、jaフォルダにあるOneDrive.admlテンプレートファイルを取り出しましょう。

OneDrive for Businessとは

取り出したテンプレートファイルをActive Directoryに読み込ませるため、OneDrive.admxを[C:\Windows\PolicyDefinitions]に、OneDrive.admlを[C:\Windows\PolicyDefinitions\ja-JP]にコピーしておきます。

グループポリシー管理エディターにOneDriveのテンプレートが表示されていればOKです。本記事ではこれ以上GPOの使い方については言及しません。
参考:Windows Server 2016 Active Directory グループポリシーの概要

OneDrive for Businessとは

複数のActive Directoryが在る環境であれば、テンプレートをローカルではなくセントラルストアに配置するのをお忘れずに。
参考:セントラル ストアについて

Officeの共同編集を制御する

共同編集とは一つのドキュメントに対して、複数のユーザーが同時に編集することが出来る素敵な機能です。

社内で打ち合わせ資料などのドキュメントを作成する時に、これまではそれぞれが担当するパートを作成して、最終的には一つのドキュメントにマージする非常に煩雑な方法でしたが、共同作業ではそれらの手間を省略することが出来ます。

OneDrive for Businessとは
参考:OneDrive での Office ドキュメントの共同作業

OneDriveでは[設定]→[Office]タブから、共同編集の有効/無効が設定可能です。

OneDrive for Businessとは

[Office 2016 を使用して、開いているOfficeファイルを同期する]をオンにすることで、共同作業が有効になり、右上に共同作業中を知らせるメッセージが表示されます。

OneDrive for Businessとは

逆に、この設定をオフにした場合は共同編集でなくなるため、共有相手と同時にファイルを編集した場合、[ファイル名 – ホスト名]の名前で別ファイルが生成されることになります。

OneDrive for Businessとは

例えばですが、完成図書などのドキュメントを複数人でレビューするケースですと、それぞれが一つのファイルに対してコメント・修正出来るため、従来と比べてスピード感のある作業が実現出来るのではないでしょうか。

[同期の競合]では、ファイルの同期に競合が発生した時の挙動を選択でき、既定は[変更をマージするか両方のコピーを維持するかを選択する]です。特に問題がなければ既定のままの設定で良いでしょう。

これらの設定はグループポリシー、レジストリで設定出来るのですが、有効にした場合は後からユーザーで設定変更出来るため、あくまで既定値の設定をグループポリシーで配布するイメージです。

OneDrive for Businessとは

逆に共同作業を無効にすることで、[Office]タブが見えなくなるので、共有を考えていないのであれば無効にしておきましょう。

OneDriveの同期フォルダーを固定する

OneDrive同期クライアントでは、OneDriveと同期するローカルのディレクトリを変更することが出来ます。

既定は、ユーザープロファイルにOneDriveフォルダが生成され、そこが同期対象となるのですが、「Cドライブは容量が少ないからDドライブに設定したい!」といった要件がある場合は、同期対象の場所を変更することが出来ます。

OneDrive for Businessとは

逆にユーザー側で同期フォルダーを自由に変えさせたくない場合は、グループポリシーで同期フォルダの場所を固定することも出来ます。

OneDrive for Businessとは

このポリシーを有効にすることで、ユーザーはOneDriveの同期フォルダを変更することが出来ず、既定の[%userprofile%\OneDrive – テナント名]、もしくは[OneDriveフォルダーの既定の場所を設定する]で設定したフォルダ場所に強制されます。

このポリシーの構成にはAzureADのテナントIDが必要になります。Azureポータルから[Azure Active Directory]→[プロパティ]で確認できます。

OneDrive for Businessとは

値の名前にテナントIDを、値には1を入力します。

OneDrive for Businessとは

[OneDriveフォルダーの既定の場所を設定する]で既定の場所を変更することが出来ます。

OneDrive for Businessとは

ユーザーからトラブルで問い合わせが来たときのトラシューを簡易化するためにも、同期対象のフォルダーを統一しておくのも良いかと思われます。

個人用OneDriveの接続を禁止する

OneDrive同期クライアントは、ビジネス用(OneDrive for Business)、個人用OneDrive、どちらにも接続することが出来るツールですが、逆に言えば社用PCから個人用OneDriveへの接続が出来てしまうということです。

F/Wで対策することも可能ですが、[ユーザーが個人用の OneDrive アカウントから同期できないようにする]を有効にすることで、クライアント側で禁止することが可能です。

OneDrive for Businessとは

ネットワーク帯域を制限する

OneDriveの展開で苦しむのがネットワーク要件です。既定では[制限しない]とされていることから、ネットワーク帯域の枯渇を招くケースがあります。

OneDriveを利用する端末が多い拠点では、現状のネットワーク利用状況を確認しつつ、その他サービスに影響がないレベルで設定してあげましょう。(125KBはやりすぎですが…)

OneDrive for Businessとは

グループポリシーを適用すると、ユーザー側では設定がグレーアウトされるため、設定変更は不可です。

OneDrive for Businessとは

ネットワーク関連でもう一つ便利なのが、[OneDrive.exeが使用するアップロード帯域幅の最大パーセンテージを設定する]です。

OneDrive for Businessとは

このポリシーでは、OneDrive同期クライアントがアップロードに使用できる、コンピューターで利用可能な最大アップロードスループット率を構成することが出来ます。

この設定は、同期クライアントがアップロードする時に、最初の60秒間で最大スループットを計測して、その時点の最大スループットに基づいて、その後のスループットを制限します。つまり、最初の60秒間は最大スループットでアップロードされるということです。

OneDrive for Businessとは

この設定に何のメリットがあるかと言うと、最初の最大スループットを計測する60秒間以内にアップロードが完了する比較的小さいサイズのファイルは、帯域が制限されずに素早いアップロードが可能であるということです。

逆に、最初の60秒間以内に収まらない大きいサイズのファイルは、設定された割合に従ってアップロード速度が最適化されるため、端末の負荷をさげることが出来ます。

最大パーセンテージを構成しておき、最大スループットは1、2MBに引き上げるなどの構成もアリなんではないでしょうか。

接続先テナントを制限する

既定ではOneDrive同期クライアントは全てのOffice365テナントに接続できるため、個人でOffice365テナントを所有している(そんな変態さんはあまりいませんが…)ユーザーは別テナントへの同期が出来る状態となります。例えば出向者の方が出向元のテナントに接続するとか。

そんな時、[特定の組織にのみ OneDrive アカウントの同期許可する]を構成することで、同期するテナントを限定することが出来ます。

OneDrive for Businessとは

本設定を構成しておけば、ユーザーが別テナントに接続した場合に以下のエラー文によって拒否します。

OneDrive for Businessとは

HTTPヘッダに任意の文字列を挿入できるプロキシ、もしくはF5のBIG-IPで、接続できるテナントを制限することは出来ますが、機器の前提条件が難しいことからこのような構成がアプリから構成できるのは非常に助かります。ありがとう。

オンデマンド機能を有効化にする

最後に紹介しておきたいのが、Windows Fall Creators Updateで新しく登場したオンデマンド機能です。

従来のOneDrive同期クライアントは、「ローカルのファイル/フォルダをOneDriveに同期する」だけのいわゆるバックアップとして働く機能であり、ローカル領域の節約には活用出来ませんでした。

そこで登場したのがオンデマンド機能です。この機能を利用することで、使いたい時だけダウンロード→編集、といった利用方法がとれるため、結果としてローカル領域の節約としても活用出来るようになりました。

OneDrive for Businessとは

グループポリシーはこちら。

OneDrive for Businessとは

この機能を使うためには、Windows Fall Creators Update以降が適用されていることと、OneDrive同期クライアントが17.3.7064.1005以降である必要があります。(Win7でも欲しかったなぁ)

詳しい使い方などは以下のMS公開情報に詳しくまとめられているので、ご参照ください。
参考:OneDrive のファイル オンデマンドについて

本機能が追加されたことをきっかけにOneDrive同期クライアントの展開を再検討した方も多いのではないでしょうか。それほど便利な機能なんです。

制約事項

OneDriveを使う上で注意しておかないといけないのが使えないファイル名や拡張子などの制約事項です。

OneDriveの実態はSharePointの個人用プロファイルであることから、バックエンドのデータベースとしてSQL Serverが利用されており、それに従った制約事項があります。

ファイル/フォルダ名の制約

ファイル名やフォルダ名に以下の文字列は使えないため、これらはアップロードが出来ません。

  • ピリオド(.)や波形記号(~)から始まるファイル名
  • 拡張子がlaccdb、tmp、tpm、Ds_store、lockのファイル
  • ファイル名がdesktop.ini、thumbs.db、ehthumbs.db、lconのファイル
  • フォルダー名がForms(ライブラリ直下のみ)
  • フォルダー名が_filesなど各言語のフォルダーサフィックス(KB3125202参照)
  • フォルダー名が_vti_

その他にも名前として[ ” * : < > ? / \ | ]の文字列を利用することが出来ません。

また、ファイル名の長さもパスを含む400文字を超えてはいけないなどの制約事項があります。
参考:ファイルおよびフォルダーを同期する際の制限事項
参考:リストまたはライブラリに追加できないファイルの種類
参考:OneDrive for Business を介して SharePoint ライブラリをコンピューターに同期する際の制限事項

プロファイルのカスタマイズ

OneDrive同期クライアントは、移動ユーザープロファイル、固定ユーザープロファイル、一時プロファイルなどのカスタマイズをサポートしません。
参考: OneDrive 同期クライアント (Windows 版) のプロファイル カスタマイズに対する制限事項のまとめ

OneDrive同期クライアントはインストール時に、ファイル・レジストリをユーザープロファイルに構成することから、上記で取り上げたプロファイルのカスタマイズ環境でインストールすると、予期せぬエラーが発生する場合があります。

また、RDSなどのリソース共有型のVMでOneDrive同期クライアントを利用する場合は、利用するユーザープロファイル毎にインストールしてあげる必要があります。

展開構成案

さて、OneDriveにはまだまだ利活用のための応用機能はありますが、基本的な機能をざっと紹介してみました。

これらの基本的な機能を組み合わせて、比較的大企業でも扱いやすいOneDriveの構成の1パターンを挙げてみました。

大方針:比較的小さなサイズの社内ドキュメント類の置き場所

OneDrive for Businessとは

Intuneが在る場合は、MDMで社用モバイル・タブレットからのアクセスを許可するよう構成してあげれば、さらに利便性は上がりそうですね。

OneDriveの展開は組織の規模やセキュリティポリシー、もしくは業種によって使わせ方も変わってくると思うので、それぞれに合った構成を取り入れましょう。

おわりに

長々と記事をかいてしまい、申し訳ありません…。OneDriveを展開するためには?を考察するために自分のメモを書き連ねているので少し読みにくいかもしれません。

本記事で紹介した内容の他に、FlowやIRMと連携したちょっと応用した使い方もあるので、今後はそーいったところについても触っていければと思います。

それでは、良いOffice 365ライフをっ♪

 

スポンサーリンク