Windows 10 には OneDrive アプリが含まれていて、個人用 OneDrive、OneDrive for Business、SharePoint Online のドキュメント ライブラリをクライアント(Windows PC)に同期することができます。
企業で Microsoft 365 を契約して従来のファイルサーバーや NAS などの代わりに OneDrive for Business や SharePoint Online をクラウド ストレージとして利用する際、以下のような課題が出てくるでしょう。
- PC のストレージが少ないのでファイル オンデマンドを全員有効にしたい(逆にファイル オンデマンドを無効にしたい場合もあるかも)
- 会社の OneDrive for Business との同期はさせたいが、個人用 OneDrive を勝手に同期させたくない
- ネットワーク帯域が有限なので、OneDrive の同期トラフィックを制御したい
こういうニーズには通常グループポリシーを使うのですが、Windows 10 でグループポリシー エディターを開くと、管理用テンプレートに OneDrive の項目がありますが。設定項目が以下のように少ししかありません。
OneDrive だから Office だろうと思って Office 向け管理用テンプレートをダウンロード/適用しても、OneDrive の項目はありません。OneDrive はグループポリシーでは詳細に制御できないのでしょうか。
OneDrive の管理用テンプレート
実は OneDrive 用の管理用テンプレートは OneDrive のインストール フォルダーに用意されています。
OneDrive はマシングローバルまたはユーザー単位でインストールされているので、以下のいずれかがインストール フォルダーです。
%localappdata%\Microsoft\OneDrive\
C:\Program Files (x86)\Microsoft OneDrive\
このフォルダーの中にビルド番号ごとのフォルダーがあり、さらにその中に adm フォルダーがあります。この中に管理用テンプレートが保存されています。
この管理用テンプレートを適切な場所(ローカルであれば C:\Windows\PolicyDefinitions、ドメイン環境でポリシー テンプレートのセントラルストアを使っている場合はそのセントラル ストア)にコピーします。ただし上図で見えている OneDrive.adml はインターナショナル版(英語版)なので、ja フォルダーの中にある adml ファイルを (ローカルであれば C:\Windows\PolicyDefinitions\ja-jp フォルダーに)コピーします。
これで OneDrive 用の管理用テンプレートが準備できました。グループポリシー エディターを再度開くと、OneDrive の項目ができています。
OneDrive の管理用テンプレートで制御できる項目は
- OneDrive が読み取り専用で同期されたフォルダーで Windows アクセス許可の継承を無効にできるようにする
- 特定の組織にのみ OneDrive アカウントの同期を許可する
- Office ファイルの同期の競合を処理する方法をユーザーが選択できるようにする
- ユーザーのディスク領域が不足している場合にファイルのダウンロードをブロックする
- 特定の組織の OneDrive アカウントの同期をブロックする
- Office デスクトップ アプリで共同編集して共有
- チーム サイト ライブラリを自動的に同期するように構成する
- 従量制課金ネットワークのときにも同期を続ける
- デバイスのバッテリー節約機能モードがオンのときに同期を続ける
- 同期済みチーム サイトのファイルをオンライン専用ファイルに変換する
- OneDrive セットアップの最後に表示されるチュートリアルを無効にする
- OneDrive の帯域幅管理の自動アップロードを有効にする
- 同期アプリのダウンロード速度を固定速度に制限する
- 同期アプリのアップロード速度をスループットのパーセンテージまでに制限する
- 同期アプリのアップロード速度を固定速度に制限する
- ユーザーがサインインするまで同期アプリがネットワーク トラフィックを生成できないようにする
- ユーザーが OneDrive フォルダーの場所を変更できないようにする
- ユーザーがリモートからファイルを取得できないようにする
- ユーザーが Windows の既知のフォルダーから OneDrive に移動できないようにする
- ユーザーが Windows の既知のフォルダーから PC にリダイレクトできないようにする
- ユーザーが他の組織から共有されたライブラリとフォルダーを同期できないようにする
- ユーザーが個人用の OneDrive アカウントを同期できないようにする
- Windows の既知のフォルダーを OneDrive に移動するメッセージをユーザーに表示する
- ユーザーがローカル コンピューター上の複数の OneDrive ファイルを削除するときにプロンプトを表示する
- OneDrive 同期アプリの更新プログラムを Deferred リングで受け取る
- 大規模な削除操作ではユーザーの確認が必要
- OneDrive フォルダーの既定の場所を設定する
- ユーザーの OneDrive が自動的にダウンロードできる最大サイズを設定する
- 同期アプリの更新リングを設定する
- サイレント モードで Windows の既知のフォルダーを OneDrive に移動する
- Windows 資格情報を使用して OneDrive 同期アプリにユーザーをサイレント モードでサインインする
- OneDrive ファイル オンデマンドを使用する
- ディスク領域が不足しているユーザーに警告する
これだけあります(「コンピューターの構成」と「ユーザーの構成」それぞれに OneDrive がありますが、設定項目は異なります)。
先ほどあげたファイル オンデマンドの構成や個人用 OneDrive 同期の禁止、帯域制御などの設定も可能になっているのが確認できるでしょう。
Hebikuzure's Tech Memo 