Configurare OneDrive for Business in un ambiente Enterprise

OneDrive for Business e Office 365 rendono più semplice la collaborazione e la condivisione dei file in azienda. L’accesso ai file è disponibile ovunque e da molteplici piattaforme: Windows, Mac, Xbox, iOS e Android. È possibile creare, visualizzare e modificare i file ovunque vi troviate grazie a comode App, che vi permettono anche di condividere in maniera rapida ed efficace i documenti sia all’interno che all’esterno della vostra azienda. I file possono essere gestiti in tutta sicurezza e possono essere modificati in tempo reale e da più utenti contemporaneamente con Word, Excel e PowerPoint. Utilissima anche la funzionalità di “versioning” che permette di recuperare i dati da modifiche/cancellazioni accidentali o da ransomware.

OneDrive for Business è disponibile in tutti i piani di Office365 oppure può essere acquistato separatamente. Alla pagina https://products.office.com/it-it/onedrive-for-business/onedrive-online-plans potete verificare tutte le opzioni di acquisto.

L’obiettivo di questo articolo è quello di darvi una panoramica generale di come configurare OneDrive in un ambiente enterprise.

Installazione App

Su Windows 10 di default l’applicazione è già installata. Per i sistemi operativi Windows 7 e 8.1 è disponibile alla pagina https://onedrive.live.com/about/it-IT/download/

Una volta avviato, OneDrive for Business provvederà automaticamente ad aggiornarsi alla versione più recente (è necessario che il client sia connesso ad Internet).

È possibile distribuire l’applicazione anche tramite System Center Configuration Manager ed Intune.

Per gestire e configurare OneDrive for Business in un ambiente Enterprise ci serviremo delle Group Policy e degli Administrative Templates che Microsoft ci mette a disposizione per facilitare le operazioni e per permettere di standardizzare il comportamento dell’applicazione in tutti i client del nostro dominio.

Configurazione GPO

Gli Administrative Templates (file OneDrive.admx e OneDrive.adml) di OneDrive for Business possono essere recuperati dalla cartella “%localappdata%\Microsoft\OneDrive\numeroversione\adm”, prendendoli da una postazione in cui è installato il client di OneDrive, e dovranno essere copiati nella cartella “C:\Windows\PolicyDefinitions” del vostro domain controller (il file OneDrive.adml dovrà essere posizionato all’interno della sottocartella della lingua, ad esempio en-us) oppure nel Group Policy central store del vostro dominio (i file devono essere incollati nel percorso “\domain\sysvol\domain\Policies\PolicyDefinitions”). Trovate maggiori dettagli alla pagina https://docs.microsoft.com/en-us/onedrive/use-group-policy

Figura 1: Administrative templates utili a configurare OneDrive for Business tramite Group Policy

Tra le impostazioni computer, nel percorso della GPO Computer Configuration\Policies\Administrative Templates\OneDrive, ho configurato le seguenti impostazioni:

  • Silently configure OneDrive using the primary Windows Account“: all’avvio OneDrive utilizzerà l’account Windows per accedere tramite Modern Authentication.

Figura 2: all’avvio OneDrive utilizzerà l’account Windows per accedere tramite Modern Authentication

  • Silently move Windows known folders to OneDrive“: è la nuova funzionalità di “Autosave”, che permette la sincronizzazione automatica delle principali cartella utilizzate dagli utenti (Windows known folders) dal client su OneDrive dalla versione 18.171.0823.0001 e successive.

È sicuramente vantaggioso effettuare lo spostamento o il reindirizzamento delle Windows Known Folders (Desktop, Documenti, Immagini, Schermate e Camera Roll) a OneDrive for Business per gli utenti nel dominio:

  • Gli utenti possono continuare a utilizzare le cartelle con cui hanno più familiarità (Desktop e Documenti in primis) e non devono ricordarsi di salvare i file in OneDrive.
  • Il salvataggio dei file in OneDrive consente di eseguire il backup dei dati degli utenti nel cloud e fornisce l’accesso ai propri file da qualsiasi dispositivo.

Trovate un approfondimento alla pagina https://docs.microsoft.com/it-it/onedrive/redirect-known-folders

Figura 3: Configurazione “Autosave”, che permette la sincronizzazione automatica di Desktop, Documenti ed Immagini dal client su OneDrive

Tra le impostazioni disponibili lato computer troviamo anche la gestione dei limiti di banda in upload/download e le “features on demand” che approfondiremo successivamente.

Tra le impostazioni utente, nel percorso della GPO User Configuration\Policies\Administrative Templates\OneDrive, ho configurato le seguenti impostazioni:

  • Prevent users from synchronizing personal OneDrive account“: inibisce la possibilità di configurare l’account personale OneDrive.
  • Prevent users from changing the location of their OneDrive folder“: per evitare che l’utente possa modificare la destinazione della cartella OneDrive.

Figura 4: Disabilitazione della possibilità di modificare la destinazione della cartella di OneDrive for Business

Per la corretta configurazione delle policy “Silently move Windows known folders to OneDrive” e “Prevent users from changing the location of their OneDrive folder“, sarà fondamentale recuperare il GUID del proprio tenant di Office 365. È possibile trovarlo tra le proprietà in Azure Active Directory, seguendo le indicazioni della pagina https://docs.microsoft.com/it-it/onedrive/find-your-office-365-tenant-id

Figura 5: Individuazione del Directory ID dal portale di Azure Active Directory

Una volta terminate le modifiche e collegata la policy alle OU interessate o direttamente al dominio, sul client partirà automaticamente il processo di “Autosave” e la configurazione automatica dell’account.

Funzionalità “Autosave”

Questa funzionalità, disponibile dalla versione OneDrive 18.171.0823.0001 e successive, effettua la sincronizzazione automatica dei file delle cartelle Desktop, Documenti ed Immagini in Cloud.

Prima di implementare l’Autosave, ho preferito escludere tutti i file con delle determinate estensioni. Dalla pagina https://admin.onedrive.com/ possiamo modificare tutte le impostazioni dell’organizzazione.

Figura 6: Disabilitazione dalla sincronizzazione di file con determinate estensioni dall’admin center di OneDrive

Quando vengono disabilitati alcuni tipi di file gli utenti verranno notificati con un messaggio di errore e potrebbero essere richieste delle operazioni manuali da parte dell’utente affinché il processo di upload vada a buon fine.

Ad esempio, simulando che l’utente abbia sul proprio desktop un file .ISO (che ha un’estensione che è stata bloccata) , OneDrive notificherà all’utente il seguente messaggio di errore:

Figura 7: Notifica di OneDrive relativa all’impossibilità di caricare online un file con estensione proibita

Cliccando su “Can’t upload files” appariranno i files che causano la problematica e verrà fornito all’utente la risoluzione del problema, come mostrato in figura:

Figura 8: Individuazione dei file che provocano la problematica e relativa risoluzione

I dettagli sui files non supportati da OneDrive sono disponibili alla pagina Nomi e tipi di file non validi in OneDrive, OneDrive for Business e SharePoint

Files On-Demand

Questa funzionalità permette di accedere ai file in OneDrive senza doverli scaricare, evitando così l’utilizzo di spazio disco sul client. È possibile impostare eccezioni su singoli file che possono essere disponibili anche offline.

Files On-Demand è disponibile da Windows 10, versione 1709 (Fall Creators Update) ed è configurabile tra le impostazioni computer, nel percorso della GPO Computer Configuration\Policies\Administrative Templates\OneDrive:

Figura 9: Configurare Files On-Demand tramite GPO

Per maggiori informazioni sulla funzionalità vi rimando alla lettura dell’articolo Learn about OneDrive Files On-Demand

Conclusioni

OneDrive è uno strumento sempre più indispensabile in un’organizzazione e non necessita di operazioni complesse da parte del reparto IT per l’implementazione.

Con le funzionalità di “Autosave” e “Files On-Demand”, rende più facile il lavoro agli utenti per il salvataggio, la condivisione e la fruibilità dei dati da qualsiasi device.