どうもミツシマです。

今回はMicrosoft 365のOneDrive(SharePoint Onlineも含む)の「同期」機能について検証してみました。
内容としては、「特定のドメインに参加しているPCに同期を制限する」方法となります。


<検証環境>
サーバー:Windows Server 2016
クライアント:Windows 10 Pro 20H2、Mac OS 10.14.6


〜設定手順〜

  1. オンプレADを構築する
  2. オンプレADのObjectIDをPowershellから確認する
  3. SharePoint管理センター(もしくはOneDrive管理センター)で設定する

では早速やっていきたいと思います。


〜検証〜

オンプレADの構築手順は今回割愛します。
構築後、PowershellコマンドにてObjectGUIDを確認します。
> Get-ADDomain | Select ObjectGUID
01-ドメインGUID確認

次にOneDrive管理センターへアクセスします。
02-管理センター

OneDrive管理センターの「同期」設定より「指定のドメインに参加しているPC上でのみ同期を許可する」にチェックを入れて、先程Powershellコマンドで確認したGUIDを入力します。
※複数のドメインGUIDを入力する際には、1行ずつ改行して入力するようですね。
03-管理センター

この設定ですが、SharePoint管理センターからでも設定出来たようです。。。^^;
04-管理センター

設定自体はこれで完了です!!
後は設定通りドメイン参加PC以外からは同期が出来ないことを確認していきます。

が、設定後は反映まで時間がかかるようで、設定後すぐは設定が適用されず、ワークグループ環境のPCから同期出来ちゃいました (^_^;)
※色々と調べると反映まで最低1時間以上、という情報が出てきましたが詳細なところは不明のようです。
 万全を期すのであれば1日くらい待った方がいいかもしれませんね。

で、1日間をおいて再度トライ!!
同期するべくアカウントとパスワードを入力して進めると
10-WorkGroupからログインした際の画面

11-WorkGroupからログインした際の画面

ちゃんと同期がブロックされることが確認出来ました!! ( ´ー`)フゥー...
当たり前ですが、ドメイン参加済みのPCからはちゃんと同期出来ましたので、これもOK!

ちなみにMac OSからはどうかというと、設定項目に「Mac OSでの同期を禁止する」というのがあるくらいなので、特定ドメインに参加していない通常のMacからもOnedrive同期は出来ました。
Mac OSの場合はドメインに参加しているかどうかが判別出来ないので、すべての端末から同期を許可するか、すべて禁止にするか、の2択になるようですね!


今回の検証はこんなところで終了です。
今回検証した内容ですが、仮にワークグループのPCでもブラウザ経由であれば、OnedriveやSharePoint Onlineへアクセス可能なので、ここも制限したいということであれば、他のソリューションを絡めていくしかないようですね。
多分、Intune(条件付きアクセス)やIDaaSソリューションなんかで制限するのが一般的なのかもしれませんね(^^)
スポンサードリンク