Warum die Kontrolle von OneDrive Personal Sync wichtig ist
Die zunehmende Integration privater Cloud-Dienste in Unternehmensnetzwerke stellt eine wachsende Herausforderung für IT-Abteilungen dar. Ein aktuelles Beispiel ist Microsofts neue Funktion, mit der Benutzer auf verwalteten Geräten dazu aufgefordert werden, ihre persönlichen OneDrive-Konten mit dem Firmen-PC zu synchronisieren. Während diese Funktion darauf abzielt, sogenanntes „Shadow IT“-Verhalten zu minimieren, birgt sie erhebliche Risiken – insbesondere für den Datenschutz und die Datensicherheit.
Ein Blick auf die Funktionsweise: Kontotypen in OneDrive
OneDrive unterstützt zwei Arten von Konten: persönliche Microsoft-Konten und Microsoft 365 Geschäftskonten. Beide Konten verhalten sich technisch identisch im OneDrive-Client – das bedeutet, Dateien und Ordner werden synchronisiert und sind lokal zugänglich. Auch Office-Anwendungen unterstützen diese Synchronisation umfassend, inklusive Versionierung und Offline-Zugriff. Diese technische Gleichstellung führt jedoch zu Risiken, wenn persönliche Inhalte auf geschäftlich genutzten Geräten landen.
Gefahrenpotenzial durch neue Funktionen von Microsoft
Ab Juni 2025 beginnt Microsoft mit dem weltweiten Rollout der neuen Funktion „Prompt to Add Personal Account to OneDrive Sync“. Auf Windows-Geräten fragt OneDrive automatisch nach, ob auch ein persönliches Konto synchronisiert werden soll – sofern bereits ein persönliches Microsoft-Konto auf dem Gerät angemeldet ist. Diese Aufforderung erscheint selbst auf unternehmensverwalteten Geräten, was dazu führen kann, dass personenbezogene oder sogar sensible Daten mit dem Gerät synchronisiert werden.
Technische Maßnahmen zur Kontrolle von OneDrive Personal Sync
1. Deaktivierung der persönlichen Synchronisation
Ein effektiver Schutz liegt in der Anwendung des Gruppenrichtlinien-Eintrags DisablePersonalSync. Dieser lässt sich sowohl über eine GPO als auch direkt über die Registry umsetzen:
HKCU\SOFTWARE\Policies\Microsoft\OneDrive\DisablePersonalSync = DWORD 1
Alternativ kann die Einstellung über Microsoft Intune mittels ADMX-Template verteilt werden.
2. Verhindern des Prompt-Fensters
Zusätzlich zur Verhinderung der Synchronisation lässt sich auch die Aufforderung zur Einrichtung eines persönlichen Kontos unterdrücken. Dazu dient der Registrierungsschlüssel DisableNewAccountDetection. Dieser unterbindet nur den Prompt, erlaubt aber weiterhin die Synchronisation, sofern DisablePersonalSync nicht gesetzt ist. Für einen vollständigen Schutz empfehlen wir, beide Richtlinien gemeinsam anzuwenden.
3. Einschränkung durch Conditional Access und Gerätekontrolle
Ein weiterer Ansatz zur Kontrolle ist die Einschränkung des Zugriffs mittels Conditional Access Policies. Unternehmen, die ausschließlich mit verwalteten Geräten arbeiten, können den Zugriff auf persönliche Konten deutlich reduzieren. Bei Bring Your Own Device (BYOD)-Szenarien wird der Schutz komplexer – hier sollten Geräteklassifizierungen und Richtlinien zwingend durchgesetzt werden.
Die IT-Abteilung in der Pflicht
Viele Unternehmen verfügen nicht über vollständige Informationen darüber, wie und von welchen Geräten auf OneDrive zugegriffen wird. Um Sicherheitslücken zu schließen, ist eine umfassende Geräteverwaltung unumgänglich. Obwohl die Umsetzung solcher Maßnahmen mitunter aufwändig erscheint, bieten sie langfristig den besten Schutz gegen Datenabflüsse und unerwünschte Synchronisationen.
Gerade vor dem Hintergrund, dass Microsoft kontinuierlich neue Funktionen ausrollt, die nicht immer im Sicherheitsinteresse der Unternehmen stehen, ist ein proaktives Gerätemanagement unerlässlich. IT-Abteilungen müssen selbst die Kontrolle behalten, anstatt sich auf standardmäßige Sicherheitsmechanismen der Hersteller zu verlassen.
Empfehlungen für Unternehmen
- Implementieren Sie DisablePersonalSync auf allen verwalteten Windows-Geräten.
- Nutzen Sie zusätzlich DisableNewAccountDetection, um die Anzeige des Prompts zu verhindern.
- Vermeiden Sie BYOD-Szenarien oder stellen Sie sicher, dass auf privaten Endgeräten keine Synchronisation erfolgt.
- Setzen Sie Conditional Access ein, um nur verifizierte Geräte für Unternehmensdaten zuzulassen.
- Überwachen und protokollieren Sie jegliche Synchronisationstätigkeiten – auch jene über private Konten.
Durch diese Maßnahmen reduzieren Sie nicht nur Sicherheitsrisiken, sondern fördern auch eine klare Abgrenzung zwischen privater und geschäftlicher IT-Nutzung.
Sollten Sie Unterstützung zu diesem Thema benötigen, so nehmen Sie gerne Kontakt mit uns auf. Mit über 20 Jahren Erfahrung im IT-Bereich und KMU Kunden aus allen Branchen sind wir Ihr kompetenter und zuverlässiger KI-Experte und IT-Ansprechpartner – egal ob in Singen, Radolfzell, Konstanz oder der Bodensee-Region.
