Sorry, folks. Today, I’ll write a blog post in German about OneDrive, of all things. However, I’m sure you could use a translator of your choice to read it. I’ll clear up a few things about the fear mongering currently happening on many platforms.
Heute gibt es ausnahmsweise einen Beitrag auf Deutsch: OneDrive und MSA (also persönliche Microsoft-Accounts) sind derzeit in aller Munde. Zu Unrecht, wie ich finde. Viele machen aus zwei bereits lange bekannten Einstellungen einen Elefanten. Ohne Quellenangaben oder Kontext, gerade auf LinkedIn.
Table of Contents
Wieso die Aufregung?
Microsoft hat für OneDrive angekündigt, dass Benutzer demnächst dazu aufgefordert werden, ihren persönlichen Microsoft-Account mit OneDrive zu synchronisieren. So einfach wird es zumindest in vielen anderen Beiträgen suggeriert. Auf der Roadmap sehen wir, dass “Accounts die mit dem Geschäftsgerät verknüpft sind” (frei übersetzt) gemeint sind. Ich denke viele stützen sich auch auf diesen Blog hier. Während ich die Warnung verstehen kann, sind die Überschrift und der Inhalt meistens wirklich überdramatisiert (vor allem auf LinkedIn mit den vielen 🚨, ihr wisst schon).
Konsequenzen und Gegenmaßnahmen
„Das klingt ja furchtbar!“ lese ich momentan oft. Nun, ganz so einfach ist es dann doch nicht. Wie bereits erwähnt, muss der Benutzer zunächst einen Account (privaten MSA) zu seinem Computer hinzufügen. Hier wurde also bereits eine wichtige, sicherheitsrelevante Einstellung nicht gesetzt. Nämlich Block Microsoft Accounts. Der Rest des verlinkten Artikels ist übrigens auch sehr lesenswert. Wenn Windows keine persönlichen Accounts hat, kann OneDrive auch nichts zum Vorschlagen finden.
Anschließend könnten auch eine der beiden auf der Roadmap erwähnten, bereits seit mehreren Jahren bekannten Richtlinien DisablePersonalSync oder DisableNewAccountDetection gesetzt werden. Ersteres schaltet das Hinzufügen persönlicher Microsoft-Accounts in OneDrive grundsätzlich aus und macht damit Letzteres überflüssig. Das persönliche Accounts hinzugefügt werden können ist übrigens seit Jahren der default. DisablePersonalSync ist auch in Intune via Settings Catalog verfügbar, DisableNewAccountDetection leider nicht. Das ist aber auch nur halb so tragisch, denn wer will schon MSAs erlauben und hätte gleichzeitig etwas gegen den Hinweis? Außerdem gäbe es noch die Möglichkeit, personenbezogene Ausnahmen zu erstellen.
Fazit
Das Microsoft es grundsätzlich auf Business-Geräten erlaubt persönliche Accounts hinzuzufügen ist eine Sache und durchaus diskutabel. Der Traum vom kombinierten Gerät, bei denen Firmendaten geschützt werden und gleichzeitig die private Nutzung möglich ist, bleibt weiterhin ein schwieriges Thema. Oft helfen hier nur Maßnahmen wie Conditional Access und DLP. Aber diese Änderung sollte wirklich niemanden erschrecken. Jede gute Baseline (zum Beispiel die Open Intune Baseline) hat diese Einstellungen bereits an Board. Übrigens, die Änderung “MC626577” hat diese Benachrichtigung und die passende Einstellung dazu bereits vor 2 Jahren auf der Roadmap gesetzt.