Office 365

6 adımda Windows üzerindeki Onedrive erişiminin güvenliği

Hakan Marangoz fotoğrafı Hakan Marangoz Bir e-posta göndermek 04/01/2020
1 4 dakika okuma süresi

OneDrive, sizi tüm dosyalarınıza bağlayan bir Microsoft bulut hizmetidir. Dosyalarınızı depolamanıza ve korumanıza, başkalarıyla paylaşmanıza ve tüm cihazlarınızdaki herhangi bir yerden dosyalara ulaşmanıza olanak tanır. OneDrive’ı şirketiniz veya okulunuz tarafından sağlanan bir hesapla kullandığınızda bazen OneDrive For Business diye adlandırılır.

OneDrive For Business’ın OneDrive’dan farkı nedir?

Aslında temelde hepsi aynı OneDrive, yani dosyaları Windows PC’nize veya Mac’inize senkronize etmek veya Android veya iOS cihazınızdan dosyalarınıza erişmek için aynı uygulamayı kullandığınız anlamına gelir. OneDrive For Business’ı kullanmak için iş veya okul hesabınızla veya OneDrive Personal kullanmak için Microsoft hesabınızla oturum açmanız yeterlidir. Bundan 3 sene öncesine kadar iki farklı uygulamaya sahiptik, OneDrive for Business sync app (Groove.exe) ve OneDrive sync app (OneDrive.exe) buda uygulamayı kullanan insanlarda kafa karışıklığına sebebiyet veriyordu. Microsoft tarafından alınan bir kararla Office 2016 ve 2019 Click-to-run paketlerinde OneDrive for Business sync app (Groove.exe) kaldırıldı. Şu an her iki hizmette OneDrive sync app (OneDrive.exe) üzerinden kullanılmaktadır.

  • OneDrive, Outlook.com veya Xbox gibi hizmetleri kullanmak için bir Microsoft hesabı ayarladığınızda elde ettiğiniz çevrimiçi kişisel depolama alanıdır. Belgeleri, fotoğrafları ve diğer dosyaları bulutta kaydetmek, arkadaşlarınızla paylaşmak ve hatta içerik üzerinde iş birliği yapmak için OneDrive Personal’ı kullanırız.
  • OneDrive For Business, iş veya okul ile gelen kişiye özel kurumsal depolama alanıdır. OneDrive For Business ‘iniz kuruluşunuz tarafından yönetilir ve iş belgelerinizle iş arkadaşlarınızla paylaşmanıza ve iş birliği yapmanıza olanak tanır. Kuruluşunuzdaki Sharepoint yöneticileri OneDrive üzerinde neler yapabileceğinizi denetleme yetkisine sahiptirler.

Konuyu toparlamak gerekirse özetle Onedrive For Business ve Personal Onedrive temel ‘de tek bir uygulama üzerinde hizmet vermektedir. Windows 10 ile beraber varsayılan olarak Onedrive.exe yüklü gelmekte ve her iki hizmet içinde kullanılabilmektedir. Temel bilgilerden sonra asıl makale konumuza gelecek olursak kurumlar ‘da Office 365 ile gelen Onedrive For Business aktif olarak kullanıldığını biliyoruz fakat bununla beraber aynı client exe üzerinde Personal Onedrive’ında kullanılabilir olması ile beraber bir takım data güvenliği endişelerini beraberinde getiriyor olmaktadır. Data güvenliğinin kritik olduğunu banka, finans sektörü gibi şirketlerde kullanıcıların kişisel depolama alanlarına data aktaramıyor olması kritik önem arz etmektedir.

Aşağıda da görebileceğiniz üzere Windows 10 Client üzerinde hem Personal Onedrive hem Onedrive For Business aktif olarak çalışmakta olup birbirleri arasında data transferi yapabiliyor olduğum gibi Hard disk içerisindeki şirket bilgilerini Personal Onedrive içerisinde taşıyabilmekteyim.


Peki Office 365 ile gelen Onedrive for Business ürününü domain ortamında kullanırken Personal Onedrive erişimini nasıl engelleyeceğim? Sizlere 6 adım ‘da Personal Onedrive tarafına erişimi kısıtlayabileceğiniz ve Onedrive For Business tarafında güvenliği bir üst düzeye nasıl taşıyacağınızı anlatıyor olacağım.

Bu kısıtlamaları yaparken başta Active Directory üzerindeki Group Policy’den faydalanıyor olacağız. İlk olarak onedrive.exe kurulumu içerisinde gelen Onedrive Policy’lerini yöneteceğimiz ADMX dosyalarının Active Directory üzerindeki Group Policy içerisine import edilmesi gerekmektedir.

Manage OneDrive using Group Policy

Windows için OneDrive sync client’ı yükleyin. Sync client yüklenmesi .adml ve .admx dosyalarını indirilmesine olanak sağlar.

Onedrive download:
https://onedrive.live.com/about/en-ie/download/

Kurulum sonrası client tarafından ulaşacağımız ADMX dosyası lokasyonu: %localappdata%\Microsoft\OneDrive\BuildNumber\adm

Alınan OneDrive.adml ve OneDrive.admx dosyaları Group Policy’e import edilir.

Daha fazla bilgi için: https://docs.microsoft.com/en-us/onedrive/use-group-policy

1-Allow syncing OneDrive accounts for only specific organizations (Computer Configuration\Policies\Administrative Templates\Onedrive)

Bu ayar, izin verilen Tenant ID’leri dışında kullanıcıların diğer kuruluşlara ait Office 365 hesaplarına kolayca dosya yüklemelerini engellemenizi sağlar.

Bu ayarı etkinleştirirseniz, kullanıcılar izin verilmeyen bir kuruluştan hesap eklemeye çalışırlarsa hata alırlar. Bir kullanıcı hesabı zaten eklediyse, dosyaların senkronizasyonu durur.

Tenant ID’nizi Office 365 Tenantınıza bağlı Azure Active Directory bölümünden bulabilirsiniz.

2-Prevent users from syncing personal OneDrive accounts (User Configuration\Policies\Administrative Templates\Onedrive)

Bu ayar, kullanıcıların Personal OneDrive dosyalarını senkronize etmek için bir Microsoft hesabıyla oturum açmalarını engellemenizi sağlar. Varsayılan olarak, kullanıcıların Personal OneDrive hesaplarını senkronize etmelerine izin verilir.

Bu ayarı etkinleştirirseniz, kullanıcıların Personal OneDrive hesapları için bir senkronizasyon ilişkisi kurmaları engellenir. Bu ayarı etkinleştirdiğinizde zaten Personal OneDrive’larını senkronize eden kullanıcılar senkronizasyona devam edemez (ve senkronizasyonun durduğunu gösteren bir mesaj gösterilir), ancak bilgisayarla senkronize edilen dosyalar bilgisayarda kalır.

Windows tarafındaki Onedrive erişimimi kapatsak ‘ta Browser tarafında Personal Onedrive halen erişebilir kalacaktır. Bununda engellenmesi adına Firewall veya Proxy cihazınız üzerinde aşağıdaki linkleri engelleyerek kişisel Microsoft hesaplarına erişimi kapatabilirsiniz.

https://onedrive.live.com/

https://outlook.live.com/

3-Prevent users from fetching files remotely (Computer Configuration\Policies\Administrative Templates\Onedrive)

Bu ayar, kullanıcıların OneDrive eşitleme istemcisinde (OneDrive.exe) Personal OneDrive hesaplarıyla oturum açtıklarında Fetching özelliğini kullanmasını engellemenizi sağlar. Fetching özelliği, kullanıcıların OneDrive.com’a gitmesine, şu anda çevrimiçi olan ve OneDrive eşitleme istemcisini çalıştıran bir Windows bilgisayarı seçmesine ve bu bilgisayardaki tüm dosyalara erişmesine olanak tanır. Varsayılan olarak, kullanıcılar getirme özelliğini kullanabilir.


Fetching özelliğini örnekle açıklamak gerekirse: Windows üzerindeki Fetching özelliği ayarlardan etkinleştirilmişse, Personal Onedrive’a Web Browser üzerinden erişmeniz durumunda ilgili özelliğin aktif edildiği bilgisayardaki her dokümana erişim hakkına sahip olursunuz.

4-Block signing into Office (User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Miscellaneous)

Siz her ne kadar Onedrive application’ı üzerinde Personal Onedrive’a erişimi engelleseniz de dataları Onedrive’a bir diğer gönderme yolu ‘da kullanıcıların basit bir şekilde Office üzerindeki Hesap bölümü altından Kişisel Microsoft hesaplarını bağlayıp dokümanların Personal Onedrive üzerine taşınmasını sağlayabilir. Bunu engellemek adına sadece Org ID only seçeneğini seçerek sadece Office 365’a ait Org ID’lerinin login olmasını sağlayarak riski azaltabilirsiniz.




Group Policy üzerinden sadece “Block signing into Office” seçeneğini “Org ID” olarak değiştirmeniz durumunda Hesap bölümü altında herhangi bir Microsoft account’ı tanımlanamaz ve var olan oturumlar sign out olur.


Not: Group policy üzerinden Office uygulamalarını yönetmek istiyorsanız. Office uygulamalarına ait ADMX dosyalarını indirip Group Policy’e import etmeniz gerekmektedir.

Office ADMX Files : https://www.microsoft.com/en-us/download/details.aspx?id=49030

5-Prevent users from syncing libraries and folders shared from other organizations (Computer Configuration\Policies\Administrative Templates\Onedrive)

OneDrive eşitleme istemcisinin B2B Eşitleme özelliği, bir kuruluştaki kullanıcıların başka bir kuruluştan onlarla paylaşılan OneDrive ve SharePoint kitaplıklarını ve klasörlerini eşitlemelerine olanak tanır.

Bu ayarın etkinleştirilmesi, kuruluşunuzdaki kullanıcıların B2B Senkronizasyonu kullanabilmesini engelleyecektir. Ayar bir bilgisayarda etkinleştirildiğinde, eşitleme istemcisi diğer kuruluşlardan paylaşılan kitaplıkları ve klasörleri eşitlemez.


6-Allow syncing only on PCs joined to specific domains. (https://admin.onedrive.com/)

Bu seçenek ile, OneDrive verilerinin yalnızca Domaininize join olan bilgisayarlarla senkronizasyonunu sağlayarak, domaine join olmayan cihazların Onedrive datasına erişimini kısıtlar.


Active Directory üzerinde Object GUID bilgisine ulaşmak için:

(Get-ADForest).domains | foreach {Get-ADDomain $_ | Select Name,ObjectGuid}


Onedrive Admin Portalı üzerinden kısıtlamayı yaptıktan sonra yaklaşık 1 saat içerisinde kural etkin hale gelmektedir. Bu policy ile beraber Domain join cihazlar dışındaki Onedrive senkronizasyonları duruyor olacak.


  • Bu policy mobile cihazları etkilememektedir. Mobile cihazlar üzerinde data güvenliği için alınması gereken aksiyonlar ile ilgili ayrı bir makale hazırlıyor olacağım.
  • Domain join gereksinimi Mac OS’lar için geçerli olmamaktadır. Bunun için direk Mac OS üzerinde senkronizasyonları engelleyebilirsiniz.

Sizlere 6 basit adımda Windows üzerindeki Onedrive uygulamasında son kullanıcı tarafında data güvenliğini nasıl arttırabileceğinize anlatmak istedim.

Umarım faydalı olmuştur, keyifli okumalar.

Hakan Marangoz fotoğrafı Hakan Marangoz Bir e-posta göndermek 04/01/2020
1 4 dakika okuma süresi
Hakan Marangoz fotoğrafı

Hakan Marangoz

İlgili Makaleler

Microsoft 365 Backup Nasıl Yapılandırılır?

26/02/2024

Microsoft 365 Backup Nedir?

26/02/2024
Microsoft 365

Microsoft 365 Group Bazlı Lisans Atama

03/10/2023

Password Hash nedir? AD Connect ile nasıl çalışır?

26/09/2022

Bir Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu