OneDrive (for Business) 管理センター(プレビュー)をさわってみた

  • 0
    Like
  • 0
    Comment

    ご挨拶

    こんにちは。

    この記事は Office 365 Advent Calendar 2016 に参加しています。

    しかし他の日を見ると、錚々たる顔ぶれ・・・普段ブログで参考にさせていただいている方ばかりです。
    ちょっと参加表明したことを後悔しましたが(笑)
    そんな気持ちをグッとおさえて書きたいと思います。

    日頃ユーザーとして、また管理者として色々いじってはいるので
    ナレッジというかTips的なものは溜まってはいたのですが、
    そういったものは きっとどこかで誰かが書いてくれていると思いますし、せっかくの機会なので
    まだ皆さんが触ったり書いたりしてなさそうなネタを。
    (といっても、OTA Hirofumi さんが既に紹介してくださってますので、なるべくかぶらないようにしたいと思います)

    はじめに

    OneDrive (for Businessの方です) 管理センターなるものが登場したということで、触ってみました。
    ※まだプレビューです。2016/12/21時点ではOffice365管理ポータルの[管理センター]直下にはメニューがありませんね。Roadmap 見ると来年1月にGAのようです。早い(笑) ほぼ今の状態で第1弾は完成ってことですかね。

    alt

    ・・・というわけで現時点でのURLはコチラです(直打ち・・・)
    https://admin.onedrive.com/

    このネタを選んだ背景

    企業ユースでOneDrive for Business、となると「ちゃんと管理できるのか?」という声は以前から
    ありました(私は提案・導入支援する立場)。
    ・外部と共有できないようにしたい
    ・監査(アクセス)ログが取れれば・・・
    といったような。

    さわってみた

    前置きが長くなってしまいましたが、以下さわってみた感じとコメントです。
    環境はWindows10(1607)×Edgeです。
    ※2016/12/21 時点の情報です

    メニュー

    左に以下のメニューがあります。順に紹介していきます。

    alt

    ホーム

    2016/12/21 時点でもまだイメージ画像のみでした。
    GAする時にはちゃんと表示されるんですかねえ。

    共有

    設定できる内容は以下です。
    (このご時世にテキストがコピーできなかったので、手入力・・・誰かの検索にヒットして役に立つことを祈って)

    • ユーザーに外部ユーザーとのSharePoint ファイルの共有を許可する(オン/オフ)

    文字通りですが、なぜOneDrive for Business の管理画面に この項目が・・・
    O365管理センター(よく「管理ポータル」と言われてますし私も呼んでいますが、Admin Center なのでこの言い方が正しいですかね)のSharePoint 管理メニューでもできるのに、ここでもできてしまうと逆に混乱しそうな気がします。。
    先ほどのホーム画面にフィードバック送信のリンクがあるので、これに限らず
    「こうしてほしい!」というのがあれば
    リクエストされてはいかがでしょうか。

    設定値ですが、オンにすると[ユーザーが共有できる相手]として以下が選択できます。
    -既存の外部ユーザーのみ(サインインが必要)
    -新規と既存の外部ユーザーのみ(サインインが必要)
    -誰でも(匿名ユーザーを含む) →★既定

    これはフォルダやファイルに対しては今までもGUIからできていましたよね。
    ここで全体の設定ができるということですね。

    • ユーザーに外部ユーザーとのOneDrive ファイルの共有を許可する(オン/オフ)

    すぐ下に、
    「この設定による制限のレベルは、SharePoint の設定と同程度以上であることが必要」という注意書きがあって、同程度ってどの程度よ?と思っていたら
    上の設定をオフにすると自動的(強制的)にこちらもオフになり、変更できなくなったので そういうことなのだと。
    (上のSharePoint はオン、OneDrive はオフ、は可能です)

    皆さんご存知のように、個人向けのOneDrive とは異なりOneDrive for Business は
    SharePoint Online がベースなので、仕方ないと言えば仕方ないですかね。

    というわけで、設定値も↑のSharePoint と全く同じでした(既定値も同じ)。

    • 既定の共有リンク

    alt

    既定が匿名アクセスなのは賛否両論あるのではないでしょうか。
    外部に共有させたくないケースはあると思いますので、
    「この設定を知らずに外部に公開できるようになっていた」はあり得ますよね。
    逆に「いやいや共有してナンボでしょ!」という意見もあるでしょうから。

    いずれにしても、全体で制御できるのは管理者としてはありがたいと思います。

    • 匿名アクセスのリンク

    alt

    これもありがたいと言えばありがたい機能ですね。
    外部共有はいいけど、とはいえ心配・・・というのはあると思います。
    こちらは
    - 無期限(既定)
    - 90日
    - 180日
    - 1年
    から選べます。
    個人的には90日より短いのがあってもいいんじゃないかと思います。
    テキストボックスで日数入れられるとか・・・
    PowerShell なら日数指定できたりするんでしょうか。
    (調べたかったですが間に合わなくてスミマセン)

    もちろん、よりセキュリティを意識するならIRMを組み合わせればいいですね。

    • ドメインによって外部共有を制限する

    これもいいですね。ダダ漏れ(社外オールOK)はちょっと・・・という時に使えます。
    ここはドメイン指定して許可/拒否のどちらかを選びます。改行して複数指定可能です。
    (Skype for Business の通信相手の設定と同じですね)

    • 外部ユーザーができること

    外部ユーザーに自分が所有者ではないアイテムの共有を許可する:チェックあり/なし

    所有者かどうかはファイルのプロパティで判断するんでしょうか・・・
    (ここも調べろよ!って感じですが・・・)

    外部の人とファイル共有サイトとして使う場面で
    「向こうからもアップできるようにしたいけど、何でもかんでもはチョット・・・」という時の設定ですね。

    同期

    ここで設定できるのは3項目。

    • 同期クライアントのインストールをユーザーに許可する(チェックあり/なし)

    ローカルディスクには保存させたくない、という時に便利ですが
    同期クライアントのダウンロードリンク直打ちしたらできてしまうのでは?という不安が脳裏をかすめましたが、
    気付かなかったことに・・・いやいや、後日検証してみたいと思います。

    ちなみにページ上部に同期クライアントのダウンロードリンクもあるので、
    逆に配布したい場合には便利かも。
    ※現状英語ページに飛ばされます。
    英語苦手なユーザーさんには嫌がられそうですが、プレビューのご愛敬?

    • 指定のドメインに参加しているPC上でのみ同期を許可する(チェックあり/なし)

    会社で許可したデバイスならOK、ということですね。
    これも管理者目線で制御を補完してくれる、うれしい機能かと。

    オンにすると、上記の共有設定同様ドメインの指定画面が現れます。
    しかしドメイン名ではなく「GUIDを入力」とあります。
    何のGUID?フェデレーションしていたら?など疑問は尽きません。。
    ※OK/キャンセル ボタンがないですが、入力して[×]を押したら元の画面に戻り反映されていました。

    ちなみに「Mac OSでの同期を禁止する」も有効にできます(既定は無効、つまり許可)。
    しかしMac だけ禁止したいシチュエーションというのはあるんでしょうか。
    Mac もドメイン参加できるけど、WindowsほどADのポリシー等で完全に制御できないから?でしょうか。

    • 指定したファイルの種類の同期を禁止する

    ここもテキストボックスに拡張子を入力する形式です。改行して複数入力できます。
    「exeやbat、スクリプト系は禁止!」みたいな時に使えそうですね。

    [ストレージ]

    [デバイス アクセス]

    [コンプライアンス]

    ごめんなさい、時間の都合でまだ触れていません。
    ここは後日アップデートとさせてくださいm(_ _)m


    まとめ

    いかがでしたでしょうか。
    網羅できず、かつ分からない状態で書いてる箇所も多く恐縮ですが、参考になれば幸いです。
    項目多くないので、実際に触っていただくのが一番かと思います。
    (全体に影響するので、運用環境だと おいそれと追加・変更できないというのはありますが)

    所感として、基本的な設定がGUIでできるというのは
    やはりPowerShell が得意でない、慣れていない方(私です)には うれしいアップデートなのではないかと思います。
    GAでどこまで強化されるのか、楽しみですね。


    さいごに

    追い込まれないと やらないタチなので、こういった機会をいただけて
    よかったと思います。この場を借りて感謝です。

    ちなみに、、、
    普段はAzureの方をメインにしてまして(したいと思っている、といった方が正確ですが)
    先日AzureのAdvent Calendar にも、
    Azure Storage Explorer からフォルダごとアップロードできるようになった件
    というタイトルで書かせていただきました。
    よろしければご覧ください。
    ・・・といっても、こうして記事的なものを書いて公開するのは前回が初だったりしますが(^^;

    自分でも何とか書けるもんだということは分かったので(今年一番の成果?)
    Advent Calendar はこの時期だけかもしれませんが続けていきたいと思います。
    せっかく両方かじっているので、連携して活用するネタなんか書けると
    皆さんのお役に立てそうかなと考えています。

    最後までお読みいただき、ありがとうございました。
    少し気が早いですが、今年一年お疲れさまでした!
    よいお年を~

    2016/12/21 matkjin