OneDrive dla Firm – konfiguracja i bezpieczeństwo plików

OneDrive dla Firm a OneDrive osobisty – kluczowa różnica

Wiele osób myli OneDrive dla Firm z darmowym OneDrive dostępnym dla konsumentów. To dwie zupełnie różne usługi. OneDrive dla Firm jest częścią subskrypcji Microsoft 365 i działa w oparciu o infrastrukturę SharePoint – co oznacza centralne zarządzanie przez administratora IT, zaawansowane polityki bezpieczeństwa i zgodność z regulacjami, w tym RODO.

Każdy użytkownik z licencją Microsoft 365 Business Standard lub wyższą otrzymuje 1 TB miejsca w chmurze. Pliki są szyfrowane zarówno w tranzycie (TLS 1.2/1.3), jak i w spoczynku (AES-256). To solidna baza – ale bez odpowiedniej konfiguracji nawet najlepsza infrastruktura może zawieść.

• OneDrive osobisty – dla osób prywatnych, konto Microsoft, brak zarządzania centralnego, dane w chmurze konsumenckiej
• OneDrive dla Firm – dla organizacji, zarządzany przez administratora IT, integracja z Microsoft Entra ID, pełna kontrola nad danymi i politykami

Jeśli Twoja firma korzysta z Microsoft 365, masz OneDrive dla Firm dostępny od razu. Pytanie brzmi: czy ktoś go właściwie skonfigurował?

Centrum administracyjne – od czego zacząć konfigurację

Główne ustawienia OneDrive dla całej organizacji zarządzane są w centrum administracyjnym SharePoint. Ścieżka: admin.microsoft.com → Pokaż wszystko → SharePoint → Zasady → Udostępnianie. OneDrive dla Firm technicznie działa na infrastrukturze SharePoint, dlatego część ustawień znajdziesz właśnie tam – co bywa mylące dla nowych administratorów.

Pierwsze kroki, które powinien wykonać każdy administrator po uruchomieniu Microsoft 365:

1. Ogranicz udostępnianie zewnętrzne – ustaw poziom na Tylko osoby w Twojej organizacji lub Nowi i istniejący goście. Nigdy nie pozostawiaj ustawienia Każdy bez konieczności logowania jako domyślnego.
2. Zmień domyślny typ linku udostępniania – z Każdy z linkiem na Osoby w Twojej organizacji lub Osoby z dostępem. To jedna zmiana, która eliminuje setki potencjalnych wycieków rocznie.
3. Wydłuż retencję danych usuniętych pracowników – domyślnie OneDrive odchodzącego pracownika jest usuwany po 30 dniach. Możesz wydłużyć ten czas do 3650 dni (10 lat), co ułatwia odzyskanie ważnych plików po rozstaniu z pracownikiem.
4. Zablokuj synchronizację z urządzeń niezarządzanych – wymagaj dołączenia urządzenia do domeny lub zgodności z Intune, zanim pliki zostaną zsynchronizowane na danym komputerze.

Te cztery kroki eliminują najczęstsze błędy konfiguracyjne, które prowadzą do niezamierzonych wycieków danych i problemów compliance.

Known Folder Move (KFM) – automatyczny backup pulpitu i dokumentów

Known Folder Move (KFM) to jedna z najważniejszych, a zarazem najbardziej niedocenianych funkcji OneDrive dla Firm. KFM automatycznie przekierowuje trzy kluczowe foldery systemowe Windows – Pulpit, Dokumenty i Zdjęcia – do OneDrive w chmurze. Efekt jest natychmiastowy: pliki trafiają automatycznie do chmury, bez żadnej zmiany nawyków pracownika.

Gdy laptop zostanie skradziony, zalany kawą lub padnie dysk twardy – wszystkie pliki z tych folderów są bezpieczne w chmurze. Na nowym urządzeniu, po zalogowaniu się do konta Microsoft 365, wszystko wraca w ciągu kilku minut.

Jak włączyć KFM – trzy metody:

1. Przez Microsoft Intune (zalecane dla firm z MDM): Utwórz profil konfiguracyjny → Szablony administracyjne → OneDrive → Silently move Windows known folders to OneDrive → wprowadź Tenant ID organizacji. Polityka rozsyłana jest automatycznie na wszystkie zarejestrowane urządzenia.
2. Przez zasady grupy (GPO): Skonfiguruj zasadę z pliku OneDrive.admx → Silently redirect Windows known folders to OneDrive z Tenant ID. Idealne dla firm z Active Directory.
3. Ręcznie przez użytkownika: Ikona OneDrive w zasobniku systemowym → Ustawienia → Kopia zapasowa → Zarządzaj kopią zapasową → zaznacz wybrane foldery.

Wdrożenie KFM przez Intune lub GPO eliminuje potrzebę osobnego backupu stacji roboczych i znacząco redukuje ryzyko utraty danych przy awarii sprzętu – bez żadnych dodatkowych kosztów licencyjnych.

Zarządzanie dostępem i uprawnieniami – na co uważać

Nawet dobrze skonfigurowany OneDrive może stać się źródłem problemów, jeśli pracownicy zbyt swobodnie udostępniają pliki. Oto typowe błędy i sposoby ich wyeliminowania:

Najczęstsze problemy z uprawnieniami:

• Linki Każdy z linkiem – umożliwiają dostęp komukolwiek, kto wejdzie w posiadanie linku, bez żadnego logowania. Poważne ryzyko dla ofert handlowych, umów i danych klientów.
• Brak daty wygaśnięcia linków – raz wygenerowany link działa wiecznie, jeśli administrator nie ustawi maksymalnego czasu ważności. Linki z 2021 roku mogą być nadal aktywne.
• Dziedziczenie uprawnień – jeśli pracownik udostępni folder gościowi zewnętrznemu, wszystkie podfoldery i pliki w nim automatycznie stają się dostępne dla tej osoby.

Jak to naprawić krok po kroku:

1. W SharePoint Admin Center → Zasady → Udostępnianie: ustaw maksymalny czas ważności linku dla gości – rekomendacja to 30 dni.
2. Włącz weryfikację tożsamości gości – goście muszą potwierdzić adres e-mail lub konto Microsoft przed uzyskaniem dostępu do pliku.
3. Skonfiguruj Conditional Access tak, aby dostęp z urządzeń niezarządzanych był ograniczony wyłącznie do trybu odczytu w przeglądarce – bez możliwości pobierania ani drukowania.
4. Regularnie przeglądaj raporty udostępniania zewnętrznego dostępne w centrum administracyjnym SharePoint → Raporty → Udostępnianie.

Ochrona danych: wersje plików, File Restore i polityki retencji

OneDrive dla Firm oferuje kilka wbudowanych mechanizmów ochrony danych, które warto aktywnie konfigurować i komunikować pracownikom:

Historia wersji plików
Każda zmiana pliku zapisywana jest jako nowa wersja – domyślnie do 500 wersji każdego dokumentu. Pracownik może samodzielnie przywrócić poprzednią wersję: kliknij plik prawym przyciskiem → Historia wersji → przywróć wybraną wersję. Nie trzeba angażować działu IT.

File Restore – cofnięcie całego OneDrive do 30 dni wstecz
Funkcja Przywróć OneDrive pozwala cofnąć stan całego repozytorium użytkownika do dowolnego momentu z ostatnich 30 dni. To wyjątkowo skuteczna ochrona przed ransomware – po ataku można przywrócić zaszyfrowane pliki bez płacenia okupu. Ścieżka: OneDrive w przeglądarce → Ustawienia → Przywróć OneDrive → wybierz datę z wykresu aktywności.

Polityki retencji przez Microsoft Purview
Jeśli przepisy lub umowy wymagają przechowywania danych przez określony czas (np. 5 lub 10 lat), skonfiguruj polityki retencji w centrum zgodności Microsoft Purview. Uniemożliwiają one usunięcie pliku przed upływem okresu retencji – nawet przez samego użytkownika lub administratora.

• Ransomware i masowe zaszyfrowanie plików: File Restore (30 dni wstecz)
• Przypadkowe nadpisanie lub usunięcie pliku: Historia wersji (do 500 wersji)
• Wymogi prawne i RODO: Polityki retencji w Microsoft Purview
• Awaria lub kradzież urządzenia: KFM i bieżąca synchronizacja w chmurze

Audyt aktywności – kto robi co z Twoimi plikami

Administrator IT powinien wiedzieć, kto ma dostęp do firmowych plików i co z nimi robi. OneDrive dla Firm automatycznie rejestruje dziesiątki typów zdarzeń widocznych w Microsoft Purview (dawne centrum zgodności i bezpieczeństwa Microsoft 365).

Co jest logowane automatycznie:

• Pobranie i przeglądanie pliku – kto, kiedy, z jakiego adresu IP i rodzaju urządzenia
• Udostępnienie pliku wewnętrznie i zewnętrznie
• Usunięcie i modyfikacja pliku
• Dostęp gości spoza organizacji
• Synchronizacja z nowych, nieznanych wcześniej urządzeń

Jak skonfigurować alerty bezpieczeństwa:

1. Przejdź do Microsoft Purview → Inspekcja i upewnij się, że rejestrowanie jest włączone dla całej organizacji (domyślnie może być wyłączone w starszych dzierżawcach).
2. Utwórz politykę alertów dla zdarzeń wysokiego ryzyka: masowe pobieranie plików w krótkim czasie (możliwa eksfiltracja danych), udostępnienie pliku poza organizację, logowanie z nieznanego kraju lub adresu IP.
3. Skonfiguruj miesięczny raport udostępnień zewnętrznych – pozwoli wcześnie wykryć niepożądane zachowania, na przykład gdy pracownik planujący odejście zaczyna masowo kopiować pliki firmowe.

Logi audytu przechowywane są przez 90 dni w standardowych planach Microsoft 365, a do 1 roku przy licencji Microsoft 365 E3 lub dodatku Compliance. Regularne przeglądy logów to nie tylko dobra praktyka – w wielu branżach to wymóg regulacyjny.

Jeśli chcesz, żeby eksperci NovaSys skonfigurowali OneDrive i polityki bezpieczeństwa w Twojej firmie – skontaktuj się z nami. Działamy na terenie Wrocławia i regionu dolnośląskiego.