Automatické nasazení OneDrive pro firmy ve vaší organizaci

  • Article

V tomto článku se podíváme na možnost centrálního nasazení OneDrive pro firmy ve vaší Active Directory. Přestože má každý uživatel možnost si OneDrive konfigurovat manuálně, určitě je mnohem více uživatelsky přívětivější situace, kdy se uživatel do svého počítače přihlásí a má vše nakonfigurované. To, v případě využití Active Directory společně s Office 365 obnáší několik konfiguračních kroků.

Proč přejít na OneDrive for Business?

Pokud máte ve vaší organizaci uživatele, určitě řešíte, jakým způsobem a kam mají uživatelé ukládat svá data. Ve spoustě případů se používají síťové jednotky, v podobě domovských adresářů, které jsou následně zálohované přímo na serveru. V některých situacích (pro mě překvapivě) cestovní profily, které vás dokáží poměrně hezky potrápit s novějšími verzemi Windows, případně se data drží lokálně na stanicích a následně se pak záloha provádí na jednotlivé složky či se zálohuje celá stanice. Nicméně míra auditování, klasifikace nebo třeba jednoduchosti obnovování předchozích verzí souborů je v těchto případech velmi spekulativní.

Kromě toho, že OneDrive for Business nabídne vašim uživatelům až 5TB úložiště (v závislosti na vámi zakoupeném plánu), získají možnost jednoduchého, ale bezpečného sdílení s ostatními uživateli, ať už v rámci vaší organizace či mimo ní nebo také možnost spolupráce v reálném čase nad jednotlivými dokumenty. Nechybí také například verzování jednotlivých souborů, možnost vrácení změn, synchronizace nejen s PC, ale i s Mac či mobilními zařízeními. Vše je samozřejmě plně auditovatelné, existují logy všech operací a událostí, které proběhly, ale o tom až jindy. Zkrátka a dobře za málo peněz dostanete hodně muziky (v případě škol a neziskových organizací kompletně zdarma).

Jedním z dřívějších argumentů, proč na OneDrive nepřecházet bylo to, že pokud uživatel má na OneDrive spoustu dat, musí se všechna stáhnout do počítače, případně si uživatel musí manuálně vybrat složky, které chce synchronizovat. Aby se tomuto předešlo, historicky se používalo mapování jako síťového disku např. pomocí startup skriptu. Toto je naštěstí již historie a s příchodem Windows 10 1709 a funkcionalitou OneDrive Files On-Demand máte možnost mít na svém počítači uložené pouze soubory, se kterými aktivně pracujete. Ostatní soubory se budou tvářit jako zástupci a dokud není soubor potřeba (např. dokud ho neotevřete) tak je v tzv. online módu a díky tomu nezabírá místo na disku.

Samotné stahování a ukládání souborů je také poměrně chytré, jelikož Files On-Demand si automaticky řídí využití disku, a pokud explicitně neřeknete, že má být složka permanentně dostupná offline, tak může klient automaticky soubory převést do online módu, pokud s nimi aktuálně nepracujete a je potřeba místo na disku.

Celé toto povídání je určitě hezké, ale pojďme se podívat na to, jak to vypadá a funguje v praxi.

Konfigurace Azure AD Connect

Prvním předpokladem pro zprovoznění automatické konfigurace v lokální síti je mít nainstalovaný Azure AD Connect. AAD Connect je nástroj, který synchronizuje celý (nebo vámi vybraný) obsah vaší Active Directory (případně jiného LDAP adresáře) do Azure Active Directory. Pokud Azure AD Connect již máte nasazený, můžete přistoupit k dalšímu kroku, a sice nastavení Hybrid Azure AD Joinu pro vaše zařízení. Hybrid Join je funkcionalita Windows 10, nicméně je možné Hybrid Join využít i v zařízeních s OS od Windows 7 a novějších.

A co je tedy Hybrid Join? Hybrid Join umožňuje vašim počítačům být členem Active Directory a Azure Active Directory zároveň. Díky tomu jsou pak vaši uživatelé po přihlášení ke stanici nejen autentizovaní vůči Active Directory, ale zároveň i vůči Azure AD, a díky tomu máte k dispozici plnohodnotné SSO nejen do služeb, které se autentizují vůči AD, ale i služeb, které se autentizují vůči AAD - třeba právě OneDrive pro firmy a jeho klient ve Windows 10.

Pokud synchronizujete hashe hesel z vaší AD do AAD, je konfigurace velmi jednoduchá. Pokud využíváte federaci přihlášení (Active Directory Federation Services), musíte následně upravit ještě konfiguraci claimů, které ADFS předává do AAD při přihlášení. Pro ukázku si toto nastavení uděláme pro synchronizaci hashů hesel, nicméně pro celý návod v angličtině využijte následující dokumentaci.

Aby se počítače mohly registrovat vůči Azure AD, musí předem znát několik informací - název a ID vašeho AAD tenantu. K tomu slouží konfigurace tzv. Service Connection Pointu (SCP). Abyste si vyzkoušeli, zda jsou tyto informace již dostupné ve vaší doméně, můžete využít následující PowerShell.

V první řadě musíte znát naming context ve vašem AD forestu, ten zjistíte pomocí příkazu Get-ADRootDSE. Pro doménu s názvem ad.thenetw.org bude naming context: CN=Configuration,DC=ad,DC=thenetw,DC=org.

 $scp = New-Object System.DirectoryServices.DirectoryEntry;
$scp.Path = "LDAP://CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=ad,DC=thenetw,DC=org";
$scp.Keywords;

Výstup tohoto skriptu (hodnota $scp.Keywords) by měla vypadat takto:

 azureADName:thenetw.org
azureADId:67266d43-8de7-494d-9ed8-3d1bd3b3a764

Pokud tento Service Connection Point neexistuje, je nutné ho vytvořit pomocí PowerShell příkazu: Initialize-ADSyncDomainJoinedComputerSync. Abyste tento příkaz mohli spustit, musíte mít oprávnění Enterprise Admina v doméně a musíte znát název účtu, který se používá pro synchronizaci v Azure AD Connectu. Je to účet, který si vytvořil Azure AD Connect a typicky má jméno AAD_* (nebo v předchozích verzích MSOL_* ).

 Import-Module -Name "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1";
$aadAdminCred = Get-Credential;
Initialize-ADSyncDomainJoinedComputerSync –AdConnectorAccount [název účtu z AAD Connectu] -AzureADCredentials $aadAdminCred;

Následně dojde k vytvoření SCP a spuštění synchronizace vašich zařízení do Azure AD. Pokud by vás zajímalo, jak celý proces funguje napozadí, můžete se podívat zde.

Konfigurace Active Directory a Group Policy

Po konfiguraci Azure AD Connectu se můžeme pustit do vytvoření Group Policy pro to, aby se doménové počítače začaly registrovat do Azure AD. Konfigurace Hybrid Joinu probíhá v politice: Computer Configuration > Policies > Administrative Templates > Windows Components > Device Registration > Register domain-joined computers as devices. Díky této politice můžete kontrolovat zapojení vašich doménových počítačů do Azure AD pomocí Hybrid Joinu na jednotlivé organizační jednotky nebo bezpečnostní skupiny.

Následně je nutné provést nastavení OneDrive klienta na koncových stanicích. Abyste nemuseli měnit samotné registry, můžete využít balíček šablon, které rozšiřují doménové politiky o ty, pro OneDrive klienta (pozor, jedná se o dodatečné politiky, které nejsou součástí Active Directory). Tyto politiky zatím není možné separátně stáhnout z webu Microsoftu, nicméně je najdete na každém Windows 10 s Fall Creators Update a poslední verzí OneDrive klienta:  %LOCALAPPDATA%\Microsoft\OneDrive\ , následně vyberte složku s nejvyšším číslem buildu a v ní najdete složku adm. Obsahem této složky jsou dva soubory - OneDrive.admxOneDrive.adml. Tyto soubory můžete nakopírovat do vaší Active Directory, a rozšířit tak GPO Templates v doméně.

V prní řade je potřeba pomocí politiky nastavit Computer Configuration > Policies > Administrative Templates > OneDrove > Silently configure OneDrive using the primary Windows account a zároveň povolit automatické přihlášení uživatelů - toto se zatím dělá pouze pomocí registru:

 [HKLM\SOFTWARE\Policies\Microsoft\OneDrive]
"SilentAccountConfig"=dword:00000001

Ukázka vytvořené politiky

Mimo jiné pomocí GPO můžete například všem uživatelům centrálně zapnout Files On-Demand či omezit využití šířky pásma v síti OneDrive klientem. Všechny politiky, které je možné nastavit ve OneDrive klientovi najdete zde.

Závěrem...

V tomto článku jsem ukázal možnost automatického mapování OneDrive pro firmy na klientech pomocí Active Directory, její synchronizace do Azure AD a Group Policy Objects. Pokud máte například čistě cloudovou verzi Active Directory, tedy Azure AD, pro takovouto konfiguraci můžete využít Microsoft Intune. Na tento způsob mapování a nastavení se podíváme někdy příště...

- Jan Hajek, TheNetw.org s.r.o.