[English]Kurze Rundfrage an die Administratoren unter der Leserschaft, ob es ein Problem ist und wie ihr damit umgeht. Microsoft hat im Juli 2025 begonnen, Nutzern von OneDrive Personal auch die Synchronisation von OneDrive for Business zu gestatten. Wie geht ihr mit dem Thema, was ein Sicherheitsproblem darstellen kann, um?
Ein Leserhinweis zum Thema
Das Thema hängt bei mir bereits seit einiger Zeit auf der To-Do-Liste. Ein Blog-Leser hatte mich Mitte Mai 2025 per E-Mail kontaktiert. Im Betreff "OneDrive Business / Personal Sync" informierte er mich, dass er kürzlich auf X auf ein Thema aufmerksam geworden sei, das seiner Meinung nach ernsthafte Bedenken aufwirft.
Es geht um die Möglichkeit, dass OneDrive Personal ab Juni 2025 Daten mit OneDrive for Business synchronisiert. Das dürfte für Unternehmen die Trennung von Daten erschweren und könnte zu Sicherheits- (Datenabflüsse) sowie zu Datenschutzproblemen führen, merkte der Leser an.
Der Leser arbeitet als Cloud-IT-Berater und hält dies für ein kritisches Problem. Es sei zwar möglich, diese Funktion über eine Richtlinie zu deaktivieren. Aber viele kleine Unternehmen, die keine Cloud-Administration betreiben, würden dies wahrscheinlich übersehen, schrieb der Leser. Ist das Thema bei euch präsent? Und wurden dies betreffenden Gruppenrichtlinien gesetzt?
Worum geht es genau?
Der Anstoß für den Leser kam über den nachfolgenden Tweet, der auf den Artikel Microsoft introduces huge security risk in OneDrive von Mitte Mai 2025 hinweist.
Dort heißt es, dass Microsoft eine neue OneDrive-Funktion einführt, die Daten aus privaten Konten mit geschäftlichen Konten synchronisiert. Die Funktion mit dem offiziellen Namen "Prompt to Add Personal Account to OneDrive Sync" (Aufforderung zum Hinzufügen eines privaten Kontos zur OneDrive-Synchronisierung) ermöglicht es, Sicherheitsrichtlinien zu umgehen.
Der Artikelautor hegt die Befürchtung, dass dies dazu führen könnte, dass Geschäftsdaten in die falschen Hände geraten. Im Artikel heißt es, dass Microsoft die Funktion im Juni 2025 aktivieren wolle (was wohl nicht zutrifft, das Rollout erfolgte erst im Juli 2025).
Die betreffende Funktion erkennt private OneDrive-Konten auf geschäftliche genutzten Geräten mit OneDrive for Business. Die Benutzer erhalten dann eine Benachrichtigung, um ihre OneDrive-Dateien zu synchronisieren. Wenn Benutzer die Benachrichtigung akzeptieren, werden ihre Dateien automatisch und ohne zusätzliche Konfiguration mit ihrer geschäftlichen OneDrive for Business-Umgebung synchronisiert, heißt es im Artikel.
Wenn sich ein Benutzer also mit einem privaten Microsoft-Konto auf einem Geschäftsgerät anmeldet, erhält er standardmäßig eine Benachrichtigung, um das Konto zu verknüpfen. Er ist dafür verantwortlich, die Berechtigung zu erteilen. Die Annahme der Benachrichtigung mag jedoch bequem oder einfach erscheinen, wenn man sich der Risiken nicht bewusst ist, schreibt der Artikelautor.
Das schreibt Microsoft zur Funktion
Microsoft hat das Ganze in der Microsoft 365 Roadmap unter dem Titel OneDrive: Prompt for permitted users to sign in to OneDrive app with personal Microsoft account veröffentlicht. Der Beitrag wurde ursprünglich am 25. April 2025 veröffentlicht, dann aber am 24. Juli 2025 modifiziert. Nachfolgender Screenshot zeigt den aktuellen Stand, aus dem hervorgeht, dass der Rollout erst im Juli 2025 gestartet ist.
Microsoft schreibt, dass Nutzer seit langem persönliche Microsoft-Konten mit der OneDrive-App auf Windows-Geräten des Unternehmens verwenden können (Ausnahme: Dies wurde durch Administratorrichtlinien eingeschränkt).
Diese neue OneDrive-Funktion Prompt for permitted users soll nur eine Aufforderung anzeigen, wenn bereits ein persönliches Konto auf dem Gerät angemeldet ist. Dann wird der Benutzer aufgefordert, sich auch mit diesem Konto bei der OneDrive-App anzumelden.
Administratoren haben aber die Möglichkeit, die Verwendung persönliche Konten auf Unternehmensgeräten über Gruppenrichtlinien einzuschränken. Die Verwendung persönlicher OneDrive-Konten auf Unternehmensgeräten ließ sich bereits mit der Richtlinie DisablePersonalSync deaktiviert, so dass die Benutzer die oben erwähnte Aufforderung nicht angezeigt bekommen.
Administratoren können diese Aufforderung zur Anmeldung auch mit der Richtlinie DisableNewAccountDetection unterdrücken. Die betreffenden OneDrive-Richtlinien sind in dieser Microsoft Support-Seite zu finden.
MVP: 2013 – 2016
klar und dann wird der business tenant gesperrt wenn im persönlichen onedrive eines users der algoritmus amok läuft
> Wie geht ihr mit dem Thema, was ein Sicherheitsproblem darstellen kann, um?
Ganz einfach: Onedrive wird im Unternehmen nicht genutzt. Keine Gefahr der Vermischung von privaten Daten oder einem Abfluß von geschäftlichen. Es kommt einzig und allein die selbst betriebene Nextcloud zum Einsatz.
End of Story.
> Administratoren haben aber die Möglichkeit, die Verwendung persönliche Konten auf Unternehmensgeräten über Gruppenrichtlinien einzuschränken.
Es ist Irrglaube und Indiz einer komplett realitätsfremden Selbstübrschätzung wenn Administratoren oder Verantwortliche glauben, auf Rechnern mit unkontrolliertem Internetzugriff, ohne App-Whitelisting und sogar außerhalb der Entität irgendwas unterbinden zu können.
Sie schließen halt eine Lücke, bislang gibt es das Problem dass manche sehr kleine Unternehmen eine private O365 Variante verwenden weil billiger.. und mit denen konnte man dann nur schwer Dokumente teilen.
Aber die Verwirrung wird zunehmen, es war ja immer möglich ein privates Konto mit dem gleichen Username wie das Business Konto zu haben.. mal sehen wie sie das gelöst haben.
CA Rules (Client Access Rules, CAR) nutzen, dann ist es klar geregelt :)
Vorbildlich instruktiver Hinweis. Solche Kollegen wünscht man sich auf Arbeit. Danke für nichts. Ironie aus.
Was ist daran nicht zu verstehen? Wer sich mit M365 speziell CA auskennt, wird schon wissen, welche Rules benötigt werden, damit ein Abfluss bzw. Co Nutzung nicht möglich ist.
a) Nur Hybrid und/oder Entra joined Devices
b) Ggf nur von trusted IP Bereichen
plus GPO > https://learn.microsoft.com/de-de/sharepoint/use-group-policy#prevent-users-from-syncing-personal-onedrive-accounts
Man kann den Tenant so einstellen, dass nur Intune-verwaltete Geräte den einzelnen Cloudfunktionen beitreten können. Und man kann den Tenant so einstellen, dass keine Dienste nach Außen geteilt werden können. Und das kann man schon immer so. Muss man halt machen.
Tja wie haben wir das nur vor Jahren ganz ohne OneDrive, Cloud und Browsern gemacht, die irgendwas durch die Gegend syncen und permanent am Account eingeloggt sein müssen.
Der Nutzer wird mit dem ganzen Konglomerat dazu degradiert nur noch exakt einen Account zu haben für alles.
Was im Prinzip erstmal nichts falsches ist, sondern vieles vereinfacht.
Als Administrator definieren wir klar, welche Geräte den OneDrive Client nutzen dürfen und welche nicht.
Auch die Anmeldung an privaten Microsoft Konten wird blockiert.
Das Thema ist allerdings noch größer als die MS Welt. Da gibt es ja noch unzählige andere private Dienste, die vom Anwender dienstlich genutzt werden können.
"Auch die Anmeldung an privaten Microsoft Konten wird blockiert."
Wie ist das umgesetzt – wird denn nicht pauschal sowieso alles über "myaccount.microsoft.com" zur jeweiligen Anmeldung geleitet?
Privatdaten haben auf Geschäftsrechnern nichts verloren – das ist ganz klar im Mitarbeiterhandbuch geregelt. Wer sich nicht daran hält, bekommt eine Abmahnung. Three-Strikes-Regel … und er/sie fliegt!
Zero-Trust-Strategie: Nur was zugelassen ist, lässt sich installieren oder starten – Whitelist plus Applocker.
Für private Angelegenheiten gibt es in der Kantine extra „Surfstations", die in einem eigenen, unabhängigen Netzwerk hängen – keine physischen Übergänge ins Firmennetzwerk.
BYOD gibt es nicht. Cloud ebenfalls nicht – also auch kein OneDrive.
Das funktioniert ziemlich gut. In den Anfangsjahren gab es ein paar Leute, die meinten, das ausloten zu müssen … die arbeiten hier inzwischen nicht mehr! Es hat sich herumgesprochen, dass das, was im Mitarbeiterhandbuch steht, kein totes Papier ist, sondern konsequent geahndet wird.
Trotzdem: Die „jüngsten Mitarbeiter" sind schon 10 Jahre dabei, die „ältesten" 30 Jahre … klare, faire Regeln.
So muß es sein!
Und Mitarbeiter sollten auch nichts selbst installieren können.
Wenn die eine Software benötigen, ist das bei der IT zu beantragen und die installiert dann die Software.
Anmeldung mit einem privaten Konto sollte per Richtlinie blockiert werden.
Hier ist das sogar so eingeschränkt, das sich nicht jeder Mitarbeiter an jedem Firmenrechner mit seinem Firmenaccount anmelden kann, sondern nur an den Rechnern in seiner Abteilung, in der er tätig ist.
Und Daten, egal welcher Art, dürfen grundsätzlich nicht auf den Arbeitsplatzrechnern gespeichert werden, sondern müssen auf den entsprechenden Netzwerklaufwerken gespeichert werden.
Auch Email etc. darf nur für geschäftliche Zwecke genutzt werden.
Und umgekehrt ist auch die Nutzung von privaten Geräten und Emailaccounts etc. für geschäftliche Zwecke streng verboten.
In einigen Abteilungen sind auch z.B. Smartphones verboten (wegen Gefahr der Betriebsspionage, z.B. Abfotografieren von Konstruktionszeichnungen vom Bildschirm o.Ä.).
OneDrive, Cloud, etc. existiert hier nicht.
Alles richtig gemacht. Dass man sich nur an PCs seiner Abteilung anmelden kann, das finde ich sehr nett. Muss mal grüblen, wie/ob das sich bei uns auch umsetzen lässt.
Bei Software installieren fehlt noch was: Nur Software, die eine Freigabe hat darf von den Admins installiert werden. Software muss vor dem Einsatz immer geprüft werden: Funktionalität, Sicherheit (offene CVEs?), Kommunikation mit dem Internet, Aktualität/Update-Häufigkeit, Supportqualität, und zuletzt auch Kosten.
Das mit privaten Mails auf Firmenrechnern sollte aber jedem auch selbst klar sein. Will man, dass private Mails im Firmenbackup sind? Vielleicht sogar von einem Monitoring überwacht?
Was die Anmeldung an bestimmten PCs angeht:
Das kann man im AD regeln.
Zu finden bei den Eigenschaften des Benutzerkontos unter "Konto" und da unter "Anmelden an".
Und unter "Konto" kann man auch die Anmeldezeiten beschränken.
Auch das nutzen wir.
Außerhalb normaler Geschäftszeiten, z.B. am Wochenende und in der Nacht kann sich kein normaler Benutzer anmelden.
Und durch die Beschränkung auf bestimmte PCs wird auch der Zugang von Außen mit den entsprechenden Kontodaten unterbunden.
Hacker können das Konto also nur nutzen, wenn sie den entsprechenden PC kompromittieren, aber nicht, wenn die einen nicht zugelassenen PC kompromittieren.
Aber aber, dann kommen gleich ganz viele MS-Fanboys und Handlanger um die Ecke und behaupten, so könne man nicht arbeiten…
;-)
Wenn sie nicht mit dem arbeiten können, was die Firma auf ihren Arbeitsplätzen vorgibt, sind sie vielleicht am falschen Ort ;-)
Man sieht, du hattest noch keinen Einblick in eine wirklich gut organisierte, gehärtete und administrierte Windows-Landschaft. Einmal mit Profis, weißt du?
Das klingt nach einer traumhaften Quote an IT-Mitarbeitern. Arbeiten Sie in einer Behörde?
Es stimmt, es gibt für Vieles eine Lösung, aber irgendjemand muss es auch umsetzen. Und vieles ist nachträglich mit viel Schmerz verbunden (App Whitelists).
Meiner Erfahrung nach ist die IT im Mittelstand immer chronisch unterbesetzt und man versucht nur irgendwie das Gröbste abzufangen.
Mitarbeiter haben mit den Werkzeugen zu arbeiten, die ihnen vom Arbeitgeber zur Verfügung gestellt werden.
Und wenn sie meinen, damit nicht arbeiten zu können, ja dann müssen die das eben lernen!
Moin!
bin nur ich blind, oder gibt es unter Windows 11 den Pfad zu den adm Dateien nicht mehr?
Welchen meinst du?
.adm ist übrigens steinalt.
Das aktuelle Format ist .admx und für die Sprachdateien .adml
Zu finden unter C:\Windows\PolicyDefinitions
>Der Artikelautor hegt die Befürchtung, dass dies dazu führen könnte, dass Geschäftsdaten in die falschen Hände geraten. <
Ich arbeite ohne Microsoft-Produkte und -Online-Dienste, habe auf die beschriebene Situation aber eine DS-GVO-Perspektive als Verbraucher. Verstehe ich das richtig? Bei ungünstigen oder fehlenden Konfigurationen besteht letzten Endes die Gefahr, dass der Mitarbeiter Unternehmensdaten ausleitet und zuhause von einem privaten Gerät aus einsehen kann? Die Funktionen folgen als nicht einem 'Secure by design' bzw. 'Deny All'?
Das ist bei Windows im Prinzip schon immer so, erstmal offen, dass alles funktioniert und alles kann gemacht werden kann, ohne sich erstmal alles freischalten zu müssen. Es gibt aber gute Security-Guides und fertige Security-Baselines direkt von MS, die man nur noch im AD abarbeiten bzw. importieren und aktivieren muss, und dann ist der Kram auch sicher. Das muss man halt machen. Pauschal geht leider nicht, denn jedes Unternehmen braucht Anpassungen. Das ist eine wichtige Arbeit jedes Admins, das weiß nicht jeder.
Stell dir ein Straßen-Netz ohne Beschilderung vor, du kannst von überall nach überall hinfahren, solange bis die Straßenmeisterei wegen zu vielen Unfällen anfängt, Schilder, Ampeln aufstellt und Markierungen auf die Straße zu malen. So ist das mit Windows auch, erstmal absolute Freiheit, dann muss jemand per GPO Regeln vorgeben.
Stell dir vor, du kaufst dir ein Auto, und das fährt erstmal nur maximal 30km/h, kann nur links abbiegen und greradeaus, Fernlicht lässt sich nicht aktivieren und die Hupe hupt bei jeder Bremsung. Das Auto würdest du doch zurückgeben? Und der Händler sagt dir dann beim Termin: Hast du nicht ins Handbuch geschaut? Da ist das Setup-Menü, da kannst du alles ändern. Wäre das dein Wunsch?
"Das ist bei Windows im Prinzip schon immer so, erstmal offen, dass alles funktioniert und alles kann gemacht werden kann, ohne sich erstmal alles freischalten zu müssen."
Tja, aber DAS ist doch das eigtl. "Fail-by-Design" im nach wie vor andauernden Komazustand auf der Jagd nach allgegenwärtigem Liberalismus – die Menschheit hat doch historisch zu jeder Gelegenheit nachgewiesen, dass sie mit jeglichen ihr zugestandenen Freiheiten weder bewußt sorgsam und zweckdienlich geschweige denn verantwortlich umgehen konnte bzw. immer noch nicht kann.
Alles wird nur in tobsuchtartiger Ausprägung von egomaner Gier – oder aber schon fast blasphemischer Dummheit – korrumpiert und zerstört.
Sorry, wenn ich das in sehr "globaler" Dystopie beschreib', aber faktisch ist's nunmal so – der Mensch darf ausschließlich das zielorientiert nutzbar Notwendige zur Verfügung bekommen!
Im kleineren Rahmen ist allerdings auch nicht besser, denn es setzt in dieser Prinzip-Denke voraus, dass jeder ein williger und befähigter "Admin" wäre – geht halt an der Realität vorbei, denn manche können nicht mal ihr Leben managen. 🤷♂️
Sehr entspannt.
Schon mit M365 E3 kommt Conditional Access und Purview.
Mit beidem kann man sauber trennen zwischen Privat und Firma.
Meine Gehaltsabrechnung lege ich in mein privates OneDrive, Firmendaten landen ausschließlich im Dienstlichen und dank Labeling gehen da auch keine Firmendaten Richtung Privat.
Natürlich kann man das auch abstellen (einfach im M365 Tenant) Intune oder wenn man das lieber mag auch mit GPO.
Für mich ein No-Brainer beides zu nutzen.
Ich denke wer aufschreit hat einfach die Hausaufgaben nicht gemacht.
Denke es geht darum, dass z.B. der ganze Zugang gesperrt wird, wenn irgeneine MS KI im privaten OneDrive vermeintlich unerwünschte Daten entdeckt…
Nein, es geht im Artikel primär darum, das Thema hochzubringen und zu fragen, wie die Leute im administrativen Bereich das handhaben. Jürgen meint, er hat es im Griff – was gut ist. Wer es nicht auf dem Radar hatte, sollte aktiv werden. Der letzte Satz "Ich denke wer aufschreit hat einfach die Hausaufgaben nicht gemacht." wäre in diesem Kontext entbehrlich gewesen.
"Ich denke wer aufschreit hat einfach die Hausaufgaben nicht gemacht." wäre in diesem Kontext entbehrlich gewesen."
Woher kommt denn neuerdings diese Sichtweise, dass ein Dienstleister, der Dienste anbietet, für jeglich möglich Konstellation mitdenken muss sodass der "Anwender" (ja, Anwender, nicht der Admin – denn der würde mitdenken) das nicht mehr tun muss?
Ich versteh es nicht, ehrlich… Gerade du Günter mit deiner Lebenserfahrung im IT Bereich -> das war früher doch gängige Praxis, man nutzt Dinge, mit denen man sich beschäftigt. Heute gibt es ein riesen Geheule, wenn Microsoft und Co mal wieder irgend eine Einstellung ändern und die Leute fallen aus allen Wolken, weil irgendwie verpennt… Wenn man mal ganz ehrlich ist – das ist wieder kein Microsoft Ding, wenn der MA mit seinem privaten Nextcloud, WebDAV, SFTP Zugang Daten da einfach hin schiebt, sind sie auch "weg" – sofern in der Firma zuständige Personen sich nicht mit derlei Themen beschäftigt haben.
Das gute bei der Sache ist, Microsoft bietet zumindest in der Form noch Mittel und Wege das eine weiter nutzen zu können und das andere aber technisch zu verbieten. Wie oben schon angesprochen. Label für Dokumente, CA Policys usw. ist nichts Neues in dem Umfeld. Klar kann man auch wie hier manche Leser immer wieder betonen, Microsoft ist Mist rufen und dann was alternatives bringen -> aber dann gibts meist nichtmal eine Option solche Themen zu verhindern.
Mir ging es um das "aufschreit" – was macht dieser Satz besser? Wenn Nutzer eine Option angeboten bekommen, gebe ich dir Brief und Siegel, dass da welche bei sind, die sich "einfach mal verklickt haben" oder es cool finden. Das gehört administrativ geregelt.
Wir haben hier in den Kommentaren doch einige Wortmeldungen gesehen, wie Administratoren das handhaben – von GPOs regeln das bis kein OneDrive zugelassen. Das sind imho weiterführende Antworten – den obigen Satz fand ich nicht hilfreich – mag aber meinem aktuellen Bias (nach einer Woche wandern geschuldet sein).
Stimme Dir zu. Den letzten Satz hätte ich weglassen können.
Was ich sehe ist, dass oftmals kleine Unternehmen und Selbständige von der automatischen Aktivierung profitieren. Bei größeren Unternehmen, die Menschen haben, die sich mit dem Thema auseinandersetzen, ist Intune oder eine GPO gesetzt und man nutzt Labeling.
Ich finde es immer wieder schade, wenn Unternehmen ein Produkt kaufen, es nicht konfigurieren und dann in die Falle laufen, weil sie es nicht eingerichtet haben.
Gerade das Feature, dass ich bei OneDrive einen vorigen Stand wiederherstellen kann, hat schon Unternehmen gerettet.
Datenabflüsse mit Purview zu steuern und zu vermeiden ist ein mächtiges Werkzeug, ja, das braucht Applikationen die es verstehen, das kann Microsoft sein, aber auch z.B. Adobe. Es würde so manchen Datenabfluss vermeiden.
Wie gesagt, man muss diese Dinge durchdenken, verstehen und umsetzen.
Wenn man das gemacht hat, hat man auch später entspanntere Diskussionen, Nutzende die ihre privaten Daten nicht auf dem Firmen-OneDrive haben, haben auch keine Einwände, wenn z.B. Copilot im Firmenkontext eingesetzt wird. Setze ich Labels auf schützenswerte Daten, dann landen die auch nicht bei Copilot und co, wenn ich das nicht möchte.
Gerade das Thema Datenabflüsse ist sehr wichtig geworden… ich kenne Fälle, wo Nutzende halt ChatGPT mal eben ein interenes, vertrauliches Dokument geben und sagen… mach mal eine Zusammenfassung und erstelle eine Präsentation mit ein paar Folien. Nicht schön.
"Das gehört administrativ geregelt. "
Das ist doch genau der Punkt.
"Ich denke wer aufschreit hat einfach die Hausaufgaben nicht gemacht."
Verstehe ich hier gerade was völlig falsch, oder wird in der Überschrift und dem ersten Absatz tatsächlich etwas ganz anderes beschrieben, als in dem Roadmap-Eintrag?
In letzterer geht es nur darum, dass ein Benutzer auf einem Firmengerät, auf dem ohnehin schon zusätzlich ein privater Microsoft-Account angemeldet ist, eine Nachfrage erhält, ob dieser private MSA auch in OneDrive angemeldet werden soll.
"OneDrive Personal synchronisiert auch Business-Daten" würde hingegen heißen, dass hier irgendwie Business-Daten in das persönliche OneDrive wandern. Darum geht es aber nicht.
1 +
Du bist der einzige der hier lesen kann, Günter hat das hier ganz falsch aufgezogen oder rübergebracht. Vielleicht hat er es auch selbst falsch verstanden.
Wenn man dem Popup folgt, hat man am Ende lediglich 2 Accounts und 2 Symbole in der Taskleiste aktiv in OneDrive. Aber die Accounts sind weiter getrennt und es wird nichts automatisch hin und her gesynced. Natürlich ermöglicht dies einen ganz leichten Datenabfluss, weil man Daten von A nach B kopieren kann.
Um das Popup zu unterbinden, gibt es in Intune eine Richtlinie (und wahrscheinlich auch onPrem eine GPO).
Viel Wind um nicht viel.