L2 BIO 06.02 ISO A.6.7 CIS 3.1.3

OneDrive For Business: Synchronisatie Beperken Tot Beheerde Apparaten

📅 2025-10-29
⏱️ 5 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

OneDrive for Business synchronisatie beperken tot beheerde apparaten voorkomt dat bedrijfsdata wordt gesynchroniseerd naar persoonlijke of onbeheerde apparaten. Deze maatregel beschermt tegen dataverlies bij apparaatdiefstal en waarborgt dat alleen compliant apparaten toegang hebben tot bedrijfsbestanden.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
6u (tech: 3u)
Van toepassing op:
M365
OneDrive

OneDrive synchronisatie naar onbeheerde apparaten creëert aanzienlijke beveiligings- en compliance-risico's. Wanneer OneDrive sync is toegestaan op persoonlijke apparaten of BYOD (Bring Your Own Device) systemen die niet door de organisatie worden beheerd, ontstaan de volgende problemen: bedrijfsdata wordt lokaal opgeslagen op personal devices zonder organisatie-controlled versleuteling, wat betekent dat gevoelige documenten, klantgegevens of intellectueel eigendom op privé-laptops en computers staat waar de organisatie geen controle over heeft. Remote wipe-mogelijkheden ontbreken bij device loss of employee offboarding, wat betekent dat gestolen laptops, verloren tablets of apparaten van uitgetreden werknemers permanente kopieën van bedrijfsdata bevatten die niet kunnen worden gewist. Device theft resulteert direct in dataverlies waarbij de dief fysieke toegang heeft tot alle gesynchroniseerde bestanden zonder dat wachtwoorden of encryption de data beschermen op unmanaged devices. BYOD security risks omvatten apparaten zonder antivirus, missing security patches, gedeelde familie-computers waar kinderen of partners toegang hebben tot business data, en personal devices die mogelijk malware-infected zijn zonder enterprise endpoint protection. AVG-compliance wordt problematisch omdat persoonsgegevens op onbeheerde apparaten staan zonder adequate technical en organizational measures. Managed devices (Intune-enrolled en compliant) elimineren deze risico's door versleuteling af te dwingen via BitLocker of FileVault, remote wipe-capability te bieden bij device loss waarbij alle bedrijfsdata kan worden verwijderd, device compliance-checks te vereisen zoals antivirus, firewall en security patches, corporate security policies af te dwingen, en audit trails te bieden van welke devices toegang hebben tot bedrijfsdata. Voor organisaties met strikte data protection-vereisten of gereguleerde data is beperking tot managed devices essentieel.

PowerShell Modules Vereist
Primary API: SharePoint Online PowerShell
Connection: Connect-SPOService
Required Modules: Microsoft.Online.SharePoint.PowerShell

Implementatie

Deze maatregel configureert SharePoint Online tenant-level settings om OneDrive synchronisatie uitsluitend toe te staan op apparaten die lid zijn van specifieke vertrouwde domeinen, wat in de praktijk betekent Azure AD joined of Hybrid Azure AD joined devices die door de organisatie worden beheerd. De implementatie gebeurt via SharePoint Online PowerShell met het Set-SPOTenantSyncClientRestriction cmdlet waarbij de -Enable parameter wordt gebruikt samen met -DomainGuids die de GUID(s) specificeren van de Azure AD tenant(s) waarvan devices mogen synchroniseren. Alternatief kan een Conditional Access policy worden geconfigureerd die 'Require device to be marked as compliant' afdwingt voor OneDrive sync-toegang, wat alleen Intune-enrolled en compliant devices toelaat. Na configuratie kunnen gebruikers op personal devices niet langer OneDrive for Business synchroniseren - ze zien een error message dat sync alleen is toegestaan op beheerde apparaten, maar browser-based toegang via onedrive.com blijft mogelijk (kan verder worden beperkt via additionele Conditional Access policies indien gewenst). Testing moet uitgebreid gebeuren waarbij wordt geverifieerd dat managed devices probleemloos kunnen synchroniseren terwijl unmanaged devices worden geblokkeerd. User communication is kritiek omdat employees die gewend waren om op thuislaptops te synchroniseren dit niet meer kunnen en moeten overschakelen naar corporate devices of browser-based access. De implementatie vereist een Intune subscription voor device management, kost 3 uur technisch werk voor configuratie plus 3 uur organizational work voor user communication en training, en levert significant verbeterde data protection. Dit is strongly recommended voor organisaties met gevoelige data of strikte compliance-requirements zoals AVG, ISO 27001 controle A.6.7, en BIO 06.02 mobile device management.

Vereisten

  1. Intune subscription
  2. Azure AD joined devices
  3. OneDrive sync client

Implementatie

  1. Set-SPOTenantSyncClientRestriction -Schakel in -DomainGuids 'tenant-guid'
  2. Or: CA policy requiring compliant device voor OneDrive sync
  3. Test: unmanaged device kan niet sync

Compliance en Auditing

  1. CIS M365 - control 3.1.3
  2. BIO 06.02
  3. ISO 27001 A.6.7
  4. AVG Artikel 32

Monitoring

Gebruik PowerShell-script onedrive-sync-unmanaged-restricted.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Gebruik PowerShell-script onedrive-sync-unmanaged-restricted.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS OneDrive Sync Unmanaged Devices Restricted .DESCRIPTION Restricts OneDrive sync on unmanaged devices for enhanced security .NOTES NL Baseline v2.0 #> #Requires -Version 5.1 #Requires -Modules ExchangeOnlineManagement [CmdletBinding()] param([switch]$Monitoring) $ErrorActionPreference = 'Stop' Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "OneDrive Sync Unmanaged Restricted" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan function Invoke-Monitoring { try { Write-Host " ⚠️ Manual verification required" -ForegroundColor Yellow Write-Host "`n PowerShell Commands:" -ForegroundColor Cyan Write-Host " Connect-SPOService -Url https://TENANT-admin.sharepoint.com" -ForegroundColor Gray Write-Host " Get-SPOTenant | Select-Object BlockMacSync,AllowDownloadingNonWebViewableFiles" -ForegroundColor Gray Write-Host "`n Recommended Settings:" -ForegroundColor Cyan Write-Host " ✓ Use Conditional Access to restrict sync to managed devices" -ForegroundColor Gray Write-Host " ✓ BlockMacSync: False (allow with CA)" -ForegroundColor Gray Write-Host " ✓ AllowDownloadingNonWebViewableFiles: False (browser-only for unmanaged)" -ForegroundColor Gray Write-Host "`n Security Benefits:" -ForegroundColor Cyan Write-Host " • Prevents sync on unmanaged devices" -ForegroundColor Gray Write-Host " • Enforces device compliance" -ForegroundColor Gray Write-Host " • Reduces data exposure risk" -ForegroundColor Gray Write-Host " • Maintains data governance" -ForegroundColor Gray Write-Host "`n ⚠️ Note: Use Conditional Access for device-based restrictions" -ForegroundColor Yellow exit 0 } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } try { if ($Monitoring) { Invoke-Monitoring } else { Write-Host "Use: -Monitoring" -ForegroundColor Yellow } } catch { throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
High: High - Corporate data sync to personal devices. Device theft/loss is datalek.

Management Samenvatting

Beperk OneDrive sync to managed devices only. voorkomt BYOD data sync. Voldoet aan CIS 3.1.3 L2, AVG 32. Setup: 3u.