Microsoft introduceert een nieuwe functie in OneDrive voor zakelijke gebruikers: de "Prompt to Add Personal Account to OneDrive Sync". Deze functie detecteert automatisch persoonlijke Microsoft-accounts op zakelijke apparaten en vraagt gebruikers of ze hun persoonlijke OneDrive-bestanden willen synchroniseren. Hoewel bedoeld om het gebruiksgemak te vergroten, heeft deze functie geleid tot bezorgdheid binnen de IT- en beveiligingsgemeenschap.
Wat houdt de nieuwe functie in?
De OneDrive Sync-client op Windows doorzoekt zakelijke apparaten en detecteert persoonlijke Microsoft-accounts die daaraan zijn gekoppeld. Gebruikers krijgen vervolgens een expliciete prompt om hun persoonlijke OneDrive-bestanden te synchroniseren naast hun zakelijke bestanden. Als een gebruiker deze prompt accepteert, worden persoonlijke bestanden samen met zakelijke bestanden gesynchroniseerd. Deze functie is standaard ingeschakeld, tenzij beheerders specifieke beleidsregels actief configureren om dit te voorkomen.
Meer informatie over deze wijziging is te vinden in de Microsoft 365 Roadmap.
Beveiligingsimplicaties
De nieuwe functionaliteit binnen OneDrive, waarbij gebruikers actief worden gevraagd om een persoonlijk Microsoft-account toe te voegen op zakelijke apparaten, roept vragen op over de beveiliging van bedrijfsdata.
Wanneer een gebruiker toestemt met deze prompt, ontstaat de mogelijkheid om eenvoudig bestanden van een zakelijke naar een persoonlijke OneDrive-map te verplaatsen. Omdat persoonlijke opslag buiten het beheer van de organisatie valt, kunnen gevoelige of vertrouwelijke informatie zich onttrekken aan toezicht en controle.
Een additioneel risico is dat bij het vertrek van een medewerker bestanden in het persoonlijke account toegankelijk blijven, wat de kans op ongeautoriseerde toegang of datalekken vergroot. Daarnaast kunnen persoonlijke bestanden die worden gesynchroniseerd ook een ingang vormen voor malware, phishing of andere cyberdreigingen, waarmee zakelijke apparaten onbewust worden blootgesteld aan risico’s van buitenaf.
Context en relativering
Hoewel deze functionaliteit nu prominenter zichtbaar is gemaakt door een systeemmelding, was de mogelijkheid om persoonlijke accounts toe te voegen aan zakelijke apparaten al langer aanwezig. Organisaties die hun endpoint- en cloudbeleid strikt hebben ingericht, hebben doorgaans al maatregelen genomen om ongewenste koppelingen en dataverkeer te beperken of volledig te blokkeren.
De recente wijziging maakt deze optie vooral explicieter voor eindgebruikers en onderstreept het belang voor IT-beheerders om hun bestaande beleid en technische beperkingen opnieuw te evalueren. Dit benadrukt de noodzaak van proactieve configuratie via groepsbeleidinstellingen en gebruikersbewustzijn als fundamentele verdedigingslaag.
Het advies is dan ook om persoonlijke accounts NIET toe te staan op zakelijke apparaten en alleen de tenant van de eigen organisatie te accepteren. Dit voorkomt dat externe of privédata de bedrijfssystemen binnendringt en helpt bij het behouden van volledige controle over zakelijke gegevens.
Wat kunnen IT-beheerders doen?
Er zijn meerdere belangrijke groepsbeleidsinstellingen die beheerders kunnen implementeren om dit risico te mitigeren:
- DisablePersonalSync: Voorkomt dat gebruikers persoonlijke Microsoft-accounts koppelen aan OneDrive op zakelijke apparaten.
- DisableNewAccountDetection: Onderdrukt de prompt die gebruikers aanmoedigt om hun persoonlijke OneDrive-accounts te synchroniseren.
- AllowTenantList: Met deze policy kunnen beheerders een lijst van toegestane tenants definiëren, waardoor alleen OneDrive-accounts binnen de opgegeven organisatie(s) gesynchroniseerd kunnen worden. Dit voorkomt dat werknemers externe of persoonlijke Microsoft-accounts koppelen aan zakelijke apparaten en beschermt tegen ongewenste dataverplaatsing.
Door AllowTenantList correct in te stellen, kunnen organisaties ervoor zorgen dat uitsluitend accounts binnen hun eigen tenant toegang krijgen tot OneDrive-synchronisatie. Dit is een cruciale maatregel om gegevensverlies en ongecontroleerde synchronisatie van zakelijke bestanden naar privé-opslagplaatsen te voorkomen.
Conclusie
Hoewel de nieuwe OneDrive-functie bedoeld is om het gebruiksgemak te verbeteren, benadrukt het de urgentie voor organisaties om hun beveiligingsbeleid en -instellingen regelmatig te herzien en bij te werken. Een proactieve aanpak is noodzakelijk: IT-beheerders moeten ervoor zorgen dat gegevensoverdracht binnen de organisatorische kaders blijft en dat de integriteit van bedrijfsgegevens te allen tijde gewaarborgd is.