Ab Mai 2025 rollt Microsoft eine Änderung im OneDrive Sync Client für Windows aus, die erhebliche sicherheitsrelevante Implikationen mit sich bringt: Der Client erkennt automatisch persönliche Microsoft-Konten auf Geschäftsgeräten und bietet Nutzern an, diese mit dem Gerät zu verknüpfen – inklusive automatischer Synchronisierung der privaten OneDrive-Daten. Dies geschieht standardmäßig ohne administrative Zustimmung oder vorherige Konfiguration durch die IT.
Die Folge dieses neuen OneDrive Features
Ohne aktive Gruppenrichtlinien können sich private und geschäftliche Daten auf einem Gerät vermischen – unkontrolliert und unbemerkt. Ein klassischer "Blind Spot", der sowohl zu Datenverlust als auch zu Compliance-Verstößen führen kann.
Was Sie als IT-Verantwortlicher jetzt tun sollten
- DisablePersonalSync aktivieren: Verhindert generell die Synchronisierung mit privaten OneDrive-Konten.
- DisableNewAccountDetection setzen: Unterdrückt das Pop-up zur automatischen Erkennung und Verknüpfung neuer Konten.
Die Änderung mag gut gemeint sein – sie zielt auf Benutzerfreundlichkeit ab –, öffnet aber Tür und Tor für unkontrollierten Datenabfluss. Nur durch proaktive Konfiguration der Gruppenrichtlinien lässt sich dieses Risiko wirksam unterbinden.
Warauf es aus strategischer Sicht jetzt ankommt
Diese OneDrive-Änderung ist leider kein Einzelfall, sondern ein weiteres Beispiel für Microsofts "Consumerization"-Trend im Enterprise-Kontext. Damit wird deutlich, dass:
- eine strukturierte Härtung von Microsoft 365 unverzichtbar ist, um solchen Sicherheitslücken systematisch vorzubeugen. Einzelne GPOs zu setzen reicht nicht mehr.
- Mobile Device Management (z. B. via Intune) genutzt werden sollte, um Richtlinien wie die oben genannten gerätebasiert durchzusetzen.
- wer noch kein zentrales Gerätemanagement oder Policy-Framework eingeführt hat, diese OneDrive-Änderung als konkreten Anlass nutzen sollte, das Thema jetzt strukturiert anzugehen.
Unsere Empfehlung aufgrund der OneDrive Änderung
Die beschriebenen Policy lassen sich ideal in ein ganzheitliches Härtungskonzept für Microsoft 365 integrieren – etwa im Rahmen eines Projekts zur Einführung von Microsoft Entra ID, Intune und Endpoint-Härtung. So lassen sich Risiken dauerhaft minimieren, statt auf einzelne Reaktionen zu setzen. Wir unterstützen Sie gerne dabei!