OneDrive for Business: Sauberer Cleanup

Keine Kommentare

Der Anfang allen Übels

Wird Office 365 im Unternehmen eingeführt ist man oft in einer Test- und Ausprobierphase. Dabei gelten noch wenige Beschränkungen und ein paar Nutzer bekommen schon mal Lizenzen zum Testen. Soweit so unproblematisch, denn ein Pilot hilft oft die wichtigen Anforderungen zu identifizieren.

Irgendwann ist man dann an dem Punkt, dass man feststellt: So ganz ohne Governance und Security-Konzept möchte man OneDrive for Business nicht bereitstellen. Deshalb sollen die bereits existierenden OneDrives nach Möglichkeit wieder eingefangen werden.

„Kein Problem“ sagt der Admin, loggt sich in das O365-Portal ein, geht ins OneDrive Admin Center und klickt auf den Button „OneDrive dieses Benutzers löschen“. Einziger Schönheitsfehler: Microsoft hat diesen Button nie implementiert.

Der SharePoint Admin ist schlauer!

An dieser Stelle merkt man jetzt, wie der Admin / Berater / Experte zum Thema Office 365 gekommen ist. Während der ehemalige Exchange-Admin hilflos den mäßig guten Ratschlägen des MS-Supports zu diesem Thema ausgeliefert ist, weiß der SharePoint-Admin noch aus guter alter On Premise-Zeit wie man hier vorgeht: OneDrive ist auch nur eine Site Collection in SharePoint und die kann man ja schließlich löschen.

Also zum nächsten Anlauf: Ins Office 365-Portal einloggen, diesmal ins SharePoint-Admin-Center abbiegen, Site Collection suchen und auf „Löschen“ klicken. Nach stundenlangem Suchen (hoffentlich nicht ?) kommt man zum Schluss, dass das OneDrive nicht existiert, schließlich findet man ja keine Site Collection im Admin-Center die dazu passt.

Wenn der User uns dann wieder mit der Realität konfrontiert und einem das OneDrive zeigt, erinnert man sich dunkel daran, dass in SharePoint Online die Anzeige von Site Collections unvollständig ist. Im „klassischen“ Admin-Center fehlen neben den MySite-Site Collections auch sämtliche Site Collections die z.B. für Teams oder O365 Groups angelegt wurden. Letztere werden immerhin im neuen SharePoint-Admin-Center angezeigt, MySites fehlen aber auch dort.

Am Ende lacht die PowerShell

Der Ansatz mit SharePoint-Denkweise das Problem zu lösen war durchaus der richtige, allerdings war das Tool noch nicht richtig. Statt der Weboberfläche brauchen wir die PowerShell!

Mit Hilfe des PnPPowerShellOnline Moduls verbinden wir uns mit dem Admin-Center, holen die MySites und löschen das verdammte Ding!

Import-Module SharePointPnPPowerShellOnline
Connect-PnPOnline -Url https://yourTenantName-admin.sharepoint.com/
# Liste aller „OneDrives“ ausgeben:
Get-PnPTenantSite -Template “SPSPERS#10” -IncludeOneDriveSites
#Ohne Rückfrage löschen:
Remove-PnPTenantSite -Url “https://yourTenantName-my.sharepoint.com/personal/mm_o365-factory_com” -Force

Wer möchte kann sich natürlich auch alle OneDrives in eine Variable ziehen und diese dann per Schleife löschen. Aus Haftungsgründen stelle ich den Code dafür nicht online ?

Und wie ist das für den User?

Blöd, was sonst. Wer will schon sein OneDrive verlieren? Die Trauer ist aber nur kurz: Wenn er das nächste Mal aufs OneDrive Icon klickt ist (ein leeres) OneDrive wieder da.

Das heißt also wir müssen im Hintergrund die Erstellung eines neuen OneDrives verhindern. Dafür gibt es (wie immer bei SharePoint) mehrere Möglichkeiten in Abhängigkeit von der genutzten Lizenz.

Wer OneDrive for Business separat als Lizenz zuweisen kann (z.B. in den Office 365 Pro Plus Plänen), der sollte darüber steuern, wer ein neues OneDrive erstellen darf und werde nicht.

Alle anderen müssen es über die Berechtigungen im User Profile Service machen. SharePoint-Admin-Center -> Benutzerprofile -> Benutzerberechtigungen verwalten -> „Jeder außer externen Benutzern“ bei den Berechtigungen entfernen. Hierbei bitte nicht irritieren lassen, der User Profile Service scheint in SharePoint Online nicht der schnellste zu sein. Die Änderungen brauchen etwas bis diese überall greifen.

Alternativ kann man die Rechte auf dem MySite-Host auch einschränken, das führt ebenfalls dazu, dass man kein neues OneDrive anlegen kann.

Wichtig: Der Entzug der Lizenz und das entziehen der Berechtigungen über den User Profile Service steuern ausschließlich die Neuanlage von OneDrives. Hat der Nutzer erst Mal eins reicht es nicht aus über diese Mechanismen das OneDrive zu „sperren“, denn ein einmal erstelltes OneDrive hat eigene Vorstellungen davon wie die Berechtigungen auszusehen haben. Im Übrigen wäre mein Blog-Artikel sonst ziemlich sinnlos, wenn es so einfach ginge.

Bleibt die Frage, wie das jetzt für den User aussieht.

  • Lizenzentzug: Beste Variante. Das OneDrive Icon taucht nicht auf. Ist bei den beliebten Office 365-E3-Plänen aber nicht als Einzellizenz verfügbar.
  • Berechtigungen auf Ebene User Profile Service entfernen: OneDrive Icon taucht auf, der User wird beim Klick auf sein Delve-Profil weitergeleitet.
  • Berechtigungen auf MySite Host entziehen: OneDrive Icon taucht auf, der User bekommt beim Klick darauf die klassische „Sie haben keinen Zugriff auf dieser Website“-Meldung. Ziemlich unschön.

Ich meine mich zu erinnern, dass bei einem früheren Tenant das OneDrive Symbol nicht angezeigt wurde, wenn man über den User Profile Service die Berechtigungen entfernt hat. Vielleicht täusche ich mich da aber auch –mein User war natürlich für den Piloten nach wie vor berechtigt ?

Noch ein Zusatz zu der Ausgestaltung der Berechtigungen auf dem User Profile Service: Es gibt hier explizit eine „OneDrive deaktivieren“ (nachfolgend „Deny“) Option, die man unter den Berechtigungen setzen kann. Während in fast allen anderen Microsoft-Produkten ein „Deny“ alle „Allow“-Berechtigungen überstimmt gilt diese Logik hier nicht. Wenn für einen User Allow und Deny vorhanden sind gilt das Allow.

(Es besteht eine geringe Möglichkeit, dass es entweder zufällig entschieden wird und ich immer mit „Allow“ rausgekommen bin oder die Reihenfolge in der die Rechte gesetzt werden ausschlaggebend ist. Tests dazu folgen bei Gelegenheit.)

Risiken und Nebenwirkungen

Wird das OneDrive wie beschrieben gelöscht, habe ich keine Artefakte gefunden die einem erneuten Rollout im Weg stehen. So wird z.B. die First-Run-Expirience erneut ausgeführt, wenn der User zu einem späteren Zeitpunkt OneDrive bekommt. Weiterhin wird auch die URL welche im SharePoint-Profil des Users ist entfernt (Profileigenschaft „Persönliche Website“).

Als Risiko bleibt ein unzufriedener Anwender und ein möglicher Datenverlust. Immerhin gibt es notfalls noch den Papierkorb aus dem das OneDrive bei Bedarf wiederhergestellt werden kann.

Vorheriger Beitrag
OneDrive Known Folder Move: Symlink Fehler
Nächster Beitrag
Design-Pattern: Forms und Flow zur Interaktion mit Kunden nutzen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü