IT管理者向けOneDrive管理完全ガイド|Intune設定カタログとGPOによる制御

  • 公開日:2025/11/8
  • 最終更新日:
  • パソコン日記
  • IT管理者向けOneDrive管理完全ガイド|Intune設定カタログとGPOによる制御 はコメントを受け付けていません

IntuneとGPOで実現するOneDrive管理|帯域・容量・同期を完全制御

概要

企業環境において、OneDrive同期アプリの動作を適切に管理することは、ネットワーク負荷の軽減、セキュリティの強化、およびユーザーのストレージ効率の最大化を実現するために不可欠です。

本記事では、Microsoft Intune(設定カタログ)およびグループポリシー(GPO)を使用して、OneDriveの同期、帯域幅、容量を管理する具体的な方法について、実務で使用可能なレベルで詳細に解説します。

管理領域1: 帯域幅制御

目的: ネットワークトラフィックの最適化

主要ポリシー: DownloadBandwidthLimit、EnableAutomaticUploadBandwidthManagement

管理領域2: 容量管理

目的: ローカルディスクとクラウドストレージの効率化

主要機能: Files On-Demand、ストレージセンサー、SharePoint管理センター

管理領域3: 同期動作制御

目的: セキュリティとアクセス制御の強化

主要ポリシー: DisablePersonalSync、AllowTenantList、KFMOptInNoWizard

⚠️ テスト環境での検証を推奨

新しいポリシー設定を全社展開する前に、少数のパワーユーザーまたはテストグループに対して検証を行うことが強く推奨されます。特に帯域幅制限や同期制御は、ユーザーエクスペリエンスに直接影響を与えるため、慎重な計画が必要です。

1. 帯域幅(同期速度)の管理方法

OneDrive同期アプリ(OneDrive.exe)が使用するアップロードおよびダウンロードの最大速度を制限することで、ネットワークの混雑を防ぎ、業務に必要な他のアプリケーションの通信を保護できます。

💡 帯域幅管理は「高速道路の車線制限」

帯域幅管理は、高速道路の車線を使い分けることに似ています。OneDriveという大型トラック(大量のファイル同期)が全車線を占有してしまうと、他の車(業務アプリケーション)が渋滞してしまいます。帯域幅制限ポリシーは、OneDriveに「右側2車線だけを使用してください」と指示することで、他のトラフィックのための車線を確保します。

A. 固定速度での帯域幅制限(KB/秒単位)

この方法は、OneDriveの同期速度を固定のKB/秒単位で制限します。厳格なトラフィック制御が必要な場合や、初期展開時に有効ですが、恒常的な使用はユーザーエクスペリエンスに悪影響を与える可能性があります。

ダウンロード速度の制限(DownloadBandwidthLimit)

DownloadBandwidthLimit 設定項目

  • ポリシーID: DownloadBandwidthLimit
  • 設定可能な値: 1 KB/秒から 100,000 KB/秒(入力値が50未満の場合、下限は50 KB/秒に自動設定)
  • Intune設定方法: 設定カタログで「Limit the sync app download speed to a fixed rate (User)」を選択し、KB/秒単位の値を入力
  • GPO設定方法: ユーザー構成ポリシー (DownloadBandwidthLimit) を有効にし、50~100,000の数値を設定

アップロード速度の制限(UploadBandwidthLimit)

UploadBandwidthLimit 設定項目

  • ポリシーID: UploadBandwidthLimit
  • 設定可能な値: 1 KB/秒から 100,000 KB/秒
  • GPO設定方法: ユーザー構成ポリシー (UploadBandwidthLimit) を有効にし、KB/秒単位の値を設定
  • 重要: この設定を有効にすると、ユーザーはOneDrive設定画面で速度を変更できなくなります

⚠️ 固定速度制限の注意点

固定速度での帯域幅制限は、Files On-Demand機能が有効でない環境や組織への初期展開時以外では推奨されません。ユーザーが大容量ファイルを扱う際に、同期が極端に遅くなる可能性があります。

B. 動的な自動調整による帯域幅制限(推奨)

OneDriveのトラフィック制御において、最適なユーザーエクスペリエンスを実現するために推奨されている方法が、自動アップロード帯域幅管理です。

自動アップロード帯域幅管理の有効化(EnableAutomaticUploadBandwidthManagement)

このポリシーは、Windows LEDBATプロトコルを利用して、未使用の帯域幅が利用可能な場合に限り、OneDrive同期アプリがバックグラウンドでデータをアップロードできるようにします。LEDBATは他のトラフィックによる遅延増加を検知すると自動的にOneDriveの帯域使用を控え、ネットワークが空いている時間帯には最大化する仕組みです。

💡 自動調整は「スマートな水道の蛇口」

自動アップロード帯域幅管理は、スマートな水道の蛇口のようなものです。他の人が水を使っていない(ネットワークが空いている)ときはフルパワーで水を流し、誰かがシャワーを使い始めた(他のアプリが帯域を使用)ことを検知すると、自動的に水量を絞ります。Windows LEDBATプロトコルは、この「他の人が水を使い始めた」ことを待機時間の増加から検知する仕組みです。

EnableAutomaticUploadBandwidthManagement 設定項目

  • ポリシーID: EnableAutomaticUploadBandwidthManagement
  • 機能: 他のTCP接続が帯域幅を消費していることを示す待機時間の増加を検出すると、同期アプリは自動的に消費を減らします
  • プロトコル: Windows LEDBAT(Low Extra Delay Background Transport)
  • 推奨環境: すべてのエンタープライズ環境で推奨

アップロード速度のパーセンテージ制限(AutomaticUploadBandwidthPercentage)

コンピューターのアップロードスループットのうち、OneDrive同期アプリがファイルのアップロードに使用できる割合(目安:10%から99%)を指定します。

AutomaticUploadBandwidthPercentage 設定項目

  • ポリシーID: AutomaticUploadBandwidthPercentage
  • 設定可能な値: 10%から99%(目安)
  • 推奨使用場面: 既知のフォルダー移動(KFM)の展開時にネットワークへの影響を制御するために一時的に有効化
  • 例: 50%に設定すると、アップロード帯域の半分までをOneDriveが使用

⚠️ 帯域幅ポリシーの競合回避

帯域幅制御ポリシーはいずれか一方の方式に統一することが公式推奨です。以下の組み合わせは避けてください:

  • 「自動アップロード帯域幅管理の有効化」(EnableAutomaticUploadBandwidthManagement)と「固定レート制限」(UploadBandwidthLimit)の同時適用
  • 「固定レート制限」(KB/秒)と「パーセンテージ制限」(%)の同時適用

これらは競合し、予期しない動作を引き起こす可能性があります。

2. 容量とローカルストレージの管理方法

OneDriveの容量管理には、クラウド側のストレージ容量制限PC側のローカルディスク容量管理の2つの側面があります。

A. Files On-Demand機能の制御

Files On-Demand(ファイルオンデマンド)は、ファイルの実体をクラウド上に置き、ローカルストレージを節約するために、組織全体で有効にすることが推奨されます。

Files On-Demandの使用を有効化(FilesOnDemandEnabled)

FilesOnDemandEnabled 設定項目

  • ポリシーID: FilesOnDemandEnabled
  • 機能: 新しいユーザーには既定でオンライン限定のファイル(青い雲アイコン)が表示され、ファイルが開かれるまで内容がダウンロードされない
  • 必要なOSバージョン: Windows 10 Fall Creators Update(バージョン 1709)以降
  • Intune/GPO: 両方で設定可能

同期済みチームサイトの変換(DehydrateSyncedTeamSites)

Files On-Demandが有効な場合、既に同期されているSharePointファイル(チームサイト)をオンライン専用ファイルに変換し、ネットワークトラフィックとローカルストレージの使用量を最小限に抑えます。

DehydrateSyncedTeamSites 設定項目

  • ポリシーID: DehydrateSyncedTeamSites
  • 機能: ローカルにダウンロード済みのチームサイトファイルをオンライン専用に戻す
  • 推奨環境: 大規模なSharePointライブラリを多数同期している組織

💡 Files On-Demandは「デジタル図書館カード」

Files On-Demandは、図書館のカードカタログのようなものです。すべての本(ファイル)の情報(ファイル名、サイズ、更新日)はカードに記載されていますが、本の実体は図書館(クラウド)に保管されています。読みたい本があれば、カードを持って図書館に行く(ファイルをクリックする)と、その場で本を借りられます(ダウンロードされます)。家の本棚(ローカルストレージ)はスカスカのままです。

B. ストレージセンサーによる自動クリーンアップ

ストレージセンサー(Storage Sense)は、使用されていないローカルファイル(ローカルで利用可能なファイル)を自動的にオンライン専用ファイルに戻すことで、ディスク領域を解放するWindows 10/11の機能です。この機能により、空き容量不足による同期エラーやWindows更新の失敗を予防できます。

この設定は、ローカルグループポリシーエディターの「コンピューターの構成\管理用テンプレート\System\Storage Sense」またはIntuneの設定カタログ(カテゴリ: ストレージ)で構成します。

ストレージセンサーの主要設定項目

ステップ1: ストレージセンサーをシステムレベルで有効化(Allow Storage Sense Global)
ステップ2: 実行頻度を設定(Config Storage Sense Global Cadence)
ステップ3: クラウドコンテンツ退避しきい値を定義(ConfigStorageSenseCloudContentDehydrationThreshold)
結果: 指定日数アクセスされていないファイルが自動的にオンライン専用に変換される

①ストレージセンサーの有効化

Allow Storage Sense Global 設定項目

  • Intune設定名: Allow Storage Sense Global
  • GPOパス: コンピューターの構成\管理用テンプレート\System\Storage Sense
  • 設定可能な値: 有効/ブロック
  • 目的: ストレージセンサー機能全体をシステムレベルで有効または無効にする

②実行頻度の設定

Config Storage Sense Global Cadence 設定項目

  • Intune設定名: Config Storage Sense Global Cadence
  • 設定可能な値: 0(ディスク容量不足時/既定)、1(毎日)、7(毎週)、30(毎月)
  • 推奨設定: ディスク容量を確実に保つには「1(毎日)」または「7(毎週)」
  • 目的: ストレージセンサーをいつ実行するか定義

③クラウドコンテンツ退避しきい値

ConfigStorageSenseCloudContentDehydrationThreshold 設定項目

  • Intune設定名: ConfigStorageSenseCloudContentDehydrationThreshold
  • 設定可能な値: 0から365(日数)
  • 機能: ファイルがローカルデバイスからオンライン専用にオフロードされる前に、アクセスされないままにしておく最小日数を定義
  • 重要: この設定は、OneDriveをローカルで使用し、かつサインインしている場合にのみ有効
  • 例: 30日に設定すると、30日間アクセスされていないファイルが自動的にオンライン専用に変換

💡 ストレージセンサーは「自動整理ロボット」

ストレージセンサーは、クローゼットを自動整理するロボットのようなものです。「30日間着ていない服(アクセスされていないファイル)は倉庫に移動する」というルールを設定すると、ロボットが毎週(実行頻度)クローゼットをチェックし、条件に合う服を自動的に倉庫(クラウド)に運びます。着たくなったら倉庫から取り寄せればOKです。

C. クラウド側ストレージ容量の管理(OneDrive for Business)

法人向けOneDrive(OneDrive for Business)のクラウド側ストレージ容量は、SharePoint管理センターで管理します。

既定のストレージ容量の設定

SharePoint管理センターでの容量設定手順

  • SharePoint管理センターの[設定]にアクセス
  • [ストレージの制限]を選択
  • 新規および既存ユーザーに対する既定のストレージ領域を設定(通常は1TB)
  • 特定のOffice 365プラン(E3、E5、OneDrive for Business Plan 2など)を5ライセンス以上契約している場合、PowerShell操作または管理画面で最大5TBまで拡張可能

25TBへの容量拡張

5TBに設定した後、その容量の90%以上を使用している場合、管理者からMicrosoftサポート窓口へ依頼することで最大25TBまで容量を拡張できます。

PowerShellによる容量監視

管理者はPowerShellとMicrosoft Graph APIを連携させることで、OneDriveの使用容量を定期的にモニターし、使用率が警告閾値(例:90%)を超えた場合にメールなどで自動通知するシステムを構築できます。

⚠️ 容量拡張の条件

OneDrive for Businessの容量を5TB以上に拡張するには、対象プランを同一テナントで5ライセンス以上契約している必要があります。また、25TBへの拡張は、5TBの90%以上を使用している場合にのみ申請可能です。

3. 同期動作とアカウントの管理方法

OneDriveの同期動作やアクセス制御を適切に管理することで、セキュリティを強化し、データ漏洩のリスクを最小化できます。

A. 同期対象の制御

個人アカウント同期の禁止(DisablePersonalSync)

企業環境において、ユーザーが個人のMicrosoftアカウントでサインインし、個人用OneDriveファイルを同期することを禁止します。

DisablePersonalSync 設定項目

  • ポリシーID: DisablePersonalSync
  • 機能: ユーザーが個人のMicrosoftアカウントでサインインしてファイルを同期することをブロック
  • 推奨環境: セキュリティポリシーが厳格な組織、データ漏洩リスクを最小化したい環境
  • Intune/GPO: 両方で設定可能

特定組織の同期許可(AllowTenantList)

許可するテナントIDのリストを指定することで、ユーザーが許可されていない組織にファイルをアップロードできないようにします。このポリシーを設定すると、BlockTenantListは無視されます(ホワイトリストが優先)。

AllowTenantList 設定項目

  • ポリシーID: AllowTenantList
  • 設定方法: 許可するテナントIDをリスト形式で指定(複数可)
  • 機能: リストに含まれるテナント以外への同期をブロック
  • 推奨環境: 複数のテナントを管理する大企業、M&A後の環境
  • 重要: AllowTenantListが設定されている場合、BlockTenantListは機能しません

特定組織の同期ブロック(BlockTenantList)

BlockTenantList 設定項目

  • ポリシーID: BlockTenantList
  • 設定方法: 禁止するテナントIDをリスト形式で指定
  • 注意: AllowTenantListが有効な場合、この設定は機能しません(ホワイトリスト優先)

B2B同期のブロック(BlockExternalSync)

ユーザーが他の組織から共有されたライブラリとフォルダーを同期できないようにします。

BlockExternalSync 設定項目

  • ポリシーID: BlockExternalSync
  • 機能: 外部組織から共有されたSharePointライブラリやフォルダーの同期を禁止
  • 推奨環境: 外部との共同作業が少ない組織、データガバナンスを強化したい環境

特定のファイル種類の除外(EnableODIgnoreListFromGPO)

特定の種類のファイル(拡張子)をOneDriveへのアップロードから除外できます。

EnableODIgnoreListFromGPO 設定項目

  • ポリシーID: EnableODIgnoreListFromGPO
  • 設定方法: 除外する拡張子をドットなしで指定(例:exe、dll、tmp)
  • 用途: 実行ファイル、一時ファイル、大容量動画ファイルなどの同期を防止
  • 補足: SharePoint管理センターの「同期」制御からも設定可能

💡 同期対象制御は「空港のセキュリティチェック」

同期対象の制御は、空港のセキュリティチェックのようなものです。個人アカウント同期の禁止(DisablePersonalSync)は「個人の荷物は機内持ち込み禁止」、テナントリスト(AllowTenantList)は「許可された航空会社のチケットのみ通過可能」、ファイル種類の除外(EnableODIgnoreListFromGPO)は「危険物(.exeファイルなど)は持ち込み禁止」というルールです。

B. 既知のフォルダー移動(KFM)のサイレント化

既知のフォルダー移動(Known Folder Move / KFM)は、ユーザーのデスクトップ、ドキュメント、ピクチャの各フォルダーを自動的にOneDriveにリダイレクトおよび移動する機能です。

KFMのサイレント化ポリシー

KFMOptInNoWizard / KFMSilentOptIn 設定項目

  • ポリシーID: KFMOptInNoWizard(旧)、KFMSilentOptIn(新)
  • 機能: ユーザーの介入なしに、デスクトップ、ドキュメント、ピクチャの各フォルダーをOneDriveにリダイレクト
  • 設定方法: テナントIDを指定してポリシーを有効化
  • 推奨使用場面: 大規模なOneDrive展開、ユーザーの手動設定を省略したい場合
  • Intune/GPO: 両方で設定可能

⚠️ KFM展開時の帯域幅管理

既知のフォルダー移動(KFM)を組織全体に展開する際は、大量のファイルが一斉にアップロードされるため、ネットワークに大きな負荷がかかります。AutomaticUploadBandwidthPercentageポリシーを一時的に有効にして、アップロード帯域を制限することを強く推奨します。

C. 初期設定とアクセス制御の自動化

サイレントサインインの有効化(SilentAccountConfig)

Microsoft Entra ID(旧Azure AD)に参加しているPCにサインインしているユーザーが、資格情報を入力せずにOneDrive同期アプリを設定できるようにします。

SilentAccountConfig 設定項目

  • ポリシーID: SilentAccountConfig
  • 機能: Entra ID参加デバイスで、自動的にOneDriveにサインイン
  • 推奨環境: すべてのエンタープライズ展開で推奨(ユーザーの手間を削減)

OneDriveの自動起動(EnableAutoStart)

EnableAutoStart 設定項目

  • ポリシーID: EnableAutoStart
  • 機能: WindowsにサインインするたびにOneDriveが自動的に開始
  • 効果: ユーザーの選択をオーバーライドし、常にOneDriveを起動

既定の同期場所の設定(DefaultRootDir)

DefaultRootDir 設定項目

  • ポリシーID: DefaultRootDir
  • 機能: ユーザーのコンピューターに存在するOneDriveフォルダーの既定の場所を特定のパスに設定
  • 用途: 組織全体で統一されたフォルダー構造を強制

場所変更の禁止(DisableCustomRoot)

DisableCustomRoot 設定項目

  • ポリシーID: DisableCustomRoot
  • 機能: ユーザーがローカルのOneDriveフォルダーの場所を変更できないように強制
  • 推奨環境: DefaultRootDirと併用することで、フォルダー場所を完全に固定

ネットワークトラフィックの生成防止(PreventNetworkTrafficPreUserSignIn)

PreventNetworkTrafficPreUserSignIn 設定項目

  • ポリシーID: PreventNetworkTrafficPreUserSignIn
  • 機能: ユーザーがOneDriveにサインインするか、ファイルの同期を開始するまで、同期アプリ(OneDrive.exe)がネットワークトラフィックの生成(更新プログラムのチェックなど)をブロック
  • 推奨環境: 厳格なネットワーク管理が必要な環境

D. 競合/削除時の動作設定

大規模削除操作時の確認強制(ForcedLocalMassDeleteDetection)

ForcedLocalMassDeleteDetection 設定項目

  • ポリシーID: ForcedLocalMassDeleteDetection
  • 機能: 大量の同期ファイルをユーザーが削除する際に、必ず警告が表示されるようにする
  • 目的: 誤操作によるデータ損失を防止

Officeファイル競合時の処理(EnableHoldTheFile)

⚠️ 廃止済みポリシー(2025年11月時点)

EnableHoldTheFileポリシーは、2025年4月に廃止されました(メッセージセンター MC922630 / Roadmap ID 429875)。現在は、Word、Excel、PowerPointでファイルが競合した際に、ユーザーがどのバージョンを保持するかを選択するよう要求される動作がデフォルトです。

🏢 個人ユーザー向けのOneDrive活用法

企業向け設定を理解したら、個人での活用方法も確認しましょう


☁️ Google Drive/iCloudとの併用ガイド

複数クラウドサービスの使い分け

まとめ:IntuneとGPOによるOneDrive管理のベストプラクティス

本記事では、IntuneとグループポリシーによるOneDriveの帯域幅、容量、同期動作の管理方法について詳細に解説しました:

  • 帯域幅管理は自動調整を推奨:固定速度制限(DownloadBandwidthLimit、UploadBandwidthLimit)よりも、自動アップロード帯域幅管理(EnableAutomaticUploadBandwidthManagement)を使用することで、ユーザーエクスペリエンスを損なわずにネットワーク負荷を最適化できます。

    Windows LEDBATプロトコルが自動的に帯域の使用状況を監視し、他のアプリケーションが帯域を必要としている場合は同期速度を自動的に調整します。帯域幅ポリシーはいずれか一方の方式に統一することが公式推奨です。

  • 容量管理はFiles On-Demandとストレージセンサーの組み合わせが効果的:FilesOnDemandEnabledポリシーでファイルオンデマンド機能を有効化し、ストレージセンサー(ConfigStorageSenseCloudContentDehydrationThreshold)で一定期間アクセスされていないファイルを自動的にオンライン専用に戻すことで、ローカルディスクの容量を大幅に節約できます。

    クラウド側の容量は、SharePoint管理センターまたはPowerShell + Microsoft Graph APIで監視・管理します。ストレージセンサーは空き容量不足による同期エラーやWindows更新の失敗を予防する効果もあります。

  • 同期動作の制御でセキュリティを強化:DisablePersonalSync(個人アカウント同期の禁止)、AllowTenantList(許可テナントのホワイトリスト—設定するとBlockTenantListは無視される)、BlockExternalSync(外部組織との同期ブロック)などのポリシーを組み合わせることで、データ漏洩リスクを最小化できます。

    既知のフォルダー移動(KFMSilentOptIn)を展開する際は、AutomaticUploadBandwidthPercentageで帯域を制限し、ネットワークへの影響を制御してください。

OneDriveの管理ポリシーは非常に多岐にわたるため、組織のニーズに合わせて段階的に導入することを推奨します。まずはFiles On-Demandと自動アップロード帯域幅管理を有効にし、その後セキュリティポリシー(個人アカウント同期の禁止など)を追加していくアプローチが効果的です。

新しいポリシーを全社展開する前に、必ずテストグループで検証を行い、ユーザーへの影響を事前に評価してください。特に帯域幅制限やKFMの展開は、ユーザーエクスペリエンスに直接影響するため、慎重な計画とコミュニケーションが重要です。

コメントは利用できません。

トップページに戻る

お知らせ

登録されているお知らせはございません。

エリア

北海道・東北

甲信越・北陸

関東

東海

関西

中国・四国

九州・沖縄

ページ上部へ戻る