Petit article, sur un petit contournement sympa. Il peut être tentant de configurer des limitations pour éviter le BYOD avec OneDrive for Business. Seulement le problème, c’est que ça coûte de l’argent et on n’est pas tous riche. La méthode la plus classique est d’utiliser les accès conditionnels pour sécuriser les accès aux applications selon le principe :
Pour cela on va vous demander une licence Azure Premium P1 qui n’est pas incluse dans les Office 365 E3 et E1. Si vous avez du M365 E3, vous aurez de la P1 et les accès conditionnels seront super pour limiter le BYOD. Mais pour les autres, où ça se passe ? Dans le Sharepoint Admin :
Ici vous allez avoir l’option qui va vous permettre de limiter les synchronisations OneDrive selon le ObjectGUID de votre domaine. Pour cela, dans un premier temps, on va aller chercher en PowerShell ce qui nous faut :
PS C:\> Get-ADDomain
AllowedDNSSuffixes : {}
ChildDomains : {}
ComputersContainer : CN=Computers,DC=User04,DC=com
DeletedObjectsContainer : CN=Deleted Objects,DC=User04,DC=com
DistinguishedName : DC=User04,DC=com
DNSRoot : User04.com
DomainControllersContainer : OU=Domain Controllers,DC=User04,DC=com
DomainSID : S-1-5-21-41432690-3719764436-1984117282
ForeignSecurityPrincipalsContainer : CN=ForeignSecurityPrincipals,DC=User04,DC=com
Forest : User04.com
InfrastructureMaster : User04-DC1.User04.com
LastLogonReplicationInterval :
LinkedGroupPolicyObjects : {CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=User04,DC=com}
LostAndFoundContainer : CN=LostAndFound,DC=User04,DC=com
ManagedBy :
Name : User04
NetBIOSName : USER04
ObjectClass : domainDNS
ObjectGUID : b63b4f44-58b9-49cf-8911-b36e8575d5eb
ParentDomain :
PDCEmulator : User04-DC1.User04.com
QuotasContainer : CN=NTDS Quotas,DC=User04,DC=com
ReadOnlyReplicaDirectoryServers : {CSD2722780.User04.com}
ReplicaDirectoryServers : {User04-DC1.User04.com}
RIDMaster : User04-DC1.User04.com
SubordinateReferences : {DC=ForestDnsZones,DC=User04,DC=com, DC=DomainDnsZones,DC=User04,DC=com, CN=Co
nfiguration,DC=User04,DC=com}
SystemsContainer : CN=System,DC=User04,DC=com
UsersContainer : CN=Users,DC=User04,DC=com
J’ajoute ce GUID dans mon administration SharePoint et je sauvegarde.
Le résultat se fait pas attendre :
Mon PC à la maison ne veut plus se synchroniser parce qu’il est hors domaine. Le message d’erreur n’est pas super clair mais au moins on est bloqué.
Super, j’ai trouvé une solution à moindre coup pour limiter la synchronisation !
Sauf que ce n’est pas totalement fiable au final. Si vous arrivez à avoir l’ObjectGUID par n’importe quel moyen vous allez pouvoir contourner ce système très facilement. En tant qu’admin de mon poste je peux installer le module PowerShell AD et lancer la commande get-addomain. Une fois que vous l’avez, on va aller voir du côté du REGEDIT sur mon PC personnel.
Je vais créer une clé dans : HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\OneDrive
J’ajoute la valeur AADJMachineDomainGuid (REG_SZ) et je le remplit avec la valeur de mon ObjectGUID c’est à dire b63b4f44-58b9-49cf-8911-b36e8575d5eb
En PowerShell Admin :
New-Item -itemtype directory -path "hklm:\Software\Policies\Microsoft\OneDrive" -Force
Set-ItemProperty -Path "hklm:\Software\Policies\Microsoft\OneDrive" -Name "AADJMachineDomainGuid" -Value "b63b4f44-58b9-49cf-8911-b36e8575d5eb" -ForceRésultat
On est donc en droit de se demander s’il faut vraiment déployer cette sécurité ou non. D’un côté, quand vous n’avez pas de licence P1, c’est un début. Mais il ne faut pas baser toute sa stratégie BYOD dessus parce que malheureusement, elle n’est pas fiable et facilement contournable.
IDSECO 
nices!! Le AllinPass K43 et la Fingerprint card de chez FEITIAN
J’aimeJ’aime