OneDrive Personale e Dispositivi Aziendali: Nuovo Prompt, Nuovo Rischio per la Sicurezza IT

A partire da maggio 2025, Microsoft sta introducendo una nuova funzionalità in OneDrive che potrebbe avere impatti significativi sulla sicurezza e il controllo dei dati in ambienti aziendali.

Michele Ariis

5/6/20253 min read

Di cosa si tratta?

Se viene rilevato un account Microsoft personale (MSA) su un dispositivo aziendale, OneDrive mostrerà un prompt che invita l’utente a sincronizzare il proprio OneDrive personale.
Con un solo clic su “Sì”, i file personali iniziano a essere sincronizzati fianco a fianco con quelli aziendali.

Il problema?

  • La funzionalità è attiva per impostazione predefinita

  • Nessun avviso o notifica agli amministratori

  • Nessun controllo centralizzato, se non viene disabilitata manualmente

Un rischio silenzioso ma concreto: i dati aziendali possono finire mischiati in ambienti non governati dall’organizzazione, fuori dalle policy di sicurezza, DLP e compliance.

Perché è pericoloso

Consentire la sincronizzazione di OneDrive personale in ambienti aziendali espone a vari rischi:

  • Data leakage involontario: i dipendenti possono spostare file riservati su account personali senza rendersene conto.

  • Assenza di controlli DLP e retention: OneDrive personale non è soggetto alle policy M365 dell’organizzazione.

  • Violazioni di conformità: GDPR, ISO 27001 e altri standard richiedono che i dati sensibili rimangano all’interno di ambienti controllati.

  • Nessuna tracciabilità: l’attività sull’account personale non è visibile al SOC o agli strumenti di monitoraggio aziendali.

La soluzione: bloccare la sincronizzazione personale con Intune

Anche se Microsoft non ha ancora esposto nel catalogo Intune la policy che blocca il prompt (DisableNewAccountDetection), è già disponibile e funzionante la policy più importante:

DisablePersonalSync

Questa policy:

  • Impedisce l'aggiunta di account OneDrive personali

  • Interrompe le sincronizzazioni personali già attive

  • Si applica a tutti i dispositivi assegnati

Creazione del profilo di configurazione

1-Accedi al portale: Microsoft Intune Admin Center

2-Vai su Dispositivi > Windows > Profili di configurazione > Crea profilo

3-Seleziona:

  • Piattaforma: Windows 10 e versioni successive

  • Tipo di profilo: Catalogo delle impostazioni

4-Diamo un nome alla nostra policy - Disable Sync Personal OneDrive

5-Andiamo avanti e cerchiamo Prevent users from syncing personal OneDrive accounts

Una volta selezionata andiamo ad Abilitarla

6-Completa la configurazione e assegna il profilo ai gruppi di dispositivi o utenti desiderati

Se hai già una politica attiva per OneDrive che usa i Setting catalog ti basterà soloaggiungere e attivare Prevent users from syncing personal OneDrive accounts

Opzionale - Nascondere il nuovo prompt OneDrive con una chiave di registro

In attesa che Microsoft esponga questa policy nel Settings Catalog di Intune, puoi già nascondere il prompt che suggerisce agli utenti di aggiungere un account OneDrive personale (MSA) usando una semplice chiave di registro che puoi distribuire via Intune tramite:

-Script PowerShell-

Crea e carica questo script in Intune > Windows > Scripts and remediations > Platform scripts

New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\OneDrive" -Name "DisableNewAccountDetection" -Value 1 -PropertyType DWord -Force

-Profilo OMA-URI-

  1. Accedi al Microsoft Intune Admin Center

  2. Vai su Dispositivi > Windows > Profili di configurazione > Crea profilo

  3. Imposta i seguenti parametri:

    • Piattaforma: Windows 10 e versioni successive

    • Tipo di profilo: Personalizzato

  4. Clicca su Avanti, poi su Aggiungi nella sezione Impostazioni OMA-URI

  5. Compila i campi come segue:

    • Nome: Disable prompt personal OneDrive

    • Descrizione:

    • OMA-URI: ./Device/Vendor/MSFT/Policy/Config/OneDrive/DisableNewAccountDetection

    • Tipo di dati: Integer

    • Valore: 1

  6. Clicca su Avanti, assegna il profilo ai dispositivi o gruppi target, quindi completa la creazione e la distribuzione del profilo.

Conclusione

Anche se la nuova funzionalità di OneDrive può introdurre rischi imprevisti, la semplice attivazione della policy DisablePersonalSync in Intune è sufficiente per bloccare la sincronizzazione con account personali.

Un piccolo intervento, ma un grande passo per la sicurezza dei dati aziendali.