OneDrive: Schakel In Files On-Demand

Door placeholders op het apparaat te tonen behouden gebruikers een vertrouwde Windows Verkenner-ervaring, terwijl de feitelijke gegevens veilig in Microsoft 365 blijven; dit vermindert de kans op dataverlies bij gestolen of versleutelde apparaten, versoepelt het beheer van apparaten met beperkte SSD-capaciteit en versnelt migraties omdat er nauwelijks initiële synchronisatietijd nodig is.

Implementatie

De functie werkt met drie duidelijke toestanden: online-only bestanden die enkel de metadata lokaal opslaan, lokaal beschikbare bestanden die automatisch worden gedownload zodra ze worden geopend, en permanent beschikbaar gemaakte bestanden die de gebruiker vastpint voor offline gebruik; een robuust synchronisatiemechanisme zorgt ervoor dat de status per bestand centraal wordt beheerd en voldoet aan organisatorische bewaarbeleid.

Vereisten

Het succesvol activeren van OneDrive Files On-Demand vraagt meer dan alleen een vinkje in een beheerportaal; het vereist een samenhangend fundament dat zowel technische als organisatorische componenten omvat. Begin met het vaststellen van de minimale clientvereisten: Windows 10 versie 1709 of hoger, Windows 11 of recentere Windows 365 Cloud PC-images zijn noodzakelijk omdat alleen deze releases de moderne synchronisatie-engine en de bijbehorende plaatsaanduiders ondersteunen. Apparaten moeten op NTFS geformatteerde volumes draaien, aangezien het feature gebruikmaakt van specifieke reparse points in het bestandssysteem. Controleer bovendien of de OneDrive sync-client build 23.210 of hoger is uitgerold, bij voorkeur via het ondernemingskanaal zodat beveiligingsfixes en prestatieverbeteringen tijdig beschikbaar zijn. Naast het besturingssysteem moeten ook de identiteits- en beheerlagen op orde zijn. Azure Active Directory- of Entra ID-verbonden apparaten met moderne authenticatie zijn een vereiste om single sign-on richting OneDrive voor Bedrijven te waarborgen. Voor hybride scenario's betekent dit dat apparaten correct zijn geregistreerd in Entra ID en dat de Primary Refresh Token beschikbaar is, anders zal de client terugvallen op legacy authenticatie met een slechtere gebruikerservaring. Zet in Intune een consistente configuratieprofielstructuur klaar of, wanneer Intune nog niet overal beschikbaar is, zorg voor gelijkwaardige ADMX-sjablonen in Groepsbeleid. Documenteer daarbij welke beveiligingsbaseline van toepassing is, zodat er geen conflicterende instellingen met andere opslag- of synchronisatie-opties ontstaan. De netwerkvoorbereiding verdient eveneens aandacht. Files On-Demand minimaliseert bandbreedte, maar vereist toegang tot een reeks Microsoft 365-eindpunten voor download van metadata, actueel beleid en inhoud wanneer gebruikers bestanden openen. Inventariseer proxy- en SSL-inspectievoorzieningen en voeg de relevante endpoints toe aan de uitzonderingslijsten zodat de sync-client niet wordt vertraagd of verbroken. Voor mobiele werkplekken is het raadzaam om split-tunnel VPN-profielen te gebruiken; hiermee blijft de initiële metadata-synchronisatie snel, zelfs bij een trage verbinding. Tot slot horen governance en adoptie-eisen tot de voorbereidingen. Zorg dat de ondernemingsbrede bewaartermijnen, classificaties en DLP-beleid zijn afgestemd op het gebruik van Files On-Demand, zodat bestanden die lokaal beschikbaar worden gemaakt niet buiten beleid vallen. Communiceer met de servicedesk over verwachte meldingen (bijvoorbeeld het verschil tussen wolk- en vinkpictogrammen) en stel een acceptatiecriteriadocument op waarin staat hoe apparaten worden gevalideerd voordat de instelling breed wordt uitgerold. Naast deze procesmatige kant is het belangrijk om de lifecycle van hardware en VDI-omgevingen te beoordelen: thin clients met beperkte opslag profiteren het meest van Files On-Demand, maar vereisen vaak aanvullende write-cache configuraties. Maak daarom een inventarisatie van speciale werkplekken (bijvoorbeeld videobewerkingsstudio's) die mogelijk structureel offline werken en documenteer welke uitzonderingen hiervoor juridisch zijn goedgekeurd. Neem ook requirements op voor test- en ontwikkelomgevingen, zodat wijzigingen in de OneDrive-client of Windows-updates eerst in een sandbox worden gevalideerd met lokale debuginstellingen. Vergeet ten slotte de organisatorische randvoorwaarden niet: stel een eigenaarschapmatrix op waarin CISO, werkplekarchitect, servicedeskmanager en archiefspecialist ieder hun verantwoordelijkheden rondom Files On-Demand erkennen. Door deze uitgebreid vastgelegde voorwaarden ontstaat een reproduceerbare configuratie die audits moeiteloos doorstaat en die gebruikers vertrouwen geeft in de nieuwe werkwijze.

Implementatie

Gebruik PowerShell-script files-on-demand-enabled.ps1 (functie Invoke-Implementation) – Implementeren.

De implementatie start met een gecontroleerde pilot waarin een beperkt aantal representatieve werkstations via Intune of Group Policy het Files On-Demand beleid ontvangt. Binnen de Intune Settings Catalog wordt het onderdeel "OneDrive" geopend, waarna de instelling "Files On-Demand inschakelen" op Ingeschakeld wordt gezet, gecombineerd met aanvullende opties zoals het forceren van Silent Account Configuration en het vastleggen van de standaardlocatie van de synchronisatiemap. Documenteer ieder profiel met een versienummer, koppel het aan een dynamische Azure AD-groep op basis van apparaat- of gebruikerskenmerken en activeer het profiel in de Intune staging omgeving zodat logging en statusrapportages direct beschikbaar zijn. In omgevingen waar Group Policy nog leidend is, wordt dezelfde instelling uitgerold via de nieuwste admx-templates van Microsoft; plaats deze centraal, stel een aparte GPO samen voor pilotapparaten en controleer met Resultant Set of Policy of er geen conflicten ontstaan met oudere OneDrive-beleidssjablonen. Na het publiceren van het beleid volgt een strikt validatieproces. Gebruik lokale debuginstellingen, zoals de OneDrive loggingoptie "Enable Verbose Logging" en het hulpmiddel odopenlogs.vbs, om te bevestigen dat elk pilotapparaat het nieuwe beleid daadwerkelijk downloadt. Meet vervolgens de gebruikerservaring: laat medewerkers een grote projectshare openen en verifieer dat bestanden aanvankelijk als online-only placeholders verschijnen en pas bij dubbelklikken worden binnengehaald. Documenteer bijzondere situaties, bijvoorbeeld CAD-bestanden die offline beschikbaar moeten blijven, en maak gebruik van de PowerShell-scriptreferentie om specifieke mappen via de /setdefaultroot parameter automatisch vast te pinnen. Parallel hieraan wordt een communicatiestrategie uitgerold: publiceer een intranetartikel met schermafbeeldingen van de verschillende pictogrammen, leg uit hoe iemand een bestand offline kan vastmaken en welke voordelen dit voor de organisatie oplevert. Tijdens de brede uitrol wordt per fase gecontroleerd of endpoints binnen vijftien minuten na aanmelding het beleid naleven via de Intune reporting API of, in GPO-scenario's, via een centraal verzamelde Scheduled Task die het registerpad HKCU\Software\Microsoft\OneDrive rapporteert. Elk incident (bijvoorbeeld een applicatie die absolute paden verwacht) krijgt een terugkoppellus naar het projectteam zodat het script of beleid indien nodig wordt verfijnd. Vul dit proces aan met change- en releasemanagement: elk nieuw OneDrive-clientkanaal wordt eerst in een pre-productie-ring geplaatst, waarna een regressietest met lokale debuginstellingen wordt uitgevoerd om zeker te zijn dat de policy-instellingen behouden blijven. Betrek daarnaast het adoptieteam dat gebruikers opleidt via microlearnings, kortstondige pop-upmeldingen en een FAQ in het kennisportaal. Door ook servicebewerkingen, zoals het hernoemen van tenant-URL's of het samenvoegen van documentbibliotheken, in het draaiboek op te nemen ontstaat een implementatie die bestand is tegen toekomstige wijzigingen. Breid het plan uit met een fallbackscenario: beschrijf hoe gebruikers tijdelijk kunnen terugvallen op volledige synchronisatie wanneer zij offline in crisisgebieden werken, hoe de organisatie die afwijking logt en hoe ze binnen de afgesproken doorlooptijd terugkeert naar de standaard. Veranker tenslotte de eigenaarschapscyclus in het CAB-proces zodat elke aanpassing aan Files On-Demand expliciet wordt beoordeeld op risico, kosten en adoptie-impact. Zo wordt Files On-Demand niet gezien als een eenmalige actie, maar als een doorlopend proces waarin beheer, communicatie en technische borging hand in hand gaan.

Compliance en Auditing

OneDrive Files On-Demand ondersteunt meerdere complianceverplichtingen doordat de gegevens primair in de Microsoft 365-dienst blijven en niet versnipperd op endpoints terechtkomen. Binnen de Baseline Informatiebeveiliging Overheid (BIO) sluit de maatregel direct aan op thema 09.04, waarin expliciet wordt gevraagd om consistente back-up- en herstelprocedures. Doordat bestanden standaard cloudresident zijn, worden ze automatisch meegenomen in de Microsoft 365-back-upketen, repliceren ze naar geografisch gescheiden datacenters en vallen ze onder versiebeheer, waardoor herstelacties aantoonbaar voldoen aan de normen rond redundantie en integriteit. ISO 27001-controle A.12.3.1 vereist tevens formele procedures voor informatie-uitwisseling en opslagbeveiliging; Files On-Demand beperkt de kans dat gevoelige documenten buiten zicht van monitoring terechtkomen en vormt zo een aanvullende organisatorische maatregel. Voor AVG- en Archiefwet-doeleinden biedt de functie inzichtelijkheid: auditteams kunnen via Microsoft Purview vastleggen welke bestanden lokaal persistente kopieën kregen en hoe lang deze aanwezig waren. Door deze logging te koppelen aan bewaartermijnen ontstaat aantoonbare naleving. Belangrijk is wel dat de beleidsteksten deze voordelen benoemen: in het verwerkingsregister moet worden opgenomen dat synchronisatie standaard online-only is, terwijl uitzonderingen (bijvoorbeeld laptops voor hulpdiensten) formeel worden goedgekeurd en periodiek herzien. Daarnaast draagt Files On-Demand bij aan de eisen uit de Nederlandse richtlijnen voor NIS2 en de ENSIA-verantwoordingscyclus. Doordat minder data op endpoints wordt opgeslagen, daalt het risico op inbreuken bij verloren apparaten en kunnen organisaties aantonen dat ze passende organisatorische en technische maatregelen hebben getroffen om de beschikbaarheid en vertrouwelijkheid van informatie te beschermen. In de DPIA moet worden beschreven hoe gebruikers worden geïnformeerd over de drie synchronisatiestatussen en hoe zij binnen selfserviceportalen kunnen controleren of lokale kopieën gerechtvaardigd zijn. De audittrail die ontstaat via Microsoft 365 Audit Logs en Defender for Cloud Apps geeft toezichthouders inzicht in wie het beleid wijzigde, wanneer uitzonderingen zijn gemaakt en welke automatische scripts zijn uitgevoerd. Voeg bewijs hiervan toe aan het jaarlijkse ENSIA-dossier, inclusief screenshots van Intune-profielen, exportbestanden van toegepaste deviceconfiguraties en rapportages uit Purview waarin de aanwezigheid van lokale kopieën per dataclassificatie wordt uitgewerkt. Op die manier ontstaat een sluitende administratieve keten die niet alleen technische controles laat zien, maar ook de governance rondom autorisaties, dataclassificatie en incidentrespons beschrijft. Leg in het compliance-dossier eveneens vast hoe incidentrespons verloopt wanneer een apparaat ondanks Files On-Demand grote hoeveelheden data lokaal bewaart. Beschrijf welke stappen het securityteam neemt om dit te onderzoeken, welke rapporten richting Functionaris Gegevensbescherming worden gestuurd en hoe eventuele meldingen aan de Autoriteit Persoonsgegevens worden onderbouwd met feitenmateriaal uit Microsoft 365. Licht toe hoe retentiebeleid en records management ervoor zorgen dat plaatsaanduidingen niet worden gezien als archiefwaardige kopieën, zodat archivarissen exact weten welke brondocumenten in SharePoint Online leidend blijven. Tot slot hoort bij elke periodieke audit een steekproef waarbij laptops willekeurig worden gecontroleerd op resterende lokale bestanden, inclusief een onderbouwde verklaring wanneer bewust is afgeweken van de standaard. Deze aanvullende documentatie toont aan dat Files On-Demand niet alleen een technische instelling is, maar een integraal onderdeel van de governanceketen van de Nederlandse Baseline voor Veilige Cloud.

Monitoring

Continue monitoring is essentieel om zeker te weten dat Files On-Demand actief blijft op ieder apparaat en om vroegtijdig afwijkingen in de synchronisatie-ervaring te detecteren. Start met het activeren van geavanceerde OneDrive-logboekregistratie binnen Intune, zodat statuscodes (bijvoorbeeld 0x2009 voor succesvolle aanmelding en 0x8004def7 voor throttling) beschikbaar zijn in het rapportageportaal. Vul dit aan met Endpoint Analytics waar een aangepaste Kusto-query de registrywaarde "FilesOnDemandEnabled" uitleest. Organisaties met een Security Operations Center kunnen Defender for Endpoint gebruiken om dezelfde registry- en procesgegevens centraal te verzamelen, waarbij een aangepaste advanced hunting-query iedere nacht controleert of de OneDrive.exe-processen met de parameter /enableODIgnorePersist bestaan. Koppel daarnaast Microsoft 365 Audit Logs aan een Log Analytics-workspace, zodat gebeurtenissen zoals "FileSyncSyncEngine" en "OneDriveSettingChanged" worden vastgelegd en in dashboards worden gevisualiseerd. Voor service continuity zijn synthetische transacties nuttig: plan een Azure Automation-runbook dat via een testaccount dagelijks een bestand aanmaakt, het placeholdergedrag controleert en de resultaten terugrapporteert. Naast technische telemetrie zijn ook service KPI's nodig om te beoordelen of gebruikers profiteren van de maatregel. Bepaal per organisatieonderdeel hoeveel procent van de bestanden online-only blijft, hoeveel gigabytes er gemiddeld per laptop wordt bespaard en hoe vaak lokale uitzonderingen worden aangevraagd. Publiceer deze cijfers bijvoorbeeld in Power BI en bespreek ze in de maandelijkse cloud governance board, zodat duidelijk wordt waar aanvullende training of beleid nodig is. Stel verder drempelwaarden in voor incidenten: wanneer meer dan vijf procent van de apparaten de registrywaarde verliest, moet automatisch een probleemticket worden geopend. Voor mobiele werkplekken kan een Lightweight Endpoint Management-profiel via de lokale debuginstellingen binnen maximaal vijftien seconden controleren of de OneDrive-service actief is; deze testresultaten worden teruggestuurd naar het centrale dashboard. Neem monitoring ook op in de bedrijfscontinuïteitsplannen: definieer hoe het team handelt wanneer Microsoft 365 een service incident meldt, welke communicatie naar eindgebruikers gaat en hoe vaak het scenario wordt geoefend. Verbind deze monitoringresultaten tot slot met bredere risicosturing. Laat het CISO-office elk kwartaal beoordelen of de KPI's aansluiten op de risico-acceptatiecriteria en vertaal afwijkingen naar verbetermaatregelen in het ISMS. Combineer technische signalen met kwalitatieve feedback uit gebruikersenquêtes om te toetsen of de pictogrammen logisch worden geïnterpreteerd en of extra voorlichting nodig is. Voorzie de service desk van realtime alerts via Teams of e-mail wanneer een cluster apparaten gelijktijdig terugvalt naar volledige synchronisatie, zodat zij proactief contact opnemen voordat tickets worden ingeschoten. Richt daarnaast een capaciteitsplanningstableau in waarmee storagebeheerders zien hoeveel backend-opslag daadwerkelijk wordt benut, zodat eventuele groei in lokale kopieën vroeg wordt ondervangen. Documenteer tenslotte de bewaartermijnen en privacybepalingen voor alle monitoringdata, zodat auditors kunnen vaststellen dat loggegevens niet onbeperkt worden bewaard en dat de AVG-principes van minimale gegevensverwerking worden gevolgd. Koppel de monitoringuitvoer rechtstreeks aan het ITSM-platform zodat automatische tickets verrijkt worden met logfragmenten en hersteltijden, waardoor incidentafhandeling aantoonbaar versnelt. Door monitoring dus te combineren met gebruikersfeedback, kwantitatieve opslagdata en formele escalatiepaden ontstaat een sluitend stelsel dat direct aansluit bij de eisen van de Nederlandse Baseline voor Veilige Cloud.

Gebruik PowerShell-script files-on-demand-enabled.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Wanneer monitoring aangeeft dat Files On-Demand is uitgeschakeld of dat gebruikers terugvallen op volledige synchronisatie, moet een strak remediatieproces klaarstaan. Begin met het valideren of het beleid daadwerkelijk is toegewezen; controleer via Intune of de laatste check-in recenter is dan 24 uur en of er foutcodes worden gerapporteerd. Indien het beleid ontbreekt, dwing dan een herinstallatie van de OneDrive-client af via de aangeleverde PowerShell-actie en herstart de synchronisatieservice. Blijft de instelling ondanks het beleid uit, dan wordt lokaal onderzocht of het registerpad HKCU\Software\Microsoft\OneDrive\EnableODIgnorePersist wellicht handmatig is gewijzigd door de gebruiker of door een conflicterende applicatie. Documenteer elke correctie in het ticketingsysteem inclusief een koppeling naar het apparaat-ID en de verantwoordelijke beheerder. Voor grootschalige issues, bijvoorbeeld wanneer een gedeelde imageline het beleid overschrijft, wordt het PowerShell-script gebruikt om in bulk de instelling terug te zetten, de clientcache te resetten en de moderne authenticatiesessie te vernieuwen. Tegelijkertijd ontvangen eindgebruikers een communicatiesjabloon waarin stap voor stap staat hoe zij zelf kunnen controleren of het wolkpictogram zichtbaar is en hoe ze een supportmelding kunnen escaleren wanneer dat niet het geval is. Bouw een kennisbankartikel waarin zowel Windows 10 als Windows 11 screenshots zijn opgenomen, zodat de servicedesk binnen één gespreksronde de juiste instructies kan geven. Wanneer de oorzaak dieper ligt, bijvoorbeeld een applicatie die een exclusieve lock op de synchronisatiemap plaatst, wordt een probleemrecord geopend waarin samen met applicatie-eigenaren naar duurzame oplossingen wordt gezocht. Voeg aan het remediatieproces ook een forensische stap toe: log welke bestanden gedurende de storing volledig werden gedownload en beoordeel of aanvullende dataopruiming nodig is vanuit AVG-perspectief. Remediatie eindigt pas nadat de monitoring opnieuw bevestigt dat de placeholderstatus hersteld is; voeg daarom een automatische verificatiestap toe waarbij het script binnen vijftien seconden nagaat of de configuratie actief is en stuur het rapport naar zowel het werkplek- als het securityteam. Leg in het draaiboek tenslotte vast hoe lessons learned worden verzameld en hoe structurele verbeteringen (zoals het aanpassen van baseline-beleid of het uitbreiden van training) binnen vier weken worden afgerond. Voorzie dit proces bovendien van duidelijke prestatie-indicatoren: definieer maximale herstelduur per incidenttype, leg vast welk escalatieniveau wordt ingeschakeld na vijf simultane storingen en toets maandelijks of de scripts nog voldoen aan de laatste Microsoft-adviezen. Maak waar mogelijk gebruik van automatische self-healing door een geplande taak te laten controleren of de kritieke registersleutels aanwezig zijn en deze direct te corrigeren voordat gebruikers hinder ervaren. Bespreek remediatieresultaten in de CAB om te beoordelen of bepaalde applicaties of locaties structureel voor problemen zorgen en of aanvullende investeringen nodig zijn. Neem ook leveranciersmanagement op: leg afspraken vast met externe softwareleveranciers die integreren met OneDrive zodat compatibiliteitsproblemen snel worden opgelost en plaats updates van derden pas nadat ze in de Files On-Demand-testlijn zijn gevalideerd. Door deze keten te oefenen tijdens maandelijkse resilience-tests blijft de organisatie voorbereid op verstoringen en is aantoonbaar dat Files On-Demand een beheerde, gecontroleerde maatregel is die snel kan worden teruggedraaid wanneer dat noodzakelijk blijkt.

Gebruik PowerShell-script files-on-demand-enabled.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

• BIO: 09.04.02 -
• ISO 27001:2022: A.12.3.1 -

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Activeer OneDrive Files On-Demand voor maximale schijfruimtebesparing en een aantoonbaar betere ransomwarebestendigheid; uitvoering kost ongeveer drie uur.

• Implementatietijd: 3 uur
• FTE required: 0.01 FTE