Accesso remoto ai file aziendali: RDS vs OneDrive/SharePoint senza VPN

Vuoi permettere ai dipendenti di aprire, modificare e salvare i file aziendali anche fuori sede senza introdurre una VPN complessa? In questa guida pratica confrontiamo RDS e OneDrive/SharePoint e ti diamo un percorso operativo per scegliere, dimensionare e mettere in produzione la soluzione adatta.

Obiettivo e contesto

In molte PMI e organizzazioni con filiali o personale ibrido, l’ostacolo non è “avere i file”, ma farli raggiungere in modo sicuro, performante e semplice a chi lavora da remoto. Due approcci si sono affermati come standard:

• Desktop remoto centralizzato con Windows Remote Desktop Services (RDS), così che app e dati restino nel datacenter aziendale e l’utente si connetta a una sessione.
• Sincronizzazione cloud con OneDrive/SharePoint (Microsoft 365), così che i documenti siano disponibili su qualunque dispositivo, online o offline, con collaborazione in tempo reale.

Di seguito trovi una comparativa imparziale, gli scenari d’uso consigliati e i passi operativi per implementare correttamente le due strade, inclusa una strategia ibrida.

Soluzioni principali emerse dal Q&A

Soluzione	Come funziona	Vantaggi	Svantaggi / Requisiti
Windows Remote Desktop Services (RDS)	Gli utenti si collegano a una sessione desktop ospitata sul server Windows dell’azienda. Tutti i file e le app risiedono centralmente.	Esperienza “desktop completo” identica a lavorare in ufficio. I file non lasciano mai il server → maggior controllo e backup semplificato. Nessuna VPN se si pubblica RDS tramite gateway HTTPS (443).	Occorrono RDS CAL per ogni utente o dispositivo. Serve il ruolo RD Gateway per evitare la VPN. Richiede banda e latenza adeguate per un uso fluido.
OneDrive / SharePoint (inclusi in Microsoft 365)	I documenti vengono sincronizzati nel cloud Microsoft e restano accessibili via browser o app da qualsiasi postazione.	Già compreso in molte licenze Microsoft 365. Sincronizzazione offline: i file sono fruibili anche senza connessione e si aggiornano al ritorno online. Controllo granulare dei permessi e versioning automatico.	Non offre un desktop remoto; le app devono essere installate localmente o usate in versione web. Occorre formare il personale su condivisione e sincronizzazione.

Quando scegliere l’una o l’altra

Scenario	Scelta consigliata
Serve un ambiente identico all’ufficio con applicazioni legacy client/server	RDS con RD Gateway (evita VPN) e RDS CAL per utente o dispositivo.
L’obiettivo principale è condividere documenti di Office e collaborare in tempo reale	OneDrive/SharePoint incluso in Microsoft 365.
Team ibrido: alcuni utenti necessitano del desktop completo, altri solo dei file	Modello combinato: RDS per i power‑user e OneDrive per chi lavora solo su documenti.

Architetture in sintesi

RDS pubblicato in HTTPS senza VPN

Con RDS l’utente accede a una sessione desktop o a singole app pubblicate. Pubblicando l’ambiente tramite RD Gateway esposto su TCP/443, non è necessario instaurare una VPN: il traffico RDP viene incapsulato in HTTPS con autenticazione forte. I file restano nel dominio aziendale: l’utente “sposta pixel”, non documenti.

OneDrive/SharePoint con sincronizzazione intelligente

OneDrive porta librerie e cartelle condivise sui PC aziendali con la funzionalità Files On‑Demand. L’utente vede tutto ma scarica localmente solo ciò che apre. La collaborazione è nativa: più persone possono co‑autore un documento Office con cronologia versioni e ripristino self‑service.

Esperienza utente e casi d’uso reali

• Amministrazione con ERP legacy: avvia il client dal desktop RDS; stampa in PDF o in stampanti di rete pubblicate; i file di lavoro restano sul file server.
• Commerciale in trasferta: lavora sui documenti Office da OneDrive; in aereo prepara offerte offline e sincronizza al rientro online.
• Ufficio tecnico misto: disegno 2D leggero su RDS (per vicinanza ai dati), distinta base e reportistica su SharePoint per co‑authoring.

Sicurezza by design

Per RDS

• Autenticazione: abilita MFA su Microsoft Entra ID e l’accesso condizionale (geo, dispositivo conforme).
• Cifratura: imposta TLS 1.2+ e certificato pubblico sul RD Gateway.
• Hardening sessioni: abilita NLA, limita copia/incolla e reindirizzamento USB dove gestisci dati sensibili, applica timeout e blocco schermo.
• Superficie esposta: non pubblicare direttamente l’RDP; esponi solo il Gateway; segmenta con firewall e registra i log di accesso.
• Profili e dati: usa profili utente gestiti e, se possibile, container tipo FSLogix per sessioni stabili e login rapidi.

Per OneDrive/SharePoint

• Governance della condivisione: restringi condivisioni anonime, prediligi link con scadenza e solo‑visualizzazione.
• Protezione dati: usa etichette di riservatezza, criteri DLP e blocco download su dispositivi non conformi.
• Gestione dei dispositivi: impone PIN/biometria, cifratura disco e wipe selettivo su device BYOD.
• Audit & retention: definisci criteri di conservazione e monitora attività anomale.

Licenze e modelli di costo

• RDS: richiede RDS CAL per utente o per dispositivo, oltre alla licenza di Windows Server. Il costo è prevedibile ma cresce linearmente con gli accessi. Considera l’hardware (o VM) per host di sessione, storage e backup.
• OneDrive/SharePoint: compresi in molte licenze Microsoft 365 Business/Enterprise. Il costo ricorrente copre storage, sicurezza cloud e collaborazione; la spesa principale è l’enablement (formazione e change management).

Prestazioni e dimensionamento

RDS

• RAM: pianifica circa 1,5 GB per sessione d’uso Office “media” (es. Outlook + Excel + browser). Aggiungi margine per app più esigenti.
• CPU: preferisci meno core ma veloci per la reattività; monitora %Ready nelle VM.
• Rete: la latenza percepita è cruciale; punta a connessioni stabili con jitter basso. Verifica l’upload della sede per sostenere le sessioni simultanee.
• Storage: profili e cache su dischi veloci; separa OS, profili, dati applicativi.

OneDrive/SharePoint

• Cache locale: Files On‑Demand riduce l’impatto su storage PC. Abilita Known Folder Move per reindirizzare Desktop/Documenti/Immagini.
• Conflitti: educa alla chiusura dei file e al rispetto dei lock in app legacy; con Office moderno il co‑authoring è automatico.
• File molto grandi: per set CAD e media, valuta librerie dedicate con sincronizzazione su workstation performanti o l’uso di RDS per la parte intensiva.

Passi operativi essenziali per RDS

1. Verifica licenze
   • Windows Server Standard/Datacenter installato.
   • Acquista e attiva le RDS CAL (per utente o per dispositivo) nel ruolo RD Licensing.
2. Distribuzione ruoli RDS
   • RD Session Host – ospita le sessioni utente.
   • RD Connection Broker – bilancia il carico se hai più host e gestisce le riconnessioni.
   • RD Gateway – espone RDS su HTTPS e permette l’accesso senza VPN.
3. Sicurezza
   • Abilita MFA sul tenant Microsoft Entra ID.
   • Usa TLS 1.2+ e certificati pubblici sul RD Gateway.
   • Restringi le policy di sessione: clipboard, USB, stampa remota solo dove necessario.
4. Test di carico
   • Calcola ~1,5 GB di RAM per sessione Office “media”.
   • Verifica che la linea internet del sito abbia sufficiente upload e una latenza accettabile.

Passi operativi per OneDrive/SharePoint

1. Progetta la struttura: mappa le share attuali in siti SharePoint e librerie; definisci permessi per team e ruoli.
2. Imposta i client: distribuisci OneDrive con criteri per Files On‑Demand, Known Folder Move, e accesso condizionale su device conformi.
3. Migra i contenuti: sposta a ondate le cartelle prioritarie; pulisci duplicati, nomi file incompatibili e definisci convenzioni.
4. Formazione mirata: mini‑guide su condivisione sicura, link con scadenza, co‑authoring, ripristino versioni.
5. Governance: criteri DLP e etichette di riservatezza; auditing e log attività per compliance.

Modello ibrido vincente

In molti contesti la combinazione è la soluzione più pragmatica: power‑user e applicazioni legacy su RDS, collaborazione documentale su OneDrive/SharePoint per tutti. Il vantaggio è duplice:

• Esperienza utente ottimizzata: chi ha bisogno del desktop completo lo trova invariato; gli altri lavorano nativamente sui documenti.
• Costi sotto controllo: riduci host RDS e licenze CAL limitandoli a chi ne trae reale beneficio.

Checklist di sicurezza e conformità

• MFA ovunque: obbligatoria per RDS e per l’accesso a Microsoft 365.
• Accesso condizionale: blocca o limita l’accesso da dispositivi non conformi o da aree geografiche inattese.
• Policy di sessione: per RDS limita reindirizzamenti; per OneDrive controlla download su device non gestiti.
• Protezione documenti: etichette di riservatezza e criteri DLP; evita invii errati di informazioni sensibili.
• Backup: profili RDS e librerie OneDrive salvati su repository esterni o servizi di backup cloud; definisci RPO/RTO.

Misurare il successo

• Adozione: percentuale di utenti attivi mensili su OneDrive, numero di sessioni RDS per ruolo.
• Esperienza: tempo medio di login RDS, latenza media, tasso di conflitti file.
• Sicurezza: MFA coverage, incidenti bloccati da DLP, audit di condivisioni esterne.
• Efficienza: riduzione ticket “non riesco ad accedere ai file”, tempo di ripristino da versioning.

Domande frequenti

Posso evitare del tutto la VPN?

Sì. Con RDS pubblicato tramite RD Gateway su HTTPS/443 puoi evitare VPN pur mantenendo un canale cifrato e autenticato. Con OneDrive/SharePoint, l’accesso è nativamente su HTTPS e autenticato con Microsoft Entra ID.

Come gestisco i file bloccati o i conflitti?

Con Office moderno il co‑authoring riduce i conflitti. Per file di terze parti, educa a chiudere i documenti e, se critico, valuta l’apertura attraverso una sessione RDS (così il lock avviene lato server).

Le performance da remoto saranno sufficienti?

Su RDS conta la stabilità della rete più che l’ampiezza. Esegui test pilota con utenti reali e monitora latenza, CPU/ram per sessione. Su OneDrive pianifica la prima sincronizzazione quando gli utenti sono in sede o collegati a reti veloci.

POS e stampanti fiscali?

Per periferiche locali “sensibili” è spesso preferibile un approccio ibrido: gestione periferiche in locale e accesso ai documenti via OneDrive, oppure desktop pubblicato su RDS con regole di reindirizzamento stampanti rigorose e testate.

Playbook di adozione

Fase iniziale

• Analisi applicazioni: quali richiedono latenza bassa o driver locali? Candidale a RDS.
• Mappatura dati: raggruppa le share in insiemi logici (team, progetto, dipartimento) pronti per SharePoint.

Pilota

• Gruppo ristretto su RDS con RD Gateway e MFA; misura RAM/sessione, login, user feedback.
• Gruppo ristretto su OneDrive con Files On‑Demand e Known Folder Move; valuta conflitti e co‑authoring.

Rollout

• Ondate per dipartimenti; migra documenti “caldi” prima; attiva guide e supporto ravvicinato per due settimane.
• Stabilisci metriche di successo e un piano di ottimizzazione trimestrale.

Buone pratiche aggiuntive

• Backup: salva profili RDS e librerie OneDrive su dispositivi esterni o su soluzioni di backup cloud.
• Policy di gruppo: limita copia/incolla o reindirizzamento dispositivi USB se gestisci dati sensibili.
• Onboarding dipendenti: crea guide rapide (PDF o video) su come accedere al portale RDS o a OneDrive.

Checklist rapida di decisione

• Devo eseguire app legacy a bassa latenza con dati sul file server? → RDS.
• Devo fare collaborazione documentale in tempo reale, interno ed esterno? → OneDrive/SharePoint.
• Team ibrido con bisogni diversi? → modello combinato, con perimetro RDS minimo e OneDrive per tutti.

Conclusioni

• RDS è ideale quando occorre replicare l’intero desktop aziendale a distanza, ma richiede licenze CAL aggiuntive e un’infrastruttura server ben curata.
• OneDrive/SharePoint copre la collaborazione sui file con costi licenza già sostenuti in Microsoft 365 e senza complessità server.
• Spesso la soluzione vincente è ibrida, con RDS per i pochi ruoli che lo necessitano e servizi cloud Microsoft 365 per tutti gli altri.

---

Appendice operativa

Esempio di dimensionamento iniziale RDS

• Utenti simultanei: 30
• Profilo d’uso: Office, ERP leggero, browser
• RAM host: 30 × 1,5 GB = 45 GB (+ overhead OS) → server da 64 GB consigliato
• CPU: almeno 8 vCPU performanti, con margine di crescita
• Storage: SSD per profili e cache, rete a bassa latenza verso file server

Esempio di transizione file server → SharePoint

1. Inventario cartelle e permessi; elimina ridondanze.
2. Disegna siti e librerie per team/progetto; definisci proprietari.
3. Migrazione a ondate: pilot, core, archivi; verifica versioning e permessi.
4. Abilita Known Folder Move per ridurre “isole” locali su Desktop/Documenti.
5. Definisci policy di condivisione esterna e automatizza l’etichettatura.

Modello di comunicazione agli utenti

• Prima del rollout: “Per lavorare da remoto userai il Portale RDS / OneDrive. Riceverai una guida in 5 minuti”.
• Durante: “Se apri file pesanti da fuori ufficio, usa la sessione RDS. Per documenti Office, lavora sempre da OneDrive”.
• Dopo: “Ricorda che le condivisioni legacy andranno in sola lettura dal <data>; i nuovi documenti vanno nelle librerie SharePoint”.

Risoluzione problemi ricorrenti

• La sessione RDS è lenta: verifica latenza, profili troppo pesanti, stampa remota e antivirus; abilita caching e ottimizza i criteri.
• OneDrive non sincronizza: controlla quota, nomi file non supportati, credenziali scadute; ripara il client e riesegui l’accesso.
• Conflitti di modifica: forma i team su co‑authoring e best practice di check‑in/out per file non Office.

---

In definitiva: scegli l’approccio in base alle applicazioni e al modo in cui le persone lavorano davvero. Evita progetti monolitici: sperimenta, misura, ottimizza. L’accesso remoto ai file diventa così un acceleratore, non un compromesso.