О компании
Группа "Самолет" — крупный застройщик с развитой ИТ-инфраструктурой. В парке компании 500 MacBook, которые активно используются сотрудниками.
Цели внедрения:
- добиться соответствия рабочих мест корпоративным стандартам,
- усилить безопасность,
- повысить удобство пользователей в работе.
Как обстояла ситуация до внедрения MDM
На момент обращения в Ринго компания не использовала систему управления устройствами Apple.
Были такие проблемы
- Устройства выдавались сотрудникам с локальными учетными записями и администраторскими правами, что приводило к проблемам с безопасностью.
- Локальные пароли не соответствовали требованиям корпоративной политики.
- Возникали проблемы с управлением Apple ID и функцией "Локатор": к компьютеру привязывалась личная учетная запись сотрудника.
- Отсутствие инструментов для автоматической установки приложений. Скачиваемые приложения никак не контролировались.
- Неудобства в настройке VPN и доступа к сетевым ресурсам вручную.
- Ручная установка и настройка агента для инвентаризации GLPI, что увеличивало время подготовки рабочих станций.
Группа "Самолет" искала решение, которое позволило бы:
- Централизованно управлять устройствами.
- Настраивать и поддерживать корпоративные политики.
- Обеспечивать удобство работы администраторов и сотрудников.
- Снизить риски, связанные с безопасностью.
Какие были этапы
Анализ ситуации и формирование технического задания
Мы всегда с клиентами в диалоге: обсуждаем их задачи, пожелания и предлагаем оптимальные решения, отталкиваясь от своего опыта и лучших практик Apple. Например, у группы "Самолет" была проблема с доменными учетными записями пользователей. Для ее решения мы предложили использовать Kerberos SSO, и это отлично сработало. В результате сотрудникам стало проще входить в систему, а нагрузка на техподдержку снизилась.
Также мы вместе с заказчиком составили список необходимого ПО, определили требования к безопасности и проработали сценарии подготовки устройств как для офисных сотрудников, так и для удаленных работников. Это позволило сделать процесс развертывания новых MacBook более оперативным и удобным.
Как организовали работу по проекту
Чтобы работа по проекту была максимально продуктивной, нужно выработать комфортный для всех сторон формат взаимодействия. Мы остановились на таком:
- еженедельные встречи для обсуждения задач и устранения проблем,
- общение в отдельном канале в Telegram для оперативного решения вопросов.
Тестирование
Как правило, клиенты тестируют on-premise версию Ринго, но команда “Самолет” хотела on-cloud, поэтому мы подготовили отдельную облачную инсталляцию.
К слову, только за время тестирования количество обращений по вопросам смены пароля сократилось на 30%, а по вопросам установки программ снизилось почти до нуля, так как все необходимое для работы ПО было уже предустановлено на макбуках.
Настройка Ринго MDM
Нужно отметить, что компания "Самолет" еще приобрела расширенную поддержку, поэтому настройку выполняли вместе. В такую поддержку входили:
- разработка скриптов и помощь с другими настройками,
- создание профилей MDM,
- сборка пакетов ПО,
- непосредственно обучение ИТ-команды девелопера “Самолет” по использованию MDM-системы,
- обучение команды 2-й линии техподдержки для оперативного взаимодействия с системой.
В рамках внедрения были само собой настроены стандартные вещи, как:
- изменение названий устройств согласно корпоративным стандартам,
- соответствие учетных записей пользователей доменным,
- упрощение доступа к сетевым ресурсам (ярлыки на рабочем столе для сетевых дисков),
- организация автоматической настройки VPN-клиентов и сетевых параметров,
- предустановка и настройка офисного ПО: антивирусов, браузеров, мессенджеров и других корпоративных приложений,
- создание групп устройств для реализации сценариев настройки устройства в соответствии с отделом, в котором работает пользователь устройства,
- формирование смарт-групп для автоматизации рутинных процедур и мониторинга устройств, которые давно не выходили на связь с Ринго,
Важно отметить, что смарт-группы можно создавать на основе разных критериев, ими могут выступать и данные, собранные в ходе инвентаризации.
- разработка дополнительного сценария для работы с уже эксплуатируемыми устройствами (об этом подробнее расскажем ниже).
И, конечно, решили проблему с ручной установкой и настройкой агента для GLPI. С помощью Ринго удалось не только автоматизировать эту задачу, но и выбирать, какой пакет GLPI устанавливать в зависимости от типа процессора на компьютере Apple: Intel или Apple Silicon.
В рамках настройки были и нестандартные задачи, как подготовка к распространению на устройствах системы защиты данных DLP (Data Loss Prevention). Однако возникли сложности с установкой агента для отечественного решения DLP:
- Стандартные настройки не работали,
- Пересборка могла решить часть проблем, но при этом аннулировалась бы нотаризация пакета, что привело бы к другим техническим сложностям.
Сначала мы детально изучили вопрос, чтобы найти решение самостоятельно. Однако после нескольких неудачных попыток все же решили обратиться поддержку вендора.
Коллеги оперативно подключились к решению: был собран индивидуальный пакет с нужными настройками. В результате пакет установился корректно без необходимости дополнительных скриптов и профилей.
Сценарии работы с эксплуатируемыми устройствами
Изначально задача стояла иначе, требовалось управление только новыми устройствами, которые не были в эксплуатации. Но в процессе внедрения Ринго появилась потребность у клиента в управлении и уже используемыми устройствами. И здесь был другой сценарий работы и свои особенности. Требовалось реализовать эту задачу, не вмешиваясь в уже существующие сценарии настройки устройств.
Для этих устройств мы провели следующие манипуляции:
- провели инвентаризацию текущего парка устройств,
- удалили старые локальные учетные записи и перенастроили устройства под единые корпоративные стандарты,
- подготовили и отправили на устройства необходимые приложения и политики,
- добавили возможность блокировки создания новых профилей и учетных записей для защиты от несанкционированного доступа.
Что в итоге
После внедрения Ринго все устройства управляются через единую платформу, а также выполнены цели:
Соответствие требованиям безопасности
- Удалены права администратора у пользователей, что снизило риски случайного изменения настроек.
- Заблокирована возможность создания новых учетных записей.
- Реализованы корпоративные стандарты и требования безопасности.
Автоматизация управления
- Настройка новых устройств выполняется автоматически при подключении.
- Установка и обновление приложений производится одной командой без участия сотрудников.
- Система Kerberos SSO позволила пользователям самостоятельно менять пароли, что упростило их работу и снизило нагрузку на техподдержку.
Повышение удобства
- Сотрудники получили доступ ко всей необходимой инфраструктуре сразу после настройки устройства.
- Упрощена организация печати и работа с сетевыми ресурсами.
Снижение нагрузки на ИТ-отдел
- За счет перехода на механизм Kerberos SSO с помощью Ринго удалось уменьшить количество обращений, связанных со сменой пароля
- Заявки на установку ПО практически исчезли благодаря предустановленному набору программ.
Внедрение Ринго MDM помогло группе "Самолет" значительно упростить управление устройствами Apple, повысить уровень безопасности и привести инфраструктуру в соответствие с корпоративными стандартами. Тестирование показало, что 85% пользователей отметили улучшение работы с устройствами на macOS.
Если хотите протестировать Ринго, то можете оставить заявку на нашем сайте или по почте helloringomdm.ru.