Як нам довелося навчитися керувати Маками в корпоративній мережі

imageBring Your Own Device (BYOD) — вже цілком реальна головний біль адмінів, у яких корпоративної сітці з'явився не тільки Macbook топ-менеджера, але і iPad (а то і iPhone) його заступника. Ми в цьому році опитали у США більше сотні сисадмінів великих компаній — що вони використовують для управління мобільними гаджетами в корпоративній мережі, зайнята переважно ПК під Windows. Перемогли варіанти «нічого» і «міцні вирази/алкоголь/сльози». При цьому 45% зізналися, що в їхніх компаніях вже закуплені Mac в робочих цілях. Отже, завдання вже треба вирішувати, так як через BYOD-пристрої, якими користуються керівники та ключові співробітники, може проходити інформація ціною в мільйони рублів, і для них життєво важливо відповідати корпоративним політикам.
У цьому пості ми хочемо розповісти, як впроваджували у своїй же компанії власне рішення для управління Маками в корпоративному середовищі — Parallels Mac Management, з чого почали і з чим зіткнулися в процесі (включаючи чисто психологічні аспекти поведінки своїх співробітників). А ще — поміркувати про те, чи дійсно потрібен Mac в корпоративній мережі (і дізнатися вашу думку про це), для чого, і хто чим користується для управління.

«Страшна» реальність
Незважаючи на те, що далеко не у всіх ІТ-службах компаній можуть знайти відповідь на питання, навіщо їм потрібен саме Mac в корпоративному середовищі, їх зростання — це факт (див. дослідження Greyhound Research і незалежних експертів). Зростання продажів наших власних десктопних і мобільних продуктів для корпоративного ринку (Parallels Desktop для Mac Enterprise Edition, того ж Parallels Mac Management і бізнес-версії Parallels Access) це теж підтверджує. Плюс опитування, який говорить про те, що 95% тих, хто працює на Windows, з задоволенням перебіжать на Mac OS X, як тільки зможуть використовувати єдину систему управління ПК на різних платформах.image
Будемо чесними — для багатьох компаній з точки зору економії витрат і ресурсів вигідніше вибирати ПК під Windows: Маки дорожче, екосистема спеціалізованих додатків під Mac OS X значно менш розвинена, ними менш звично масово керувати. Чому ж продукція Apple продовжує наполегливо проникати в корпоративну середу?

Є свій пристрій попрацювати? А якщо знайду?
У тому ж опитуванні нам сказали: платформа Mac надійніша — менше «глюків» і вірусів (заявило 77% опитаних), легко обслуговується (65%) і допомагає залучити співробітників (теж 65%). Але нам здається, що причина все-таки в зростанні популярності самої концепції BYOD, який викликаний наступними факторами:
По-перше, це вибухове зростання кількості мобільних пристроїв — телефонів і планшетів — і їх переорієнтація на професійні завдання. Все більше стає легко носяться гаджетів, здатних робити все те, що зовсім недавно могли робити тільки комп'ютери. Це стосується як смартфонів, так і планшетів. У 2013 році продано більше 195 млн планшетів (62% — під Android, 36% — під iOS). Тоді ж кількість використовуваних телефонів на платформах Android і iOS X у світі перевищила 900 млн (частка iPhone — 15,2%, Android -78,6%). І вже в цьому році люди куплять більше планшетів, ніж портативних комп'ютерів.
imageПо-друге — мода на BYOD, цілком можливо, відображає нові стосунки між компаніями-роботодавцями та працівниками. Ці нові віяння, поступово проникають до нас із Заходу, і виражаються в тому, що співробітники все рідше розглядають себе як частину організації, або навіть не входять у штат. Наприклад, contractors («підрядники») в США співробітниками не вважаються, компанія має право вказувати їм, що робити, але не як. Штатні співробітники ведуть себе так само. При такому підході у співробітників менше обмежень, і він де-факто нав'язується всім учасникам ринку, включаючи роботодавців. А раз не важливо, як вирішуються завдання, то можна використовувати будь-які милі серцю пристрою. Питання їх технічного супроводу рідко обговорюються, оскільки не пов'язані безпосередньо з бізнесом. До того ж BYOD знімає витрати на придбання пристроїв з роботодавця і перекладає їх на співробітника.
Навіщо включати Mac в корпоративну середу?
Може бути, простіше проігнорувати окремі випадки їх появи? Ми вважаємо, що потрібно робити це рівно з тими ж цілями, з якими ми контролюємо і ПК під Windows. Наприклад, у нашій компанії вони наступні:
• Запобігання втрати даних на ноутбуці з-за технічного збою або відходу з компанії.
• Інвентаризація та обладнання для точного планування оновлень, відповідності ліцензійним вимогам і вірного прогнозу витрат на ІТ.
• Спрощення віддаленого адміністрування — розгортання стандартних образів ОС, розгортання та оновлення програмних продуктів, віддалене управління для вирішення інцидентів, конфігурації, що відповідають політикам.
• Специфічна для нас мета: досвід практичного застосування продуктів власної розробки.

Як розпочався проект впровадження
Прийшовши до розуміння, для чого нам все-таки потрібно навчитися керувати своїми власними Маками (нам здається, кожен ІТ-відділ задає собі це питання, але, з досвіду, відповідь у випадку з Маками може бути і несподіваним), ми відкрили новий проект. Вибираючи інструмент адміністрування Mac, ми виходили з передумови, що корпоративна середовище за визначенням має єдиний каталог облікових записів на основі Microsoft Active Directory і інфраструктуру VPN для надання доступу до корпоративної мережі віддаленим користувачам, і користувачі, зацікавлені в тому, щоб служба ІТ вирішувала їхні проблеми. Це важливо, тому що недбайливий і незацікавлений працівник цілком може видалити агент на Mac, а потім запевняти, що «все не працює».
Наприкінці 2012 року ми визначили 3 потенційно придатних продукту: Centrify User Suite Mac edition, Microsoft System Center 2012 SP1 (знаходився в той момент на етапі Customer Technology Preview, CTP) і версія 1.0 Parallels Mac Management (далі — PMM). Від Centrify відвернула необхідність платити за ліцензію. Ліцензія на System Center надається партнерам Microsoft безкоштовно в рамках програми Microsoft Partner Network (а ми її учасники). Додаткове число клієнтських ліцензій (Client Management License, CML) для System Center вже купили раніше під завдання розгортання System Center Configuration Manager 2007 в російському офісі. Ці ліцензії потрібні для розгортання PMM, тому що зміст Product Use Rights* на System Center 2012 явно вказувало на те, що CML потрібно на кожне керований пристрій, без застережень на походження агента. До речі, і сервера дистрибутив SCCM 2012 можна було отримати тільки при покупці CML: ліцензія на сервер була відсутня в номенклатурі Microsoft, доступ до дистрибутиву на Volume Licensing Service Center був прив'язаний до придбання CML.
Можливість управління Mac на момент початку проекту була оголошена тільки для SCCM 2012 SP1. Вихід релізу був призначений на початок 2013 року, так що складнощі були очевидні. РММ тоді погодилися протестувати в себе кілька партнерів компанії, і коли служба ІТ нашій власній взялася за розгортання РММ «всередині», з'явилася нова мета — швидше отримати відгуки, щоб прискорити доопрацювання продукту. Від «своїх» розробники отримували їх, природно, у більш короткі терміни, тому що цей процес через звичайну ланцюжок «сейлз-інженер»-«продукт-менеджер»-«керівник розробників» зазвичай затягується. До того ж партнери перебували в США (а це різниця ще й у часі, і в мові). Зате — ніяких тепличних умов для нашого ІТ: звернення в техпідтримку PMM в загальному порядку, постановка завдань на доопрацювання у загальній черзі, відповідно до отриманого виторгу (а саме в цьому випадку виручки немає, то доопрацювання будуть виконані, тільки якщо їх зажадає один з платять замовників). У підсумку В служби ІТ з'явився досвід щодо детального опису user case для кожної нової функції, а її реалізація залежала від того, чи побажає отримати її з замовників.

Розгортання PMM
Для цього були обрані всі Mac співробітники, які не займалися розробкою або тестуванням продуктів. Географічно вони знаходилися по всьому світу: в офісах в Рентоні, штаті Вашингтон у США, Москві, Новосибірську, Мюнхені, Сінгапурі, Токіо; у віддалених співробітників на території США, країн ЄС, Австралії і країн Південно-Східної Азії.
Передбачалося, що системні адміністратори цих офісів зможуть полегшити виконання своїх обов'язків за рахунок можливостей PMM: віддаленого управління, централізованого встановлення стандартних пакетів і оновлень, централізованого застосування політик безпеки (на основі Mac OS X Profile), встановлення стандартних образів ОЗ, інвентаризації обладнання.
Особливо виділимо завдання з віддаленого адміністрування Parallels Desktop для Mac (добре знайомий користувачам Mac продукт десктопної віртуалізації, ми про нього писали тут) і поширенню стандартних віртуальних машин для нього. Віддалене адміністрування включає в себе завдання оптимальних налаштувань ВМ, активацію та установку оновлень. Стандартні віртуальні машини (Windows 8 Office 2013) були обрані як з міркувань сумісності документів і звички користувачів до інтерфейсу Office для Windows, який значно відрізняється від інтерфейсу Office for Mac, так і тому, що багато програм досі просто не мають версії для Mac OS X.
Для вирішення всього набору завдань було вирішено встановити Primary server SCCM в Рентоні і по одній Distribution Point в офісах зі значним числом користувачів — Рентоні, Мюнхені, Сінгапурі, Москві і Новосибірську. Віддалені користувачі підключаються через VPN до найближчого з дата-центрів (Рентон, Мюнхен, Москва чи Сінгапур), звідки їх трафік пробрасывается через корпоративну мережу MPLS до Distribution Point, до якої користувач приписаний.
image
Наш extension інтегрується в інтерфейс System Center Configuration Manager

Серверна частина PMM була встановлена на Primary server. Установку клієнта робили вручну, частково самі користувачі, частково — системні адміністратори. Користувачам надіслали лист з гіперпосиланням на дистрибутив агента, втручання системного адміністратора вимагалося лише у випадках, коли установка не закінчувалася успішно. Починаючи з версії PMM 1.7 установка, включаючи оновлення версії агента по команді SCCM, успішно виконувалася в автоматичному режимі приблизно в 90% випадків. У більшій частині випадків, коли установка агента на комп'ютер, де його раніше не було, провалювалася, причиною було недотримання користувачем порядку встановлення (запустити установку можна без підключення до VPN, але для успішного завершення необхідний доступ до домен-контролеру, який доступний тільки через VPN). Зараз поточна версія PMM — 3.1, дитячі хвороби можна вважати подоланими, а подальший розвиток спрямовано на розширення функцій.

Підсумки розгортання
З технічної точки зору розгортання PMM в Parallels можна вважати успішним. Агент встановлено більш ніж на 95% обраних всередині компанії Mac (більше 150). Можлива доставка пакетів на керовані Mac, застосування парольної політики, що задовольняє прийнятим в компанії вимогам до складності і часу життя паролів, через профілі Mac OS X, настройка параметрів віртуальних машин. Починаючи з версії 2.0 можлива автоматизована установка ОС, хоча досвіду масового оновлення ОС таким способом поки немає, оскільки вбудовані засоби Mac OS самі справляються з завданням оновлення ОС. Також у третьої версії з'явилися такі нові функції, як портал самообслуговування по роботі з додатками, підтримка інфраструктури HTTPS SCCM і додатків SCCM. Поліпшили підтримку SCCM-клієнта, підтримується також система шифрування FileVault 2 з персональними ключами.
image
Портал самообслуговування в Parallels Mac Management

Одним з найважчих перешкод на шляху впровадження PMM було вивчення SCCM. У нас взагалі не було досвіду роботи з цим продуктом, тому одного з системних адміністраторів довелося вивчати його спочатку самостійно, а потім і на сертифікованих курсах Microsoft. Останнє дало змогу самостійно систематизувати набуті знання і досвід, а також отримати відповіді на накопичені за час самостійних спроб встановлення і застосування SCCM питання. Значна частина проблем, що виникали при установці і розгортанні PMM, в результаті виявлялася обумовленої неоптимальною налаштуванням SCCM. ВИСНОВОК РАЗ: братися за розгортання PMM можна тільки тоді, коли в організації є досвід роботи з SCCM, а якщо його ще немає, то необхідно формальне навчання адміністратора.
Друга перешкода було психологічно-юридичної властивості. Деякі працівники в країнах ЄС заперечували проти встановлення агента, заявляючи, що таким чином відділ ІТ буде вторгатися в їх приватне життя. Це протидія довелося долати з допомогою генерального повіреного, пояснював, що належать компанії комп'ютери — не місце для особистої інформації. Такі заперечення можуть, проте, мати значно більш твердий ґрунт у разі BYOD. Оскільки технічного рішення для них за визначенням бути не може (агент, здатний перевстановити ОС, може отримати доступ до будь-яких даних), то рішення повинно лежати в договірній площині. ВИСНОВОК ДВА: Співробітникам, які працюють на умовах BYOD, слід пропонувати письмово погоджуватися з установкою агента з умовою укладення трудових або договірних відносин.

Що день прийдешній нам готує
У підсумку всі труднощі подолані, і Parallels Mac Management перебуває в комерційній експлуатації та впроваджено у ряді компаній, з найбільш великих можна згадати Rackspace, Samsung і McAfee. Наш власний внутрішній проект ми при цьому не закінчили: наступний етап — навчання співробітників нашої служби технічної підтримки застосування PMM у щоденній практиці. Це потребує, в першу чергу, навчити їх основам SCCM, так як всі операції виконуються через його інтерфейс (Маки в ньому управляються так само, як комп'ютери). Плануємо також впровадити у себе ж портал самообслуговування по роботі з додатками (Application Self Service Portal), щоб співробітники могли самі встановлювати рекомендований і відповідний корпоративним політикам софт.
Зараз у Parallels Mac Management найбільше зростання продажів у порівнянні з іншими рішеннями Parallels — більше 50% за рік. Це говорить про те, що завдання включення Mac в корпоративну середу стали гостро актуальними, і коли нарешті з'явилася практична можливість їх вирішити, реалізація не змусила себе чекати.

Ми можемо в результаті зробити наступні висновки: по-перше, крім «нічого», «сліз» та «міцних виразів» все-таки є продукти, які допоможуть вирішувати завдання управління Маками (і навіть крім нашого власного). По-друге, вам доведеться залагоджувати різні конфліктні аспекти взаємодії ПК і Mac в одній мережі, в тому числі — несподівані і психологічні (не всі працівники розглянуть переваги BYOD нарівні з відповідальністю за вміст цього самого D).

І нам дійсно цікаво, що ви самі про це думаєте: чи потрібні Маки в бізнес-середовищі і які тут можуть бути сценарії використання. Так що пишіть свої міркування і питання у коментарях, ми постараємося відповісти на кожен.

* Product Use Rights — основний документ, що визначає передані ліцензіату за програмами корпоративного ліцензування права на ПЗ Microsoft.
Автор статті — Віталій Господарів, старший керівник проектів в Parallels (США)

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.