Централізоване управління кінцевими пристроями співробітників як основа трансформації ІТ-безпеки

Які бізнес-завдання потрібно було вирішити?

ІТ-команда «Ескулаб» звернулася із практичним запитом: забезпечити централізоване управління корпоративними пристроями співробітників, отримати можливість їх оперативного блокування у разі ризиків та підвищити загальний рівень контролю над ІТ-середовищем, враховуючи віддалену та гібридну роботу.

Однак у процесі бізнес-аналізу потреби ми разом із Замовником переосмислили цей запит і розширили його до рівня стратегічної задачі — побудови керованого та безпечного ІТ-середовища. Таким чином, із точкового завдання управління пристроями сформувалася основа для системної трансформації підходів до ІТ-безпеки та адміністрування.

Бізнес-цілі проекту

• Підвищення рівня ІТ-безпеки, з урахуванням віддаленої та гібридної роботи співробітників
• Підвищення рівня захисту корпоративних даних
• Зниження операційних витрат на обслуговування користувачів корпоративних інформаційних сервісів

ІТ-цілі проекту

• Стандартизація конфігурацій і політик безпеки
• Централізоване керування кінцевими пристроями
• Автоматизований контроль життєвого циклу пристроїв
• Контроль програмного забезпечення, що встановлюється на корпоративні пристрої
• Розробка Compliance Policy та контроль відповідності пристроїв (Compliance Management)
• Впровадження Zero Trust та Conditional Access

Zero Trust в основі цільової архітектури

«Ніколи не вір, завжди верифікуй» — саме так звучить принцип сучасної моделі ІТ-безпеки Zero Trust.

У рамках проєкту ми розробили:

• Політику дотримання вимог щодо пристроїв (Compliance Policy)
• Політику контролю відповідності пристроїв (Compliance Management)
• Політику умовного доступу (Conditional Access)

«Single-vendor platform» підхід при виборі рішення

В основі рішення — Microsoft Intune. При формуванні архітектури ми врахували, що «Ескулаб» вже використовував продукти Microsoft для корпоративної комунікації. Подальший розвиток безпекового контуру в межах одного вендора є логічним і стратегічно виправданим кроком.

Чому обрано саме Intune?

• Частина екосистеми Microsoft 365 — менші інтеграційні ризики та складність архітектури безпеки порівняно з розрізненими MDM та IAM рішеннями
• Відповідає моделі Zero Trust та інтегрується з Microsoft Entra Conditional Access — доступ лише з пристроїв, що відповідають вимогам
• Хмарний сервіс — масштабованість без капітальних витрат, регулярні оновлення, без потреби утримувати власну MDM-інфраструктуру
• Remote Help — віддалена допомога без сторонніх програм, менше часу адміністраторів на доступ до пристроїв

Автоматизація ключових процесів життєвого циклу пристрою

Коли позначка користувачів перетинає 200 корпоративних пристроїв, варто задуматись про автоматизацію життєвого циклу пристроїв. Microsoft Intune закриває і це завдання. Зокрема, ми впровадили:

• Zero-touch onboarding: пристрої автоматично підключаються до корпоративного середовища та отримують політики через Microsoft Entra ID без участі ІТ-команди
• Централізоване керування та стандартизація: всі пристрої працюють за єдиними політиками безпеки
• Контроль відповідності (compliance): автоматична перевірка пристроїв і обмеження доступу у разі невідповідності
• Оперативне реагування: віддалене блокування пристроїв або обмеження доступу у кілька кліків
• Безпечне виведення з експлуатації: сценарії wipe/блокування для захисту даних при звільненні чи втраті пристрою

Результати проекту

Весь проєкт від експрес-аудиту до впровадження рішення тривав 2 місяці. Впровадження MDM-рішення на базі Microsoft Intune було виконано відповідно до запланованого обсягу робіт і досягло поставлених ІТ- та бізнес-цілей.

• Забезпечено централізоване керування кінцевими пристроями (Windows, мобільні пристрої)
• Реалізовано стандартизовані політики безпеки та конфігурації
• Впроваджено контроль відповідності (Compliance Policy) та умовний доступ (Conditional Access)
• Автоматизовано ключові процеси життєвого циклу пристрою

Бізнес-цінність, яку отримав Замовник

• Збільшено операційну ефективність за рахунок зменшення навантаження на ІТ-команду
• Суттєво знижено ризики, пов’язані з людським фактором та неконтрольованими пристроями
• Замість точкового рішення сформовано стратегічний підхід до ІТ-безпеки на довгострокову перспективу

Дякуємо команді «Ескулаб» за довіру.