2025 ж. 27 қаң.·7 мин

SCCM-ден Intune-ға көшу: 6 апталық пилот жоспары

SCCM-ден Intune-ға көшу үшін 6 апталық пилот жоспары: қолданбалар, образдар, инвентарь, команда рөлдері және өлшенетін табыс критерийлері.

SCCM-ден Intune-ға көшу: 6 апталық пилот жоспары

SCCM-ден Intune-ға көшуде не өзгереді және неге пилот қажет

SCCM (ConfigMgr) әдетте бірнеше міндетті бірден шешеді: қолданбаларды және жаңартуларды орналастыру, Windows образын басқару, аппараттық және бағдарламалық инвентарь, есептер, қашықтан әрекеттер және қауіпсіздіктің біршама элементтері. Қазіргі заманғы құрылғы басқаруға (Intune) өткенде мақсаттар сол күйінде қалады, бірақ әдістер мен бақылау нүктелері өзгереді. Көп логика бұлттағы саясаттарға өтеді, ал таныс сценарийлерді қайта жинау керек болады.

Көп жағдайда мыналар басқа жұмыс істей бастайды:

  • Қолданбаларды орналастыру. Коллекциялар мен task sequence орнына топтар, тағайындаулар және орнату талаптарына сүйенесіз.
  • Windows жаңартулары. SCCM-дегі орталықтандырылған циклдердің орнына Windows Update for Business пен жаңарту саясаттары негізгі рөл атқарады.
  • Жаңа ПК даярлау. Эталондық образдар мен PXE орнына көбіне Windows Autopilot пен кейінгі конфигурацияға көшейді.
  • Инвентарь мен есептер. Деректер басқа түрде жиналады, есептер өзгеше көрінеді — қандай жауаптар жетіспейтінін алдын ала түсіну маңызды.
  • Қашықтан көмек пен қолдау. Құралдар мен процестер өзгереді: құқықтар, аудит, реакция уақыты бойынша күтулер.

Пилот қажет, өйткені тәуекел тек техникалық деңгейде емес. Қате тағайындау немесе саясат адамдарға әсер етеді: VPN-ге қатынас жоғалуы, жұмыс қолданбасы орнатылмауы, қажетсіз шифрлау қосылуы, немесе қолдау қызметінің қоңырауларының толқындалуы мүмкін.

Жақсы пилот тек «Intune жұмыс істей ме» деп тексермей, жаңа модельдің күнделікті қолжетімділігін көрсетеді. Аралас ұйымдарда (офис, қашықтан, филиалдар) құрылғыны орнату мен жөндеу орталық офиске бармай-ақ жүретінін тексеру әсіресе маңызды.

Пилоттың табысы нақты өлшенуі керек:

  • негізгі қолданбалар қолмен араласусыз орналып, жаңартылады;
  • жаңа құрылғы алдын ала болжанған уақыт ішінде жұмысқа дайын болады;
  • инвентарь мен есептер қажетті сұрақтарға жауап береді (кім, не, қайда, қандай күйде);
  • қолдау жаңа процеспен типтік инциденттерді шеше алады;
  • пайдаланушы ауысуды байқамайды немесе тек оң жақ жетілдірулерді көреді.

Пилот шекаралары: құрылғылар, пайдаланушылар, сценарийлер

Пилот жиі технологиядан емес, шекаралардың анық еместігінен сәтсіздікке ұшырайды. Қай құрылғылар мен адамдар қатысатынын, қай сценарийлер тексерілетінін және не мүлдем қосылмайтынын алдын ала келіспесеңіз, команда жұмыс барысында дауласа бастайды, ал нәтижені күткенмен салыстыру қиын болады.

Құрылғылар бойынша 2–3 типтік сыныпты таңдаңыз: офис ПК-лары, жол жүретін қызметкерлердің ноутбуктері және бірнеше сенсорлы AIO. Егер арнайы жұмыс орындары (тіркеу терминалдары, оқу сыныптары, ерекше периферия) болса, бір түсінікті подтип алыңыз, драйверлер мен ерекшеліктерге батып кетпеу үшін.

Пайдаланушыларға әртүрлі жұмыс шарттарын қосыңыз: офис, 1–2 филиал, бірнеше қашықтан қызметкер. Ерекше шешіңіз — жоғары құқықты есептік жазбалар пилоттан шығарылатынын немесе шектеулі түрде қосылатынын. Көбінесе олар бірінші толқында шығарылып қалады немесе бөлек ережелермен қосылады.

Пилот басқарылатын болу үшін шекараларды жазбаша бекітіңіз:

  • қандай модельдер мен кластар қатысатыны және әр топтағы қанша құрылғы бар;
  • қандай сценарийлер тексерілетін (жаңа беру, ПК алмастыру, жаңартулар, корпоративтік ресурстарға қолжетімділік);
  • не кірмейтіні (сирек қолданбалар, маңызды серверлер, ерекше драйверлер, күрделі зертханалық стендтер);
  • өзгерістер қатары (даталар, уақыт, кім тоқтауды келіседі және коммуникация);
  • кері қайтару ережелері (қашан және қалай бұрынғы басқаруға ораламыз, шешімді кім қабылдайды).

Мысалы: 30 құрылғы (20 офис ПК, 8 ноутбук, 2 AIO) және 3 пайдаланушы тобы (офис, филиал, қашықтан). Бұл шеңберден шығатын әрекеттер келесі кезеңге қалдырылады, тіпті «тағы бір кейсті қосайық» деген тілек болса да.

Мақсаттық модель: co-management немесе толық көшу

Модель таңдау SCCM-нен Intune-ға көшу қалай өтетіні мен пилотқа қабылданатын тәуекелдерді анықтайды. Негізгі екі жол бар: co-management (жүктемелердің бір бөлігі SCCM-де, бірі Intune-де) немесе толық көшу — Intune негізгі құрал болып, SCCM тоқтатылады.

Co-management көбінесе бастапқыда қауіпсізірек: жүктемелер біртіндеп ауысады, маңызды процестер бұрынғы қалыпта қалады. Толық көшу тезірек аяқталуы мүмкін, бірақ пилотта қатал стандарттарды талап етеді: аздаған ерекшеліктер, құрылғылар мен қолданбаларға нақты талаптар.

Көп жағдайда бірінші кезекте мынадай, тез әсер беретін және бірдей конфигурациялармен болмайтын заттарды көшіру пайдалы:

  • базалық конфигурация саясаттары (Wi‑Fi, VPN, Windows параметрлері);
  • compliance және шартты қолжетімділік (құрылғы күйін тексеру);
  • Windows жаңартуларын саясат арқылы басқару;
  • базалық қорғаныс (мысалы, Defender баптаулары).

Пилоттағы негізгі тәуекел — екі жақтан басқару. Егер бір параметрге SCCM де, Intune де нұсқау берсе, мінез-құлық болжамсыз болады: параметрлер «жылжи» бастайды, есептер сәйкес келмейді, пайдаланушылар шағымданады. Практикалық қағида — әр жүктеме үшін бір иесі және бір «шындық нүктесі». Көшірмейтін нәрселерді нақты SCCM-де қалдырыңыз.

SCCM-ді уақытша қалдыру ақылға қонымды, егер сізде күрделі OSD және task sequence-тер, үлкен пакеттерге жергілікті тарату нүктелері, офлайн сегменттер немесе интернеті тұрақсыз алаңдар болса, сондай-ақ Intune үшін сенімді қаптау мүмкін емес қолданбалар болса.

Пилоттың жақсы нәтижесі — не Intune-де, не SCCM-де екенін түсіндіретін «жүктеме матрицасы».

Команда және рөлдер: кім не үшін жауапты

Пилот көбіне Intune емес, міндеттердің анық еместігінен сәтсіздікке ұшырайды. Көшудің алдында кім шешім қабылдайтынын, кім өзгерістер енгізетінін және кім пайдаланушылар алдында жауап беретінін алдын ала келісіңіз.

Минималды команда құрамында әдетте бар:

  • пилот иесі (IT жетекшісі немесе менеджер) — шекараларды, календарьді, уақыт бюджетін анықтайды және соңғы шешімді қабылдайды;
  • MDM/Intune инженері — enrollment, профильдер, саясаттар, сәйкестік және конфигурация дрейфін бақылайды;
  • қолданбалар инженері — каталог, қаптау, тәуелділіктер, талаптар және жаңарту жоспарын жүргізеді;
  • қауіпсіздік маманы — негізгі шараларды мақұлдайды (шифрлау, парольдер, Defender, шартты қолжетімділік), ерекшеліктерді келіседі;
  • helpdesk — өтініштерді қабылдап, симптомдарды тіркеп, эскалация жасайды және түзетудің көмектесуін тексереді.

Өзгерістер пилотты бұзбас үшін қарапайым процесс орнатыңыз. Мысалы: MDM инженері профильдерді тек өтініш арқылы өзгерте алады; қолданбалар инженері қолданбаларды 2–3 құрылғыда тестілегеннен кейін ғана жариялайды; ерекшеліктер (мысалы, уақытша сәйкестік талабының өшірілуі) қауіпсіздікпен және пилот иесімен мақұлданады.

Бизнес-кураторларды тағайындау пайдалы — олар қатысушыларды таңдайды, қолданбалардың критикалығын растайды және кері байланысты жүйелі ұсынады.

Кері байланыс арнасын бір етіңіз (электрондық пошта, форма немесе чат), және SLA-ны жазбаша бекітіңіз: пилоттағы критикалық инциденттер — 2 сағат ішінде реакция, критикалық емес — жұмыс күні ішінде. Бұл шуды азайтады және нәтижені өлшеуді жеңілдетеді.

Пилот басталардан бұрын орта дайындау

Пилот басталарда ең жиі техникалық кедергілерді жою маңызды. Дайындықты өткізіп жіберсеңіз, пилот «оқиға талдауға» айналып, сценарийлер тексерілмей қалады.

Алдымен сәйкестік пен рұқсаттарды тексеріңіз. Пилот пайдаланушыларының есептік жазбалары белсенді ме және топтар (пайдаланушылар мен құрылғылар бойынша) сіздің жоспарға сай ма: кімге қолданбалар тағайындалады, кім саясат алады, кімге әкімшілік құқық берілген. "Құрылғы vs пайдаланушы" шатасуы алғашқы күндері тағайындауды бұзады.

Келесі — желі. Құрылғылар бұлттық басқару қызметтеріне тұрақты шыға алуы керек, ал прокси мен TLS-инспекция маңызды нүктелерде сертификаттарды алмастырмауы тиіс. Қатаң сүзгілеу кезінде Autopilot, қосымша дүкендер және сәйкестік тексерулеріне арналған ерекшеліктерді алдын ала келісіңіз. Әйтпесе бір алаңда жұмыс істеп, басқа жерде тоқтап қалатын жағдайлар болады.

Сертификаттар мен Wi‑Fi/VPN профильдері бөлек блок. Егер желіні автоматты баптау жоспарланса, қолжетімділікті қалай растайтындығын шешіңіз: сертификаттар, тіркелгі деректері немесе аралас. Сенім тізбегін дайындап, құрылғының пайдаланушы кірмей тұрып Wi‑Fi‑ға қосылатынын тексеріңіз (қажет болса).

Қауіпсіздік моделін бастапқыда айқын және минималды түрде бекітіңіз: Intune әкімшісі кім, саясатты кім өзгерте алады, пилот уақытында уақытша құқықтар қалай беріледі, тестілік және өндірістік тағайындаулар қалай бөлінеді, өзгерістер журналы қайда сақталады.

Практикалық мысал: филиал желісінде прокси TLS-инспекциясымен болса, ерекшеліктер келісілмесе Autopilot тіркеліп кетіп, қолданбалар орнатылмауы мүмкін. Мұндайны пилоттың үшінші аптасында емес, дайындықта анықтаған жөн.

Инвентарь: құрылғылар, қолданбалар, тәуелділіктер және есептер

Желілік тосқауылдарды жою
Пилот алдында прокси, TLS-инспекция және бұлтқа шығуды бағалаймыз.
Желіні тексеру

Пилоттағы инвентарь «әдемі кестелер үшін» емес, не көшірілмейтінін алдын ала көру үшін қажет: қай құрылғылар дайын емес, қай қолданбалар сирек орнатушыларға сүйенеді, қандай қауіпсіздік параметрлері локальды ерекшеліктерге тәуелді.

Бастап SCCM-ден құрылғыларды шығарып алыңыз. Пилотта ерекше мәні бар деректер: Windows нұсқасы, қосылу түрі (домен, гибрид, бұлт), диск шифрлауының статусы, клиенттің «саулығы» және құрылғылардың желіге шығу жиілігі. Ноутбуктер қолдарында болса, олар сирек жаңартылады және есепті бұрмалауы мүмкін.

Қолданбаларды тізім емес, мағынасы бойынша талдаңыз. Әр қолданба үшін бизнес иесі, критикалылығы, қолдану жиілігі, орнатушы көзі және жаңарту тәсілі пайдалы ақпарат. Қалыпты тәуекел — бір адам ғана білетін «қолмен» компоненттер (мысалы, шеткі плагин).

Тәуелділіктерді бөлек жазып шығыңыз: плагиндер, принтер мен сканер драйверлері, брандмауэр ережелері, антивирустың ерекшеліктері, сертификаттар және локальды компоненттер (мысалы, VC++ кітапханалары). Бұл заттар «қарапайым тізімде» көрінбеуі мүмкін, бірақ іске қосылуды бұзады.

Пилотта қажет есептерді алдын ала келісіңіз, сонда бизнес пен ақпараттық қауіпсіздік нәтижені қабылдайды:

  • пилот құрылғыларының жабу мен басқару қоры және табысты басқарылатын құрылғылар пайызы;
  • сәйкестік талаптары (шифрлау, пароль, жаңартулар) нәтижелері;
  • негізгі қолданбалардың орнату статусы және қателер тізімі;
  • ерекшеліктердің тізімі (антивирус, брандмауэр) және оларды кім мақұлдады;
  • инциденттер: не орнатылмады және түзету қанша уақыт алды.

Осы жиынтықты бірден жинасаңыз, пилот сезімтал емес, дәл өлшенетін болады.

Қолданбалар: қаптау, орналастыру, жаңартулар

Пилот көбінесе саясаттарда емес, қолданбаларда сәтсіз болады. SCCM-ден Intune-ға қолданбаларды көшіру алдында портфелді түрлерге бөліңіз: MSI, үндемейтін EXE, Microsoft Store қолданбалары, PowerShell скрипттері. Браузер кеңейтімдерін көбіне саясаттар арқылы басқарған ыңғайлы.

Одан кейін біртұтас қаптау және детект ережесі қажет. Онсыз сіз қайта-қайта орнатуларды, «мәңгілік» орналастыру талпыныстарын және шатасқан есептерді аласыз. Ережелерге келісіңіз: бірегей атаулар мен версиялар, қолданбаның иесі және ең бастысы — анық detection rule (файл, реестр немесе MSI өнім коды бойынша). Қолданбада тәуелділіктер болса, оларды дереу тіркеңіз.

Пилотқа қолданбалар жиынтығын күнделікті қажет болатындармен шектеген дұрыс: офис пакеті, 1–2 браузер, VPN-клиент, ВКС құралы, қауіпсіздік агенті (EDR/антивирус/шифрлау — сізге тән болса).

Жаңартуларды бірінші орналастырудан бұрын ойластырыңыз. Версияға кім жауапты, тест қалай өтеді (мысалы, 10–20 пилот құрылғысында) және егер жаңарту істен шығарса қалай кері қайтару керек — бұларды алдын ала белгілеңіз. SCCM-де кері қайтару көбінесе коллекция арқылы қайта орнатумен шешілсе, Intune-де бұрынғы пакетті сақтап, қайтаруды жүргізу триггерін анықтау маңызды.

Практикалық сценарий: VPN жаңартқаннан кейін кейбір пайдаланушылар қайта жүктегенде желіге кіре алмайды. Егер версия детектісі дұрыс орнатылған болса, «жаңартылмаған» мен «жаңартылған, бірақ жұмыс істемейтін» топтарды тез ажыратып, тек проблемалы топқа кері қайтаруды жүргізе аласыз. Мұндай жағдайлар көшудің шынайы жүктемеге дайын екенін көрсетеді.

Образдар және құрылғыларды дайындау: task sequences-тен Autopilot-қа

SCCM-де көбінесе теңшелген образдарды ұстауға әдет бар: драйверлар, базалық баптаулар мен бағдарламалар алдын ала қосылған. Intune-ға өткенде жұмыс логикасы көбіне өзгереді: стандартты Windows қалдырып, барлығын саясаттар мен қолданбалар арқылы орнатқан ұтымды. Теңшелген образты тек офлайн-орнату немесе сирек драйверлер сияқты қатты шектеулер болғанда қалдыру керек.

Жаңа құрылғылар үшін логика өзгереді: образсыз, Autopilot профилі, Entra ID-ға автоматты тіркеу, атауды тағайындау және топқа қосу арқылы шешіледі. Пайдаланушы ноутбукты қосады да, кіріп, құрылғы өзі қажетті саясаттар мен қолданбаларды алады.

Қолданыстағы құрылғыларды жұмыс күнін бұзбай басқару маңызды. Көбінесе жұмсақ тіркеуден бастайды: басқаруға қосып, үйлесімділігін тексеріп, баптауларды бөліп қосады: алдымен базалық қауіпсіздік пен Wi‑Fi/VPN, сосын қолданбалар, әрі қарай шектеулер.

Task sequence-терді қадамдап алмастырыңыз. Оларды этаптарға бөліп, баптауларды Intune саясаттарына, бағдарламаларды Win32 пакеттеріне аударыңыз, шартты қадамдарды топтар мен динамикалық тағайындаулармен жауып шығыңыз. Драйверлар мен жаңартуларды қалай жабатыныңызды (Windows Update for Business, OEM құралдары) бөлек шешіңіз. Autopilot-та SCCM-дегі pre‑OS сценарийлердің бәрін бір‑біріне дәл көшіру мүмкін емес екенін тез қабылдаған жөн.

Пилоттағы саясаттар, сәйкестік және қауіпсіздік

Қосарланған басқаруды талдау
SCCM GPO Intune арасындағы қақтығыстарды тексеріп, co-management үшін жүктеме матрицасын дайындаймыз.
Аудит сұрау

Пилотта барлық SCCM саясаттарын «сол күйінде» көшірудің қажеті жоқ. Мақсат — базалық қауіпсіздік пен басқарылуды тұрақты түрде іске қосу, және сәйкестік ережелерінің корпоративтік ресурстарға қатынауға қалай әсер ететінін тексеру.

Бастапқыда оңай тексерілетін минималды жиынтықтан бастаңыз:

  • BitLocker: шифрлау қосулы, қалпына келтіру кілті сақталады, қажет болса мобильді носительдерге ереже бар;
  • Windows Update: жаңартулар қосулы, қайта жүктеу терезелері пайдаланушыларға түсінікті, критикалық патчтер уақытында қолданылады;
  • Брандмауэр: барлық профильдерде қосулы, артық ерекшеліктерсіз;
  • Жергілікті администраторлар: ашық тізімі, жеке есептік жазбалар шегерілген;
  • Базалық қорғаныс: Windows-тың кірістірілген қауіпсіздік механизмдері бірінші қадамда күрделі баптаусыз қосулы.

Сосын compliance-ті қосып, оны қолжетімділікпен байланыстырыңыз. Пилот тәжірибесі: егер құрылғы шифрланбаған немесе ұзақ уақыт жаңартылмаған болса, ол жүйеге кіре алады, бірақ пошта немесе ішкі қолданбаларға қолжетімділік шектеледі — бұл жұмысты толық тоқтатпай-ақ бақылауды көрсетеді.

Wi‑Fi/VPN профильдері мен сертификаттарды бөлек тексеріңіз — бұл жиі ақау көзі: бір қате сертификат немесе профиль пайдаланушыны «басқаруда тұрса да» желіге қосыла алмай қалдырады.

Арнайы құқықтары бар пайдаланушылар үшін қатаң талап қойыңыз: әкімшілік тапсырмалар үшін бөлек құрылғылар, әдепкі бойынша жергілікті админге тыйым, маңызды консольдарға кіру алдында сәйкестіктің тексерілуі. Мысалы, әкім инфрақұрылымды басқаруға тек шифрлауы қосылған, жаңартулары орнатылған және брандмауэрі қосылған құрылғыдан кіре алады.

Пилот мысалы: аралас ұйым және нақты жүктеме

Мысалы, 200 құрылғылы компанияда пилот: офисінде 150 ноутбук, филиалдарда 30, қашықтан 20. Бұл әртүрлі желілер мен қолдау арналары арқылы жиі кездесетін күнделікті тапсырмаларды тексеруге мүмкіндік береді.

Қолданбалар жағдайы әдетте мынадай: барлығына міндетті 10 (браузер, офис пакеті, мессенджер, EDR, VPN), сұраныс бойынша 15 (CAD, бухгалтерия, жеке плагиндер) және бірнеше ескі, проблемалы қолданбалар. Мұндай проблемалы қолданбаларды тәуекел ретінде бірден белгілеңіз: ескі MSI, үндемейтін орнатушылар, жергілікті құқықтарға тәуелді үзінділер.

Ең жиі көрінетін қиындықтар — күнделікті пайдалану кезінде байқалатын кішкентай нәрселер. Сондықтан пилотта VPN (автотіркеу, сертификаттар, сыртта және пароль өзгерген соң жұмысы), филиалдарда басып шығару, док-станция драйверлері, Wi‑Fi, камералар, сканерлер, ескі MSI мінезі және әкім құқықтарының шын қажеттігін тексеруге уақыт бөліңіз.

Қолдауды пилот хаосқа айналдырмас үшін дұрыс ұйымдастырыңыз. Қатысушыларға бір ғана байланыс жолын беріңіз және әр инцидентті бірдей тіркеңіз: тикет шаблоны (құрылғы, желі — офис/филиал/үй, не өзгерді, уақыт), міндетті логтар жинау (Intune Management Extension, орнату оқиғалары, қате скриншоты), «диагностикаға 30 минут» ережесі және критикалық рөлдер үшін SCCM-ге жылдам қайтару процедурасы.

Егер паркте жергілікті өндірушіден шыққан жұмыс станциялары болса (мысалы, GSE.kz шығарған), оларды бөлек топқа қосу орынды — драйверлер мен дайындықтағы ерекшеліктерді масштабтау алдында анықтау үшін.

6 аптаға арналған пилот жоспары: апталық тапсырмалар

Пилот ритмі қарапайым: әр аптада бір жаңа күрделілікті қосыңыз және қандай ақаулар пайда болғанын, олар қалай түзетілгенін бірден жазып алыңыз.

Неделя 1.

  • Инвентарьды аяқтаңыз: пилоттағы ПК модельдері, критикалық қолданбалар, тәуелділіктер (VPN, сертификаттар, драйверлер, плагиндер).
  • Пайдаланушы топтарын таңдаңыз (мысалы, 2 бөлімше және 1 IT тобы), рөлдер тағайындаңыз (пилот иесі, қолданбаларды қаптау, қауіпсіздік, қолдау).
  • Базалық саясаттар мен ерекшеліктер ережелерін дайындаңыз.

Неделя 2.

  • Алғашқы 10–20 құрылғыны тіркеңіз.
  • Тіркеу, базалық профильдер, поштаға және Wi‑Fi/VPN-ге қолжетімділік қосыңыз.
  • Ақауларды бір жерде жинап, күн сайын 1–2 түпкі себепті жоюға тырысыңыз.

Неделя 3.

  • Топ-10 қолданбаны қаптап, орналастырыңыз (офис құралдары, браузер, VPN, ЭДО).
  • Жаңартулар мен орнатуды тексеріңіз.
  • Қамтуды 30–50 құрылғыға дейін кеңейтіп, қолдаудың жүктемесін бақылаңыз.

Неделя 4.

  • Autopilot-ты қосыңыз: жаңа құрылғы беру және қайта орнату сценарийлерін тексеріңіз.
  • Пилотты 1–2 филиалға кеңейтіңіз, желіні, уақыт белдеулерін, жергілікті принтерлерді және офистен тыс жұмысты тексеріңіз.

Неделя 5.

  • Қосымша жүктемелерді көшіріңіз: күрделі қолданбалар, қауіпсіздік саясаттары, базалық харднинг.
  • Қауіпті багтарды жабыңыз (мысалы, VPN пен жаңартулар қақтығысы немесе драйвер орнатудың сәтсіздігі).

Неделя 6.

  • Метрикаларды жинап, масштабтауды шешіңіз.
  • Толқындық жоспарды бекітіңіз: кім бірінші өтеді, қандай шектеулер бар, кері қайтару жоспары қандай.
  • Мысал: егер бухгалтерияда 2 негізгі қолданба болса, олар міндетті жиынтыққа қосылып, келесі толқынды бастамас бұрын 95% сәтті орнату талап етіңіз.

Сәттіліктің критерийлері және метрикалар: пилоттың табысты екенін қалай түсіну

Intune-ға дайын жабдық
Пилотыңызға және келесі толқындарға арналған жұмыс станциялары, ноутбуктер немесе AIO-ны GSE.kz-пен таңдауға көмектесеміз.
Жұмыс станциясын таңдау

Пилот "жалпы жұмыс істейді" деген сезімнен гөрі, сандық көрсеткіштер мен нақты шешімдер арқылы анықталуы керек: масштабтауды жалғастыру немесе толық жетілдіру үшін қайтарып алу. Алдын ала қандай шектер блоктайтынын келісіп алыңыз.

Құрылғылар мен саясаттар бойынша қарап шығатындар:

  • тіркеудің табыстылығы және базалық саясаттардың қолданылуы (құрылғылар пайызы);
  • пайдаланушының бірінші кіруінен «барлық міндетті орнатылды» күйіне дейінгі уақыт;
  • саясаттар мен профильдердің қателерінің үлесі (қайталанатын қателер қандай);
  • 10 құрылғыға шаққандағы IT-ның қолмен араласу саны.

Мысалы, 30 пилоттық ноутбуктен 6-сы бірдей саясат себепті қолмен жөндеуді талап етсе, бұл тұстап өткенше елемейтін мәселе емес.

Қолданбалар, қолдау және қауіпсіздік бойынша:

  • орнату пайызы ғана емес, сәтсіздіктің себептері: тәуелділіктер, құқықтар, қайта жүктеу, ескі версиялар;
  • пайдаланушылардан келетін өтініштердің түрлері: "орнатылмады" мен "не істеу керек" әртүрлі шешім талап етеді;
  • минималды қауіпсіздік жиынтығы: шифрлау істен шығармай жұмыс істеуі, сәйкестік көпшілікте орындалуы, ОС пен қорғаныс компоненттері уақытылы жаңартылуы, барлық ауытқулар тіркеліп, мақұлдануы.

Қорытынды go/no-go шешімді әрбір элемент бойынша кестемен дұрыс қабылдау ыңғайлы: не өтті, не өтпеді, масштабтауға дейін қандай жұмыстар бар (мерзімі және жауапты).

Көбінесе болатын қателіктер және оларды болдырмау

Сәтсіздіктер әдетте алдын ала келісілмеген кішкентай детальдардан басталады. SCCM-ден Intune-ға көшу кезінде олар тез саясаттардың қайшылықтарына, орнатулардың сәтсіздігіне және пайдаланушылардың ренішіне әкеледі.

Бірінші тұзақ — анықталмаған қосарланған басқару. Бірдей параметрлер SCCM (немесе GPO) және Intune арқылы берілсе, құрылғылар әртүрлі командалар алады. Нәтижесінде параметрлер «жылжиды», есептер айырмашылық береді және қолдау қайдан іздеу керектігін білмейді.

Пилот басталардан бұрын қарапайым ережелерді бекітіңіз:

  • жауапкершілікті бөліп қойыңыз: қандай саясаттар мен қолданбалар SCCM-де қалады, қандайсы Intune-ға өтеді;
  • пилот үшін бөлек коллекциялар мен топтарды қолданыңыз, қалған паркке ықтимал әсерді болдырмау үшін;
  • 1–2 критикалық сценарийді таңдап, оларды тұрақты етуге дейін кеңейу жасамаңыз.

Екінші қате — қолданбалардың иесіз көшуі. Егер қолданбаға жауапты адам жоқ болса, орнатушы таза емес, кілттер мен тәуелділіктер белгісіз және уязвимділікке жауап беру уақыты анықталмаған болады. Әр қолданбаға иесін тағайындап, SLA туралы келісіңіз: жаңа нұсқаны кім, қанша уақытта шығарады және үйлесімділікті кім растайды.

Үшінші проблема — пилоттың тым кең болуы. Барлық құрылғылар мен барлық софтты бірден қамту мерзімнің ұзаруына әкеледі. Өкіл топ әдетте тиімдірек: 2–3 ПК моделі, 2 бөлім, 10–15 қолданба, соның ішінде бір күрделі.

Тағы екі жиі себеп — желіні бағаламау және кері қайтару мен коммуникация жоспарының болмауы. Мысал: филиалдағы қызметкер құрылғыны тіркей алмайды, қолданбалар орнатылмайды, және жұмыс күні жоғалады.

Минимум дайындық: 30–60 минут ішінде орындалатын кері қайтару сценарийі, пайдаланушыларға қысқа нұсқаулық және пилотқа дейін желіні тексеру (бұлттық қызметтерге қолжетімділік, прокси, SSL-инспекция, жүктеме сағатындағы өткізу қабілеті).

Қысқа чек-лист және пилоттан кейінгі келесі қадамдар

Пилотты сәтті деп санау алдында қысқа чек-лист арқылы тексеріңіз. Ол орнатулар, жаңартулар, шифрлау және қолдау сұранымдары сияқты тәуекелдерді көрсетеді.

Пилот алдында және барысында расталуы тиіс нәрселер:

  • рөлдер тағайындалған (пилот иесі, қолданбаларды қаптау, қауіпсіздік, қолдау), пилот топтары, қолданбалар тізімі және кері қайтару ережелері;
  • құрылғылар тіркеледі, базалық саясаттар қолданылады, шифрлау мен жаңартулар қосылған және сәйкестік бақылауы бар;
  • қолданбалар үшін детект ережелері дайын, орнату логтары анық, жаңарту процедурасы бар (кім тестілеңіз, қайда жазылады, апат болғанда не істейміз);
  • қолдауда қысқа нұсқаулық бар: диагностиканы қалай жинау, құрылғы статусын қалай тексеру және 2–3 қалпына келтіру сценарийі (мысалы, корпоративтік VPN-ды қайта орнату немесе тіркеуді қайталау);
  • масштабтау жоспары келісілген және қалған қолданбаларды қаптау үшін уақыт бөлінген (әдетте бұл күш-жігердің көп бөлігін алады).

Пилоттан кейін «үлкен жарылыспен» бармаңыз. Толқындармен өтіңіз: мысалы, 50 құрылғы, сосын 200, кейін бүкіл офис. Егер пилотта екі критикалық қолданба тұрақсыз орнатылса, алдымен олардың қапталуын және тестілеуін сенімді етіп, содан кейін ғана қамту көлемін ұлғайтқан жөн.

Егер пилот пен масштабтауға көмек қажет болса, GSE.kz жүйелік интегратор ретінде жәрдем бере алады: жоспарлау мен қауіпсіздік саясатын дайындаудан бастап жұмыс станциялары мен серверлерді даярлауға және 24/7 қолдауды ұйымдастыруға дейін.

FAQ

SCCM-ден бірден толық бас тартып кету керек пе, әлде co-management-тан бастау дұрыс па?

Көп жағдайда алғашында шектеулі құрылғылар мен пайдаланушылар тобы бойынша пилоттан бастауға болады. Осылайша қай сценарийлер оңай өтетіні және қайсысы қайта ойлауды талап ететінін жылдам түсінесіз. SCCM-ді толықтай жою тек тексерусіз жасалса инциденттер мен қолмен түзетулер көбеюі мүмкін.

Intune пилоты үшін қандай құрылғылар мен адамдарды таңдау керек?

2–3 типтік құрылғы класы мен түрлі жұмыс шарттарын (офис, филиал, қашықтан) алу оптималды. Егер барлық модельдер мен барлық бағдарламаларды бірден қоссаңыз, пилот шексіз жобаға айналып, нақты нәтиже шықпайды. Бір «күрделі» типті (мысалы, AIO немесе арнайы перифериясы бар жұмыс орны) қосу мәселе жерлерін алдын ала көрсетуге көмектеседі.

Пилот шегін неге міндетті түрде жазып қою керек?

Пилот шегін жазбаша бекітіңіз: қатысатын модельдер мен саны, тексерілетін сценарийлер (жаңа беру, алмастыру, жаңарту, ресурстарға қолжетімділік), өзгерістер терезесі және кері қайтару ережелері. «Не кірмейтіні» туралы алдын ала келісу сұрақтардың шашырауын болдырмайды және нәтижені салыстыруға мүмкіндік береді.

Intune-ға көшу кезінде жиі «атылатын» қандай қауіптер бар?

Ең жиі кездесетін проблемалар — қолданбалар мен саясаттардың қате тағайындалуы, қосарланған басқару (SCCM/GPO/Intune) қақтығыстары, және филиалдардағы желі мен проксидегі TLS-инспекция. Сондай-ақ қолданбалардың үндемей орнатылатын орнатушысы мен дұрыс detection rule жоқ болса, орнату циклге түсіп қалуы мүмкін. Бұл тәуекелдерді алғашқы апталарда тексерген жөн.

Пилот командасында қандай рөлдер қажет және хаосты қалай болдырмауға болады?

Командада кемінде мына рөлдер болуы керек: пилот иесі, Intune/MDM инженері, қолданбалар инженері, қауіпсіздік маманы және helpdesk. Ең маңыздысы — өзгерістер үшін біртұтас және қарапайым процесс: кім өзгертеді, қалай келіседі және қайда тіркеледі. Қарапайым ережелер болғанда қолдау тез үйренеді және симптомды емдемей, мәселенің түпкі себебін таба алады.

Пилотқа дейін қандай инвентарь жинау керек, құрылғылардан басқа?

SCCM-тен шығару алдында SCCM-ден экспорт жасап, Windows нұсқасы, қосылу түрі (домен, гибрид, бұлт), диск шифрлау статусы және құрылғылардың желіге шыға алу жиілігін тексеріңіз. Қолданбалар бойынша маңызды нәрсе — әр қолданбаның бизнес иесі, критикалығы, орнатушы қайдан алынатыны, тәуелділіктері және жаңартуды қалай жүргізетіні. Бұл инвентарь қай жерде сұрақ туындайтынын алдын ала көрсетеді.

Пилотқа қанша қолданба қосуға болады және қаптауда қалай адаспау керек?

10–15 күнделікті қажетті қолданбаны алып, бір «күрделі» қолданбаны қосыңыз. Әр қолданба үшін атау, версия және дұрыс detection rule ережесін алдын ала бекітіңіз. Әйтпесе қайталанып орнатулар мен шатастыратын есептер пайда болады. Жаңартулар мен кері қайтару жоспарын бірінші орнатуға дейін ойластырыңыз.

SCCM task sequences-ті Autopilot-пен алмастыруға бола ма?

Көп жағдайда стандартты Windows-ты қалдыру және саясаттар мен қолданбалар арқылы конфигурациялау тиімдірек. Autopilot жаңа құрылғылар үшін жақсы шешім, бірақ SCCM-дің pre‑OS сценарийлерін дәл қайталау мүмкін емес. Пилотта жаңа құрылғы беру және қайта орнату сценарийлерін тексеріп, «жұмысқа дайындығы» қанша уақытта болатынын өлшеңіз.

Пилотта қандай қауіпсіздік саясаттарын бірінші кезекте қосу керек?

Алғашқы қадамда минималды, оңай тексерілетін қауіпсіздік жиынтығын енгізіңіз: BitLocker (қалпына келтіру кілті сақталуын қоса), Windows Update, брандмауэр және негізгі Defender параметрлері, жергілікті администраторлар тізімі. Содан кейін compliance қосып, сәйкессіздік кірісті шектеуге қалай әсер ететінін тексеріңіз — пайдаланушының жұмысы толық тоқтамай, бірақ қауіпсіздік бақылауы сақталсын.

Пилот сәтті өтті ме және масштабтауға болады ма, қалай түсінеміз?

Шұғыл шешімді цифрлармен бағалаңыз: базалық саясаттарды дұрыс қолданатын құрылғылар пайызы, міндетті пакеттің орнатылуына дейінгі орташа уақыт, қайталанатын қателердің үлесі және 10 құрылғыға шаққандағы қолмен араласу саны. Қолданбалар бойынша орнату барысының себептерін қарап, дизайнды түзетіңіз. Егер локальды шығарылған жабдықтар болса (мысалы, GSE.kz-тен), оларды бөлек топқа бөліп тексерген жөн.