15 июня 2018

Инвентаризация macOS и Windows в G Suite

Если вы пользуетесь доменом G Suite, но всё ещё не перешли полностью на использование Chrome OS на клиентских устройствах, то теперь у вас есть возможность проводить инвентаризацию зарегистрированных в домене G Suite компьютеров на macOS и Windows.

Изначально, достоверная инвентаризация и верификация, а также полное управление в домене G Suite было доступно только для устройств на базе Chrome OS. Это связано с тем, что каждое устройство Chrome OS имеет на плате чип TPM, с сертификатом, который понимает Google, и который нельзя подделать, так как им подписан сам код Chrome OS, что проверяется при каждой загрузке, включая агент инвентаризации, аутентификации и управления.

Компьютеры с другими десктопными операционными системами, включая macOS и Windows, не требуют обязательного наличия чипа TPM на материнской плате и потому хранят все свои ключи фактически в открытом для записи виде, так что их можно в любой момент изменить.

Тем не менее, по многочисленным запросам пользователей, которые всё ещё не перешли полностью на Chrome OS, теперь компьютеры на базе macOS и Windows также можно зарегистрировать в домене G Suite в качестве оконечных устройств и они будут отображаться в инвентаризационных отчётах наравне с устройствами на Chrome OS.

Однако, ввиду того, что в общем случае абсолютно достоверно проверить подлинность локальных сертификатов на macOS и Windows технически не представляется возможным, на такие компьютеры по прежнему не распространяются политики безопасности, предоставляющие доступ их пользователям в закрытые сети, как на Chrome OS.

Таким образом, если например в школе, использующей домен G Suite for Education, настроены две Wi-Fi сети - одна общая (с ограничениями для детского контента), а вторая закрытая (без ограничений по контенту или с доступом к закрытой библиотеке служебных документов), то для подключения к общей сети можно будет использовать любой компьютер (на Chrome OS, macOS, Windows) и видеть их детали, включая имена пользователей, серийные номера компьютеров и их тип в консоли администратора G Suite, а для подключения к закрытой сети можно будет использовать только Chrome OS (что вполне нормально, если раздать Chromebook только преподавателям и администрации школы).

Установка агентов мониторинга на устройства macOS и Windows

Для функционирования агентов мониторинга на компьютерах под macOS и Windows необходимо наличие трёх составляющих:
1) Браузер Google Chrome

2) Расширение "Endpoint Verification" для браузера Google Chrome
3) Родной агент для macOS или родной агент для Windows в зависимости от типа ОС

Родные агенты для Windows в принципе совместимы с любой ОС Windows 7 и более поздней, однако, из-за того, что Microsoft не позволяет устанавливать браузер Google Chrome на свою ОС Windwos 10 S, версии ОС в S-mode нельзя зарегистрировать в G Suite.

Для регистрации в G Suite мобильных устройств на Android и iOS, которые не позволяют ставить расширения для браузера Google Chrome, в домене G Suite давно предусмотрен особый механизм регистрации мобильных устройств для Android и iOS, который позволяет не только их инвентаризировать, но и управлять ими.

Что всё это даёт администратору G Suite?

Фактически, регистрация macOS и Windows компьютеров в G Suite даёт возможность только упростить текущие задачи инвентаризации всех устройств, с которых используют ваш домен G Suite. Теперь красивые сводные инвентаризационные отчёты включают в себя устройства на Android, Chrome OS, iOS, macOS и Windows.

Однако, это всё же временная мера, которая не позволяет полностью централизованно и удалённо управлять компьютерами на macOS  и Windows, а потому, в целях существенного снижения затрат на обслуживание ИТ и повышения безопасности данных, задачу перехода на Chrome OS для всех пользователей домена G Suite она никак не отменяет.
Отправить комментарий