Get best of the week

Comment organiser rapidement et en toute sécurité le travail à distance des employés? Nous parlons de différentes approches: avec VDI ​​et pas seulement

L'entreprise est depuis longtemps confrontée à la nécessité d'organiser de manière pratique et sûre le travail à distance de ses employés. Mais si auparavant cette tâche pouvait être régulièrement repoussée et continuer à méditer, alors il n'y a plus de temps: «à distance» est la principale tendance du printemps 2020 à travers le monde. Dans ce document, nous souhaitons partager notre expérience dans l'organisation du travail à distance des employés, car nous sommes étroitement impliqués dans ce dossier depuis près de 25 ans.

Le format de travail à distance est absolument familier à tout employé de Dell Technologies, et nos bureaux russes ne font pas exception à cet égard. Plus précisément, nous souhaitons aujourd'hui nous concentrer sur les options permettant de résoudre le problème en utilisant l'équipement disponible, c'est-à-dire des solutions opérationnelles sans utiliser VDI, et en déployant VDI dès que possible. Sous la coupe, nous donnerons des réponses détaillées à quatre questions que nos clients actuels et potentiels ont le plus souvent posées récemment.



Est-il possible, avec un minimum d'efforts, de faire travailler les employés à domicile de la même manière qu'au bureau?


Pouvez. Pour ce faire, un employé qui passe à «à distance» aura besoin d'un ordinateur portable avec les programmes installés qu'il utilise habituellement, et d'un ensemble de collecticiels comme Microsoft Teams, Skype for Business, éventuellement Zoom, etc. Cela vous permettra de communiquer et d'échanger des informations avec votre équipe de la même manière qu'au bureau. Dans le même temps, une dernière chose est absolument nécessaire: un client VPN. Il existe de nombreuses options, et le choix d'une option spécifique sera évidemment dicté par les instructions du service de sécurité de l'information de votre entreprise.

Étant donné que l'appareil de l'employé sera à son domicile et non au bureau, il est nécessaire de prévoir le risque qu'une personne extérieure puisse y accéder. Par conséquent, l'authentification multifacteur doit être utilisée: cartes à puce, scanner d'empreintes digitales, jetons ou mots de passe à usage unique. Il ne faut pas oublier les logiciels de sécurité: antivirus et moyens de prévention des fuites d'informations.

Mais la chose la plus importante est le logiciel de contrôle à distance. C'est elle qui permettra aux spécialistes du service informatique de votre entreprise de configurer le PC des employés situés en dehors du réseau local. Les clients qui utilisent les ordinateurs d'entreprise Dell Technologies (en particulier les séries Latitude et OptiPlex) occupent une position privilégiée à cet égard. Le fait est qu'ils sont préinstallés avec Dell Client Command Suite, ce qui donne des avantages tangibles dans la situation actuelle.

En fait, il s'agit d'une solution KVM, dont la fonctionnalité peut être utilisée même si le périphérique sur lequel il est installé est situé en dehors de l'entreprise. Vous pouvez faire beaucoup de choses avec lui: déployer et configurer le périphérique, installer les pilotes, surveiller l'état et même mettre à jour le BIOS. Ici, cependant, il y a un point subtil: vous avez besoin de la prise en charge de la technologie vPro, et cela dépend de la configuration spécifique et du processeur utilisé dans l'ordinateur.

S'il existe une telle prise en charge, à l'aide des modules Déployer et Configurer, l'administrateur système peut préparer à distance le périphérique à émettre à l'utilisateur: installer à distance les assemblages des pilotes nécessaires et des mises à jour du micrologiciel. Le module Moniteur vous permet de surveiller l'état du matériel de l'ensemble du parc d'équipements entre les mains des employés distants.

Les ordinateurs d'entreprise ne suffisent pas. Comment organiser une "télécommande" sur les appareils des employés eux-mêmes?


Et c'est aussi possible. Ici, pour notre part, nous pouvons recommander d'autres logiciels spéciaux - Workspace ONE de VMware. Il se compose de trois parties. vIDM est responsable de l'identification des utilisateurs et de la mise en œuvre de la technologie d'authentification unique, et cela se produit indépendamment du fait que l'appareil soit situé sur un réseau d'entreprise ou externe.

La partie suivante est la gestion des appareils mobiles. Si vous avez déjà utilisé le programme, souvenez-vous-en sûrement sous le nom d'AirWatch. À ce jour, la fonctionnalité s'est étendue et les capacités existantes se sont étendues des appareils mobiles à n'importe quel PC avec Windows 10 à bord. Ici, vous pouvez distribuer des politiques de configuration de l'appareil, les restreindre dans certaines fonctionnalités, forcer l'installation ou la suppression de logiciels, surveiller la géolocalisation et - ce qui est important - vous pouvez nettoyer à distance l'appareil s'il est clair qu'il a été volé ou compromis.



Et ce n'est que la pointe de l'iceberg, il y a bien plus d'opportunités. La chose la plus importante à retenir est que tout cela fonctionne non seulement sur le réseau d'entreprise local, mais aussi, pour ainsi dire, pour Internet. Et une petite remarque sur la solidité du logiciel: tout cela est peaufiné depuis des années, et maintenant dans Workspace ONE, par exemple, même la consommation de la batterie d'un appareil distant est prise en compte. Autrement dit, votre employé, qui travaille sans se connecter au réseau électrique, ne sera certainement pas laissé sans ordinateur en raison du fait que les actions que l'administrateur a nommées soudainement "ont mangé" toute la charge restante lors de certaines mises à jour.

La troisième partie de Workspace ONE est VMware Horizon, et ce n'est pas seulement une solution pour accéder aux postes de travail au sein du réseau d'entreprise, mais une plate-forme VDI à part entière. De nombreuses fonctionnalités sont associées spécifiquement à l'utilisation des ressources du centre de données. Il existe à la fois la possibilité de travailler sur un réseau local (dans ce cas, les serveurs peuvent être déployés pour gérer les appareils qui sont entre les mains d'employés distants) et dans le cadre d'une solution cloud. Les deux options sont disponibles en Russie, la solution est à très grande échelle et complète.

Mais dans le cadre du sujet d'aujourd'hui, nous insistons sur le fait qu'il peut être utilisé pour connecter des employés qui ont des PC fixes, des ordinateurs portables, des clients légers ou même des tablettes iOS / Android à l'infrastructure du serveur.



À titre d'exemple, en termes généraux, nous parlerons d'un des exemples concrets de création d'une infrastructure de travail sécurisée pour les employés distants à l'aide de Workspace ONE. Avec cette approche, une sorte de «magasin d'applications» apparaîtra du côté de l'utilisateur, dans lequel il pourra télécharger les programmes nécessaires au travail, tandis que pour chacun d'eux un canal VPN séparé peut être organisé. Dans le même temps, lors du choix de l'application Gmail, disons, dans Android, l'utilisateur aura deux icônes du client de messagerie: son courrier personnel et un compte d'entreprise distinct, qui avant l'ouverture établira une connexion sécurisée. L'échange de données entre les applications de la zone personnelle de l'utilisateur et la zone d'entreprise n'est pas possible.

Bien sûr, il y a aussi la possibilité de vous assurer en cas de perte de l'appareil: l'administrateur peut nettoyer à distance le système. Une nuance importante: les données personnelles de l'utilisateur ne sont pas supprimées. Et en général, la fonctionnalité est très large: configuration automatique, cryptage, interdiction du stockage des données personnelles et ainsi de suite. Bien sûr, avant de déployer tout cela sur l'appareil de l'utilisateur final, la conformité du gadget avec les politiques de l'entreprise doit être vérifiée. Si soudainement quelque chose change dans le firmware après avoir vérifié la conformité, une interdiction de travailler avec les données peut être appliquée automatiquement ou le processus de mise à jour forcée peut démarrer.

Utilisons-nous des solutions basées sur Workspace ONEdans votre propre travail? Bien sûr que oui. Voilà à quoi ressemble le très «magasin d'applications» sur le dispositif de travail d'un de nos employés qui, comme beaucoup d'entre nous, travaille désormais à distance.



VDI est compliqué, coûteux et prend du temps. Est-il possible de l'organiser d'une manière ou d'une autre plus facilement, plus rapidement et moins cher?


Comment la plupart des gens imaginent-ils le VDI? Combien de machines virtuelles avec différents systèmes d'exploitation qui s'exécutent dans le centre de données. En utilisant l'accès à distance à partir d'un périphérique client, un utilisateur y accède et interagit avec des applications s'exécutant sur une machine virtuelle. En termes de systèmes, cela se résume essentiellement à Windows et Linux.

Le principal avantage de tout cela est la sécurité: les données restent absolument toujours dans le centre de données, elles ne le dépassent jamais et ne se retrouvent pas dans les ordinateurs des utilisateurs. L'employé distant sur son écran ne voit que ce qui se passe dans la machine virtuelle et ne peut même rien copier sur sa machine. Bien sûr, si l'administrateur système ne le permet pas. Dans le même temps, cela peut être considéré comme une limitation lorsque vous travaillez avec VDI.

Le deuxième avantage est la maniabilité. La mise à jour des applications et des versions du système d'exploitation, l'application de diverses politiques aux machines virtuelles est centralisée et très rapide. Plus important encore, la machine virtuelle n'est pas déployée sur chaque PC séparément, mais est clonée à partir d'images: des milliers d'entre elles peuvent être créées en quelques minutes. Et c'est le troisième avantage du VDI.

Le principal inconvénient du VDI est qu'il s'agit d'une solution difficile: il se compose d'un grand nombre de composants. De nombreux clients pensent que l'utiliser dans la situation actuelle pour déployer rapidement des emplois à domicile est peu pratique et coûteux. En est-il ainsi?

Prenons l'exemple de VMware Horizon. Bien sûr, il existe d'autres options non moins efficaces, mais nous utilisons exactement cette approche. En quoi consiste toute la structure sous une forme schématique simplifiée? Tout d'abord, c'est le client: cela peut être n'importe quoi - Windows, Linux, Mac OS et l'expérience utilisateur coïncide dans la plupart des cas sur différents appareils. S'il est difficile pour un employé d'installer lui-même un client VDI, vous pouvez travailler via un navigateur. Dans ce cas, l'accès à votre machine virtuelle personnelle se transforme en un lien et un identifiant, un mot de passe et, éventuellement, des données supplémentaires.



Le composant suivant est VMware Unified Access Gateway. Il s'agit d'un "gardien" qui, du point de vue d'un utilisateur externe, ressemble à un serveur Web. Il est situé dans la soi-disant «zone démilitarisée» de l'entreprise et cache le réseau local à Internet. Autrement dit, toute personne en dehors du réseau local ne voit que UAG.

Le serveur de connexion est un service de connexion qui est responsable de la connexion de l'un ou l'autre utilisateur à quelle machine virtuelle, serveur d'applications de terminal ou ordinateur physique. À quoi exactement il sera connecté - l'administrateur définit, l'utilisateur lui-même ne peut pas affecter les paramètres.

À quoi puis-je accéder avec VMware Horizon? Par exemple, sur le bureau Windows d'une machine distante. Il peut s'agir de Windows 10, Windows 7 ou d'une seule machine Windows Server. Ce dernier est pertinent s'il y a une tâche d'économiser sur les licences, mais nous ne nous attarderons pas là-dessus aujourd'hui. L'option de déploiement la plus économique est bien sûr les machines virtuelles Linux. Vous pouvez également économiser sur le matériel du serveur en configurant l'accès au terminal. À l'heure actuelle, sur un serveur physique, en moyenne, vous pouvez exécuter plus d'une centaine de machines virtuelles et environ 400 à 500 sessions d'accès aux terminaux.



Et dans tout cela, il y a un «mais», qui est souvent oublié quand on parle de VDI. Le fait est que la technologie vous permet d'accéder non seulement aux machines virtuelles, mais aussi aux PC physiques. Oui, de cette façon, sur laquelle les employés travaillaient dans le bureau avant le «monde de l'otdelenki à distance». Pour ce faire, vous devez installer Horizon Agent sur l'ordinateur du bureau, puis configurer l'accès distant à celui-ci en tant que machine virtuelle via le serveur de connexion et UAG. Si l'administrateur ne l'a pas autorisé, personne, sauf l'utilisateur lui-même, ne verra ce PC. Et tous les autres employés ne verront également que leurs voitures personnelles du bureau, qui sont passées au statut de voitures «virtuelles».

À propos de l'une des options pour un tel accès à un PC, nous avons tourné une belle vidéo. Dans ce cas, l'ordinateur est un poste de travail Dell Precision avec une carte Teradici dans un format de montage en rack: il est situé dans la salle des serveurs et un employé y accède à partir d'un client léger. Veuillez noter que l'expérience utilisateur est presque la même que si vous travaillez avec la même station graphique sans VDI, et nous parlons d'une tâche très exigeante - la modélisation 3D. Il s'avère qu'il n'y a pratiquement aucune différence pour l'utilisateur, et l'organisation en profite: elle améliore la gérabilité et augmente la sécurité.


Vous pouvez vous connecter à des machines réelles et virtuelles exécutant VMware Horizon à l'aide des protocoles VMware Blast Extreme, Teradici PCoIP, RDP, Remote FX et HTML5, c'est-à-dire que l'accès via le navigateur est également possible. Si vous regardez tout cela «à l'extérieur», alors UAG n'affichera que le 443e port, c'est-à-dire le HTTP crypté standard. Ainsi, la solution restreint l'accès au réseau local à un seul port d'accès à distance; vous n'avez pas besoin d'accéder au VPN.



Quel appareil choisir pour l'accès via VDI, s'il sera situé à la maison en dehors du réseau d'entreprise?


À notre avis, l'option la plus fiable est un client léger. Ses principaux avantages: sécurité, contrôlabilité, faible coût. L'inconvénient est que même ces gadgets doivent être achetés, c'est pourquoi le travail sera suspendu pendant un certain temps.

Vous pouvez prendre un ordinateur portable d'entreprise existant ou acheter des machines supplémentaires. Le plus ici est qu'il peut être utilisé pour travailler après la pandémie, y compris pour remplacer les PC qui ont déjà travaillé leur durée de vie. Les inconvénients sont encore plus importants: les ordinateurs portables doivent également être achetés, ils sont plus chers et, surtout, vous devez déployer un système de contrôle externe sur eux. Pour l'option «à domicile», cela est très gênant et long.

Une autre option évidente est le PC personnel de l’employé, mais nous pensons que tout le monde comprend ce que cela menace. Si un employé accepte de l'utiliser pour le travail, alors c'est rapide, bon marché, alors - nous l'avons découvert - certaines entreprises vont maintenant dans ce sens. Ce n'est que maintenant que tout fonctionne jusqu'à ce que quelqu'un qui a accès à ce PC apparaisse également: un enfant, un mari ou un «maître informatique». Ils apportent volontairement ou involontairement des modifications au logiciel ou même au matériel, puis dans la plupart des cas, l'accès au réseau d'entreprise cesse immédiatement. Et le problème ne peut pas être résolu par téléphone - vous devez envoyer un spécialiste.

L'option suivante concerne les appareils mobiles. À notre avis, c'est également une option acceptable s'ils sont sous le contrôle de la plateforme Workspace ONE .dont nous avons parlé ci-dessus. Mais ici aussi, ils ont leurs inconvénients. Premièrement, de nombreux employés ont peur de donner leurs gadgets mobiles sous le contrôle de l'entreprise, et ils peuvent être compris dans cet effort. Deuxièmement, il est difficile de travailler de manière productive sur des tablettes, et la connexion de périphériques n'est pas toujours possible.

À cet égard, une question supplémentaire se pose: est-il possible de transformer un PC existant en client léger?

Revenons un peu en arrière. Qu'est-ce qu'un client léger? Il s'agit d'un petit ordinateur spécialisé avec un système d'exploitation général ou un système d'exploitation spécialisé qui est personnalisé pour fonctionner en mode VDI. Des clients VDI, des logiciels de gestion supplémentaires y sont installés, et il est prêt à effectuer uniquement sa tâche la plus spécifique, en plus de cela, il ne peut rien faire. Le choix est immense: par prix, par productivité, par facteur de forme. Aujourd’hui, beaucoup repensent les clients légers de bureau et les distribuent aux employés qui sont passés au site remote.

La gestion d'un client léger est très simple, vous pouvez le faire très rapidement. De tels appareils, par défaut, ont beaucoup moins de variations logicielles et matérielles que les PC ordinaires. En outre, le logiciel pour eux est aussi automatisé que possible, parfois il ne nécessite aucune participation de la part de l'utilisateur final; il est facilement maîtrisé même par le personnel informatique junior de l'entreprise.



Que pouvons-nous offrir ici pour notre part? Nous avons Wyse ThinOS, et c'est elle qui distingue les clients légers Dell Technologies des solutions concurrentes. Le développement est très invétéré - en ce moment, elle a environ 17 ans. Le système a donc subi un grand nombre d'améliorations, il est débogué autant que possible et a aujourd'hui une taille minimale de 30 Mo. Le temps de mise à jour du client léger ThinOS à bord prend environ 30 secondes via un canal de communication rapide, et dans le cas de canaux de communication médiocres, il faut quelques minutes, mais pas des jours, pour comparer avec l'installation à distance d'une image Windows.

ThinOS ne vous permet pas d'installer de logiciel tiers, le système de fichiers de l'entrepôt de données n'y est pas disponible, et grâce à cela, le client léger n'est exposé à aucune attaque de virus ou tentative de piratage. Si vous jouez un peu de «magie», du point de vue du réseau, un client léger peut généralement être transformé en «boîte noire»: même si quelqu'un décide de l'attaquer, il ne comprend tout simplement pas de quoi il s'agit. Dans le même temps, il existe un moyen d'optimiser non seulement les applications ordinaires, mais également le multimédia, en travaillant avec Skype Entreprise, Jabber, les communications de conférence Cisco, et lorsque vous travaillez avec des applications 3D lourdes comme Autodesk, Solidworks ou Siemens NX, le décodage du trafic matériel est pris en charge. Ainsi, même les concepteurs peuvent travailler à domicile.

En un mot, en termes de niveau de fermeture, ThinOS rapproche le périphérique sur lequel il est installé des paramètres client zéro matériel, mais en même temps permet de travailler avec VMware Horizon , Citrix, VDI de Microsoft et d'autres fournisseurs. Le système prend en charge quatre protocoles d'accès à distance (VMware Blast Extreme, PCoIP, HDX 14, RDP / Remote FX 10) et vous permet de vous connecter à différents types de serveurs VPN.

Naturellement, ThinOS prend en charge la gestion par Wyse Management Suite. Et, répondant à la question au début de ce bloc, oui: nous pouvons convertir un PC ordinaire en client léger. Notre solution s'appelle Wyse Converter for PCs. Il s'agit d'un logiciel adapté à Windows 7/10 standard, et avec la prise en charge de la version russe, il est fourni par abonnement, ce qui est important: lorsque la situation actuelle se résout et que la plupart des employés retournent dans leurs bureaux, il ne peut tout simplement pas être étendu. La livraison se fait par voie électronique, il n'est donc pas question d'introduire des semaines, la facture durera un maximum de jours.

La tâche principale de ce programme est de transformer le PC sélectionné en Wyse Software Thin Client - le client logiciel Wyse avec le système d'exploitation Windows. Tous les périphériques pour lesquels des pilotes sont déjà installés sur la machine continueront de fonctionner. Si nécessaire, tous les clients VPN possibles seront pris en charge, mais l'essentiel est qu'un tel PC puisse être géré à l'aide de Wyse Management Suite. Et il sera difficile de le désactiver, car après l'installation, le système est réellement bloqué sur un état client zéro. Vous pouvez également remettre tout à son état d'origine en utilisant le même logiciel.

Les paramètres de Wyse Management Suite vous permettent d'automatiser le processus de connexion à VDI, c'est-à-dire de transférer l'adresse du serveur de connexion, d'installer le client nécessaire - par exemple, VMware Horizon ou Citrix Workspace Up et de l'exécuter sur ce PC. Il est presque impossible de quitter accidentellement le mode VDI, car il existe des paramètres qui redémarrent le client VDI après que l'utilisateur a appuyé sur le bouton d'alimentation. Et tout cela peut être essayé à l'avance en mode démo.

Est-il possible de faire une solution pour le travail à distance sans VDI, mais gérable et sûr?


Nous répondons également à cette question par l'affirmative, mais ajustée à certaines conditions qui doivent être strictement respectées. Tout d'abord, vous devez utiliser un client léger avec Wyse ThinOS - c'est une question de sécurité et de facilité de gestion. Un tel lieu de travail ne permet tout simplement pas physiquement à quiconque de faire quoi que ce soit qui n'est pas prévu par l'administrateur. Et une seule chose lui est demandée: se connecter via VPN et démarrer une session de communication à distance avec un PC de bureau. Cette approche élimine le besoin d'installer Horizon Agent ou un autre agent VDI sur le PC de bureau. La condition suivante est de gérer tout cela via le cloud Wyse Management Suite.



Pourquoi ne proposons-nous pas de clients légers sous Windows? Parce que le VPN est l'ouverture d'un très grand canal au sein de l'entreprise. À ce niveau de risque, de notre côté, de notre point de vue, il devrait y avoir l'appareil le plus sûr qui ne permettrait rien de plus.

Seuls deux protocoles sont proposés pour la connexion, car ils peuvent être utilisés directement avec les PC de bureau sans utiliser l'infrastructure VDI: ce sont RDP / Remote FX et PCoIP.

En parlant de gestion, il est important de souligner que Wyse Management Suite existe en versions gratuite et payante. Free ne peut être déployé que sur vos serveurs. Puisque la tâche que nous résolvons dans le cadre de la réponse à la question est réduite à un minimum d'actions avec une sécurité maximale. Et dans le cadre de la version gratuite, les problèmes qui prendront beaucoup de votre personnel de sécurité de l'information sont inévitables. Cependant, nous avons également le Wyse Management Suite Cloud, une solution cloud qui existe depuis un certain temps - maintenant, elle gère plus d'un million de travaux.



Il ne peut pas être acheté directement, mais avec la version payante de Wyse Management Suite Pro, vous obtenez Cloud gratuitement. Les licences sont émises dans le même compte personnel utilisé pour gérer les appareils. Pour affiner la configuration, vous pouvez utiliser WMS déployé à l'intérieur du réseau, puis simplement transférer cette configuration de clients légers vers le cloud.

Un avantage important de Wyse Management Suite Pro et Cloud en combinaison avec les clients légers Dell Technologies est non seulement la capacité de contrôler le système d'exploitation lui-même, les applications et les paramètres, mais également la gestion du BIOS. Ainsi, l'accès externe au PC est complètement exclu par des méthodes telles que le démarrage à partir d'un périphérique externe ou la modification des rôles administratifs.

Voici à quoi ressemble la console de gestion basée sur un navigateur. Dans le cas de WMS Pro et Cloud, pour la commodité des administrateurs, vous pouvez également déployer une application mobile.

Et c'est peut-être tout ce que nous voulions dire aujourd'hui. Si vous avez des questions sur le sujet, nous essaierons de répondre dans les commentaires. Et si soudain, après avoir lu le matériel, vous aviez envie d'essayer ou de mettre en œuvre certaines des solutions décrites, nous vous attendons dans des messages personnels - nous communiquerons rapidement avec les personnes responsables et elles organiseront tout. Merci pour l'attention!

More articles:


All Articles