נתקעתם עם Mac נעול של עובד שעזב? Apple מחזירה את השליטה לידיים שלכם

קליטה ועזיבה של עובדים לא חייבת להסתיים בכל פעם במכשירים נעולים בארון של ה-IT. הכירו את הפתרון החכם של Apple לניהול מכשירים בארגון

כתב אורח
9.1.25
איך נמנעים ממצב של Mac נעול? (צילום: Dreamstime)

איך נמנעים ממצב של Mac נעול? (צילום: Dreamstime)

הכתבה בשיתוף YHM

את התהליך הזה עוברת כל עובדת חדשה שמקבלת לפטופ מהעבודה: שעות ולעתים ימים של המתנה עד שכל התוכנות מותקנות והיא מקבלת את כל ההרשאות שדרושות לה כדי להתחיל לעבוד. גם בצד השני זה לא פיקניק: תהליך ה-Onboarding הוא כאב ראש רציני גם לצוותי ה-IT בחברות שמגייסות 30-20 עובדים בחודש. כל יוזר צריך אימייל ארגוני, חשבון מיקרוסופט, הרשאות לחשבון באמזון, חיבור לסלאק והתקנה של מי יודע כמה אפליקציות – תעשו את החשבון ותבינו כמה זמן כל זה שואב.

אבל גם תהליך ה-Off-boarding של עובד עלול להיות אירוע לא פשוט, בעיקר אם הוא עוזב בנסיבות שליליות. לי יצא כבר כמה פעמים לראות לפטופ נעול ואפילו ערימה של לפטופים מושבתים שוכבים כאבן שאין לה הופכין בארון במשרד. אם תהיתם על קנקנם, סביר ששמעתם את הסיפור הקלאסי על עובד שפוטר וסירב לשתף את החברה בסיסמה שלו. במקרה של פרידה לא נעימה מצוות ה-IT, באמת שיהיה לכולם בהצלחה.

זה לא נעים לראות Mac נעול

הסיבה לבלגן הפוטנציאלי הזה היא שהמכשירים לא מנוהלים כ-Asset של הארגון: השימוש של העובדים בהם לא נבחן מפרספקטיבה של ארגון, אלא של משתמש פרטי. אבל עכשיו דמיינו מצב אחר לגמרי, שבו יש לכם שליטה מלאה בכל המכשירים. ולא רק זה – ברגע שהמכשיר נמסר על ידי שליח והעובד החדש פותח אותו לראשונה, ולא משנה באיזו שלוחה ובאיזה מקום בעולם – מוזנות אליו מיד דרך הרשת כל האפליקציות הרלוונטיות לו. הן פשוט עולות אצלו בזו אחר זו באופן אוטומטי ואלגנטי, Zero-touch deployment. מה שנקרא, סע לשלום – ההרשאות בפנים.


כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime


האידיליה הזאת יכולה לחסוך לא רק את הסיבוכים בקליטת עובדים חדשים, אלא גם לפשט את העזיבה שלהם ואפילו לפתור בקלות מקרים של גניבת מכשיר. זאת מכיוון שהשליטה נמצאת בידיים של הארגון, והוא יכול להשבית מרחוק את האפליקציות ולאתחל את המכשיר. בנוסף, ניתן להגדיר מראש לכל עובד ועובדת, לפי סוג התפקיד והפוזיציה בארגון, למה הם זקוקים ואילו הרשאות הם אמורים לקבל. אם הם עוברים תפקיד, ההגדרות ישתנו בהתאם – וגם זה בלחיצת כפתור ובשליטה מרחוק. ניקח לדוגמה גוף ביטחוני מסווג שלא מאשר הפעלת מצלמות במטה, אבל חייב אותן עבור אנשי המכירות בנציגויות בעולם. אין שום בעיה לעשות את זה – לעקר את המצלמות לקבוצה אחת ולפתוח אותן לקבוצה אחרת, או להגדיר סלאק לכל איש פיתוח לעומת אדובי פוטושופ לאנשי השיווק.

פתרון חכם בשתי שכבות (ותקן אבטחת מידע על הדרך)

אז איך נמנעים ממצב של Mac נעול? עוד לפני שניגש לטכנולוגיה, הצעד הראשון בדרך לפתרון הוא מודעות (Awareness). צריך להבין שיש כאן סוגיה שמחייבת טיפול: המכשירים שהארגון מחלק לעובדיו הם נכס שצריך לנהל, ולא משהו שנבנה טלאי על טלאי תוך כדי תנועה. ארגונים רבים מבינים את זה בעיצומו של הסקייל אפ, כשתוך פחות משנה הם מוצאים את עצמם עם 120 עובדים בנוסף ל-20 שהיו שם, ובמובן מסוים מאבדים שליטה. אבל בשלב הזה קשה הרבה יותר לתקן. החלק השני של המודעות כבר נוגע בהכרת הפתרון.

הפתרון ש-Apple מציעה הוא כפול. השכבה הראשונה שלו – הפלטפורמה, או טכנולוגיית הבסיס – היא Apple Business Manager, או בקיצור: ABM. מדובר בקונסולת ניהול, שכל לקוח עסקי של Apple יכול לבנות לעצמו כשירות ללא עלות. מרגע שיש לו אותה, הוא יכול לשייך אליה מכשירים (ובלבד שנרכשו מ-Apple Authorized Reseller, משווק רשמי ומורשה של החברה הגלובלית באותה מדינה).

השכבה השנייה היא שרת MDM – Mobile Device Manager, שמקושר לקונסולת הניהול. זה בעצם מגרש המשחקים שלנו, ובו נגדיר את כל מה שתיארנו קודם לכן: הגדרות ה- Policies וה-Grouping, מי יקבל מה לפי התפקיד והפונקציה, מי לא יורשה למה. הקסם כבר יקרה מעצמו ברגע שהמחשב ייפתח לראשונה. זהו עולם שלם של פתרונות: ישנם פתרונות מתקדמים שמאפשרים ניהול של עשרות אלפי מכשירים – כאלה שמיועדים רק למוצרי Apple, וכאלה שמנהלים מחשבים ומכשירים ממגוון יצרנים.

חשוב להבין שזה לא רק עניין של נוחות או של הצלת מכשיר יקר. לשילוב של ABM ו-MDM יש חשיבות עצומה בהיבטי פרטיות ואבטחת מידע. ניקח לדוגמה עובדת שעזבה, לאו דווקא ברע, ואכן מסרה את הסיסמה שלה. איפסנו את המחשב שלה, אבל שכחנו את הגישה שיש לעובדת למייל הארגוני, את החשבון ב-GitHub ו-Snowflake ואת ההרשאות לאמזון – וזה עוד לפני שדיברנו על פרצת האבטחה והסכנה בדליפת מידע למתחרים. זה סיפור אחר לגמרי כאשר השליטה על המכשירים נשארת בידי הארגון,  כשבניית הפרופילים מתבצעת באופן יסודי וגישות נחסמות באותה קלות שבה הן נפתחות. לכן, ארגונים שמבקשים להשיג תקן אבטחת מידע (SOC2 או ISO 27001) נשאלים על תרחישים שונים ונדרשים להציג, בין היתר, שרת MDM שבנוי כהלכה. זה רלוונטי גם לתקנות ה-GDPR, שדורשות מכל ארגון שמחזיק מידע על לקוחות לנקוט באמצעי זהירות קפדניים.

מבחינה טכנית, בעוד שפתיחת ABM ושיוך של המכשירים הארגוניים פשוטים לביצוע, בנייה נכונה של MDM, עם כל ההגדרות והאוטומציה שאנחנו מצפים מהשרת הזה לספק לנו בהמשך, זה כבר עסק מורכב. הפרויקט הזה מצריך הבנה עמוקה של צרכי הארגון והטכנולוגיה, אפיון מדויק שלהם, יצירת Scope of work וכיסוי מלא של כל המצבים האפשריים. לכן, אף שעקרונית אפשר להגיע לשם לבד, בשלב הזה מומלץ להסתייע בגורם מקצועי שיידע לעשות את זה נכון ובמהירות.

מאיפה מתחילים?

הנה 5 טיפים לניהול חכם של מכשירי Apple בארגון:

  • התחילו בתהליך ניהול מבעוד מועד: ודאו שכל מכשיר שנכנס לארגון ישויך למערכת Apple Business Manager כבר בשלב הקנייה.
  • בחרו בפתרון MDM מתאים: פתרונות כמו Kandji ו-JumpCloud מספקים שליטה, אבטחה וניהול מתקדם מרחוק.
  • השתמשו באוטומציות בתהליכי IT: חסכו זמן בעזרת עדכונים והגדרות אוטומטיות לניהול תוכנה, הרשאות ומשתמשים.
  • סוף מעשה במחשבה תחילה: איפיון נכון ומקצועי של הצרכים הארגוניים יאפשרו לכם לצמוח ביעילות.
  • חוויית העובד היא שם המשחק: לא עוד מחשבים עם טביעות אצבעות לעובדים חדשים, מעתה אמרו Zero Touch Deployment.

קשה לספור כמה מכשירים, אפליקציות והרשאות ארגונים מקצים לעובדים שלהם לאורך השנים. כל מרכיב כזה עלול לגרום לאסון עסקי, בשגגה או בזדון. ברגע שארגון יכול להשבית משתמש או להעניק לו את כל הגישות והתוכנות שהוא זקוק להן בלחיצת כפתור – נחסכים המון כאבי ראש ועוגמת נפש בקליטה, בעזיבה ובהיבטי אבטחת המידע. MDM שבנוי נכון על גבי פלטפורמת ABM משטח תהליכים, מאפשר אוטומציות IT, מפשט Onboarding ו-Off-boarding של עובדות ועובדים, מגדיר היטב את הגישות וההרשאות, את ה-EDR הארגוני ועוד. אתם יותר ממוזמנים לנסות את זה במשרד.

משרות פתוחות

אולי פיספסת

קטגוריות

זה המקום להכיר את החברות, המשרדים וכל מי שעושה את ההייטק בישראל (ויש גם מלא משרות פתוחות!) #תוכן מקודם