Что значит «за один день» — определение
«За один день» в этой статье — это:
- IT-отдел тратит 0–15 минут на одного сотрудника (не считая администрирования политик).
- Сотрудник к концу первого рабочего дня работает через VPN: видит CRM, корпоративный Git, Jira, 1С, почту.
- Никаких конфигов, никаких ручных скачиваний — клиент ставится через MDM или через корпоративный магазин приложений.
Это возможно, если в компании настроены три связки: Active Directory ↔ VPN, SSO ↔ корпоративные сервисы, MDM ↔ рабочие устройства. Разберём каждую.
Шаг 1: связка с Active Directory (провизия учёток)
Active Directory (или его облачные аналоги — Яндекс 360, VK WorkSpace, Google Workspace) — это единый источник правды о сотрудниках. VPN-решение должно уметь читать AD и автоматически создавать учётную запись при появлении нового пользователя в нужной группе.
Что нужно настроить один раз
- В VPN-админке включить интеграцию с AD через LDAP(s) или через REST API.
- Описать соответствие групп: например, группа
VPN-Engineeringв AD → группаEngineeringв VPN-админке. - Настроить автоудаление: если сотрудник уволен и его AD-учётка отключена — в течение 1 часа VPN-доступ тоже отключается.
- Включить журнал аудита — кто создал учётку, кто добавил в группу, когда изменились права.
Шаг 2: SSO (OIDC/SAML/LDAP)
Single Sign-On — это когда сотрудник один раз вводит пароль и получает доступ к десяткам сервисов без повторного ввода. Для VPN это означает, что аутентификация идёт через корпоративный IdP (Identity Provider), а VPN-сервис получает cryptographically-signed token.
Что выбрать
- OIDC — современный стандарт, проще в настройке, подходит для 95% случаев.
- SAML 2.0 — корпоративная классика, нужен если используются legacy-сервисы (старые версии Slack, GitLab, Confluence).
- LDAP — если AD + LDAP-bind (без token), VPN просто проверяет логин/пароль в AD. Самый простой, но менее безопасный.
Что важно
- Один и тот же IdP для VPN и для остальных сервисов — иначе придётся держать две SSO-конфигурации.
- MFA на уровне IdP (TOTP, WebAuthn, push) — VPN-клиент уважает факт MFA от IdP.
- Provisioning через SCIM или JIT (just-in-time) — пользователь создаётся в VPN-админке при первом логине.
Шаг 3: MDM и автодистрибутив клиента
MDM (Mobile Device Management) — это система управления устройствами: Microsoft Intune, Jamf (macOS/iOS), Workspace ONE, Kaspersky Security Center. Она умеет ставить VPN-клиент автоматически.
Сценарий корпоративного устройства
- IT-отдел выдаёт новый ноутбук. На нём уже установлен агент MDM.
- Агент при первом подключении к интернету регистрируется в MDM-консоли.
- MDM-профиль включает политику «установить VPN-клиент» и «подключаться автоматически».
- Сотрудник логинится в систему — клиент уже стоит, профиль подключения уже загружен, VPN работает.
Сценарий личного устройства (BYOD)
Здесь MDM уже не подходит полностью (см. ниже). Используется другой подход — корпоративный портал + клиент, изолирующий рабочий трафик.
BYOD: как подключать личные устройства
BYOD (Bring Your Own Device) — сотрудник работает на своём ноутбуке или телефоне. Идея: разделить рабочий и личный трафик на уровне приложения, чтобы VPN не видел личную жизнь, а ИБ-команда не контролировала личные данные.
Технически это реализуется через «per-app VPN» (только разрешённые приложения ходят через VPN) или через AppConfig-профиль на iOS/Android, который говорит системе: «эти приложения — рабочие, остальное не трогай».
Когда BYOD подходит
- Сотрудник фрилансер или партнёр по договору, у которого нет корпоративного устройства.
- Команда работает удалённо и компания экономит на ноутбуках.
- Сотрудник использует личный телефон для корпоративной почты и Slack.
Когда BYOD не подходит
- Обработка биометрии или специальных категорий ПДн (требования ФСТЭК жёстче).
- Госкомпании и операторы ПДн уровня УЗ-1 — нужен полный контроль через MDM.
- Сотрудник не даёт согласия на установку MDM-агента.
В CISO-сообществе BYOD — частая тема дискуссий. С одной стороны, удобно для сотрудника, с другой — больше поверхности для инцидентов. Золотая середина: BYOD + per-app VPN + журнал аудита без контроля устройства целиком.
Сценарий «первый рабочий день»
Соберём всё вместе — как выглядит день приёма сотрудника с корпоративным ноутбуком.
День 0 (накануне)
- HR отправляет заявку в IT.
- IT-команда добавляет сотрудника в нужные OU в AD (Engineering, Contractors, VPN-Allowlist).
- VPN-админка через 5–15 минут подхватывает событие и создаёт учётную запись.
- На корпоративный ноутбук через MDM разливается профиль с автоустановкой VPN-клиента.
День 1 (первый рабочий)
- 09:00 — сотрудник приходит, открывает ноутбук.
- 09:03 — входит в систему под доменной учёткой. SSO запускается.
- 09:04 — VPN-клиент уже установлен, профиль подтянут, подключение установлено автоматически.
- 09:05 — сотрудник работает: открывает Jira, Slack, корпоративный GitLab, Notion через корпоративный SSO.
- В течение дня — журнал аудита фиксирует все подключения. SOC видит штатную картину.
Что произошло без участия IT: создание учётки, выгрузка профиля, подключение, журнал. Всё это — две ручные операции в день 0 (создать AD-учётку и пометить ноутбук), 0 операций в день 1.
А если что-то пошло не так
Большинство сбоев — типовые: VPN-клиент не подтянулся по MDM, SSO-токен истёк, нужен дополнительный ресурс. На каждый сценарий — либо инструкция в базе знаний, либо тикет в ИТ-отдел.
Типичные ошибки онбординга
Ошибка 1. Установка клиента «по запросу»
Если сотрудник должен сам скачать и установить клиент — 15–25% новых сотрудников «забывают» это сделать в первую неделю. Они работают без VPN, либо старый VPN, либо вообще без защиты. Решение — автодистрибутив через MDM.
Ошибка 2. Per-app VPN для всех
Некоторые команды включают per-app VPN для всех корпоративных приложений сразу. Это удобно, но усложняет отладку — сотрудник не понимает, почему «не работает Notion», и начинает звонить в IT. Лучше сначала полный туннель, per-app — как развитие.
Ошибка 3. Игнорировать мобильных сотрудников
iOS и Android настраиваются иначе, чем десктоп. Часть MDM-профилей для iOS требует отдельной конфигурации. Перед пилотом проверьте оба.
Ошибка 4. Документация только для IT
Инструкции для сотрудников — половина успеха. PDF на 30 страниц никто не читает. 2-минутное видео и QR-код — читают.
Что делать, если сотрудник не может подключиться
Короткий чек-лист для IT-команды и для самого сотрудника. Если за 10–15 минут по нему не решилось — эскалация.
- VPN-клиент установлен? Проверить в системе: на macOS — Системные настройки → VPN, на Windows — Параметры → Сеть и Интернет → VPN.
- Есть интернет без VPN? Открыть сайт в браузере.
- Логин и пароль верные? Сбросить через корпоративный IdP.
- Есть MFA? Проверить, что код / push приходит.
- Корпоративный домен в личном кабинете VPN? Часто новички забывают принять приглашение.
- Брандмауэр не блокирует порты? На корпоративной сети офиса — попросить сетевого администратора проверить, не заблокирован ли порт.
- DNS резолвит корпоративные домены? Если подключение есть, а внутренние ресурсы не открываются — проблема в split-DNS.
- Перезагрузка клиента / устройства. Звучит банально, но в ~30% случаев помогает.
Стандартный SLA первой линии — 15 минут на диагностику, 30 минут на решение. Если за 30 минут не получилось — передаём на вторую линию.
Какие метрики отслеживать
- Time-to-Connect (TTC). От входа в систему до рабочего VPN-подключения. Цель — меньше 5 минут.
- Drop rate. Доля подключений, которые отвалились в течение сессии. Цель — меньше 2% за день.
- MFA challenge success rate. Доля успешных прохождений MFA. Цель — больше 95%.
- Tickets per 100 onboardings. Сколько тикетов на 100 новых сотрудников. Цель — меньше 5.