Ответ на пост: Уголок параноика - можно ли украсть защищённый ноутбук или его удаленно заблокируют
Добрый день!
Уже собирался отойти в сон, как вдруг увидел пост. Есть у меня опыт в администрировании как раз таких компьютеров.
Работа моя состоит в том числе и с отслеживанием текущего состояния удаленных сотрудников.
Удаленная поддержка\восстановление операционной системы, борьба с вирусами и защита информации
Т.к. работа с конфиденциальной информацией и работодатель крайне не хотел бы, чтобы такая информация просочилась вне корпоративной техники и инфраструктуры.
Для таких случаев, Microsoft разработал технологию Microsoft Autopilot.
Что же то такое?
Вы берете устройство из коробки, не создаете для него никаких новых образов, а просто трансформируете в нечто готовое для бизнеса. Все необходимые конфигурации вы можете настроить поверх той базовой операционной системы, которая поставляется OEM (производителем оригинального оборудования).
Опуская все технические детали, опишу, как это делается в нашей компании. Мы платим компании HP\Lenovo деньги и просим подготовить например 200 OEM ноутбуков. Они производят 200 ноутбуков, дают нам серийные номера\ID заказа\Уникальный идентификатор устройства.
Мы грузим это в Intune, создаем 200 карточек устройства, назначаем нужные карточки для каждой должности сотрудника на конечном устройстве. А дальше производитель передает устройства в транспортную компанию.
Транспортная компания привозит запечатанный, новый компьютер, сотрудник распаковывает его, ставит на зарядку и включает. Всё, с этого момента, с самого первого включения Intune его видит. И управляет им.
Когда девайс доставлен,на него выполняются первые загрузки и происходит мгновенная сверка со службой развертывания Autopilot(Это базовая функция Windows при первичной настройке, ее не отключить, мы пытались экспериментировать), чтобы определить, принадлежит ли устройство какой-либо организации. Если оно не зарегистрировано в Autopilot, оно проходит через обычный поток OOBE (например, если это пользовательское устройство).
Во время загрузки пользователю задается несколько вопросов. К примеру: язык ОС, регион и раскладка клавиатуры.
После подключения к сети, устройство получает инструкции – оно «общается» со службой развертывания Autopilot и загружает профиль настроек из облака. В нем конкретно указывается, к какой организации принадлежит устройство и каким будет его дальнейшее «поведение». И этого не избежать. Вы можете заменить память, поменять SSD - это не поможет. Мы это увидим.
С самого первого включения, после любой переустановки системы, ничто не помешает Intune каждый раз увидеть ноутбук в сети. А значит мы можем удаленно управлять им.