Яндекс Браузер для организаций. Опыт QIWI

Привет! Меня зовут Сергей, я ведущий системный администратор службы эксплуатации в QIWI. Так сложилось, что в нашей компании довольно большое число сотрудников, и часть из них работает в специфических системах.

Например, есть люди, которые в своей работе часто взаимодействуют с бухгалтерией, финансами, единой биометрической системой, Госуслугами, Контуром и прочим добром. Причём от того, насколько комфортно им это делать, на самом деле зависит выполнение их рабочих обязанностей. А вы знаете, что сейчас для многих (если не для большинства) окологосударственных сайтов нужны сертификаты. И чтобы сделать из дефолтного Chrome или Firefox подходящий инструмент для такого сотрудника, приходилось немного костылить — обвешиваться плагинами, настраивать их, потом по отдельности помогать каждому человеку, если что-то вдруг тупило. В общем, так себе история.

Но работать-то надо. И желательно — без заморочек, в централизованном формате «Включил — работаешь». Поэтому мы решили, что хватит это терпеть, и попробовали Яндекс Браузер для организаций.

cd45d5e61e7aa63c4ac734b08aa2637e.jpeg

Под катом я расскажу, что умеет Браузер на сегодня, как именно мы его внедряли, поделюсь нашим скриптом для быстрой миграции (вдруг вам тоже пригодится) и впечатлениями от работы. Вишенкой — о работе Браузера в закрытом контуре без внешней телеметрии.

Почему вообще Яндекс Браузер

Лень — двигатель прогресса. Гм, то есть, нам хотелось отойти от парадигмы, когда для финансиста или бухгалтера надо настраивать специфичное рабочее место в плане сертификатов браузера. Да, если у вас в компании пара таких сотрудников, то это не так уж и сложно. Даже если их 20, тоже можно что-то придумать. 

Но в масштабах большой компании подобные заморочки — это непозволительная трата времени. Тот самый случай, когда лучше один раз сесть, потратить время на автоматизацию и оптимизацию процесса, а дальше оно само работает и никого не отвлекает. 

Идеальный процесс я представлял себе примерно так:

  • подобный браузер со всеми из коробки установленными сертификатами можно устанавливать централизованно,

  • есть возможность использования собственных скриптов,

  • можно настраивать много параметров,

  • в итоге получается дать пользователю максимум нужных для работы возможностей в пару кликов,

  • и да, всё это — быстро и безопасно.

Очень уж хотелось избавиться от ситуации «Кто во что горазд» в плане ручной установки плагинов, плюс дать пользователям быстрый и очевидный доступ к корпресурсам, да и вообще — сделать всё красиво.

А тут ещё выяснилось, что ряд сотрудников у нас так и так использует Яндекс Браузер вместо Chrome / Firefox / Safari. Ну вот удобнее и привычнее он им, это из области персонального комфорта.

Подумав и взвесив все за и против, мы изучили возможности Яндекс Браузера для организаций и попробовали поработать с ним.

Особенности процесса

Сразу скажу, что надо чётко понимать одну вещь: Яндекс Браузер, которым вы, возможно, пользуетесь повседневно, и Яндекс Браузер для организаций — это разные штуки. То есть не будет такого, что у условного бухгалтера на рабочем ПК стоит Яндекс Браузер со всеми паролями, избранным и красивыми фонами, вы накатите ему поверх Браузер для организаций — и всё в порядке. Увы. Так корпоративная версия просто перезапишется поверх персональной, а вам придётся отвечать на вопросы вида «А где тут у меня папочка с закладками была?».

Варианта здесь два — или перетаскивать всё руками, классический сценарий с экспортом данных наружу —> их локальным сохранением —> импортом в новый браузер работает. Но это долго, когда мы с вами говорим о сотнях или тысячах сотрудников. Второй вариант — автоматизация процесса. Мы хотели сделать установку максимально прозрачной для пользователя, управляемой и кастомизируемой. Никаких странных окошек с подтверждениями, уведомлениями о перезагрузке по два раза в процессе установки и прочего.

Для этого мы написали набор скриптов. Важное: такие скрипты — это стандарт нашего отдела, процесс, которому подвергается каждое новое ПО. Существуют так называемые «пре-скрипты» и «пост-скрипты», эти разделы нужны для предварительных манипуляций на компьютере пользователя перед установкой ПО, и после установки. Пример «пре-скриптов» — бэкапирование файлов и папок. «Пост-скрипты» — обратный перенос этих папок и файлов, проверка целостности установки и другое.

Что делают наши скрипты

Во-первых, сразу решают проблему локального копирования данных. В процессе установки все данные пользователя, которые он успел насоздавать в процессе использования браузера, сохраняются в локально в специальную временную директорию. 

Во-вторых, полностью и начисто удаляют действующую версию браузера (включая всякого рода «хвосты», временные папки, логи, служебные файлы и прочее). После чего запускается чистка реестра.

В-третьих, запускают чистую установку нашего браузера. Я тут пишу «нашего», потому что для корпоративных клиентов Яндекс предоставляет своеобразный конструктор, в котором можно быстро создать нужную именно вашей компании версию Яндекс Браузера. Имеется в виду набор корпоративных вкладок, какие-нибудь нескучные фоны, подборку полезных расширений и прочее, прочее, прочее. После того как вы создаёте в конструкторе подобную сборку, вы можете выгрузить её и использовать для развёртывания.

В-четвёртых, скрипты разворачивают эту сборку у пользователя, добавляя в неё все данные, скопированные локально на первом этапе.

Итого сотрудник получает сразу из коробки последнюю версию Браузера со всеми корпоративными сервисами под рукой. Кажется мелочью, но в больших организациях на самом деле важно держать где-то поблизости и наглядно все эти сервисы — self service, страницы саппорта и заказа услуг, внутренние базы знаний, таск-трекеры и прочее. 

Что понадобится для развёртывания

  1. Веб-сервис Яндекса «Конструктор сборок», о котором я уже писал выше. Вот как он выглядит.

22670d8e1ee83ea53973782527e9dc62.png

Он даёт вам предварительно наполнить браузер контентом — прописать нужные папки (закладки) со ссылками на корпоративные сайты и порталы, установить брендовый задний фон, поставить базовый набор плагинов, выбрать архитектуру приложения (х86-х64), создать набор быстрых ссылок на пустой странице, а также настроить домашнюю страницу.

a91b554dcc726b04b38e8318c71702e9.jpeg

Сейчас конструктор позволяет клонировать уже созданные вами сборки, чтобы не повторять процесс с нуля каждый раз, а лишь вносить изменения, экономя свое время и силы. Это может показаться довольно очевидным, но на практике полезность такого конструктора сложно переоценить.

  1. Средства развертывания приложений PowerShell App Deployment Toolkit — это набор функций для выполнения задач развёртывания приложений и взаимодействия с пользователем в процессе. 

154c24435ebe98469a6495bbc3580d69.png

  1. Комплект средств автоматизации и управления клиентской инфраструктуры. Подойдет любой используемый в компании инструмент, приведу пример от Microsoft, Microsoft MDT или System Center Configuration Manager (SCCM/MEM). 

  2. Также нам понадобится консоль PowerShell и любой редактор кода, например, Microsoft VS Code.

Эти четыре инструмента помогли нам решить целый спектр задач, включая:

  • предварительную подготовку установочного файла (MSI);

  • написание скрипта для автоматизации задач развертывания и настройки;

  • сборку приложения в System Center Configuration Manager и добавление в каталог приложений;

  • тестирование развертывания Яндекс Браузера на пилотную группу

  • планирование и развертывание Яндекс Браузера на всех пользователей;

  • настройку шаблонов групповых политик, ограничивающих возможности и функциональность (GPO);

  • проверку результатов и подведение итогов перехода на Яндекс Браузер для организаций.

Баги, с которыми мы столкнулись

В общем и целом Яндекс Браузер для организаций активно развивается и не менее активно допиливает шероховатости. Но дело в том, что компаний-то много, у каждой свои представления о прекрасном, процессы, любимый софт и необходимые интеграции, так что какие-то более или менее уникальные баги пока ещё встречаются. К чести саппорта на стороне Браузера, решаются эти проблемы оперативно.

Вот несколько подводных камней, которые удалось нащупать нам.

  1. Проблема. У пользователей с уже установленным браузером директория приложения располагается не только в профиле пользователя Windows, но и в общей директории приложений Program Files. 

Как решили. На этапе предустановки проводилась проверка расположения файла «browser.exe»

  1. Проблема. Перед удалением необходимо было скопировать профиль пользователя Яндекс Браузера и перенести во временное расположение.

Как решили. Простым копированием из стандартной директории с последующим возвращением после установки. Корректное удаление старой версии с очисткой реестра и стандартных путей для временных файлов.

  1. Проблема. Корректное удаление старой версии с очисткой реестра и стандартных путей для временных файлов и установка с заданными параметрами и настройками. Всё это должно происходить в фоне и без каких-либо действий со стороны пользователя.

Как решили. В случае сбоев комплект PSADT ведет логирование установки, можно отследить, на каком этапе произошла ошибка.

А теперь про телеметрию

Думаю, это довольно важный аспект, если мы с вами говорим про работу в корпоративной среде. В одном из больших обновлений Браузера для организаций кроме прочих плюшек появится и локальный личный кабинет, on-premise-решение с DLP-системами, фильтрами контента, логированием и мониторингом в периметре. 

Что это значит для компаний? Что теперь можно будет развернуть этот личный кабинет на серверах в закрытом контуре компании и установить всё необходимое для работы такого ЛК. После чего вся аналитика, отслеживание переходов, клики по ссылкам, время, проведенное на ресурсах, в общем, вся подобная телеметрия останется только внутри вашего периметра.

Это станет довольно полезной фичей не только для тех компаний, которые в целом за приватность и против телеметрии как явления, но и для тех, у которых выход во внешнюю сеть существенно ограничен в силу безопасности. На базе этого личного кабинета можно создать внутренний каталог расширений и дополнений для браузера, который будет доступен внутри организации без необходимости что-то скачивать извне.

Так что прямо сейчас мы очень ждём этого обновления, чтобы сразу же начать активно его тестировать. Если вам интересно, как оно всё работает — напишите в комментариях, тогда постараемся написать отдельный пост про работу Браузера в периметре организации.

Полезные ссылки

Если в вашей компании тоже есть отделы, для комфортной работы которых пригодился бы Яндекс Браузер для организаций, буду рад, если мой опыт окажется для вас полезным. Вот вдобавок небольшой набор ссылок на официальную справку:

© Habrahabr.ru