Проектирование и оценка

Подключение устройств и корпоративных приложений: enrollment, provisioning и доступ

Создано 07.07.2026

Обновлено 07.07.2026

Как согласовать подключение устройств, пользователей и корпоративных приложений к управляемому контуру: чем отличаются регистрация, enrollment и provisioning, какие настройки выдаются и что проверить перед внедрением.

Короткий ответ

Enrollment - это постановка устройства, пользователя, рабочего профиля или другого объекта под управление. Provisioning - это выдача начальной конфигурации: профилей, сертификатов, приложений, политик, сетевых настроек и доступов. Регистрация означает, что объект появился в учете, но сама по себе не описывает ни управление, ни рабочую настройку.

ТерминЧто означаетЧто проверить в требованиях
РегистрацияОбъект появился в учете системы.Какие данные нужны для учета и кто владелец записи.
EnrollmentОбъект поставлен под управление или связан с управляемым контуром.Кто подключает объект, каким способом и какие границы контроля действуют.
ProvisioningОбъект получил начальную рабочую конфигурацию.Какие профили, сертификаты, приложения, роли и доступы выдаются автоматически.

В корпоративной системе эти процессы нужны не только для телефонов и ноутбуков. Через них подключают пользователей, рабочие профили, managed apps, корпоративную почту, VPN, сертификаты, сервисные роли и интеграционные компоненты. Хорошее описание enrollment и provisioning отвечает на практический вопрос: кто и что подключает к корпоративному контуру, какие настройки получает, какие признаки доверия проверяются и как потом изменить или отозвать доступ.

Когда применять

Тему стоит выделять отдельно, когда компания проектирует MDM/UEM, BYOD, корпоративные смартфоны, терминалы, рабочие профили Android, управляемые приложения или доступ к внутренним информационным системам. Если описать только установку MDM-профиля, можно пропустить важные части: учетные записи, роли, сертификаты, VPN, корпоративную почту, lifecycle устройства и порядок отзыва доступа.

Страница требований должна связывать устройство, приложение и пользователя в одну модель. Например, одно и то же приложение может получать разные настройки для личного телефона сотрудника, корпоративного ноутбука, общего терминала или выделенного устройства в режиме киоска. В каждом варианте отличаются границы контроля, набор политик, видимость данных и порядок сопровождения.

Регистрация, enrollment и provisioning

Регистрация

Регистрация отвечает на вопрос, что объект известен системе. Это может быть запись о пользователе, устройстве, приложении, сертификате, роли или сервисном компоненте. Регистрация не означает, что объект уже настроен, доверен и получил рабочий доступ.

Enrollment

Enrollment отвечает на вопрос, как объект входит в управляемый контур. Для устройства это может быть MDM-профиль, рабочий профиль Android, привязка к Apple Business Manager, Android Enterprise zero-touch, Samsung Knox Mobile Enrollment или Microsoft Intune. Для пользователя это может быть привязка к учетной записи, группе, роли и политике доступа. Для приложения - перевод в managed app, выдача конфигурации и связь с корпоративной учетной записью.

Provisioning

Provisioning отвечает на вопрос, что объект получает после подключения. Обычно это базовые политики, сертификаты, Wi-Fi или VPN-настройки, корпоративные приложения, профиль почты, параметры managed app, ограничения, доверенные корневые сертификаты и признаки соответствия требованиям. В информационных системах provisioning также включает учетные записи, роли, группы, окружения, сервисные доступы и параметры интеграций.

Что подключается к корпоративному контуру

Под управление могут попадать не только физические устройства. В требованиях лучше явно перечислить все типы объектов:

Что подключаетсяЧто обычно выдаетсяКто участвует
УстройствоMDM/UEM-профиль, политики, сертификаты, Wi-Fi, VPN, ограничения.ИТ-поддержка, безопасность, администратор MDM/UEM.
ПользовательУчетная запись, группы, роли, условия доступа, MFA-политики.Владелец ИС, IAM, служба поддержки.
Рабочий профильИзолированная рабочая зона, managed apps, рабочие данные.MDM/UEM, безопасность, пользователь.
ПриложениеКонфигурация, корпоративная учетная запись, per-app VPN, сертификат.Владелец приложения, IAM, PKI, сеть.
Интеграционный компонентСервисная роль, параметры окружения, технический доступ.Команда ИС, эксплуатация, безопасность.
  • устройства: смартфоны, ноутбуки, планшеты, терминалы сбора данных, общие устройства, киоски;
  • пользователи: сотрудники, подрядчики, сервисные пользователи, временные роли;
  • рабочие профили: Android Work Profile, изолированная рабочая зона на личном устройстве, контейнер для корпоративных данных;
  • приложения: managed apps, корпоративная почта, внутренние мобильные приложения, клиентские приложения к ИС;
  • доступы: роли, группы, политики IAM, VPN, per-app VPN, сертификаты, условия допуска;
  • интеграции: сервисные компоненты, технические учетные записи, параметры окружений и подключения.

Такой список помогает не смешивать MDM с общей моделью доступа. MDM или UEM управляет частью контекста, но рабочий доступ обычно зависит еще от IAM, PKI, сетевых правил, VPN, корпоративных приложений и эксплуатации.

Устройства, приложения и доступ

На практике enrollment и provisioning должны сходиться в одну цепочку. Сначала компания определяет модель владения устройством и границы контроля. Затем выбирает способ подключения. После этого выдает конфигурацию и приложения. В конце система должна уметь менять настройки, проверять соответствие требованиям и отзывать доступ.

Для корпоративного устройства допустим более глубокий контроль: обязательные политики, ограничения, инвентаризация, удаленная блокировка, управляемые обновления, корпоративные сертификаты и полный набор приложений. Для личного устройства чаще применяют рабочий профиль, managed app или ограниченную модель управления, где компания контролирует рабочие данные и доступ, но не личную зону пользователя.

Для корпоративных приложений provisioning не ограничивается установкой. Важно определить, какие параметры приложение получает автоматически, как связывается с учетной записью, нужны ли сертификаты, можно ли применять per-app VPN, где хранится рабочий кэш и что происходит при отзыве доступа.

BYOD, MDM-профиль и приватность

Запросы про MDM-профиль часто связаны не с архитектурой, а с тревогой пользователя: что видит компания на личном телефоне. Поэтому в требованиях нужно отдельно фиксировать границы контроля.

В BYOD компания не должна обещать полный контроль личного устройства как норму. Обычно управляется рабочий профиль, корпоративное приложение, учетная запись, сертификат или доступ к данным. Личные фотографии, личная переписка, история браузера и частные приложения не должны описываться как предмет корпоративного контроля, если это не следует из выбранной модели, платформы и согласованных правил.

В COPE, COBO и COSU границы другие. COPE означает корпоративное устройство с личным использованием, COBO - корпоративное устройство только для рабочих задач, COSU - выделенное устройство для одного сценария. Чем выше корпоративный контроль, тем подробнее надо описывать политики, поддержку, обновления, блокировку, очистку данных и возврат устройства.

МодельКому принадлежит устройствоЧто важно для enrollment и provisioning
BYODСотрудникуРазделить личную и рабочую зоны, описать MDM-профиль, managed apps и selective wipe.
COPEКомпании, но допускается личное использованиеСогласовать баланс контроля, приватности, поддержки и возврата устройства.
COBOКомпанииВыдать полный рабочий набор политик, приложений, сертификатов и ограничений.
COSUКомпанииНастроить один сценарий, режим киоска, ограниченный набор приложений и порядок обслуживания.

Что согласовать в требованиях

ВопросЗачем он нужен
Что подключаем?Не смешать устройство, пользователя, приложение, профиль и сервисный компонент.
Кому принадлежит устройство?Выбрать границы контроля и не обещать лишнего для личного телефона.
Что выдаем автоматически?Согласовать приложения, сертификаты, VPN, почту, роли и политики.
Что считаем признаком доверия?Связать MDM/UEM с IAM, PKI, VPN и эксплуатацией.
Как отзываем доступ?Заранее описать selective wipe, отзыв сертификата, блокировку роли и снятие профиля.
  • Какие объекты подключаются: устройства, пользователи, приложения, рабочие профили, сервисные роли или интеграционные компоненты.
  • Кому принадлежит устройство и какая модель применяется: BYOD, COPE, COBO, COSU или смешанная модель.
  • Как проходит enrollment: вручную, через приглашение, через MDM/UEM, через vendor enrollment или через рабочий профиль.
  • Что выдается при provisioning: приложения, профили, сертификаты, VPN, Wi-Fi, почта, роли, политики, параметры приложений.
  • Какие признаки доверия проверяются: соответствие политике, состояние профиля, сертификат, версия ОС, принадлежность группе, риск учетной записи.
  • Что видит и контролирует компания, а что остается личной зоной пользователя.
  • Как меняются настройки после подключения: обновление политик, замена сертификатов, перенос пользователя, смена роли.
  • Как отзывается доступ: удаление рабочего профиля, selective wipe, блокировка учетной записи, отзыв сертификата, удаление managed apps.
  • Кто сопровождает процесс: ИТ-поддержка, безопасность, владельцы ИС, администраторы MDM/UEM, владельцы IAM/PKI/VPN.

Типовые ошибки

  • Смешали регистрацию и provisioning. Устройство появилось в учете, но не получило нужные политики, сертификаты и приложения.
  • Описали MDM отдельно от доступа. Профиль установлен, но не понятно, как выдается доступ к корпоративным приложениям и ИС.
  • Пообещали полный контроль BYOD. Для личных устройств нужно отдельно описывать рабочую и личную зоны.
  • Забыли отзыв доступа. Требования заканчиваются подключением, но не описывают увольнение, потерю устройства, замену роли или отзыв сертификата.
  • Сделали vendor-инструкцию вместо требований. Apple, Android, Samsung и Microsoft можно использовать как примеры, но требования должны описывать корпоративный процесс, а не копировать настройку одного поставщика.
  • Не связали MDM с IAM, PKI, VPN и эксплуатацией. Без этой связки управление устройством не превращается в управляемый доступ к корпоративной системе.

Связанные материалы

Что дальше

Для требований достаточно начать с короткой матрицы: что подключаем, кому принадлежит устройство, какие настройки выдаем, какие признаки доверия проверяем и как отзываем доступ. После этого можно выбирать конкретные MDM/UEM, IAM, PKI, VPN и application-management механизмы без смешения терминов и без лишнего контроля там, где нужен только управляемый рабочий доступ.

Обсудить проект

Если хотите применить этот материал к вашему проекту, напишите нам. Поможем уточнить вводные, риски и следующий шаг: оценку, discovery, разработку, интеграцию или сопровождение.

Связаться