Лицензии на удаленный доступ: как считать пользователей в филиалах

В чем проблема: пользователи есть, а как их считать - неясно

В филиальной сети перерасход по лицензиям на удаленный доступ часто появляется незаметно. В одном офисе добавили пару сотрудников, в другом подключили консультанта на неделю, в третьем открыли временную смену. По отдельности это выглядит как мелочь, но в сумме превращается в постоянные «докупки по факту».

Путаница начинается с простого вопроса: вы считаете людей, устройства или одновременные подключения? Когда филиалы отвечают на него по-разному, учет пользователей RDP быстро превращается в таблицу догадок. А разовые исключения (подрядчик, замена на время отпуска, стажер) со временем становятся нормой.

Недолицензирование опасно не только риском штрафов и претензий на аудите. Оно бьет по работе: доступ «вдруг» перестает пускать нужных людей, администраторы вручную перераспределяют права, а бизнес теряет время. Избыточные закупки тоже вредны: деньги уходят на лицензии, которые простаивают, а бюджет на реальную модернизацию (серверы, сеть, поддержка) сокращается.

Чаще всего выпадают те, кто не попадает в штатное расписание: внешние консультанты и подрядчики, стажеры, сезонные сотрудники, временные бригады, персонал на подмене. Плюс есть «скрытые» пользователи: руководители, которые подключаются редко, бухгалтерия в отчетный период, или сотрудники, работающие из дома пару дней в месяц.

Перед расчетом лицензий проясните четыре вещи: кто будет подключаться (штат и все временные роли) и из каких филиалов, что для вас важнее - «у каждого доступ всегда» или «важно число одновременных сессий», какие системы требуют удаленного доступа (1С, документооборот, CAD, терминальные приложения), и насколько часто меняется состав пользователей (есть ли сезонность и проектные пики).

Если эти ответы не зафиксированы, лицензирование становится реактивным: сначала подключили, потом вспомнили, что доступ нужно «узаконить». Так и появляется хронический перерасход.

Базовые термины, чтобы говорить на одном языке

Когда обсуждают лицензии на удаленный доступ, чаще спорят не о цифрах, а о смыслах. Одни считают людей, другие - учетные записи, третьи - компьютеры. В итоге закупают «с запасом» и годами переплачивают.

Три понятия, которые важно не путать:

• Пользователь - конкретный человек (сотрудник, консультант, стажер).
• Учетная запись - логин в домене, приложении или на шлюзе.
• Устройство - ПК, ноутбук, тонкий клиент или домашний компьютер, с которого подключаются.

Лицензирование обычно привязывают к одному из этих «якорей». Поэтому два человека, которые по очереди используют один терминал в филиале, и один человек с ноутбуком и домашним ПК дадут разный результат в зависимости от модели.

Именная и конкурентная модели звучат сложно, но логика простая. Named (именная): лицензия закрепляется за человеком (иногда за учетной записью), а часы работы не важны. Concurrent (конкурентная): важен не список людей, а максимум одновременных подключений в пике.

Тип удаленного доступа тоже влияет на подсчет. VPN дает «туннель» в сеть, но не всегда означает терминальный доступ. RDP/терминалы чаще считают по сессиям и правам на терминальный вход. VDI ближе к выделению отдельного виртуального рабочего места и обычно требует отдельной логики и лицензий.

И еще один частый перекос: «локальный» и «удаленный» сотрудник - это не про должность, а про сценарий. Если бухгалтер подключается удаленно раз в месяц, полезнее опираться на фактические входы, а не на сам факт существования учетной записи.

Какие данные собрать перед расчетом лицензий

Считать лицензии на удаленный доступ вслепую почти всегда дороже. Нужны данные не про «сколько сотрудников в компании», а про то, кто реально подключается, когда и к чему.

Начните с простой карты: филиалы, подразделения и роли. Важно понимать не только «откуда подключаются», но и «зачем»: бухгалтерия, касса, инженеры, колл-центр, врачи, преподаватели, подрядчики. У разных ролей разная частота входов и разная критичность доступа.

Зафиксируйте график работы и пики. Одна и та же команда может требовать разное число лицензий в зависимости от смен и сезонности. Если филиалы работают в разное время, лицензии часто переиспользуются. Если пики совпадают, запас нужен больше.

Дальше разберитесь с учетными записями. Частая причина перерасхода - общие логины вроде «оператор1» или «касса», которыми на деле пользуются несколько людей. Для лицензирования и для безопасности это разные истории, но для расчета важно честно разделить: сколько уникальных людей пользуются удаленным доступом, сколько учетных записей существует (включая тестовые и «на всякий случай»), есть ли общие учетные записи и кто за ними стоит, кто подключается редко (1-2 раза в месяц), а кто каждый день.

Отдельно составьте список систем, куда нужен доступ. Нередко лицензии покупают «под терминал», а потом выясняется, что части сотрудников достаточно почты, веб-кабинета или 1С, и им не нужен полный удаленный рабочий стол.

Последний блок - статистика из журналов подключений, без углубления в технику. Попросите выгрузку по количеству одновременных подключений в пиковые часы, длительности сессий, частоте входов по пользователям, а также по точкам входа (например, терминальный сервер или отдельные приложения). Даже 2-4 недели данных обычно дают реальную картину.

Простой ориентир: в филиале 30 сотрудников, но пик одновременных подключений к терминальному серверу - 12, потому что часть работает посменно, а часть вообще не использует удаленный доступ. Именно «одновременный пик» чаще всего задает нижнюю границу закупки.

Как выбрать модель лицензирования под филиалы

Выбор модели решает, будете ли вы постоянно докупать лицензии на удаленный доступ или спокойно проходить сезонные пики. Для филиалов обычно важны две вещи: похожие роли в разных городах и разная нагрузка по времени (утро, конец месяца, отчетные дни).

Именные, конкурентные и по устройствам: что выбрать

Именная (per user) модель удобна, когда состав людей стабилен и каждому нужен доступ регулярно. Контроль тоже проще: один сотрудник, одна учетная запись, один доступ, даже если он подключается то из офиса, то из дома, то в командировке.

Конкурентные (concurrent) лицензии часто выглядят выгоднее, когда подключаются не все сразу. Риск в том, что реальный пик в филиалах наступает одновременно: закрытие смены, кассовые операции, отчетность в бухгалтерии. Если «мест» не хватит, работа остановится, а лицензии придется срочно докупать.

Подсчет по устройствам оправдан, когда доступ нужен с конкретных рабочих мест, а не конкретным людям. Например, в учебном классе, регистратуре или на посту охраны, где за одним ПК работают разные смены.

Практичное правило:

• Именные - стабильные сотрудники и частые подключения с разных мест.
• Конкурентные - много редких подключений, а пики не совпадают.
• По устройствам - фиксированные точки доступа и сменная работа за одним ПК.

Как учесть пики и резерв, чтобы не переплачивать

Сначала смотрите не на среднее число подключений, а на максимум в «проблемные» дни. Резерв нужен не «на всякий случай», а под предсказуемые ситуации: отпуска и больничные (замены получают доступ), командировки, дежурства и аварийные работы, сезонные проекты.

Рабочий подход: заложить небольшой резерв для ключевых ролей (тех, без кого процесс встает), а для остальных проверить, можно ли пройти пик за счет сменности или очередности задач.

Пошагово: как посчитать нужное число лицензий

Чтобы не переплачивать за лицензии на удаленный доступ, считайте не «всех, у кого теоретически есть доступ», а реальную потребность в одновременной работе.

Пять шагов, которые дают рабочую цифру

1. Разбейте пользователей на группы: штат, подрядчики и консультанты, временный персонал. Отметьте, кто подключается из филиала, а кто извне.

2. Для каждой группы опишите сценарий: ежедневная работа, редкие подключения (например, 1-2 раза в неделю), доступ только в определенные периоды (закрытие месяца, инвентаризация, запуск проекта).

3. Посчитайте пик одновременных подключений. Берите самый загруженный час или два (часто утром, после обеда, в дни отчетности). Если данных нет, начните с опроса руководителей и короткого замера 1-2 недели.

4. Добавьте контролируемый запас. Часто это 10-20% к пику, но важнее не процент, а причина: «планируется новый филиал», «ожидаются проверки», «сезонные бригады». Запас должен быть записан и пересматриваться.

5. Зафиксируйте правила выдачи и отзыва доступа: кто заказывает, кто утверждает, как быстро доступ отключается после завершения работ. Без этого расчеты быстро устаревают.

Пример: сеть из 4 филиалов. В штате 120 человек, но в пике одновременно работают 28 (бухгалтерия и продажи). Подрядчики подключаются по проектам, максимум 4 одновременно. Временный персонал появляется в конце квартала, еще 6 подключений. Пик - 38. Добавляем запас 15% из-за планового расширения - получаем 44 лицензии.

Чтобы цифра держалась, заранее распределите роли: ИТ отвечает за учет подключений и отключение доступов; руководители подразделений подтверждают реальную потребность; безопасность/комплаенс (если есть) задает сроки доступа и контролирует подрядчиков; закупки/финансы пересматривают число лицензий по графику (например, раз в квартал).

Внешние консультанты и подрядчики: как учитывать без хаоса

Внешнему консультанту доступ нужен под конкретную задачу и на ограниченный срок. Если учитывать подрядчиков как штат, в лицензиях быстро появляется лишний запас, а в инфраструктуре остаются забытые активные учетные записи.

Обычно лучше работает простая практика: отдельная учетная запись на каждого подрядчика, но с заранее заданными рамками. Так проще проверить, кто подключался и когда.

Как организовать доступ без переплаты

Сначала решите, как подрядчики подключаются: постоянно или эпизодически. Для редких подключений (1-2 раза в месяц) часто выгоднее выдавать доступ по запросу и ограничивать его по времени, чем держать «постоянно включенного» пользователя.

Несколько правил, которые дают порядок:

• Отдельные учетные записи подрядчиков с датой окончания.
• Доступ только к нужным ресурсам (по группам и ролям).
• Включение по заявке и выключение после закрытия работ (just-in-time).
• Ограничение окна подключения по времени, если работа только в рабочие часы.
• Многофакторная аутентификация, если это возможно в вашей среде.

Чтобы доступ не оставался после завершения работ

Самый частый источник хаоса - проект закончился, а учетная запись осталась активной. Помогает простой процесс: заявка, согласование владельцем системы, автоматическое отключение по сроку и проверка после закрытия задачи.

Для внутренней проверки обычно нужны подтверждения, что доступ был обоснован и контролировался. Держите в одном месте: договор или допсоглашение, заявку на доступ, согласование, сроки работ, логи подключений и акт завершения. Это особенно важно в филиальной сети, где подрядчики могут работать сразу с несколькими площадками.

Временный персонал и сезонные всплески нагрузки

В филиальной сети временные сотрудники появляются волнами: инвентаризация, приемная кампания, отчетный период, проектные команды. Проблема обычно не в количестве людей, а в том, что доступ выдают «на всякий случай» и забывают отключить. Тогда лицензии начинают «утекать» в прошлые проекты.

Самый практичный способ подготовиться к пикам - отделить прогноз от факта. Прогноз делайте вместе с руководителями филиалов: сколько людей, на сколько смен, какие системы, нужен ли удаленный доступ каждый день или только для закрытия задач. А факт фиксируйте по выданным доступам и реальным входам, чтобы к следующему сезону план был точнее.

Правило для временного доступа

Сезонность и частичную занятость проще контролировать коротким правилом, которое заполняется перед выдачей доступа и проверяется при продлении: срок (дата начала и отключения), роль и ограничения по правам (например, только 1С/CRM/почта), руководитель, способ входа (личная учетная запись или общий пул), основание (договор, заявка, номер проекта).

Модель лицензирования выбирайте от сценария. Если люди часто меняются, а одновременно работает немного (например, из 30 временных работников в смену входят 8-10), обычно выгоднее общий пул конкурентных лицензий. Если сотрудник закреплен на весь сезон, регулярно заходит и нужны персональные права и аудит действий, чаще спокойнее именная модель.

Чтобы не терять контроль при постоянной ротации, задайте ритм: еженедельный список активных временных доступов по филиалам и обязательное подтверждение руководителем. Например, наняли 12 операторов на 3 недели - выдайте доступ на 21 день, а продление делайте только по списку тех, кто реально остался.

Пример сценария: считаем лицензии для сети из нескольких филиалов

Ситуация: 6 филиалов, 120 сотрудников. Дополнительно - 15 подрядчиков (аудиторы, внедренцы, юристы) и до 20 сезонных сотрудников в пиковые месяцы. Удаленный доступ нужен не всем, а тем, кто подключается к рабочему столу или приложениям из филиала, из дома или в командировках.

Разделим роли: касса и операторы, бухгалтерия, HR, ИТ, руководство. Для расчета важно не количество людей в штате, а сколько подключений бывает одновременно.

Допустим, удаленный доступ используют: касса и операторы (40 человек, 2 смены), бухгалтерия (18), HR (6), ИТ (8, дежурства и выезды), руководство (12, нерегулярно).

Дальше оцениваем пики одновременных подключений по сменам. Пример логики:

• Дневной пик: 22 (касса) + 16 (бухгалтерия) + 4 (HR) + 5 (ИТ) + 6 (руководство) = 53 одновременных.
• Вечерний пик: 18 (вторая смена кассы) + 4 (ИТ) + 3 (руководство) = 25 одновременных.

Подрядчиков не добавляйте «всех сразу». Если реально одновременно работает максимум 5 консультантов, считайте 5, а не 15. Сезонных тоже считайте по одновременности: например, в сезон добавляется до 10 подключений в дневной пик.

Если в одном филиале пик утром, а в другом вечером, это помогает, когда пул общий (центральный сервер/ферма): берете максимальный общий пик по времени, а не сумму всех филиалов. Если инфраструктура раздельная по филиалам, пики считают отдельно по каждому.

Итог для закупки: расчетный максимум (например, 53 + 10 сезонных + 5 подрядчиков = 68) плюс небольшой запас 5-10% на непредвиденные совмещения смен и срочные подключения.

Типичные ошибки, из-за которых возникают постоянные перерасходы

Перерасход почти никогда не появляется из-за одной большой ошибки. Обычно это набор мелких привычек, которые годами никто не пересматривает.

Самый частый источник путаницы - общие учетные записи. Когда в филиале есть логин «касса», «склад» или «смена-1», невозможно понять, сколько людей реально пользуются доступом и кто именно подключался. Это ломает расчет и усложняет безопасность и расследование инцидентов.

Вторая ошибка - считать «по головам» без учета одновременности. В филиале может быть 40 сотрудников, а удаленно в пиковые часы работает 8-10 человек. Без учета графиков и сменности закупка получается завышенной.

Третья - подрядчики и консультанты. Им дают доступ «на пару дней», проект заканчивается, а учетная запись и права остаются. Через полгода таких «временных» пользователей становится десятки, и они всплывают в аудите.

Пять типовых провалов, которые чаще всего держат перерасход:

• общие аккаунты на отдел или смену вместо персональных;
• закупка по численности штата без проверки одновременных подключений;
• доступ подрядчикам без даты окончания и владельца со стороны бизнеса;
• отсутствие регулярного отключения неактивных учетных записей и пересмотра прав;
• смешивание разных способов удаленного доступа (RDP, VPN и другие инструменты) без единого учета.

Простой сценарий: в конце квартала подключили временную команду для инвентаризации. Доступ выдали быстро, а после работ никого не отключили. История повторилась через квартал, и через год кажется, что «пользователей стало больше», хотя вырос только хвост забытых доступов.

Короткий чек-лист перед закупкой и пересмотром лицензий

Перед покупкой или продлением лицензий на удаленный доступ полезно остановиться на 20 минут и пройтись по пунктам, которые чаще всего экономят деньги и нервы.

1) Пользователи и ответственность

Убедитесь, что перечислены все категории пользователей и понятно, кто за них отвечает: сотрудники филиалов, центральный офис, внешние консультанты, подрядчики, временный персонал. У каждой категории должен быть владелец процесса (например, HR за временных, закупки или служба безопасности за подрядчиков, ИТ за сотрудников). Иначе учет пользователей RDP быстро превращается в переписку в мессенджерах.

2) Одновременные подключения и пики

Проверьте, знаете ли вы пики одновременных подключений по филиалам, а не только общее число людей. Лицензии чаще всего «съедают» утренние смены, закрытие месяца в бухгалтерии и дни, когда все подключаются почти одновременно.

Минимальная проверка: есть данные по одновременным сессиям по каждому филиалу за последние 1-3 месяца, отдельно отмечены пиковые дни (закрытие месяца, сезон, проект), и понятно, какие группы работают посменно и не пересекаются.

3) Временные доступы без ручного контроля

Для временных и внешних заранее задайте правила выдачи: кто создает доступ, на какой срок, кто подтверждает продление. Обязательный минимум - дата окончания, которая выключит доступ автоматически.

4) Регулярный пересмотр

Запланируйте квартальный аудит лицензий: кто ушел, кто пришел, какие филиалы изменили график, какие проекты закончились. Пересмотр раз в год почти всегда приводит к перерасходу, потому что «временные» успевают накопиться.

5) План на рост и сезонность

Держите простой прогноз: новые филиалы, запуск систем, сезонные нагрузки, привлечение подрядчиков. Если инфраструктура строится на локальном оборудовании (ПК, рабочие станции, серверы), план по лицензиям лучше увязывать с планом обновлений и поддержки, чтобы изменения не происходили «в разные стороны».

Следующие шаги: закрепляем процесс и наводим порядок в инфраструктуре

Чтобы перестать докупать лицензии на удаленный доступ «на всякий случай», нужен не разовый расчет, а понятный процесс. Начните с малого: инвентаризация, правила, пилот на одном филиале.

Практический старт: что сделать за 2-3 недели

Выберите один филиал как пилотный и пройдите цикл целиком:

• Соберите факты: список пользователей, роли (сотрудник, подрядчик, временный), график работы, реальная одновременность.
• Примите правила: кому положен удаленный доступ, как выдаем, на какой срок, кто согласует.
• Настройте учет: единый список заявок и выдач, чтобы не искать «кто кому открыл доступ».
• Зафиксируйте лимиты: допустимый запас лицензий и пороги, при которых вы пересматриваете расчет.
• Сравните результат: расчетная потребность против фактической, где были отклонения и почему.

Результат пилота оформите так, чтобы его можно было показать руководству: одна страница с числами и допущениями. Например: «В филиале А 120 сотрудников, 18 удаленных ролей, пиковая одновременность 11, запас 20% на отпуска и замены, итого 14». Отдельно укажите, что именно считается пользователем (человек, а не устройство) и как учитываются подрядчики.

Когда пора пересмотреть архитектуру удаленного доступа

Если вы постоянно упираетесь в ограничения терминального сервера, жалобы на скорость растут, а пики стали регулярными, стоит оценить варианты: терминальный доступ с корректным расчетом, VDI для отдельных групп или VPN там, где он уместен. Архитектура должна соответствовать реальному сценарию, а не прошлогодним привычкам.

Чтобы доступ выключался вовремя, подключите ИБ и кадровые процессы. Введите правило: любой подрядчик и временный сотрудник получает срок действия доступа, а продление делается только по новой заявке. Увольнение или окончание договора должно запускать проверку и отключение.

Если нужен проект «под ключ», можно привлечь системного интегратора. GSE.kz (gse.kz) помогает с проектированием инфраструктуры удаленного доступа, поддержкой 24/7 и подбором оборудования под вашу модель нагрузки, включая серверы S200 и рабочие станции собственного производства.