Подготовка к аудиту Microsoft: отчеты и доказательства

Что проверяют на аудите и почему всплывают расхождения

На аудите смотрят не на один отчет, а на связку фактов: что у вас установлено и используется, кому это назначено, и есть ли у компании право на такое использование. Поэтому запросы почти всегда охватывают устройства, пользователей, лицензии и подтверждающие документы.

Чаще всего просят выгрузки по парку устройств (инвентаризация и фактические установки), отчеты по пользователям и назначениям Microsoft 365, а также документы, которые объясняют изменения: прием и увольнение, смена роли, перевод в филиал, выдача и возврат оборудования, списание.

Расхождения всплывают даже у тех, кто покупал лицензии честно. Причины обычно приземленные: лицензии купили, но не закрепили за нужным юрлицом; часть пользователей ушла, а назначения остались; устройства заменили, а в учете остались старые; тестовые учетные записи стали рабочими; филиалы ведут учет по-разному. Еще частая история: закупка была под проект, а затем доступы и оборудование разъехались по другим командам.

Важно разделять фактическое использование и право на использование. Факт видно в установках, логах активации и назначениях. Право подтверждается заказами, договорами, счетами, сертификатами, выписками по лицензиям и внутренними актами, которые показывают, что актив выведен из эксплуатации или пользователь больше не имеет доступа.

По срокам обычно ждут быстрый ответ: сначала базовые выгрузки и перечень доказательств, затем уточнения по спорным позициям. Формат чаще всего табличный (Excel) плюс папка с документами, где каждый файл легко сопоставить со строкой в таблице (номер, дата, сотрудник, устройство, лицензия).

Кто отвечает за данные и как быстро собрать команду

На аудите важнее всего не «идеальные отчеты», а понятная ответственность: кто дает цифры, кто подтверждает документы, кто собирает и утверждает финальный пакет. Без ролей вы почти гарантированно получите разные версии одного и того же и потратите недели на согласования.

Назначьте владельца подготовки (часто это ИТ-директор или руководитель по инфраструктуре) и координатора, который собирает материалы и фиксирует решения. Дальше нужна небольшая команда, где у каждого есть свой кусок доказательств:

• ИТ: инвентаризация устройств, учет виртуальных сред, выгрузки по Microsoft 365, доступы к админ-панелям.
• Закупки: заказы, счета, подтверждения приобретения, переписка по продлениям.
• Бухгалтерия: постановка на баланс, амортизация, документы по движению основных средств.
• HR: приемы, увольнения, переводы, отпуска, статус подрядчиков.
• ИБ: правила доступа, журналы выдачи устройств, подтверждение деактивации учетных записей.

Сразу согласуйте периметр. Частая ошибка: команда смотрит только головной офис, а в данных всплывают филиалы, дочерние компании, тестовые тенанты, временные проекты и подрядчики с доступом. Запишите периметр одной фразой и закрепите, кто дает данные по каждому юрлицу и площадке.

Для рабочей версии пакета доказательств выберите одно место хранения с понятной структурой папок и версионностью. И заранее определите, кто утверждает финал: обычно это уполномоченный руководитель, а не только ИТ.

Экономит много времени и единый словарь. Договоритесь о правилах именования и применяйте их во всех таблицах и файлах. Обычно хватает четырех сущностей: устройство (инвентарный + серийный + подразделение), пользователь (табельный + UPN + статус), лицензия (точное SKU + тип + срок), документ (номер + дата + юрлицо + к чему относится). Если зафиксировать эти правила на одной странице, сбор отчетов и доказательств идет заметно быстрее.

Инвентаризация устройств: какие сведения должны совпасть

Инвентаризация почти всегда становится точкой расхождений: в учете числятся одни устройства, а в реальности используются другие. Для подготовки к аудиту Microsoft важно, чтобы данные из разных источников говорили одно и то же.

Сведите устройства в единый реестр и проверьте, что по каждой единице заполнен одинаковый базовый набор полей: инвентарный номер (или внутренний asset ID), серийный номер, владелец или ответственный (сотрудник или подразделение), местоположение (офис, филиал, кабинет), статус (в работе, на складе, в ремонте, списано).

Отдельно отметьте категории, которые чаще всего выпадают из учета. Ноутбуки уезжают в командировки и меняют локацию. Общие ПК (например, на ресепшене или в учебном классе) не привязаны к одному человеку. Терминальные рабочие места и тонкие клиенты легко спутать с полноценными ПК, хотя сценарий использования и учет могут отличаться.

Источники данных лучше собирать параллельно: выгрузку из Intune/Endpoint Manager (или другого средства управления) и ваш учетный список (CMDB или аккуратный Excel). Затем сопоставьте данные по серийному номеру и выделите строки, где не совпадают владелец, адрес или статус.

Для временных выдач и подмен на ремонт работает простое правило: фиксируйте дату, кому выдали, какой серийный номер был до и какой стал после. Акт выдачи или заявка в сервис-деск обычно закрывают вопрос, почему устройство появилось в управлении, но отсутствует в основном реестре.

Если часть парка закупалась у локального производителя, полезно заранее собрать первичные документы, где серийные номера читаемы и совпадают с тем, что видит система управления. Это часто ускоряет сверку.

Назначения Microsoft 365: отчеты по пользователям и лицензиям

В аудите Microsoft несоответствия часто находят не из-за покупок, а из-за назначений: лицензия висит на человеке, который уже не работает, гостевой пользователь получил доступ шире, чем нужно, или лицензии раздаются через группу, а исключения никто не помнит.

Начните с двух списков, которые должны сойтись: кто у вас реально активен и какие лицензии у этих людей назначены. Выгружайте не только сотрудников, но и гостевые учетные записи (B2B), а также сервисные учетные записи, если они используются.

Какие отчеты подготовить

Обычно хватает набора, который можно быстро обновлять перед каждым запросом:

• список активных пользователей и гостевых учетных записей с датой последнего входа и статусом (включен или заблокирован)
• отчет по назначенным лицензиям и планам (платные, пробные trial и бесплатные) по каждому пользователю
• срез по способу назначения (напрямую или через группы) с отмеченными исключениями
• список админских ролей и отдельных привилегий, если они могут влиять на требуемый уровень лицензирования

На что смотрят и что часто забывают

Проверьте группы, через которые раздаются лицензии. Если назначение идет через группу, важно показать логику: кто попадает в группу, кто исключен и почему. Иначе выглядит так, будто лицензии назначены «по умолчанию всем», а потом вручную что-то исправляли.

Отдельно зафиксируйте пробные и бесплатные планы. Они создают шум в отчетах и иногда маскируют реальное использование. В материалах лучше явно указать, какие планы вы считаете не влияющими на расчет, и чем это подтверждается.

Типовой сценарий: менеджер увольняется, учетная запись остается активной «на всякий случай», лицензия Microsoft 365 продолжает списываться. Через месяц приходит новый сотрудник, и компания покупает еще одну лицензию, хотя можно было освободить старую. На аудите это выглядит как системная проблема контроля назначений.

Изменения по штату: какие кадровые доказательства готовить

Лицензии чаще всего «ломаются» не из-за техники, а из-за людей. На аудите смотрят, кому и на каком основании была выдана лицензия, и совпадает ли это с реальным статусом сотрудника. Полезно заранее свести кадровые статусы и учетные записи в один понятный набор доказательств.

Проверяйте не только «работает или уволен», но и пограничные случаи: отпуск, декрет, длительная командировка, временный персонал, внешние совместители. По каждому человеку должно быть ясно, должен ли он иметь доступ прямо сейчас, и на каком основании.

Какие документы обычно просят

Соберите кадровые бумаги так, чтобы по ним можно было восстановить историю доступа. Обычно достаточно копий или выгрузок из HR-системы, но они должны быть читаемыми и с датами:

• приказ или договор о приеме (дата начала)
• приказ о переводе или изменении должности/подразделения
• приказ об увольнении (дата окончания)
• документы о временном отсутствии (отпуск по уходу, длительный отпуск, командировка)
• реестр штатных единиц или список сотрудников на дату проверки

Отдельно проверьте «общие» сущности: shared mailbox, общие ящики отделов и сервисные аккаунты (например, для сканеров, интеграций, резервного копирования). На аудите важно показать, что это не «скрытые пользователи». Для таких сущностей заведите владельца (подразделение и ответственный), назначение (зачем нужно) и правило пересмотра (например, раз в квартал).

Подрядчики и временные сотрудники

По подрядчикам заранее определите, чья это учетная запись и кто оплачивает лицензии. Зафиксируйте простые правила: кому принадлежит учетная запись (заказчику или подрядчику), кто утверждает выдачу и отзыв доступа, на какой срок выдается доступ, какая лицензия разрешена и почему.

Пример, который почти всегда вызывает вопросы: сотрудник ушел в декрет, а его лицензия Microsoft 365 осталась на активной учетке. Если есть приказ и отметка, что доступ переведен на shared mailbox без лицензии (или закрыт), риск спора резко ниже.

Списание и вывод из эксплуатации: как доказать, что актив не используется

Если в учете числятся устройства, которые уже не работают в компании, на аудите это часто выглядит как «лишние установки» или «лишние пользователи». Важно показать не только факт списания, но и то, что актив действительно выведен из эксплуатации в конкретную дату.

Какие документы лучше всего работают как доказательства

Обычно достаточно пакета из 2-3 документов на каждую единицу, но они должны совпадать по серийному номеру (или инвентарному номеру) и дате:

• акт списания или акт передачи (например, на утилизацию или в другую организацию)
• документ по возврату лизинга или завершению аренды (если устройство было не вашим)
• накладная или акт приема-передачи в ремонт и акт возврата (если долго «висит» в ремонте)
• внутренний приказ или распоряжение (причина, дата, ответственное лицо)
• отметка в учетной системе со статусом «выведено», «утилизировано», «передано»

Ключевой момент: дата вывода из эксплуатации должна совпадать в бумагах и в ИТ-следах (например, когда устройство сняли с управления и перестали учитывать как активное).

Склад и ремонт лучше вести отдельными статусами, чтобы не считать такие устройства «активно используемыми». Если ноутбук лежит на складе как резервный, зафиксируйте место хранения, ответственное лицо, дату поступления и план (когда выдадите или спишете). Если устройство в ремонте больше пары недель, полезно иметь периодическое подтверждение, что оно не выдано пользователю.

Отдельная зона риска - виртуальные машины и хосты. Если они фигурируют в инвентаре, держите подтверждение удаления или остановки: дата, кто инициировал, по какой причине и что ресурсы больше не используются.

Пример: сотрудник уволился, ноутбук был арендный. В папке доказательств лежат приказ о выводе устройства из эксплуатации, акт возврата арендодателю с серийным номером и запись в учете со статусом «возвращено». Это выглядит как закрытая история без вопросов «где устройство сейчас».

Сопоставление покупок и использования: простая таблица доказательств

Самое убедительное доказательство для аудитора - когда в одном месте сходятся три вещи: что купили, какое право получили и как это право реально использовали. Такая таблица часто снимает половину вопросов в подготовке к аудиту Microsoft, потому что убирает путаницу между документами бухгалтерии, данными админов и реальными назначениями.

Сначала разложите покупки по типам, потому что у них разные правила: подписки (например, Microsoft 365), бессрочные лицензии, OEM на устройствах, корпоративные соглашения. Затем подтяните подтверждения: счета и договоры, спецификации, лицензии или сертификаты, а также подтверждение активации или ключи (если применимо). Не смешивайте в одной строке разные продукты или разные условия.

Ниже пример структуры таблицы, которую удобно отдавать вместе с выгрузками из Microsoft 365 и инвентаризацией устройств:

Чтобы таблица воспринималась как доказательство, проверьте несколько вещей: у документа есть уникальный идентификатор (номер и дата), права не превышают купленное количество на любую дату, видно назначение и снятие, для устройств указан серийный или инвентарный номер, спорные случаи отмечены комментарием (замена сотрудника, ремонт, вывод из эксплуатации).

Простой контрольный пример: если сотрудник уволился 20 июня, в строке должно быть видно снятие лицензии этой датой и новый пользователь, если лицензия «переехала». Тогда вопросы про «лишние» назначения обычно заканчиваются быстро.

План подготовки за 2-4 недели: шаги без лишней бюрократии

Чтобы подготовка к аудиту Microsoft не превратилась в бесконечный сбор справок, действуйте короткими спринтами и фиксируйте состояние на конкретную дату. Главное - договориться, какие изменения можно временно не трогать, а где это невозможно (например, приемы и увольнения).

Неделя 1: зафиксировать реальность и убрать очевидные хвосты

На время сверки по возможности «заморозьте» изменения: не создавайте новые тенанты, не переносите пользователей между группами, не меняйте модель лицензирования. Затем снимите выгрузки из систем, чтобы у всех была одна база для сравнения: инвентаризация устройств (имя, серийный номер, владелец, статус, дата последней активности), выгрузка пользователей и назначений Microsoft 365 на дату фиксации, список активов в списании или выводе из эксплуатации и кто это согласовал, список учетных записей, которые нужно закрыть (дубликаты, уволенные, подрядчики).

После этого быстро «прочешите» данные: объедините дубликаты пользователей, закройте неиспользуемые учетные записи, отметьте устройства, которые давно не выходили на связь. Это часто дает самый заметный эффект без сложных действий.

Неделя 2-4: сверка, доказательства, единый пакет

Сведите три потока в одну картину: устройства, назначения лицензий и изменения по штату. Если сотрудник уволен, должна быть связка: дата увольнения в HR, закрытие учетной записи, подтверждение, что устройство либо передано, либо списано.

Дальше закройте пробелы: оформите недостающие акты (передача, списание, вывод из эксплуатации) или короткие служебные комментарии по исключениям; проверьте спорные случаи (общие почтовые ящики, временные доступы, тестовые аккаунты); соберите «пакет аудитора» (выгрузки, таблица сверки, акты, пояснения и контакт ответственного).

Назначьте одного владельца процесса (обычно IT или SAM), который отвечает на вопросы аудитора и фиксирует, какие материалы уже переданы. Это защищает от ситуации, когда разные участники пересылают разные версии одних и тех же файлов.

Типовые ошибки, которые приводят к доначислениям

Доначисления часто появляются не из-за умысла, а из-за дыр в учете. Проверяющие смотрят на факты: кто и чем пользуется, чем это подтверждено, и можно ли проследить историю изменений.

Первая частая ошибка - лицензии и доступы, которые продолжают числиться за уволенными, стажерами или временными учетками. Человек ушел, а учетная запись осталась активной или лицензия не снята. В отчетах по Microsoft 365 виден лишний пользователь, и это трактуется как использование.

Вторая болевая точка - устройства, которые «пропали» из инвентаризации. Если ноутбук или ПК исчез из учета ИТ, но нет актов списания, передачи, ремонта или вывода из эксплуатации, доказать, что он не используется, почти невозможно. На аудите это быстро превращается в вопрос: где актив и почему его не видно.

Третья ошибка - смешанные периметры в одном наборе данных. Например, филиалы, дочерние компании и подрядчики попадают в одну выгрузку без пояснений. Тогда аудитору сложно понять, что именно проверяется, и он трактует данные максимально широко.

Также часто всплывают «несколько источников правды»: ИТ-учет говорит одно, бухгалтерия по основным средствам - другое, HR по штату - третье. Несовпадения в ФИО, табельных номерах, датах приема-увольнения и закреплении оборудования сразу выглядят как риск.

Наконец, ставки на память. Когда нет дат выгрузок, версии отчета, ответственного лица и короткого пояснения «что именно в файле», материалы быстро теряют ценность. Минимум, который стоит фиксировать всегда: дата и источник каждого отчета, владелец отчета (кто подтверждает корректность), период, который покрывает документ, и пояснение по исключениям (подрядчики, филиалы, тестовые учетки).

Если готовить материалы заранее, эти ошибки обычно можно закрыть за 1-2 недели: снять лишние назначения Microsoft 365, привести в порядок статусы учетных записей, собрать акты по выбывшим устройствам и согласовать «единую версию» данных между ИТ, HR и бухгалтерией.

Быстрый чеклист перед передачей материалов

Перед отправкой пакета документов потратьте 30-60 минут на финальную сверку. Это простой способ снять вопросы еще до переписки и не тратить дни на уточнения.

Проверьте, что по людям и лицензиям нет «серых зон». У каждой активной учетной записи должен быть понятный владелец (сотрудник, подрядчик, общий ящик) и актуальный статус. Если есть спорные записи (дубликаты, старые тестовые, бывшие подрядчики), зафиксируйте решение: блокировка, удаление, архив, перевод в общий доступ с обоснованием.

Короткий контроль перед отправкой:

• список пользователей и назначений Microsoft 365 совпадает с текущим штатом и списком активных учетных записей
• нет лицензий на неиспользуемых, заблокированных или «непонятных» учетках (или есть письменное объяснение, зачем это нужно)
• по каждому устройству указан статус и он подтверждается данными инвентаризации (в эксплуатации, склад, ремонт, списано)
• акты передачи, перемещения и списания собраны в один реестр, пронумерованы и легко находятся по строке в таблице
• таблица соответствия «покупки - установки/использование - владелец» обновлена на текущую дату и согласована ответственными

Если находите расхождение, не прячьте его. Приложите короткую заметку: что именно не сходится, почему так вышло и какой срок исправления. «Журнал исключений» часто снижает количество дополнительных запросов.

Пример: компания с филиалами, M365 и регулярной текучкой

Компания: головной офис в Алматы и 3 филиала в регионах. Часть сотрудников работает удаленно и получает ноутбуки на руки. Microsoft 365 используется для почты, Teams и общих файлов. Текучка заметная: каждый месяц есть новые приемы и увольнения.

Перед подготовкой к аудиту Microsoft обнаружились типичные разрывы: в Microsoft 365 остались активные учетные записи уволенных, а в инвентаризации числятся старые ноутбуки, которые фактически списаны или лежат без движения, но документов нет. В филиалах подходы разные: где-то ведут учет в Excel, где-то только по накладным.

Пакет доказательств собрали так, чтобы его можно было быстро показать и так же быстро обновлять:

• выгрузка по пользователям и лицензиям Microsoft 365 (кто активен, какие планы назначены, когда был последний вход)
• реестр устройств (серийный номер, пользователь, подразделение, дата выдачи, статус)
• HR-реестр изменений (прием, перевод, увольнение, дата и номер приказа)
• документы по активам (акты списания, возврат на склад, ремонт, замена)

Пробелы закрывали по приоритету риска. Сначала убрали лишнее потребление лицензий (сняли назначения, заблокировали вход, настроили правило деактивации при увольнении). Затем оформили недостающие документы по технике и отдельно отметили исключения, где устройство потеряно или на расследовании.

Результат показывали не россыпью файлов, а в одном «мастер-листе»: строка на пользователя и строка на устройство, с полями «доказательство» и «где лежит документ». Рядом - папка доказательств по разделам (пользователи, лицензии, устройства, HR, списание). Так по каждой спорной позиции сразу видно, что куплено, кто использует и чем это подтверждено.

Следующие шаги: как держать готовность к проверкам постоянно

Спокойнее всего проходить аудиты, когда учет становится привычкой, а не разовым проектом. Тогда подготовка сводится к выгрузке актуальных данных, а не к поиску «кто где что установил».

Регулярный ритм

Заведите короткую ежемесячную сверку на 30-60 минут, чтобы ловить расхождения до того, как они станут проблемой. Удобно делать ее в один и тот же день, например в первые 5 рабочих дней месяца.

Минимум, который стоит проверять каждый раз: изменения по пользователям (принят, уволен, переведен), назначения Microsoft 365 (что выдано и что снято, есть ли «лишние» лицензии), новые устройства (что появилось и кому выдано), списания и вывод из эксплуатации (что снято с учета и подтверждено актами), исключения (временные подрядчики, общие учетные записи, тестовые стенды).

После сверки фиксируйте результат простым протоколом: что нашли, кто исправляет, срок. Это одновременно дисциплина и «история изменений», которую часто спрашивают.

Роли и инструменты

Назначьте одного владельца процесса SAM (не обязательно отдельная ставка). Его задача - держать календарь контрольных точек и собирать данные от ИТ, кадров и закупок. Нужен единый реестр: устройства, пользователи, статусы (в работе, на складе, списано), а также даты и основания кадровых изменений.

Если ресурсов не хватает, разумно привлечь системного интегратора: настроить правила учета, шаблоны актов и регулярные отчеты. Это обычно быстрее, чем каждый раз собирать процесс заново.

Отдельно помогает прозрачный жизненный цикл оборудования: когда рабочие места и серверы поставляются с понятной поддержкой и документами, проще вести инвентаризацию, перемещения и списания. В Казахстане такие процессы можно выстроить вместе с локальным производителем и интегратором GSE.kz, особенно если параллельно закрепить регламенты учета и сопровождения по всей сети филиалов.