У каждого сотрудника Леруа Мерлен есть корпоративный телефон. Там два слота под симки: один — под корпоративную с пакетом в 100 минут и трафиком для корпоративных приложений и 3 Гб на мобильный интернет-трафик, во второй можно втыкать личную. На телефонах — мессенджеры, соцсети, личные звонки и корпоративный EMM с двумя десятками корпоративных же приложений. То есть если надо сказать что-то сотруднику в магазине, то он получит сообщение в Ватсапе. Заболел ребёнок — тоже жена дозвонится в рабочее время.

А я расскажу про то, как мы это внедряли. Потому что есть там несколько неочевидных моментов вроде того места, где вся эта прорва телефонов вдруг решит одновременно ломануться за обновлением.

Я с командой провела исследование на 1000 человек про то, можно ли перенести наши основные процессы в мобильность, тогда ещё было не ясно нужен нам терминал или телефон. И если да — какой он должен быть. Будут ли сотрудники использовать свой личный телефон или устройство должно быть предоставлено компанией? Какой личный аппарат сейчас у сотрудника? После этого мы смотрели на мировые практики. В итоге выбор пал в сторону телефона от компании, чтобы не поддерживать зоопарк устройств. Телефон — потому что устройство должно быть у каждого в руках и доступно в любой момент, что нельзя обеспечить с терминалом.

Как выбирали телефон


Поговорили с юзабелистами: они сказали, что для большинства корпоративных приложений лучше использовать экран никак не четыре дюйма, а побольше. Проверили, как будут делаться основные сценарии, и остановились на требовании пять дюймов по диагонали минимум (по факту — 5,2).

Нужны были 3G и LTE под российские стандарты, чтобы телефоны работали с базовой связью в магазинах. И быстро.

Камера нужна с автофокусом и возможностью покопаться в её начинке на низком уровне: это нужно для приложений сканирования штрихкодов. Тоже набор требований.

Служба HR очень хотела NFC. Изначально это не было требованием, но мы выбрали модель, где всё равно эта функция была, и теперь обсуждается перевод пластиковых карт Sodexo для оплаты обедов во внутренней столовой и в ряде сетей общепита прямо на борту устройства. Ну и ещё Samsung Pay очень интересен многим сотрудникам, как оказалось.

Обязательно две SIM-карты, потому что одна — корпоративная, вторая — личная.

Слот карт памяти, чтобы сотрудник, если ему не хватает встроенной памяти, мог бы её расширить.

Достаточное количество оперативной памяти.

Не кирпич по весу.

В той же ценовой категории, что у клиента в среднем (то есть не выше).

Батарея на полтора дня и чтобы прожила два года. Присматривались к усиленным батареям, но не стали идти по этому пути. Взяли расширенную гарантию на телефоны от производителя, теперь они их просто целиком меняют в случае поломок.

Понятно, что сотрудники роняют телефоны на складе и при работе в магазине. Была гипотеза, что менять их на новые дешевле, чем давать каждому вандалостойкое устройство с полкирпича размером. После обкатки в первых трёх магазинах выяснилось, что это действительно так.

Выбрали вот это:



Точнее, сейчас это уже две модели: 2016 и 2017. На втором аккумулятор уже несъёмный, и при потере ёмкости телефон по расширенной гарантии меняют целиком.

Тестовая эксплуатация


Важное требование от бизнеса — это всё должно покупаться в лизинг.

Ставим ПО, которое позволяет загружать конфигурацию (набор нужных приложений в виде APK-файлов и уже сконфигурированный MDM-агент) с флешки, затем изменяем настройку на MDM-агент. Схема с флешкой более быстрая и надёжная, чем качать на каждое устройство софт через Wi-Fi, особенно если вам нужно подготовить 100+ устройств в день.

Стартовал пилот на три магазина. Около 300 устройств на магазин, всего — чуть больше 1 000 штук.

MDM купили вместе с услугой лизинга. Это был Knox Premium.

При старте мы были готовы к тому, что будут сюрпризы, так как подобного опыта у нас не было. Образ MDM был около гигабайта. Партнёр доставил телефоны в магазин, там в них воткнули SIM-карты и включили сеть. Мы не рассчитали объём и положили сеть по исходящему каналу.

SIM-карты магазин покупает на себя, потому что магазин — это обособленное подразделение.

А вот и решение, которое мы нашли. Пришли к тому, что партнёр берёт эти телефоны, получает SIM-карты от магазина, вставляет у себя, прописывает связку — номер сотового телефона, номер карты и IMEI аппарата для MDM, — разливает образы по шнуркам и потом везёт телефоны в магазин. Там уже стартовая активация.

Сразу после старта мы поймали бан от ВКонтакте — пользователи с телефонами из одного пула (с номерами i++) стали логиниться одновременно. Поддержка помочь не смогла, и тогда мы пробились дальше. Там некоторое время радовались казусу, а потом настроили фильтр специально для нас.

Создали роли по должностям (сейчас их 12). Они определяют набор приложений и политик.

Выбрали куратора в каждом магазине, он стал амбассадором проекта в магазине. Он занимается вопросами заказа оборудования и всячески продвигает платформу в магазине. Обучает сотрудников и показывает им личным примером, как и что работает. Обычно это был руководитель торгового сектора.

Разлили первые три магазина, всё заработало. Очень помогло приложение для получения агрегатов данных по товарам. Там можно смотреть товары, характеристики, остатки и цену, причём в реальном времени без задержки в отличие от интернет-магазина. На тот момент была старая платформа интернет-магазина, и там ещё был не весь товар. Плюс тут были вещи вроде закупочной цены. Через неё можно было выписать бланк продажи. Это когда ты продаёшь мерный товар, там нет готового ценника под каждый метраж, продавец отрезает полтора метра трубы и выписывает бланк на эти полтора метра. Он остаётся виртуально в системе — они с покупателем придумывают четырёхзначный код (обычно это дата рождения), он его говорит на кассе, трубу добавляют в чек.



Возможность вбить название товара и получить по нему точное наличие на складе, в зале в накопителе и на витрине очень порадовала почти всех. А ещё соцсети в магазине и Ватсап, который стали использовать почти все. Мы его включили в базовый образ.
Хорошо заработала корпоративная социальная сеть. И корпоративный интернет-сайт, там стали получать справки от кадров и много чего ещё.

Нужно было разливать на все точки.

Телефоны сразу готовились подрядчиком с защитным стеклом и чехлом — это условие лизинга. Потом мы пересмотрели модель чехла, и сейчас его изготавливают специально под нас, по нашим требованиям.

Заблокировали в MDM автообновление операционки. Связку с аккаунтом телефона сделали на базе логина в корпоративной сети.

Боевая эксплуатация


Начали выдавать телефоны и обучать ими пользоваться в группах по 16 человек.
Сессия обучения сотрудника — азы базовой настройки телефона. Вход в корпоративную соцсеть, Ватсап, Телеграм, пользование мобильной версией программ для сотрудников гипермаркета.

Для внедрения был составлен план обучения сотрудников, составлена и реализована медиа поддержка проекта, организованы собрания в магазинах, предварительно проведены веб-конференции. Основная сложность была в том, что необходимо было выдать телефоны при этом предварительно провести обучение всех сотрудников магазина. Эта активность и называлась «внедрение проекта в магазине», это когда надо чётко спланировать обучение, так что бы не в ущерб бизнесу, а именно обеспечить присутствие сотрудников на обучении при этом так, что бы в торговом зале тоже кто-то работал. Сейчас это уже в процессе принятия сотрудника: когда он заканчивает базовое обучение, у него уже есть телефон. Иногда случаются задержки из-за логистики, но в девяти из десяти случаев первый рабочий день человек начинает с телефоном. В крайнем случае — второй. В самом крайнем — третий. Были особенности с учётками в Active Directory: когда сотрудника добавляют в кадровую систему, он получает доступы иногда на следующий день.

До этого у офиса и части людей в магазинах были телефоны, но не было MDM по компании. Экран был маленький, даже с почтой было не очень удобно работать. По устройствам был зоопарк. Возможно, сдадим партнёру, чтобы получить скидку на новые.

Темпы роллаута были бешеные. Мы меньше чем за год развернулись в 84 магазинах. И ещё в шести неоткрытых.

Прямо посреди проекта партнёры заменили MDM-систему, и это было логично, важно, но всё равно стало сюрпризом. Было магазинов восемь на старой версии, а остальные надо было раскатывать сразу на новой Knox Manage. Надо было поддерживать конфигурации в двух MDM.

А потом начались блокировки Телеграма, и сервера MDM на Амазоне попали под раздачу. Месяц колбасило. Партнёр настраивал телефоны по VPN, а наш VPN не может позволять обходить официальные блокировки.

Билайн не записывает на SIM-карту номер, его не видно из MDM. При этом на телефоне через USSD-запрос можно узнать номер. Для решения этой проблемы планируем использовать данные собранные агентом управления с устройства, это — SIM ICCID и учётная запись пользователя, и данные полученные с API мобильного оператора ICCID и номер телефона.

С прошлого года мы должны передавать оператору паспортные данные тех, кто за корпоративной симкой. То есть даже юрлица обязаны предоставлять персональные данные сотрудника по каждому номеру с лета прошлого года. Не знаю, что у нефтяных компаний, там вообще датчики на трубах — если кто в курсе, расскажите, пожалуйста.

Потом пошли поломки телефонов. Строительные магазины, склады — место повышенной опасности для телефонов. С первых дней на них садились, их роняли, на них ездили погрузчиком, их пихали в микроволновку.



Мы этот инцидент с микроволновкой отдельно расследовали. Оказывается, в стандартном процессе миграции с одной MDM на другую мы тех, кто не нёс телефоны в поддержку слишком долго (больше месяца после трёх напоминаний), принудительно блокировали с сообщением утери телефона: «Неси в поддержку». Пользователь завёл биткоин-кошелёк на устройстве. Когда он увидел блок, то решил, что его взломали, и сразу кинул телефон в микроволновку.

Понадобилось донастроить блокировку релизов во время процессов вроде инвентаризации, чтобы человек не получал новый APK при активной работе. Там от ручного процесса добавления APK в MDM уходим к автоматическому через Дженкинс.

Добавили пуш-сообщения от MDM про релизы новых приложений (которые не ставятся автоматически) и про критичные новые фичи.

Сотрудники иногда меняют роль. Мы попали на период, когда после оценки это началось делаться чаще (массово). Смена роли — это ручной труд. Человеку надо обратиться в региональную поддержку, и она ему сделает. В новом релизе MDM планируем автоматизировать процесс по связке с кадровой системой.

Вторая особенность — увольнение. Там обходной лист, среди прочего — надо сдать оборудование и SIM-карту в поддержку. Может случиться кейс, когда человек ушёл с телефоном. Мы устройство блокируем и окирпичиваем. В Самсунге есть родной функционал антиугона — главное, чтобы аппарат в сеть вышел. Хард ресет не поможет.

Это оказалось ещё одной проблемой, потому что сейчас несильно продуман кейс, когда человек выключил все сети и забыл пароль блокировки экрана. Саппорт не может ничего сделать, партнёр не может ничего сделать, и даже Самсунг не может ничего сделать. Решают заменой материнской платы.

При увольнении телефон вайпят, но до этого рассказывают о том, как сохранить данные. Пользователь получает инструкцию по переносу всего в Гугл Драйв. Может обратиться в поддержку: понадобилось завести в магазинах кабели, чтобы выдавать человеку домой на вечер. Если уже пришёл сдавать — только онлайн-инструменты: чаще всего в последний момент забывают, что надо сохранять контакты.

А ещё устройства засоряются тем, что туда ставят пользователи. Производительность приложений тестируют разработчики на более-менее чистых системах. Юзеры же ставят темы нестандартные, какие-то дикие лончеры, набивают туда графических эффектов и гадящих логами приложений. Нередко телефон превращается в не очень юзабельную штуку. Доходит до такого:



Пока действуем реактивно, поддержка чинит. Есть инструкции, как почистить. К сожалению, тут как с виндой: семь бед, один ресет. Вайп — популярное решение проблемы. Перезагрузки реально помогают. L3-поддержка тоже многие инциденты с MDM просила решать вайпом, но тут мы эти решения не принимали, во всех разбирались.

Вот так получилось. Целью платформы на первом шаге было обеспечить каждого сотрудника мобильным устройством для общения и оперативного решения рабочих задач — телефония, соцсети, внутренние коммуникации, проверка наличия товара из любой точки гипермаркета, оформление заказов на мерный товар и т. д. А потом это дало большие возможности по росту в собственной разработке. Устройства есть, на них можно наносить невосполнимую пользу и причинять добро. Появился инструмент, которым можно сделать что-то полезное. У нас этим занимается целая команда, куда мы периодически набираем людей.