В мире корпоративного ИТ аббревиатура SAM (Software Asset Management) часто вызывает у руководителей и системных администраторов холодный пот. Получение «письма счастья» от Microsoft с предложением провести «сверку лицензий» — событие не из приятных, но неизбежных для растущего бизнеса.
Многие ошибочно полагают, что аудит — это карательная операция. На самом деле, это бизнес-процесс, к которому можно и нужно готовиться заранее. В этой статье мы подробно разберем, как самостоятельно провести инвентаризацию, где искать скрытые риски и как выйти из проверки SAM с минимальными финансовыми потерями или вовсе без них.
Аудит программного обеспечения — это процесс сравнения того, что установлено в вашей инфраструктуре, с тем, что вы купили юридически. Разница между этими показателями называется дефицитом лицензий (License Gap), и именно за этот дефицит приходится платить, часто по завышенным ценам.
Microsoft продвигает концепцию SAM как «помощь в оптимизации», но для бизнеса это всегда риск незапланированных расходов. Чтобы защитить компанию, нужно перейти от реактивного подхода («решаем проблемы по мере поступления») к проактивному управлению активами.
Типы проверок Microsoft: Чего ожидать?
Важно различать виды взаимодействия с вендором, так как тактика защиты будет разной:
1. SAM Review (Добровольная сверка). Самый распространенный формат. Вы получаете вежливое письмо от партнера Microsoft с предложением заполнить Excel-форму (Deployment Summary). Юридически вы не обязаны отвечать, но игнорирование может перевести вас в категорию «рискованных клиентов» и инициировать следующий этап.
2. LLC (Legal License Compliance). Более строгая процедура, часто инициируемая при явных подозрениях на пиратство.
3. Официальный аудит (LLP). Проводится силами «Большой четверки» (KPMG, Deloitte и др.). Это жесткая юридическая процедура, прописанная в вашем корпоративном соглашении (Volume Licensing Agreement). Отказаться от нее нельзя без разрыва контракта.
Этап 1: Техническая инвентаризация (Что у нас стоит?)
Первый шаг к безопасности — знать свою сеть лучше, чем аудитор. Нельзя полагаться на память или записи в блокноте. Вам нужны автоматизированные средства сбора данных.
Для сбора информации Microsoft рекомендует (и часто требует использовать) бесплатный инструмент MAP Toolkit (Microsoft Assessment and Planning Toolkit). Однако он устаревает, и многие переходят на коммерческие аналоги (Lansweeper, Network Inventory Advisor) или скрипты.
Если вы используете MAP Toolkit:
1. Установите его на сервер в домене.
2. Запустите мастер «Inventory and Assessment Wizard».
3. Выберите сценарий «Windows computers», «SQL Server», «Exchange».
4. Укажите учетные данные администратора домена.
В результате вы получите отчет, показывающий каждое устройство и установленный софт.
Совет: Обязательно ищите «зомби-серверы» — виртуальные машины, которые включены, но не используются. Лицензии они потребляют, пользы не приносят, а штраф за них начислят реальный.
Этап 2: Юридическая инвентаризация (Что мы купили?)
Теперь нужно собрать доказательства владения. Просто наличие коробки на полке — это хорошо, но в корпоративном секторе действуют другие правила.
Источники прав на использование (Entitlements):
— VLSC (Volume Licensing Service Center) или M365 Admin Center. Здесь хранятся все ваши корпоративные лицензии (Open License, Open Value, Enterprise Agreement).
— OEM-наклейки. Если Windows шла вместе с ноутбуком, доказательством служит наклейка на корпусе (или цифровая привязка в BIOS) и документы на покупку «железа».
— Коробки (FPP). Фотографии ключей, чеки, бухгалтерские документы.
Важно: Бухгалтерские закрывающие документы (накладные, акты) являются критически важными доказательствами, особенно если лицензии не отображаются в онлайн-порталах из-за сбоев или смены юрлица.
Этап 3: Сведение баланса (ELP — Effective License Position)
Самый сложный этап. Вы должны сопоставить установленный софт с купленным. Именно здесь совершается 90% ошибок, приводящих к штрафам. Создайте таблицу, где:
— Столбец А: Продукт (например, Windows Server 2022 Standard).
— Столбец B: Количество установок.
— Столбец C: Купленные лицензии.
— Столбец D: Баланс (C минус B).
Если баланс отрицательный — у вас проблемы.
ТОП-5 ловушек лицензирования, на которых теряют деньги
Аудиторы ищут не «крякнутый» Office (это уровень малого бизнеса), а тонкие нарушения правил лицензирования в Enterprise-сегменте.
1. Редакции SQL Server (Standard vs Enterprise)
Это самая дорогая ошибка. Если разработчик случайно установил SQL Server Enterprise «попробовать», а лицензия у вас только на Standard, при аудите вас заставят оплатить полную стоимость Enterprise (которая может достигать десятков тысяч долларов за ядро).
Решение: Используйте бесплатную редакцию Developer Edition для сред разработки, но строго следите, чтобы она никогда не попадала в продакшн (Production).
2. Лицензирование виртуализации Windows Server
Помните правило:
— Windows Server Standard покрывает 2 виртуальные машины (OSE) на одном хосте.
— Windows Server Datacenter покрывает безлимитное количество ВМ на хосте.
Частая ошибка: на хосте с лицензией Standard запущено 4 или 5 виртуалок. Вам придется докупать лицензии на все ядра хоста повторно («Stacking licenses»).
3. Клиентские лицензии (CAL)
Покупка Windows Server не дает права пользователям подключаться к нему. Нужны лицензии доступа CAL (Client Access License). Они бывают «на пользователя» (User CAL) и «на устройство» (Device CAL).
Ловушка: Если вы настроили DHCP или DNS на Windows Server, каждое устройство, получающее IP-адрес, технически потребляет лицензию. Аудиторы часто считают это нарушением.
4. Доступ к терминальному серверу (RDS)
Для удаленного рабочего стола недостаточно обычной CAL, нужна специальная RDS CAL. Это частый дефицит.
5. Мультиплексирование
Использование «прослойки» (например, веб-сервера), чтобы тысячи пользователей обращались к базе SQL Server под одним логином, не избавляет от необходимости покупать лицензии. В таких случаях выгоднее переходить на лицензирование SQL Server по ядрам (Per Core), где количество пользователей не ограничено.
Что делать, если обнаружили недостачу?
Если вы нашли дефицит до того, как отправили отчет аудиторам:
1. Удалите лишнее. Снесите неиспользуемые экземпляры SQL Server, Visio, Project. Замените редакцию Enterprise на Standard (где это возможно технически).
2. Консолидируйте виртуализацию. Перенесите все Windows Server ВМ на один мощный хост и покройте его лицензией Datacenter — это часто дешевле, чем покупать пачки Standard.
3. Докупите недостающее. Лучше купить софт у реселлера со скидкой сейчас, чем платить полную цену (True-up payment) по итогам аудита без скидок.
4. Подписки CSP. Если не хватает лицензий Office, подпишитесь на Microsoft 365 через канал CSP. Это закрывает «дыру» мгновенно и с помесячной оплатой.
PowerShell в помощь администратору
Для быстрой проверки редакций Windows в вашей сети можно использовать простой скрипт PowerShell. Это быстрее, чем обходить каждый ПК.
Invoke-Command -ComputerName (Get-ADComputer -Filter *).Name -ScriptBlock {
Get-CimInstance SoftwareLicensingProduct |
Where-Object {$_.PartialProductKey} |
Select-Object Name, ApplicationId, LicenseStatus
}
Этот код покажет статус активации и редакцию продуктов на всех компьютерах в домене.
Как вести себя во время аудита?
Если письмо уже пришло и избежать проверки нельзя:
— Назначьте ответственного (Single Point of Contact). Только один человек общается с аудиторами.
— Не отправляйте лишнего. Если просят данные по серверам, не отправляйте данные по рабочим станциям. Аудиторы могут найти нарушения там, где их не искали.
— Проверяйте отчеты скриптов. Автоматические сканеры часто ошибаются (например, считая бесплатный SQL Express платным продуктом). Вручную вычищайте отчет перед отправкой.
— Требуйте NDA. Прежде чем передавать данные о вашей инфраструктуре третьей стороне, подпишите соглашение о неразглашении.
Пройти аудит лицензий Microsoft без штрафов реально, если воспринимать его как экзамен, к которому известны все билеты. Главный секрет успеха — регулярная самостоятельная инвентаризация (минимум раз в полгода).
Внедрите в компании культуру управления активами. Запретите установку ПО без заявки, используйте политики AppLocker для блокировки несанкционированного софта и ведите реестр покупок. Это не только спасет вас от юридических рисков, но и поможет сэкономить бюджет, отказавшись от ненужных подписок и обновлений.
