Reiser til risikoland - rutiner for IT-avdelingen

Denne informasjon er tiltenkt IT-seksjonen og har til hensikt å beskrive hva som må gjøres ifbm at ansatte reiser til det som av PST er definert som risikoland. USN-ansatte som reiser til slike land skal ikke medbringe sin ansatt-PC og mobil og må derfor få låne en reise-datamaskin og reise-mobil dedikert til risikolandreiser.

Konfigurasjon av mobil og  Chromebook ved reiser til risikoland

Det er kjøpt inn datamaskiner av type Chromebook, kodebrikker og iPhone mobiltelefoner til utlån.  

Google Chromebook er en datamaskin med operativsystemet Chrome OS og brukes som terminal for å få tilgang til IT-tjenester på USN. Maskinen startes med brukernavn Gjest / Guest og alle tjenester kjøres fra https://pc.usn.no med brukernavn@usn.no og to-faktor autentisering med kodebrikke.

Datamaskinen eller mobiltelefonen skal ikke kobles til USN nettverk ved hjemkomst fra reisen. Den tilbakestilles til fabrikkinnstillinger. 

Forutsetninger:

I) Aktuell sluttbruker har på forhånd aktivert tofaktorautentisering (MFA) på sin Office365 bruker.
II) IT-support har utnevnt en dedikert IT-support medarbeider knyttet til hvert campus som kommuniserer med sluttbruker ifbm risikoreiser.
III) Lokal IT-person har fått ansvaret for klargjøring av Chromebook, mobil og kodebrikke.

Veiledning  Chrombook

 Fremgangsmåten for hvordan det ovenstående kan håndteres er beskrevet her:

 1.   Utgangspunktet er at en ansatt som skal på reise til et risikoland varsler IT-support@usn.no minimum 4 uker på forhånd i Pureservice om at en slik reise er forestående. 

  • Pureservice er sak og varslingssystemet som skal brukes i all kommunikasjon for reisen. Registrer saken i Kategori: IT-support  -  Reise til Risikoland
  • Den reisende fyller ut skjema for å bestille IT-utstyr og opplæring her
    https://it-support.usn.no/selfservice/#/categories/11

 2. IT-support varsler så SIDS (i Pureservice)  og ansvarlig for Chromebook og mobiler om sluttbrukerens reiseplaner, med informasjon om: brukernavn, dato for avreise og forventet dato for retur.  

 3. SIDS aktiverer en kodebrikke på aktuell bruker. Dette er nødvendig fordi bruker ikke skal medbringe sin mobil med Autheticator-appen på reisen. Kodebrikke sendes så til dedikert IT-support person for risikoreiser knyttet til det campus der sluttbruker er lokalisert.

 4. IT-support sørger for å ha Chromebook, mobil og kodebrikke tilgjengelig for den reisende.

 5. IT-support gjør så avtale med sluttbruker om overtakelse av IT-utstyr, gjennomgår retningslinjer, samt hjelper vedkommende med å endre default påloggingsmetode for MFA og veileder i bruk av https://PC.usn.no med utdelt token.   

 Tofaktor-autentisering (MFA) og kodebrikke

Start med å veilede sluttbruker i endering av tofaktor-autentisering (MFA) slik at kodebrikken er foretrukket ved pålogging. Det gjøres via følgende lenke: https://aka.ms/SetupSecurityInfo, velg Autenticator app or hardware token - code som vist i figuren under.

 

Endre autentiseringsmetode

MERKNAD 1: Selv om sluttbruker endrer default påloggingsmetode vil vedkommende allikevel kunne benytte Authenticator-appen for MFA på ansatt-PC i tiden før reisen, men etter endring av autentiseringsmetode er det kun kodebrikken som vil virke ved pålogging til VDI. Manuell endring av påloggingsmetode kan gjøres i påloggingsdialogen ved å velge: «Sign-in another way» som vist i figuren under.

 

Reiser til risikoland

Merknad 2: Det kan også være greit å minne sluttbruker på at dersom vedkommende benytter Bank-ID på mobil vil det heller ikke være tilgang til Bank-ID under reisen. Har man behov for dette under reisen må man skaffe seg en kodebrikke til Bank-ID fra sin bank. Det kan også være greit å minne om at andre tjenester som benytter Authenticator-appen da selvsagt heller ikke vil være tilgjengelig.

 

  • Chromebook skal KUN benyttes til å logge på https://pc.usn.no (ansatt VDI - med kodebrikke) der har man tilgang til basistjenester som e-post, Onedrive, Teams, osv. Bruker må i god tid før avreise gjøre seg kjent med bruk av VDI slik at den reisende vet hvilke tjenester som er tilgjengelig under reisen.  Oppstart av Chromebook

Om pc.usn.no

1. Start nettleser og skriv i adressefeltet: https://pc.usn.no   
2. Velg: VMware Horizon HTML Access  
3. Logg inn med brukernavn@usn.no (evt kun brukernavn uten @usn.no) og kodebrikke.
4. Skriv inn din MFA verifiseringskode. Koden som vises på kodebrikken.
5. Velg Ansatt-VDI og du er koblet til USN IT-tjenester.  

I pc.usn.no-vinduet kan du skrive ut som vanlig, til USN om det skulle være ønskelig.
Dersom du ikke får spørsmål om tofaktorverifisering må du aktivere tofaktor (MFA) (se ovenfor)

Lokale utskriftsmuligheter begrenser seg til mulighetene der du er (om du vil ha papir ut i risikoland).  

Sluttbruker må også få innføring i hvordan Chromebook kobles til trådløse nettverk

Veiledning Mobiltelefon

Mobiltelefonen er låst for sentral administrasjon (AirWatch) og oppsett. I utgangspunktet er det kun mulig å ringe, surfe og dele mobildata med Chromebook for tilgang til nettverk.   

Nettverk: Velg mobilnett eller tilkobling til USN eduroam nett vha telefonens tildelte brukernavn og passord.  Den reisende må selv sørge for evt tilkobling til nett på reisen.
   
TeliaAppen:  aktiveres ved å logge inn med telefonnummer, evt Ny bruker hvis abonnementet ikke er registrert på Telia Min side fra før. TeliaAppen brukes til å sjekke forbruket under reisen. Passord: Telia123 hvis nummer er registrert fra før.

NB!! Sjekk dekning og priser fra Telia i utlandet.

NB! Sett kostnadene for abonnementet på riktig budsjettkonto for den reisende.

Når telefonen er ferdig konfigurert er den klar til utlån

Annet

  • Sluttbruker bør også informeres om at utdelt kodebrikke og Chromebook ikke på noe tidspunkt bør oppbevares sammen når det er utenfor brukerens kontroll, selv ikke i safe på hotellrom. Bruker må også informeres om at dersom kodebrikke kommer på avveie må vedkommende snarest varsle IT-support via telefon (alternativt vakttelefon utenfor IT-supports åpningstider). IT-support må i slike tilfeller umiddelbart kontakte SIDS som da vil deaktivere kodebrikken.   
  • Sluttbruker må også gjøres oppmerksom på at Chromebook og mobiltelefon ikke skal kobles til hjemme-/USN-nettverk etter retur fra risikoland (før reisen er greit).  
  • Informer også om at etter retur fra risikoland skal Chromebook, mobil og kodebrikke brukt under reisen snarest returneres til dedikert IT-support person på campus.   

Merknad! Dersom sluttbruker skal foreta nye reiser til risikoland i relativt nær fremtid bør det vurderes om sluttbruker skal beholde kodebrikke til etter ny reise er funnet sted. Konferer med SIDS i tvilstilfeller.  

  • Etter retur fra reise bør bruker endre default tofaktorautentisering metode (MFA) tilbake til Notify me through app. Gjøres her: https://aka.ms/SetupSecurityInfo.  
  • Etter at dedikert IT-support person mottar utlånt IT-utstyr fra sluttbrukeren sendes det til den/de som er ansvarlig for utstyret. Den/de tar ansvar for at Chromebook og mobil blir reinstallert/resatt og klargjort til ny reise. Kodebrikke oversendes til den som er ansvarlig i SIDS.  
  • Det skal sendes beskjed til ansvarlig for mobilabonnement for å opprette nytt abonnement før reisen og avslutte abonnementet når reisen er avsluttet. Kostnadene skal belastes den reisendes budsjett når abonnementet opprettes.

Saken kan til slutt lukkes.

Ytterligere veiledning og rutine for bruk og utlån av IT-utstyr

IT-avdelingen skal bistå den reisende med tilrettelegging av IT-utstyr og opplæring i bruk av Chromebook, kodebrikke og mobiltelefon.

Reiser til risikoland. Utfyllende informasjon.