Skip to content
← 部落格
Research

JieGou vs. Rewst:为什么MSP需要的不只是脚本

Rewst擅长执行PowerShell。但MSP的客户租户是治理边界,不是脚本执行的目标。这就是为什么我们将JieGou的自动化层建立在审批+审计之上,而不只是执行。

JT
JieGou Team · · 4 分钟阅读

Rewst做对的部分

让我们从正面论述开始。Rewst确实解决了一个真实的问题。在Rewst(以及Liongard和一些类似工具)出现之前,MSP在跨租户的PowerShell自动化上只有两个糟糕的选择:要么分别登录每个客户租户在本地执行脚本,要么用服务账号与调度器自建编排系统。两者都难以规模化。

Rewst将「从单一控制台对N个客户租户执行PowerShell」的模式产品化。它在这方面表现良好。采用它的MSP在可重复的动作上——用户配置、授权指派、组管理、邮箱设置——每周能节省实实在在的时数。

我们并不是说Rewst是一个糟糕的产品。我们是说它围绕着错误的轴线设计。

脚本优先架构做错的部分

一个PowerShell脚本是一个执行产物。你读代码、运行它、获得输出。

将用户加入Global Admin组的脚本不只是代码。它是一个授权事件,两年后审计员会想要重建它。重置用户密码并发送到备用地址的脚本也不只是代码——它是一个合规事件,可能是法律保全事件,甚至可能是客户信任事件(如果选错了地址)。

脚本优先的自动化平台将脚本视为主要产物,而将治理视为事后才加上的元数据。执行日志有、审批流程有、脱敏功能也有。但它们是叠加上去的,在MSP的运营层,而不是原生内建。

在实践中会出现的问题:

  • 审批层是工作流级别,而非动作级别。 工作流一旦启动,内部的单个动作就会执行,没有逐动作审查。对于已知安全事件中的批量密码重置还好。若工作流的某条分支出错,就没那么好了。
  • 日志中的敏感输出是MSP的问题。 服务账号Token、一次性恢复码、生成的密码——如果PowerShell将它们送到stdout,它们就会进到执行日志里。脱敏它们成了清理步骤,而不是管道的一等公民。
  • 审计故事是以执行为中心,而非以变更为中心。 「在哪一天对这个客户租户执行了什么PowerShell?」是可以回答的。「下午3:47谁授权了用户X的权限变更?」有时可以,有时不能——因为授权可能是工作流配置的隐含结果,而非一个离散事件。

这些不是假设性的抱怨。这正是SOC 2审查员、CMMC评估员和HIPAA审计员会向建立在自动化脚本之上运营的MSP提出的具体审计问题。

观看完整解析

治理优先:改变了什么

JieGou的自动化层从一个不同的前提出发:客户租户是治理边界,任何跨越该边界的动作都是可审查的事件。

由此产生的后果:

  1. 逐动作审批,而非逐工作流。 「重置CEO的密码并发到其恢复地址」的任务是单一可审查事件。审批者在核准前能看到渲染过的PowerShell、目标租户、以及该动作的影响范围。逐工作流审批(Rewst/Liongard模式)将审查点与组合点混为一谈——你一次核准了「这个工作流看起来没问题」,然后它所有的分支就会依序触发。

  2. 影子模式是一等公民层级,不是工作流的变体。 每个动作都能以影子模式执行:PowerShell已准备好、输入已解析、输出已模拟——但不会真正调用Microsoft Graph / Exchange等等。MSP操作员能精确审查将会发生什么事。确认后才提升到正式执行。

  3. 输出脱敏内建于Runner管道。 PowerShell Runner捕获stdout/stderr,经过脱敏处理(移除Token状、密码状与其他敏感样式的字符串),只将脱敏后的版本存入审计日志。操作员在UI上看到的也是脱敏后的版本。原始输出永远不会被保存。

  4. AI生成的动作走同一条管道。 这是在架构上具有实质意义的差异。当AI草稿被准备好——无论是PowerShell片段、工单回复、还是工时写入——它进入与人类发起动作同一个审批队列。MSP操作员不需要分别治理「AI做的事」和「脚本做的事」。只有一个队列。

  5. 紧急覆盖是受审计的,而非无记录的。 有时故障等不得。Owner和Admin角色可以在提供理由后覆盖待审批。覆盖动作、理由、审批者身份,以及原始请求都会被完整保留。覆盖机制为紧急情况存在,而非捷径。

并排比较的样貌

我们在PowerShell自动化功能页上发布了逐功能比较。归纳最关键的那一行:

逐动作审批。 Rewst:只在工作流层级;一旦流程执行,单个动作就会触发,没有逐动作审查。 JieGou:单个动作层级——逐个变更核准或驳回,并可看到渲染后的PowerShell。

如果你将工作流设计为单一动作分支,或许可以勉强主张这两者是一样的。没错。但对一个拥有20个客户的MSP来说,工作流不会保持那么整齐,而且组合更大工作流的压力会随着规模而增长。逐动作审批让可审查的单位保持在正确的粒度。

Rewst仍然是正确选择的时机

我们并不打算假装JieGou适合所有MSP。Rewst仍然更适合的情况:

  • 你已经在Rewst上标准化了自动化程式库,团队也已有一年的肌肉记忆。切换成本是实实在在的。
  • 你的MSP的价值主张是「我们积极自动化,治理是次要关切」。 这是一个可以站得住脚的定位。JieGou是为将治理视为一等公民的MSP而生。
  • 你需要某个我们未支持的Rewst原生集成。 我们涵盖常见的MSP集成(ConnectWise Manage、Microsoft Graph、Exchange、Intune、Azure AD),但Rewst在某些利基上有更深的目录。

市场走向我们的看法

MSP通路在「AI for MSPs」的对话上已进行了18个月。有两件事已经移动:

  • 合规买家(在MSA条款中要求SOC 2证据的MSP)想要治理原生的自动化。 不是「我们在上面加上治理」。他们希望用来做MSP运营的平台,也就是回答审计员问题的平台——同一份审计日志、同一条审批轨迹、同一套脱敏机制。

  • AI辅助的动作在任何运营意义上都不再独立于脚本动作之外。 如果你的MSP的AI层起草工单回复,你的MSP的自动化层写入工单的工时条目,且两者都穿过同一个客户租户,那么它们应是同一条管道。而不是两条需要对帐的管道。

JieGou是为这两项市场转变而建的。Rewst不是——这是设计使然。这并不使Rewst错误。它只是为不同的MSP而设计的不同产品。

如果那个不同的MSP就是你,你应该继续使用Rewst,这篇文章剩下的部分就不是写给你的。

如果你是那个想要治理原生、AI原生、审计原生运营的MSP——我们很乐意为你展示整条管道从头到尾的运作。预约Demo进行运营失血审计以了解你当前的缺口会付出什么代价。

msp managed-services automation powershell rewst governance ai-operations

Explore more

📖 What is AI Automation? 📖 What is AI Governance? ⚙️ Governance Score
分享这篇文章

相关文章

60%的MSP客户流失实际上是什么样子(不是技术问题)

MSP客户不是因为糟糕的技术工作而离开。他们离开是因为周五下午5:30没人接电话。这是数据实际显示的内容——以及为什么大多数MSP对自己的流失模式视而不见。

为什么出售自动化会让MSP停滞不前 — 出售系统的理由

出售'自动化'的MSP停滞不前。出售'结果系统'的MSP复利。区别在于如何包装价值 — 这是决定您自己的技术栈是否能好好老化的同一个原则。

MSP的漏水桶:您的运营悄悄失血的6个地方

大多数MSP是因为6个运营漏洞而失去利润,而不是1个。这是每个漏洞的数学计算——以及为什么只堵一个洞仍会让桶漏空。

喜欢这篇文章吗?

在您的信箱中获取工作流程技巧、产品更新和自动化指南。

No spam. Unsubscribe anytime.

← 返回所有文章