Microsoft patenterer en måde at sikre enheder, der sendes til fjernarbejdere

Microsoft har indgivet en patentansøgning for en metode til at låse ejerskabet af en enhed til en bestemt bruger eller organisation på fremstillingsstedet og derefter sende enheden direkte til slutbrugeren uden at kræve yderligere konfiguration af it-administratoren. Patentet, med titlen "Secure Device Deployment", har til formål at løse de sikkerheds- og effektivitetsudfordringer, som den stigende tendens til arbejde i hjemmet eller fjernarbejde, hvor enheder såsom computere eller mobile enheder skal leveres til fjerntliggende steder og tilmeldes ind i en organisations netværk.

Ifølge patentansøgningen går metoden ud på at give information til originaludstyrsproducenten (OEM) under bestillingsprocessen, som kan bruges til at låse enheden til en bestemt brugeridentitet og en identitetsudbyder. Identitetsudbyderen kan være en tjeneste, der kan validere brugeridentiteten ved tænding af enheden, såsom en identitets- og adgangsstyringstjeneste (IAM), en kommerciel e-mailudbyder eller et e-mailsystem på universitetet. Oplysningerne kan gemmes som en ejerskabsmarkør på enheden, såsom at gemme dem i enhedens firmware. Enheden kan derefter sendes direkte til slutbrugeren uden at kræve mellemliggende trin af organisationen eller it-administratoren.

Patentansøgningen angiver, at denne metode kan forhindre den potentielle sikkerhedsrisiko ved at have enheder, der automatisk leveres med software, konfigurationsindstillinger og politikker, når de tændes ved slutpunktet, da forsendelser ofte kan blive fejlleveret, stjålet eller på anden måde tabt. I sådanne tilfælde kan enheden ende i hænderne på en ondsindet aktør, som potentielt kan få adgang til organisationens netværk baseret på automatisk levering af politikker og indstillinger. For at undgå dette kan enheden holdes i en "muret" tilstand, hvor enheden kun accepterer et brugeridentitetsinput, og andre operativsystemoperationer er begrænset, indtil en valideringsbillet modtages fra identitetsudbyderen. Enheden kan således automatisk sikres, uden at IT-administratoren skal tage proaktive skridt for at markere enheden som stjålet eller bortkommet.

Patentansøgningen angiver også, at denne metode kan forbedre effektiviteten af ​​enhedsimplementering, da enheden kan sendes direkte fra OEM til slutbrugeren uden at kræve yderligere involvering af organisationen eller IT-administratoren. Dette kan reducere nedetiden, før slutbrugeren modtager enheden, da enheden ikke skal forudkonfigureres af IT-administratoren for at sikre, at enheden er låst til den pågældende slutbruger. Ydermere kan enheden automatisk konfigureres i henhold til en implementeringsprofil, der kan lagres på en IAM-tjeneste eller på selve enheden, således at enheden kan udføre alle nødvendige opsætningsprocedurer i henhold til implementeringsprofilen eller konfigurationsprofilen. Implementeringsprofilen kan angive forskellige indstillinger for enheden, f.eks. politikindstillinger for mobilenhedadministration, standardsprog, tastaturindstillinger, personlige assistentindstillinger og enhedsadministrationspolitikker.

Patentansøgningen giver også nogle eksempler på brugsscenarier for metoden, såsom at give en enhed til en ny medarbejder på et fjerntliggende sted, eller at levere en enhed til en individuel kunde, såsom en forælder, der køber en bærbar computer til et barn, der er væk kl. kollegium. I begge tilfælde kan enheden låses til en brugeridentitet og en identitetsudbyder under købsprocessen og derefter sendes direkte til slutbrugeren. Efter validering af brugeridentiteten af ​​identitetsudbyderen kan enheden automatisk konfigureres i henhold til en implementeringsprofil, der kan tilpasses til brugeren eller enheden.