Microsoft patentiert eine Möglichkeit, Geräte zu sichern, die an Remote-Mitarbeiter versendet werden

Microsoft hat ein Patent angemeldet für eine Methode, den Besitz eines Geräts zum Zeitpunkt der Herstellung an einen bestimmten Benutzer oder eine bestimmte Organisation zu binden und das Gerät dann direkt an den Endbenutzer zu versenden, ohne dass eine zusätzliche Konfiguration durch den IT-Administrator erforderlich ist. Das Patent mit dem Titel „Secure Device Deployment“ zielt darauf ab, die Sicherheits- und Effizienzherausforderungen zu bewältigen, die sich aus dem zunehmenden Trend zu Heimarbeits- oder Telearbeitsszenarien ergeben, bei denen Geräte wie Computer oder mobile Geräte an entfernte Standorte geliefert und registriert werden müssen in das Netzwerk einer Organisation einbinden.

Laut Patentanmeldung beinhaltet die Methode die Bereitstellung von Informationen an den Originalgerätehersteller (OEM) während des Bestellvorgangs, mit denen das Gerät an eine bestimmte Benutzeridentität und einen Identitätsanbieter gebunden werden kann. Der Identitätsanbieter kann ein Dienst sein, der die Benutzeridentität beim Einschalten des Geräts validieren kann, z. B. ein IAM-Dienst (Identity and Access Management), ein kommerzieller E-Mail-Anbieter oder ein Hochschul-E-Mail-System. Die Informationen können als Besitzmarkierung auf dem Gerät gespeichert werden, beispielsweise durch Speicherung in der Firmware des Geräts. Das Gerät kann dann direkt an den Endbenutzer versendet werden, ohne dass Zwischenschritte seitens der Organisation oder des IT-Administrators erforderlich sind.

In der Patentanmeldung heißt es, dass diese Methode das potenzielle Sicherheitsrisiko verhindern kann, das dadurch entsteht, dass Geräte beim Einschalten am Endpunkt automatisch mit Software, Konfigurationseinstellungen und Richtlinien ausgestattet werden, da Sendungen häufig falsch zugestellt, gestohlen oder auf andere Weise verloren gehen können. In solchen Fällen kann das Gerät in die Hände eines böswilligen Akteurs geraten, der sich durch die automatische Bereitstellung von Richtlinien und Einstellungen möglicherweise Zugriff auf das Netzwerk der Organisation verschaffen kann. Um dies zu vermeiden, kann das Gerät in einem „gemauerten“ Zustand gehalten werden, in dem das Gerät nur die Eingabe einer Benutzeridentität akzeptiert und andere Betriebssystemvorgänge eingeschränkt sind, bis ein Validierungsticket vom Identitätsanbieter empfangen wird. Dadurch kann das Gerät automatisch gesichert werden, ohne dass der IT-Administrator proaktive Maßnahmen ergreifen muss, um das Gerät als gestohlen oder verloren zu markieren.

In der Patentanmeldung heißt es außerdem, dass diese Methode die Effizienz der Gerätebereitstellung verbessern kann, da das Gerät direkt vom OEM an den Endbenutzer versendet werden kann, ohne dass eine zusätzliche Beteiligung der Organisation oder des IT-Administrators erforderlich ist. Dies kann die Ausfallzeit reduzieren, bevor der Endbenutzer das Gerät erhält, da das Gerät nicht vom IT-Administrator vorkonfiguriert werden muss, um sicherzustellen, dass das Gerät für den jeweiligen Endbenutzer gesperrt ist. Darüber hinaus kann das Gerät automatisch gemäß einem Bereitstellungsprofil konfiguriert werden, das auf einem IAM-Dienst oder auf dem Gerät selbst gespeichert sein kann, sodass das Gerät alle erforderlichen Einrichtungsvorgänge gemäß dem Bereitstellungsprofil oder Konfigurationsprofil durchführen kann. Das Bereitstellungsprofil kann verschiedene Einstellungen für das Gerät festlegen, z. B. Richtlinieneinstellungen für die Mobilgeräteverwaltung, Standardsprachen, Tastatureinstellungen, Einstellungen für persönliche Assistenten und Richtlinien für die Geräteverwaltung.

Die Patentanmeldung enthält auch einige beispielhafte Anwendungsszenarien für die Methode, beispielsweise die Bereitstellung eines Geräts für einen neuen Mitarbeiter an einem entfernten Standort oder die Bereitstellung eines Geräts für einen einzelnen Kunden, beispielsweise wenn ein Elternteil einen Laptop für ein Kind kauft, das gerade unterwegs ist Hochschule. In beiden Fällen kann das Gerät während des Kaufvorgangs an eine Benutzeridentität und einen Identitätsanbieter gebunden und dann direkt an den Endbenutzer versendet werden. Nach der Validierung der Benutzeridentität durch den Identitätsanbieter kann das Gerät automatisch gemäß einem Bereitstellungsprofil konfiguriert werden, das für den Benutzer oder das Gerät angepasst werden kann.