Microsoft patenta una forma de proteger los dispositivos enviados a trabajadores remotos

Microsoft tiene presentó una solicitud de patente para un método para bloquear la propiedad de un dispositivo a un usuario u organización específica en el punto de fabricación, y luego enviar el dispositivo directamente al usuario final sin requerir ninguna configuración adicional por parte del administrador de TI. La patente, titulada "Implementación segura de dispositivos", tiene como objetivo abordar los desafíos de seguridad y eficiencia que plantea la creciente tendencia de escenarios de trabajo desde casa o teletrabajo, donde dispositivos como computadoras o dispositivos móviles deben entregarse en ubicaciones remotas e inscribirse. en la red de una organización.

Según la solicitud de patente, el método implica proporcionar información al fabricante del equipo original (OEM) durante el proceso de pedido que puede usarse para bloquear el dispositivo con una identidad de usuario particular y un proveedor de identidad. El proveedor de identidad puede ser un servicio que pueda validar la identidad del usuario al encender el dispositivo, como un servicio de gestión de identidad y acceso (IAM), un proveedor de correo electrónico comercial o un sistema de correo electrónico universitario. La información se puede almacenar como un marcador de propiedad en el dispositivo, como almacenarla en el firmware del dispositivo. Luego, el dispositivo se puede enviar directamente al usuario final sin requerir ningún paso intermedio por parte de la organización o el administrador de TI.

La solicitud de patente establece que este método puede evitar el riesgo potencial de seguridad de tener dispositivos a los que se les suministra automáticamente software, ajustes de configuración y políticas al encenderse en el punto final, ya que los envíos a menudo pueden entregarse mal, ser robados o perderse de otro modo. En tales casos, el dispositivo puede terminar en manos de un actor malicioso, que potencialmente puede obtener acceso a la red de la organización basándose en el aprovisionamiento automático de políticas y configuraciones. Para evitar esto, el dispositivo se puede mantener en un estado "bloqueado", donde el dispositivo solo acepta una entrada de identidad del usuario y otras operaciones del sistema operativo están restringidas, hasta que se recibe un ticket de validación del proveedor de identidad. Por lo tanto, el dispositivo se puede proteger automáticamente sin necesidad de que el administrador de TI deba tomar medidas proactivas para marcar el dispositivo como robado o perdido.

La solicitud de patente también establece que este método puede mejorar la eficiencia de la implementación del dispositivo, ya que el dispositivo puede enviarse directamente desde el OEM al usuario final sin requerir ninguna participación adicional por parte de la organización o el administrador de TI. Esto puede reducir el tiempo de inactividad antes de que el usuario final reciba el dispositivo, ya que no es necesario que el administrador de TI lo preconfigure para garantizar que esté bloqueado para ese usuario final en particular. Además, el dispositivo se puede configurar automáticamente según un perfil de implementación que puede almacenarse en un servicio IAM o en el propio dispositivo, de modo que el dispositivo pueda realizar cualquier procedimiento de configuración necesario según el perfil de implementación o el perfil de configuración. El perfil de implementación puede especificar varias configuraciones para el dispositivo, como configuraciones de políticas de administración de dispositivos móviles, idiomas predeterminados, configuraciones de teclado, configuraciones de asistente personal y políticas de administración de dispositivos.

La solicitud de patente también proporciona algunos escenarios de uso de ejemplo para el método, como proporcionar un dispositivo a un nuevo empleado en una ubicación remota, o proporcionar un dispositivo a un cliente individual, como un padre que compra una computadora portátil para un niño que está lejos en colega. En ambos casos, el dispositivo puede bloquearse con una identidad de usuario y un proveedor de identidad durante el proceso de compra y luego enviarse directamente al usuario final. Tras la validación de la identidad del usuario por parte del proveedor de identidad, el dispositivo se puede configurar automáticamente de acuerdo con un perfil de implementación que puede personalizarse para el usuario o el dispositivo.