Microsoft brevète un moyen de sécuriser les appareils expédiés aux travailleurs à distance

Microsoft a a déposé une demande de brevet pour une méthode permettant de verrouiller la propriété d'un appareil à un utilisateur ou une organisation spécifique au point de fabrication, puis d'expédier l'appareil directement à l'utilisateur final sans nécessiter de configuration supplémentaire de la part de l'administrateur informatique. Le brevet, intitulé « Secure Device Deployment », vise à relever les défis de sécurité et d'efficacité posés par la tendance croissante des scénarios de travail à domicile ou de télétravail, dans lesquels des appareils tels que des ordinateurs ou des appareils mobiles doivent être livrés à des sites distants et inscrits. dans le réseau d'une organisation.

Selon la demande de brevet, la méthode consiste à fournir des informations au fabricant de l'équipement d'origine (OEM) pendant le processus de commande, qui peuvent être utilisées pour verrouiller l'appareil sur une identité d'utilisateur particulière et un fournisseur d'identité. Le fournisseur d'identité peut être un service capable de valider l'identité de l'utilisateur lors de la mise sous tension du dispositif, tel qu'un service de gestion des identités et des accès (IAM), un fournisseur de messagerie commerciale ou un système de messagerie universitaire. Les informations peuvent être stockées en tant que marqueur de propriété sur l'appareil, par exemple dans le micrologiciel de l'appareil. L'appareil peut ensuite être expédié directement à l'utilisateur final sans nécessiter d'étapes intermédiaires de la part de l'organisation ou de l'administrateur informatique.

La demande de brevet indique que cette méthode peut éviter le risque de sécurité potentiel lié aux appareils automatiquement dotés de logiciels, de paramètres de configuration et de politiques lors de la mise sous tension au point final, car les expéditions peuvent souvent être mal livrées, volées ou perdues. Dans de tels cas, l’appareil peut se retrouver entre les mains d’un acteur malveillant, qui peut potentiellement accéder au réseau de l’organisation grâce au provisionnement automatique des politiques et des paramètres. Pour éviter cela, l'appareil peut être maintenu dans un état « briqué », dans lequel l'appareil n'accepte qu'une entrée d'identité d'utilisateur et les autres opérations du système d'exploitation sont restreintes, jusqu'à ce qu'un ticket de validation soit reçu du fournisseur d'identité. Ainsi, l'appareil peut être automatiquement sécurisé sans que l'administrateur informatique ait besoin de prendre des mesures proactives pour marquer l'appareil comme volé ou perdu.

La demande de brevet indique également que cette méthode peut améliorer l'efficacité du déploiement de l'appareil, car l'appareil peut être expédié directement de l'OEM à l'utilisateur final sans nécessiter aucune implication supplémentaire de la part de l'organisation ou de l'administrateur informatique. Cela peut réduire le temps d'arrêt avant que l'utilisateur final ne reçoive l'appareil, car l'appareil n'a pas besoin d'être préconfiguré par l'administrateur informatique afin de garantir qu'il est verrouillé pour l'utilisateur final particulier. En outre, le dispositif peut être automatiquement configuré selon un profil de déploiement qui peut être stocké sur un service IAM ou sur le dispositif lui-même, de sorte que le dispositif puisse effectuer toutes les procédures de configuration nécessaires selon le profil de déploiement ou le profil de configuration. Le profil de déploiement peut spécifier divers paramètres pour l'appareil, tels que les paramètres de stratégie de gestion des appareils mobiles, les langues par défaut, les paramètres du clavier, les paramètres de l'assistant personnel et les stratégies de gestion des appareils.

La demande de brevet fournit également quelques exemples de scénarios d'utilisation de la méthode, tels que la fourniture d'un appareil à un nouvel employé dans un emplacement distant, ou la fourniture d'un appareil à un client individuel, tel qu'un parent achetant un ordinateur portable pour un enfant absent à collège. Dans les deux cas, l'appareil peut être verrouillé sur une identité d'utilisateur et un fournisseur d'identité pendant le processus d'achat, puis expédié directement à l'utilisateur final. Lors de la validation de l'identité de l'utilisateur par le fournisseur d'identité, le dispositif peut être automatiquement configuré selon un profil de déploiement qui peut être personnalisé pour l'utilisateur ou le dispositif.