Microsoft brevetta un modo per proteggere i dispositivi spediti ai lavoratori remoti

Microsoft ha ha presentato una domanda di brevetto per un metodo per bloccare la proprietà di un dispositivo a un utente o un'organizzazione specifica nel punto di produzione e quindi spedire il dispositivo direttamente all'utente finale senza richiedere alcuna configurazione aggiuntiva da parte dell'amministratore IT. Il brevetto, intitolato “Secure Device Deployment”, mira ad affrontare le sfide di sicurezza ed efficienza poste dalla crescente tendenza al lavoro da casa o agli scenari di telelavoro, in cui dispositivi come computer o dispositivi mobili devono essere consegnati in località remote e registrati nella rete di un'organizzazione.

Secondo la domanda di brevetto, il metodo prevede di fornire informazioni al produttore di apparecchiature originali (OEM) durante il processo di ordinazione che possono essere utilizzate per vincolare il dispositivo a una particolare identità dell'utente e a un fornitore di identità. Il provider di identità può essere un servizio in grado di convalidare l'identità dell'utente all'accensione del dispositivo, ad esempio un servizio IAM (identità e gestione degli accessi), un provider di posta elettronica commerciale o un sistema di posta elettronica universitario. Le informazioni possono essere archiviate come contrassegno di proprietà sul dispositivo, ad esempio memorizzandole nel firmware del dispositivo. Il dispositivo può quindi essere spedito direttamente all'utente finale senza richiedere passaggi intermedi da parte dell'organizzazione o dell'amministratore IT.

La domanda di brevetto afferma che questo metodo può prevenire il potenziale rischio per la sicurezza derivante dalla presenza di dispositivi a cui vengono automaticamente forniti software, impostazioni di configurazione e policy all'accensione del punto finale, poiché le spedizioni possono spesso essere consegnate erroneamente, rubate o perse in altro modo. In questi casi, il dispositivo potrebbe finire nelle mani di un utente malintenzionato, che potrebbe potenzialmente ottenere l’accesso alla rete dell’organizzazione in base al provisioning automatico di policy e impostazioni. Per evitare ciò, il dispositivo può essere mantenuto in uno stato “bricked”, in cui accetta solo l’input dell’identità dell’utente e altre operazioni del sistema operativo sono limitate, finché non viene ricevuto un ticket di convalida dal provider di identità. Pertanto, il dispositivo può essere protetto automaticamente senza richiedere all'amministratore IT di adottare misure proattive per contrassegnare il dispositivo come rubato o smarrito.

La domanda di brevetto afferma inoltre che questo metodo può migliorare l'efficienza dell'implementazione del dispositivo, poiché il dispositivo può essere spedito direttamente dall'OEM all'utente finale senza richiedere alcun coinvolgimento aggiuntivo da parte dell'organizzazione o dell'amministratore IT. Ciò può ridurre i tempi di inattività prima che l'utente finale riceva il dispositivo, poiché non è necessario che il dispositivo sia preconfigurato dall'amministratore IT per garantire che sia bloccato per l'utente finale specifico. Inoltre, il dispositivo può essere configurato automaticamente in base a un profilo di distribuzione che può essere memorizzato su un servizio IAM o sul dispositivo stesso, in modo tale che il dispositivo possa eseguire tutte le procedure di configurazione necessarie in base al profilo di distribuzione o al profilo di configurazione. Il profilo di distribuzione può specificare varie impostazioni per il dispositivo, ad esempio impostazioni dei criteri di gestione dei dispositivi mobili, lingue predefinite, impostazioni della tastiera, impostazioni dell'assistente personale e criteri di gestione dei dispositivi.

La domanda di brevetto fornisce anche alcuni esempi di scenari di utilizzo del metodo, come fornire un dispositivo a un nuovo dipendente in una sede remota o fornire un dispositivo a un singolo cliente, come un genitore che acquista un laptop per un bambino che è assente a casa. Università. In entrambi i casi, il dispositivo può essere vincolato all'identità di un utente e a un fornitore di identità durante il processo di acquisto e quindi spedito direttamente all'utente finale. Dopo la convalida dell'identità dell'utente da parte del provider di identità, il dispositivo può essere configurato automaticamente in base a un profilo di distribuzione che può essere personalizzato per l'utente o il dispositivo.