מיקרוסופט רושמת פטנטים על דרך לאבטח מכשירים הנשלחים לעובדים מרוחקים

מיקרוסופט הגיש בקשה לפטנט עבור שיטה של ​​נעילת בעלות על מכשיר למשתמש או ארגון ספציפיים בנקודת הייצור, ולאחר מכן משלוח המכשיר ישירות למשתמש הקצה מבלי לדרוש כל תצורה נוספת על ידי מנהל ה-IT. הפטנט, שכותרתו "פריסת התקנים מאובטחת", נועד לתת מענה לאתגרי האבטחה והיעילות שמציבה המגמה הגוברת של תרחישי עבודה בבית או של עבודה מרוחק, שבהם יש לספק מכשירים כגון מחשבים או מכשירים ניידים למקומות מרוחקים ולהירשם. לרשת של ארגון.

לפי בקשת הפטנט, השיטה כוללת מסירת מידע ליצרן הציוד המקורי (OEM) במהלך תהליך ההזמנה שבאמצעותו ניתן לנעול את המכשיר לזהות משתמש מסוימת ולספק זהות. ספק הזהות יכול להיות שירות שיכול לאמת את זהות המשתמש עם הפעלת המכשיר, כגון שירות ניהול זהות וגישה (IAM), ספק דוא"ל מסחרי או מערכת דוא"ל מכללה. ניתן לאחסן את המידע כסמן בעלות על המכשיר, כגון אחסונו בקושחה של המכשיר. לאחר מכן ניתן לשלוח את המכשיר ישירות למשתמש הקצה מבלי לדרוש צעדי ביניים כלשהם על ידי הארגון או מנהל ה-IT.

בקשת הפטנט מציינת כי שיטה זו יכולה למנוע את סיכון האבטחה הפוטנציאלי של קיום מכשירים המסופקים אוטומטית עם תוכנה, הגדרות תצורה ומדיניות בעת ההפעלה בנקודת הסיום, מכיוון שלעתים קרובות משלוחים עלולים להימסר בצורה שגויה, לגנוב או לאבד בדרך אחרת. במקרים כאלה, המכשיר עלול להגיע לידיו של שחקן זדוני, שעלול לקבל גישה לרשת הארגון בהתבסס על הקצאה אוטומטית של מדיניות והגדרות. כדי למנוע זאת, ניתן לשמור את המכשיר במצב "לבנים", שבו המכשיר מקבל רק קלט של זהות משתמש, ופעולות אחרות של מערכת ההפעלה מוגבלות, עד לקבלת כרטיס אימות מספק הזהות. לפיכך, ניתן לאבטח את המכשיר באופן אוטומטי מבלי לדרוש ממנהל ה-IT לנקוט בצעדים יזומים כלשהם כדי לסמן את המכשיר כגנוב או אבד.

בקשת הפטנט גם קובעת כי שיטה זו יכולה לשפר את היעילות של פריסת המכשיר, שכן ניתן לשלוח את המכשיר ישירות מה-OEM למשתמש הקצה מבלי לדרוש כל מעורבות נוספת של הארגון או מנהל ה-IT. זה יכול להפחית את זמן ההשבתה לפני שמשתמש הקצה מקבל את המכשיר, מכיוון שהמכשיר לא צריך להיות מוגדר מראש על ידי מנהל ה-IT על מנת להבטיח שהמכשיר נעול למשתמש הקצה המסוים. יתר על כן, ניתן להגדיר את ההתקן באופן אוטומטי לפי פרופיל פריסה שעשוי להיות מאוחסן בשירות IAM או במכשיר עצמו, כך שההתקן יכול לבצע את כל הליכי ההגדרה הדרושים בהתאם לפרופיל הפריסה או פרופיל התצורה. פרופיל הפריסה יכול לציין הגדרות שונות עבור המכשיר, כגון הגדרות מדיניות ניהול מכשירים ניידים, שפות ברירת מחדל, הגדרות מקלדת, הגדרות עוזר אישי ומדיניות ניהול מכשירים.

בקשת הפטנט מספקת גם תרחישי שימוש לדוגמה עבור השיטה, כגון אספקת מכשיר לעובד חדש במקום מרוחק, או מתן מכשיר ללקוח בודד, כגון הורה שרוכש מחשב נייד לילד שלא נמצא במקום. מִכלָלָה. בשני המקרים, ניתן לנעול את המכשיר לזהות משתמש ולספק זהות במהלך תהליך הרכישה, ולאחר מכן לשלוח ישירות למשתמש הקצה. לאחר אימות זהות המשתמש על ידי ספק הזהות, ניתן להגדיר את המכשיר באופן אוטומטי לפי פרופיל פריסה שעשוי להיות מותאם אישית עבור המשתמש או המכשיר.