Microsoft patenteert een manier om apparaten te beveiligen die naar externe werknemers worden verzonden

Microsoft heeft patent aangevraagd voor een methode om het eigendom van een apparaat te vergrendelen aan een specifieke gebruiker of organisatie op het moment van productie, en het apparaat vervolgens rechtstreeks naar de eindgebruiker te verzenden zonder dat er aanvullende configuratie door de IT-beheerder nodig is. Het patent, getiteld ‘Secure Device Deployment’, heeft tot doel de uitdagingen op het gebied van veiligheid en efficiëntie aan te pakken die voortvloeien uit de toenemende trend van thuiswerken of telewerken, waarbij apparaten zoals computers of mobiele apparaten op afgelegen locaties moeten worden afgeleverd en geregistreerd in het netwerk van een organisatie.

Volgens de patentaanvraag omvat de methode het verstrekken van informatie aan de Original Equipment Manufacturer (OEM) tijdens het bestelproces die kan worden gebruikt om het apparaat te vergrendelen aan een bepaalde gebruikersidentiteit en een identiteitsprovider. De identiteitsprovider kan een service zijn die de identiteit van de gebruiker kan valideren bij het inschakelen van het apparaat, zoals een dienst voor identiteits- en toegangsbeheer (IAM), een commerciële e-mailprovider of een e-mailsysteem van een universiteit. De informatie kan worden opgeslagen als eigendomsmarkering op het apparaat, bijvoorbeeld door deze op te slaan in de firmware van het apparaat. Het apparaat kan vervolgens rechtstreeks naar de eindgebruiker worden verzonden, zonder dat er tussenstappen van de organisatie of de IT-beheerder nodig zijn.

In de patentaanvraag wordt gesteld dat deze methode het potentiële veiligheidsrisico kan voorkomen dat apparaten bij het inschakelen op het eindpunt automatisch worden voorzien van software, configuratie-instellingen en beleid, omdat zendingen vaak verkeerd worden afgeleverd, gestolen of anderszins verloren gaan. In dergelijke gevallen kan het apparaat in handen komen van een kwaadwillende actor, die mogelijk toegang kan krijgen tot het netwerk van de organisatie op basis van de automatische inrichting van beleid en instellingen. Om dit te voorkomen kan het apparaat in een ‘gemetselde’ staat worden gehouden, waarbij het apparaat alleen de invoer van een gebruikersidentiteit accepteert en andere bewerkingen van het besturingssysteem beperkt zijn, totdat er een validatieticket is ontvangen van de identiteitsprovider. Het apparaat kan dus automatisch worden beveiligd zonder dat de IT-beheerder proactieve stappen hoeft te ondernemen om het apparaat als gestolen of verloren te markeren.

In de patentaanvraag wordt ook gesteld dat deze methode de efficiëntie van de device-implementatie kan verbeteren, omdat het device rechtstreeks van de OEM naar de eindgebruiker kan worden verzonden zonder dat daar extra betrokkenheid van de organisatie of de IT-beheerder voor nodig is. Dit kan de downtime voordat de eindgebruiker het apparaat ontvangt, verminderen, omdat het apparaat niet vooraf hoeft te worden geconfigureerd door de IT-beheerder om ervoor te zorgen dat het apparaat is vergrendeld voor de specifieke eindgebruiker. Bovendien kan het apparaat automatisch worden geconfigureerd volgens een implementatieprofiel dat kan zijn opgeslagen op een IAM-service of op het apparaat zelf, zodat het apparaat alle noodzakelijke installatieprocedures kan uitvoeren volgens het implementatieprofiel of configuratieprofiel. Het implementatieprofiel kan verschillende instellingen voor het apparaat specificeren, zoals beleidsinstellingen voor mobiel apparaatbeheer, standaardtalen, toetsenbordinstellingen, persoonlijke assistent-instellingen en apparaatbeheerbeleid.

De patentaanvraag biedt ook enkele voorbeeldgebruiksscenario's voor de methode, zoals het verstrekken van een apparaat aan een nieuwe medewerker op een externe locatie, of het verstrekken van een apparaat aan een individuele klant, zoals een ouder die een laptop koopt voor een kind dat weg is. middelbare school. In beide gevallen kan het apparaat tijdens het aankoopproces aan een gebruikersidentiteit en een identiteitsprovider worden gekoppeld en vervolgens rechtstreeks naar de eindgebruiker worden verzonden. Na validatie van de gebruikersidentiteit door de identiteitsprovider kan het apparaat automatisch worden geconfigureerd volgens een implementatieprofiel dat kan worden aangepast voor de gebruiker of het apparaat.