Microsoft patenterer en måte å sikre enheter som sendes til eksterne arbeidere

Microsoft har inngitt patentsøknad for en metode for å låse eierskap av en enhet til en bestemt bruker eller organisasjon på produksjonsstedet, og deretter sende enheten direkte til sluttbrukeren uten å kreve ytterligere konfigurasjon av IT-administratoren. Patentet, med tittelen "Secure Device Deployment", tar sikte på å møte sikkerhets- og effektivitetsutfordringene som utgjøres av den økende trenden med arbeid hjemme eller fjernarbeid, der enheter som datamaskiner eller mobile enheter må leveres til eksterne steder og registreres inn i en organisasjons nettverk.

I følge patentsøknaden innebærer metoden å gi informasjon til produsenten av originalutstyr (OEM) under bestillingsprosessen som kan brukes til å låse enheten til en bestemt brukeridentitet og en identitetsleverandør. Identitetsleverandøren kan være en tjeneste som kan validere brukeridentiteten når enheten slås på, for eksempel en identitets- og tilgangsadministrasjonstjeneste (IAM), en kommersiell e-postleverandør eller et e-postsystem for høyskoler. Informasjonen kan lagres som en eierskapsmarkør på enheten, for eksempel å lagre den i fastvaren til enheten. Enheten kan deretter sendes direkte til sluttbrukeren uten å kreve noen mellomliggende trinn av organisasjonen eller IT-administratoren.

Patentsøknaden sier at denne metoden kan forhindre den potensielle sikkerhetsrisikoen ved å ha enheter som automatisk leveres med programvare, konfigurasjonsinnstillinger og policyer når de slås på ved sluttpunktet, da forsendelser ofte kan bli feillevert, stjålet eller på annen måte tapt. I slike tilfeller kan enheten havne i hendene på en ondsinnet aktør, som potensielt kan få tilgang til organisasjonens nettverk basert på automatisk klargjøring av policyer og innstillinger. For å unngå dette kan enheten opprettholdes i en "murt" tilstand, der enheten bare godtar en brukeridentitetsinngang, og andre operativsystemoperasjoner er begrenset, inntil en valideringsbillett mottas fra identitetsleverandøren. Dermed kan enheten automatisk sikres uten at IT-administratoren trenger å ta noen proaktive skritt for å merke enheten som stjålet eller tapt.

Patentsøknaden sier også at denne metoden kan forbedre effektiviteten av enhetsdistribusjon, ettersom enheten kan sendes direkte fra OEM til sluttbrukeren uten å kreve ytterligere involvering fra organisasjonen eller IT-administratoren. Dette kan redusere nedetiden før sluttbrukeren mottar enheten, siden enheten ikke trenger å forhåndskonfigureres av IT-administratoren for å sikre at enheten er låst til den aktuelle sluttbrukeren. Videre kan enheten konfigureres automatisk i henhold til en distribusjonsprofil som kan lagres på en IAM-tjeneste eller på selve enheten, slik at enheten kan utføre alle nødvendige oppsettsprosedyrer i henhold til distribusjonsprofilen eller konfigurasjonsprofilen. Distribusjonsprofilen kan spesifisere ulike innstillinger for enheten, for eksempel innstillinger for administrasjon av mobile enheter, standardspråk, tastaturinnstillinger, innstillinger for personlig assistent og retningslinjer for enhetsadministrasjon.

Patentsøknaden gir også noen eksempler på bruksscenarier for metoden, for eksempel å gi en enhet til en ny ansatt på et eksternt sted, eller å gi en enhet til en individuell kunde, for eksempel en forelder som kjøper en bærbar datamaskin til et barn som er borte kl. høyskole. I begge tilfeller kan enheten låses til en brukeridentitet og en identitetsleverandør under kjøpsprosessen, og deretter sendes direkte til sluttbrukeren. Etter validering av brukeridentiteten av identitetsleverandøren, kan enheten automatisk konfigureres i henhold til en distribusjonsprofil som kan tilpasses for brukeren eller enheten.