Microsoft patentuje sposób zabezpieczania urządzeń wysyłanych do pracowników zdalnych

Microsoft ma złożył wniosek patentowy dla metody blokowania własności urządzenia dla konkretnego użytkownika lub organizacji w momencie produkcji, a następnie wysyłania urządzenia bezpośrednio do użytkownika końcowego bez konieczności jakiejkolwiek dodatkowej konfiguracji przez administratora IT. Patent zatytułowany „Bezpieczne wdrażanie urządzeń” ma na celu sprostanie wyzwaniom związanym z bezpieczeństwem i wydajnością, jakie stwarza rosnący trend scenariuszy pracy w domu lub telepracy, w których urządzenia takie jak komputery lub urządzenia mobilne muszą być dostarczane do odległych lokalizacji i rejestrowane do sieci organizacji.

Zgodnie ze zgłoszeniem patentowym metoda ta polega na przekazywaniu producentowi oryginalnego sprzętu (OEM) w trakcie procesu zamawiania informacji, które można wykorzystać do przypisania urządzenia do określonej tożsamości użytkownika i dostawcy tożsamości. Dostawcą tożsamości może być usługa, która może zweryfikować tożsamość użytkownika po włączeniu urządzenia, na przykład usługa zarządzania tożsamością i dostępem (IAM), komercyjny dostawca poczty e-mail lub uniwersytecki system poczty elektronicznej. Informacje mogą być przechowywane jako znacznik własności na urządzeniu, na przykład w oprogramowaniu sprzętowym urządzenia. Urządzenie może następnie zostać wysłane bezpośrednio do użytkownika końcowego, bez konieczności podejmowania jakichkolwiek pośrednich kroków przez organizację lub administratora IT.

We wniosku patentowym stwierdza się, że metoda ta może zapobiec potencjalnemu ryzyku bezpieczeństwa wynikającemu z posiadania urządzeń, które są automatycznie wyposażone w oprogramowanie, ustawienia konfiguracyjne i zasady po włączeniu zasilania w punkcie końcowym, ponieważ przesyłki często mogą zostać błędnie dostarczone, skradzione lub utracone w inny sposób. W takich przypadkach urządzenie może trafić w ręce złośliwego aktora, który może potencjalnie uzyskać dostęp do sieci organizacji w oparciu o automatyczne udostępnianie polityk i ustawień. Aby tego uniknąć, urządzenie można utrzymywać w stanie „zablokowanym”, w którym urządzenie akceptuje jedynie wprowadzanie tożsamości użytkownika, a inne operacje systemu operacyjnego są ograniczone, do czasu otrzymania biletu weryfikacyjnego od dostawcy tożsamości. Dzięki temu urządzenie może zostać automatycznie zabezpieczone bez konieczności podejmowania przez administratora IT jakichkolwiek proaktywnych kroków w celu oznaczenia urządzenia jako skradzionego lub zagubionego.

Zgłoszenie patentowe stwierdza również, że metoda ta może poprawić efektywność wdrażania urządzenia, ponieważ urządzenie może zostać wysłane bezpośrednio od producenta OEM do użytkownika końcowego bez konieczności dodatkowego zaangażowania ze strony organizacji lub administratora IT. Może to skrócić czas przestoju, zanim użytkownik końcowy otrzyma urządzenie, ponieważ urządzenie nie musi być wstępnie konfigurowane przez administratora IT, aby mieć pewność, że jest ono przypisane do konkretnego użytkownika końcowego. Ponadto urządzenie można automatycznie skonfigurować zgodnie z profilem wdrożenia, który może być przechowywany w usłudze IAM lub na samym urządzeniu, tak że urządzenie może wykonać wszelkie niezbędne procedury konfiguracji zgodnie z profilem wdrożenia lub profilem konfiguracji. Profil wdrożenia może określać różne ustawienia urządzenia, takie jak ustawienia zasad zarządzania urządzeniami mobilnymi, domyślne języki, ustawienia klawiatury, ustawienia asystenta osobistego i zasady zarządzania urządzeniami.

Zgłoszenie patentowe podaje także kilka przykładowych scenariuszy zastosowania metody, takich jak dostarczenie urządzenia nowemu pracownikowi w odległej lokalizacji lub dostarczenie urządzenia indywidualnemu klientowi, na przykład rodzicowi kupującemu laptop dla dziecka, które jest poza domem Szkoła Wyższa. W obu przypadkach urządzenie można przypisać do tożsamości użytkownika i dostawcy tożsamości podczas procesu zakupu, a następnie wysłać bezpośrednio do użytkownika końcowego. Po sprawdzeniu tożsamości użytkownika przez dostawcę tożsamości urządzenie może zostać automatycznie skonfigurowane zgodnie z profilem wdrożenia, który można dostosować do użytkownika lub urządzenia.