Microsoft patenteia uma maneira de proteger dispositivos enviados para trabalhadores remotos

A Microsoft tem apresentou um pedido de patente para um método de bloquear a propriedade de um dispositivo para um usuário ou organização específica no ponto de fabricação e, em seguida, enviar o dispositivo diretamente ao usuário final sem exigir qualquer configuração adicional por parte do administrador de TI. A patente, intitulada “Secure Device Deployment”, visa enfrentar os desafios de segurança e eficiência colocados pela tendência crescente de cenários de trabalho em casa ou teletrabalho, onde dispositivos como computadores ou dispositivos móveis precisam ser entregues em locais remotos e registrados na rede de uma organização.

De acordo com o pedido de patente, o método envolve o fornecimento de informações ao fabricante do equipamento original (OEM) durante o processo de pedido que pode ser usado para bloquear o dispositivo a uma identidade de usuário específica e a um provedor de identidade. O provedor de identidade pode ser um serviço que pode validar a identidade do usuário ao ligar o dispositivo, como um serviço de gerenciamento de identidade e acesso (IAM), um provedor de email comercial ou um sistema de email universitário. As informações podem ser armazenadas como um marcador de propriedade no dispositivo, como armazená-las no firmware do dispositivo. O dispositivo pode então ser enviado diretamente ao usuário final sem a necessidade de etapas intermediárias por parte da organização ou do administrador de TI.

O pedido de patente afirma que este método pode evitar o risco potencial de segurança de ter dispositivos que são automaticamente provisionados com software, definições de configuração e políticas ao serem ligados no ponto final, já que as remessas muitas vezes podem ser entregues incorretamente, roubadas ou perdidas de outra forma. Nesses casos, o dispositivo pode acabar nas mãos de um agente mal-intencionado, que pode potencialmente obter acesso à rede da organização com base no provisionamento automático de políticas e configurações. Para evitar isso, o dispositivo pode ser mantido em um estado “brickado”, onde o dispositivo aceita apenas uma entrada de identidade do usuário e outras operações do sistema operacional são restritas, até que um ticket de validação seja recebido do provedor de identidade. Assim, o dispositivo pode ser protegido automaticamente sem exigir que o administrador de TI tome medidas proativas para marcar o dispositivo como roubado ou perdido.

O pedido de patente também afirma que este método pode melhorar a eficiência da implantação do dispositivo, uma vez que o dispositivo pode ser enviado diretamente do OEM para o usuário final, sem exigir qualquer envolvimento adicional da organização ou do administrador de TI. Isto pode reduzir o tempo de inatividade antes que o usuário final receba o dispositivo, pois o dispositivo não precisa ser pré-configurado pelo administrador de TI para garantir que o dispositivo esteja bloqueado para o usuário final específico. Além disso, o dispositivo pode ser configurado automaticamente de acordo com um perfil de implantação que pode ser armazenado em um serviço IAM ou no próprio dispositivo, de modo que o dispositivo possa executar quaisquer procedimentos de configuração necessários de acordo com o perfil de implantação ou perfil de configuração. O perfil de implantação pode especificar diversas configurações para o dispositivo, como configurações de política de gerenciamento de dispositivos móveis, idiomas padrão, configurações de teclado, configurações de assistente pessoal e políticas de gerenciamento de dispositivos.

O pedido de patente também fornece alguns exemplos de cenários de uso para o método, como fornecer um dispositivo a um novo funcionário em um local remoto ou fornecer um dispositivo a um cliente individual, como um pai que compra um laptop para um filho que está ausente em casa. faculdade. Em ambos os casos, o dispositivo pode ser bloqueado para uma identidade de usuário e um provedor de identidade durante o processo de compra e depois enviado diretamente ao usuário final. Após a validação da identidade do usuário pelo provedor de identidade, o dispositivo pode ser configurado automaticamente de acordo com um perfil de implementação que pode ser personalizado para o usuário ou para o dispositivo.