Microsoft patenterar ett sätt att säkra enheter som skickas till distansarbetare

Microsoft har in en patentansökan för en metod för att låsa äganderätten till en enhet till en specifik användare eller organisation vid tillverkningsstället, och sedan skicka enheten direkt till slutanvändaren utan att kräva ytterligare konfiguration av IT-administratören. Patentet, med titeln "Secure Device Deployment", syftar till att ta itu med de säkerhets- och effektivitetsutmaningar som den ökande trenden med scenarier för arbete hemma eller distansarbete innebär, där enheter som datorer eller mobila enheter måste levereras till avlägsna platser och registreras. in i en organisations nätverk.

Enligt patentansökan innebär metoden att tillhandahålla information till originalutrustningstillverkaren (OEM) under beställningsprocessen som kan användas för att låsa enheten till en viss användaridentitet och en identitetsleverantör. Identitetsleverantören kan vara en tjänst som kan validera användaridentiteten när enheten slås på, till exempel en tjänst för identitets- och åtkomsthantering (IAM), en kommersiell e-postleverantör eller ett e-postsystem för universitetet. Informationen kan lagras som en ägarmarkör på enheten, till exempel att lagra den i enhetens firmware. Enheten kan sedan skickas direkt till slutanvändaren utan att några mellansteg krävs av organisationen eller IT-administratören.

Patentansökan anger att den här metoden kan förhindra den potentiella säkerhetsrisken med att ha enheter som automatiskt förses med programvara, konfigurationsinställningar och policyer när de slås på vid slutpunkten, eftersom försändelser ofta kan fellevereras, stjäls eller på annat sätt förloras. I sådana fall kan enheten hamna i händerna på en illvillig aktör, som potentiellt kan få tillgång till organisationens nätverk baserat på automatiskt tillhandahållande av policyer och inställningar. För att undvika detta kan enheten bibehållas i ett "blockerat" tillstånd, där enheten endast accepterar en användaridentitetsinmatning, och andra operativsystemoperationer är begränsade, tills en valideringsbiljett tas emot från identitetsleverantören. Således kan enheten automatiskt säkras utan att IT-administratören behöver vidta några proaktiva åtgärder för att markera enheten som stulen eller förlorad.

Patentansökan anger också att denna metod kan förbättra effektiviteten av enhetsinstallationen, eftersom enheten kan skickas direkt från OEM till slutanvändaren utan att det krävs ytterligare inblandning av organisationen eller IT-administratören. Detta kan minska stilleståndstiden innan slutanvändaren tar emot enheten, eftersom enheten inte behöver förkonfigureras av IT-administratören för att säkerställa att enheten är låst till den specifika slutanvändaren. Vidare kan enheten automatiskt konfigureras enligt en distributionsprofil som kan lagras på en IAM-tjänst eller på själva enheten, så att enheten kan utföra alla nödvändiga inställningsprocedurer enligt distributionsprofilen eller konfigurationsprofilen. Distributionsprofilen kan ange olika inställningar för enheten, till exempel policyinställningar för mobila enheter, standardspråk, tangentbordsinställningar, inställningar för personlig assistent och policyer för enhetshantering.

Patentansökan ger också några exempel på användningsscenarier för metoden, såsom att tillhandahålla en enhet till en ny anställd på en avlägsen plats, eller tillhandahålla en enhet till en enskild kund, såsom en förälder som köper en bärbar dator till ett barn som är borta kl. högskola. I båda fallen kan enheten låsas till en användaridentitet och en identitetsleverantör under köpprocessen och sedan skickas direkt till slutanvändaren. Efter validering av användaridentiteten av identitetsleverantören kan enheten automatiskt konfigureras enligt en distributionsprofil som kan anpassas för användaren eller enheten.