本文涉及当设备直接从原始装备制造方被运送时,保护特定用户对设备的所有权,以防止丢失或被盗的设备的恶意使用。购买方可以从原始装备制造方购买设备,并且作为购买过程的一部分,可以提供设备的所有权信息,该所有权信息可以包括用户标识符和身份提供方。所有权数据可以被写入固件,并且在设备上电时,设备可以请求用户标识符,该标识符然后在允许在设备上继续操作系统操作之前由身份提供方验证。上继续操作系统操作之前由身份提供方验证。上继续操作系统操作之前由身份提供方验证。
【技术实现步骤摘要】
【国外来华专利技术】保护来自制造方的用户分配设备
技术介绍
[0001]通常,可以从原始装备制造方(OEM)订购的计算设备可以根据订购实体的要求被配置,然后可以被部署到端点供用户使用。例如,这种部署可以针对个人零售消费方,也可以针对与组织关联的用户。例如,随着在家办公计划的不断发展,与组织相关联的IT管理方可以从OEM订购特定设备,并指示将该设备直接发送给家庭地址的组织用户。然而,随着包裹被盗和/或在运输过程中丢失的包裹的增加,该设备可能落入恶意行为方手中,这可能会给组织带来安全风险。因此,以方便的方式部署设备仍然存在困难。
附图说明
[0002]参考附图描述详细描述。在附图中,参考标号的最左边的数字表示参考标号首次出现的附图。在说明书和附图中的不同实例中使用相似的附图标号可以指示相似或相同的项目。
[0003]图1A和图1B示出了与本概念的一些实现一致的示例环境。
[0004]图2示出了与本概念的一些实现一致的示例过程流。
[0005]图3示出了与本概念的一些实现一致的示例系统。
[0006]图4示出了与本概念的一些实现一致的示例方法或技术。
具体实施方式
概述
[0007]随着世界各地的各种组织在家庭工作或远程工作方面采取了更大的灵活性,组织越来越多地在远离组织和/或与组织相关的IT管理方的位置向用户交付设备。例如,当组织的新员工入职时,该员工可能会要求将诸如计算机或移动设备之类的设备运送到员工所在地。备选地,现有员工可能需要更换设备,但希望拥有与其当前设备相同的配置设置。
[0008]在这种情况下,IT管理方可以采取特定动作,以确保设备可以配备适当的软件、配置设置和/或策略,这些软件、配置设置和/或策略可适用于将设备注册到组织的网络中。软件、配置设置和/或策略的这种安装可以经由使用例如与身份和访问管理(IAM)服务相关联的标识符与OEM协调。
[0009]例如,IT管理方可以在订购设备时向OEM提供租户ID。租户ID可以是反映设备可能属于的组织的标识符,因此在制造设备时,设备可以通过租户ID与组织相关联。然后,当设备被运送到端点时,设备可以自动联系与组织相关联的IAM服务,并且在确认与设备相关联的租户ID与存储在IAM服务中的数据匹配时,可以自动下载配置简档并将其应用到设备。因此,配置简档可以在设备在端点的初始上电时启用设备的自动供应。备选地,在特定情况下,IT管理方可以指定OEM在制造设备时应使用的默认配置简档。然后可以将设备运送到端点,并且在收到后,设备可以在端点上电,并使用默认配置简档中指定的策略和设置自动注册到组织的网络中。
[0010]然而,当使用诸如所提供的租户ID之类的信息来部署设备时,在端点处上电时,使
用适用的策略和设置来自动配置此类设备可能会导致潜在的安全风险,因为货物通常会被错误交付、被盗或以其他方式丢失。在这种情况下,设备可能最终落入恶意行为方手中,恶意行为方可能至少基于策略和设置的自动配置而获得对组织网络的访问权。为了防止出现这种安全风险,通常可以首先将设备发送给组织或IT管理方,后者可以为设备分配特定的用户所有权,诸如与组织关联的特定用户帐户。然后,可以将设备运送到端点的用户,以便在确认端点用户与为设备设置的特定用户所有权匹配时接通电源并连接到组织的网络。
[0011]然而,要求首先将设备发送给组织,以便将特定用户分配为设备的所有方,这会导致效率低下,因为组织的IT管理方不能简单地要求将设备直接从OEM发送给端点用户。因此,在端点用户可以接收设备之前可能会有一定的停机时间,因为设备可能需要由IT管理方预配置,以确保设备锁定到特定的端点用户。
[0012]此外,尽管特定设备可能具有在设备被盗或丢失时“砖化”设备的特征,但这些设备通常需要向制造方肯定地报告设备丢失。在收到报告后,制造方可以采取肯定步骤,将设备的标识符标记为被盗或丢失的设备,这可能导致设备无法使用。然而,要求制造方或IT管理方采取主动步骤将设备标记为被盗或丢失意味着该设备可能在有限的时间内可用,直到设备被报告丢失或被盗。这可能会给组织或个人带来额外的安全风险,因为如果在设备上执行自动部署简档,恶意行为方最终可能会访问组织的网络。
[0013]因此,在特定实现中,设备可以直接从OEM部署到端点,其中可以在订购过程中向OEM提供信息,从而可以基于所提供的信息将部署的设备锁定到特定用户和/或组织。例如,IT管理方可以向OEM提供信息,以便将订购的设备锁定给组织的员工,例如新雇佣的员工。IT管理方还可以指定设备在初始上电时可以联系的身份提供方,以便在端点确认用户的身份。
[0014]然后,设备可以由OEM制造,并且利用订购过程中提供的信息,可以在设备上存储所有权标记。例如,在特定实现中,所有权标记可以包括设备被分配给的用户的用户身份以及可以用于验证用户身份的身份提供方。这样的所有权标记可以永久地存储在设备上,例如通过将数据值烧录到设备的固件。然后,设备可以直接发送给新雇佣的员工,而无需组织或IT管理方额外参与将设备分配给新雇佣的员工。
[0015]在接收到设备并上电后,设备可以访问固件并确定存在所有权标记,该所有权标记可以指示在执行与设备相关联的任何操作系统操作之前可能需要验证用户的身份。例如,设备可以限制操作系统(OS)操作,直到提供了与用于锁定设备的所分配的用户身份相对应的用户身份,并且设备接收到验证票据。因此,在收到验证票据之前,设备可以保持在“砖化”状态,其中设备只接受用户身份输入,其他操作系统操作受到限制。这样,即使设备在运输过程中丢失或被盗,设备也可以自动保持在不可用状态,而不需要IT管理方采取任何主动措施将设备标记为被盗或丢失,从而解决了一种技术解决方案,该技术解决方案避免了仅在接收到设备丢失或被盗的报告时禁用设备可能导致的潜在安全漏洞。
[0016]在输入用户身份后,设备可以经由身份提供方验证用户身份,并且在从身份提供方接收到验证(例如验证单)时,设备可以从其“砖化”状态中去除,并且在验证接收到的用户输入后,可以去除对操作系统操作的锁定。备选地,在特定实现中,如果所有权标记中指定的身份提供方存在复杂性(诸如身份提供方在哪里离线),则可以从可以管理与OEM一起发布所有权标记的组织接收覆盖。
[0017]为了验证用户,设备可以联系指定的身份提供方,然后该提供方可以要求用户使用指定的身份提供方进行身份验证。然后,身份提供方可以检查用户提供的身份信息,并通过向设备发回验证票据来验证身份信息。一旦接收到验证票据,设备就可以继续执行初始设置操作,如可以由与用户或设备相关联的配置简档定义的。备选地,操作系统可以执行配置设置的默认安装,其可以在安装期间由用户定制。
[0018]在一个示例使用场景中,IT管理方可能希望在端点(例如新员工的家)向新员工提供设备。IT管理方可以发布采购订单,从OEM或与OEM相关联的经销方处购买拟部署的设备,在本专利中,与OEM相关联的经销方统称为OEM。作为购买过程的一部分,IT管理方可以输入可以与设备相关联本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种设备,包括:硬件处理单元;以及存储资源,存储有计算机可读指令,所述计算机可读指令当由所述硬件处理单元执行时使所述硬件处理器单元:检测所述设备的初始上电;确定所述设备上是否存在所有权标记;如果确定存在所述所有权标记,锁定所述设备以免执行操作系统操作;获得用户标识符的输入以解锁所述设备;以及如果接收到所获得的所述输入和与所述所有权标记相关联的用户标识符相匹配的验证,解锁所述设备以用于进一步的操作系统操作。2.根据权利要求1所述的设备,包括计算机可读指令,所述计算机可读指令当由所述硬件处理单元执行时还使所述硬件处理器单元:当所获得的所述用户标识符的所述输入和与所述所有权标记相关联的用户标识符匹配时,从数据库下载部署简档,所述部署简档包含用于所述设备的配置设置。3.根据权利要求2所述的设备,包括计算机可读指令,所述计算机可读指令当由所述硬件处理单元执行时还使所述硬件处理器单元:在不需要所述设备的用户输入任何配置设置的情况下,根据所述配置设置自动地配置所述设备。4.根据权利要求2所述的设备,其中所述部署简档限定将要应用于所述设备的移动设备管理策略设置。5.根据权利要求1所述的设备,其中所述设备由原始装备制造方直接运送给用户。6.根据权利要求5所述的设备,其中所述所有权标记由所述原始装备制造方写入所述设备的固件。7.根据权利要求6所述的设备,其中所述所有权标记包括用户身份和身份提供...
【专利技术属性】
技术研发人员:董安妮,张燕安,B,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。