保护来自制造方的用户分配设备

背景技术

通常，可以从原始装备制造方(OEM)订购的计算设备可以根据订购实体的要求被配置，然后可以被部署到端点供用户使用。例如，这种部署可以针对个人零售消费方，也可以针对与组织关联的用户。例如，随着在家办公计划的不断发展，与组织相关联的IT管理方可以从OEM订购特定设备，并指示将该设备直接发送给家庭地址的组织用户。然而，随着包裹被盗和/或在运输过程中丢失的包裹的增加，该设备可能落入恶意行为方手中，这可能会给组织带来安全风险。因此，以方便的方式部署设备仍然存在困难。

附图说明

参考附图描述详细描述。在附图中，参考标号的最左边的数字表示参考标号首次出现的附图。在说明书和附图中的不同实例中使用相似的附图标号可以指示相似或相同的项目。

图1A和图1B示出了与本概念的一些实现一致的示例环境。

图2示出了与本概念的一些实现一致的示例过程流。

图3示出了与本概念的一些实现一致的示例系统。

图4示出了与本概念的一些实现一致的示例方法或技术。

具体实施方式

概述

随着世界各地的各种组织在家庭工作或远程工作方面采取了更大的灵活性，组织越来越多地在远离组织和/或与组织相关的IT管理方的位置向用户交付设备。例如，当组织的新员工入职时，该员工可能会要求将诸如计算机或移动设备之类的设备运送到员工所在地。备选地，现有员工可能需要更换设备，但希望拥有与其当前设备相同的配置设置。

在这种情况下，IT管理方可以采取特定动作，以确保设备可以配备适当的软件、配置设置和/或策略，这些软件、配置设置和/或策略可适用于将设备注册到组织的网络中。软件、配置设置和/或策略的这种安装可以经由使用例如与身份和访问管理(IAM)服务相关联的标识符与OEM协调。

例如，IT管理方可以在订购设备时向OEM提供租户ID。租户ID可以是反映设备可能属于的组织的标识符，因此在制造设备时，设备可以通过租户ID与组织相关联。然后，当设备被运送到端点时，设备可以自动联系与组织相关联的IAM服务，并且在确认与设备相关联的租户ID与存储在IAM服务中的数据匹配时，可以自动下载配置简档并将其应用到设备。因此，配置简档可以在设备在端点的初始上电时启用设备的自动供应。备选地，在特定情况下，IT管理方可以指定OEM在制造设备时应使用的默认配置简档。然后可以将设备运送到端点，并且在收到后，设备可以在端点上电，并使用默认配置简档中指定的策略和设置自动注册到组织的网络中。

然而，当使用诸如所提供的租户ID之类的信息来部署设备时，在端点处上电时，使用适用的策略和设置来自动配置此类设备可能会导致潜在的安全风险，因为货物通常会被错误交付、被盗或以其他方式丢失。在这种情况下，设备可能最终落入恶意行为方手中，恶意行为方可能至少基于策略和设置的自动配置而获得对组织网络的访问权。为了防止出现这种安全风险，通常可以首先将设备发送给组织或IT管理方，后者可以为设备分配特定的用户所有权，诸如与组织关联的特定用户帐户。然后，可以将设备运送到端点的用户，以便在确认端点用户与为设备设置的特定用户所有权匹配时接通电源并连接到组织的网络。

然而，要求首先将设备发送给组织，以便将特定用户分配为设备的所有方，这会导致效率低下，因为组织的IT管理方不能简单地要求将设备直接从OEM发送给端点用户。因此，在端点用户可以接收设备之前可能会有一定的停机时间，因为设备可能需要由IT管理方预配置，以确保设备锁定到特定的端点用户。

此外，尽管特定设备可能具有在设备被盗或丢失时“砖化”设备的特征，但这些设备通常需要向制造方肯定地报告设备丢失。在收到报告后，制造方可以采取肯定步骤，将设备的标识符标记为被盗或丢失的设备，这可能导致设备无法使用。然而，要求制造方或IT管理方采取主动步骤将设备标记为被盗或丢失意味着该设备可能在有限的时间内可用，直到设备被报告丢失或被盗。这可能会给组织或个人带来额外的安全风险，因为如果在设备上执行自动部署简档，恶意行为方最终可能会访问组织的网络。

因此，在特定实现中，设备可以直接从OEM部署到端点，其中可以在订购过程中向OEM提供信息，从而可以基于所提供的信息将部署的设备锁定到特定用户和/或组织。例如，IT管理方可以向OEM提供信息，以便将订购的设备锁定给组织的员工，例如新雇佣的员工。IT管理方还可以指定设备在初始上电时可以联系的身份提供方，以便在端点确认用户的身份。

然后，设备可以由OEM制造，并且利用订购过程中提供的信息，可以在设备上存储所有权标记。例如，在特定实现中，所有权标记可以包括设备被分配给的用户的用户身份以及可以用于验证用户身份的身份提供方。这样的所有权标记可以永久地存储在设备上，例如通过将数据值烧录到设备的固件。然后，设备可以直接发送给新雇佣的员工，而无需组织或IT管理方额外参与将设备分配给新雇佣的员工。

在接收到设备并上电后，设备可以访问固件并确定存在所有权标记，该所有权标记可以指示在执行与设备相关联的任何操作系统操作之前可能需要验证用户的身份。例如，设备可以限制操作系统(OS)操作，直到提供了与用于锁定设备的所分配的用户身份相对应的用户身份，并且设备接收到验证票据。因此，在收到验证票据之前，设备可以保持在“砖化”状态，其中设备只接受用户身份输入，其他操作系统操作受到限制。这样，即使设备在运输过程中丢失或被盗，设备也可以自动保持在不可用状态，而不需要IT管理方采取任何主动措施将设备标记为被盗或丢失，从而解决了一种技术解决方案，该技术解决方案避免了仅在接收到设备丢失或被盗的报告时禁用设备可能导致的潜在安全漏洞。

在输入用户身份后，设备可以经由身份提供方验证用户身份，并且在从身份提供方接收到验证(例如验证单)时，设备可以从其“砖化”状态中去除，并且在验证接收到的用户输入后，可以去除对操作系统操作的锁定。备选地，在特定实现中，如果所有权标记中指定的身份提供方存在复杂性(诸如身份提供方在哪里离线)，则可以从可以管理与OEM一起发布所有权标记的组织接收覆盖。

为了验证用户，设备可以联系指定的身份提供方，然后该提供方可以要求用户使用指定的身份提供方进行身份验证。然后，身份提供方可以检查用户提供的身份信息，并通过向设备发回验证票据来验证身份信息。一旦接收到验证票据，设备就可以继续执行初始设置操作，如可以由与用户或设备相关联的配置简档定义的。备选地，操作系统可以执行配置设置的默认安装，其可以在安装期间由用户定制。

在一个示例使用场景中，IT管理方可能希望在端点(例如新员工的家)向新员工提供设备。IT管理方可以发布采购订单，从OEM或与OEM相关联的经销方处购买拟部署的设备，在本专利中，与OEM相关联的经销方统称为OEM。作为购买过程的一部分，IT管理方可以输入可以与设备相关联的所有权数据，以便将设备保护到由所有权数据表示的用户。在一个实现中，所有权数据可以是用户标识符，诸如电子邮件地址。所有权数据还可以指定身份提供方，该身份提供方可以用于验证在端点处从用户接收的响应与在订购设备时建立的所提供的用户标识符对应。

在特定实现中，可以从可信身份提供方列表中选择可用于验证用户身份的身份提供方。例如，当从OEM购买设备时，用户可能会尝试进入作为身份提供方的第三方网站，该第三方网站可用于验证用户的身份。然而，OEM可以将接收到的数据与可信身份提供方列表进行比较，并且如果提交的身份提供方不包括在可信身份提供方的列表中，则OEM可以将提供的数据标记为无效。

在另一实现中，可以与设备相关联的用户身份可以是可以用于唯一地标识特定用户的任何类型的标识符。如前所述，这样的用户标识符可以是与用户相关联的电子邮件地址。然而，应当理解，可以使用其他类型的标识符。例如，用户标识符可以是在设备交付时可以从用户接收的密码短语，其中可以针对IAM服务或将密码短语与特定设备关联的数据库来验证密码短语。备选地，用户标识符可以是与用户相关联的生物特征数据，诸如面部扫描、视网膜扫描和/或指纹。在特定实现中，设备可以接收两种形式的用户标识符，使得如果生物特征标识符不可用(例如，用户的指纹由于被物体覆盖而无法读取)，则可以使用备份用户标识符，诸如电子邮件地址。

在处理购买时，OEM可以生成关于购买的购买订单ID，并将购买的设备直接运送到期望的端点。基于购买的设备，OEM可以生成包含与购买的设备相关联的设备规范的计算机构建报告(CBR)。这样的设备规范可以包括与设备相关联的多个不同类型的数据，例如构建设备的OEM名称、设备型号名称、设备序列号和/或设备4K硬件哈希。设备4K硬件哈希可以是哈希值，该哈希值可以包含关于设备的若干细节，包括其制造方、型号、设备序列号、硬盘驱动器序列号、BIOS标识符以及可用于在单个哈希值中唯一标识该设备的许多其他属性。然而，虽然4k硬件哈希可以用于标识设备，但信息元组也可以用于标识该设备。在一些实现中，元组可以由OEM名称、设备型号名称和设备序列号组成，可以用来唯一地标识设备。

CBR还可以包括指示已经应用于设备的所有权标记的信息，诸如关于设备是否需要强制验证所有权声明的加密BIOS标志，以及可以表示设备配置状态的加密OS哈希值。例如，可以在制造方设备上设置BIOS标志，以指示设备应禁用客户端上的任何配置或定制步骤，直到执行了用户身份的验证。因此，CBR可以包括关于设备是否正在强制BIOS标志的信息。

在特定实现中，CBR可以由OEM直接上传到与组织相关联的IAM服务，从而在与组织相关联的管理网络中自动登记所购买的设备。例如，IT管理方可以发布新设备的采购订单，然后可以向OEM提供特定的IAM服务标识符。在一些实现中，IAM服务器标识符可以是租户ID，其可以用于标识目录服务的特定租户，诸如Microsoft Azure Active directory或Amazon Web Services Identity和Access Management，以及其他身份管理软件。然后，OEM可以将CBR上传到与租户ID相关联的IAM服务，并且所购买的设备可以自动与采购组织相关联，以包含在管理网络中。

此外，通过将CBR上传到IAM服务，可以利用CBR中的各种数据来确保制造的设备在硬件和软件方面保持其原始状态。例如，可以使用4k硬件哈希来确保BIOS没有从设备被制造时最初存在的BIOS被修改。例如，如果设备在装运过程中被盗或丢失，恶意行为方可能会试图重新刷新现有BIOS，以规避BIOS标志。然后，恶意行为方可以尝试通过可能加载到设备上的部署简档来访问组织的管理网络。然而，在这种情况下，IAM服务可以访问CBR以确定现有设备配置是否与CBR匹配。例如，IAM服务可以通过将4k硬件哈希与从设备接收的信息进行比较来确定设备的硬件或软件设置是否已改变。如果比较确定信息不匹配，IAM服务可以将设备标记为潜在的安全风险。

一旦用户身份被验证，部署简档可以指定用于在端点上电时设置设备的特定配置设置。例如，部署简档可以指定移动设备管理策略设置、默认语言、键盘设置、个人助理设置(诸如使用Microsoft Cortana或Google assistant)，以及可以在设备上实施的特定设备管理策略。然后，可以将配置简档与设备相关联(例如，在所有设备都应该完全相同地配置的情况下)，或者特定配置简档可以唯一地与特定设备相关联，诸如通过使用特定设备标识符。然后，在验证之后，可以将部署简档存储在管理服务上，以便在设备上电时由设备访问。

由于在云中创建和存储了配置简档，最终用户可以接收OEM或负责管理网络的组织提供的设备，并且只需打开设备电源并确保网络访问可用(例如，通过将以太网电缆连接到设备)。在上电时，设备可以确定BIOS标志是否被设置为强制身份验证，然后如果BIOS标志被设置，则可以针对用户标识符提示用户。然后，设备可以对照BIOS中指定的身份提供方来验证用户标识符，并且在验证用户之后，可以访问设备的部署简档，并且设备可以应用部署简档来开始设备的自动配置。此外，在设备配置期间，可以基于配置简档显示定制信息，诸如描述组织名称的启动屏幕，以及当前安装和配置状态。

在另一个示例用例场景中，可能与组织不相关联的单个客户可以利用所公开的实现在与OEM的购买体验期间将设备安全地锁定到客户。例如，家长可能希望为目前正在上大学的孩子购买一台新膝上型计算机。由于膝上型计算机可能直接运送给孩子，家长可能希望将膝上型计算机锁定到与孩子相关联的身份，以防止膝上型计算机在运送过程中丢失或被盗时被使用。因此，作为购买过程的一部分，家长可以输入与孩子相关联的用户标识符，诸如电子邮件地址以及身份提供方，身份提供方可以验证所获得的输入(诸如在设备上电时接收的所获得的用户标识符)是否与作为所有权标记的一部分存储的用户标识符匹配。

例如，一旦膝上型计算机被运送给孩子，孩子就可以接通膝上型计算机的电源，并被身份提供方提出提供用户身份的挑战。由于家长知道孩子使用商业电子邮件提供方，并且与该提供方具有相关联的电子邮件地址，因此当从OEM订购膝上型计算机时，家长可以提供该商业电子邮件提供方作为身份提供方。在特定实现中，身份提供方可以是商业电子邮件提供方，诸如Microsoft Hotmail、Google Gmail或Yahoo！Mail，它可以公开允许利用商业服务执行身份验证的API。备选地，身份提供方可以是与学院网络相关联的电子邮件系统，其可以由IAM服务管理。

当从OEM购买设备时，还可以指定特定定制设置，这些设置可以在验证用户身份时提供设备的自动配置。再次参考家长在大学向孩子运送膝上型计算机的示例，家长可以向OEM订购膝上型计算机和关于膝上型计算机的供应方所有权信息。家长还可以提供在验证用户身份时应该与膝上型计算机相关联的特定定制设置，诸如让操作系统配置默认桌面背景，该默认桌面背景描绘了孩子的家庭照片，并带有上大学的祝贺消息。这样的配置设置可以在验证用户身份时自动应用，例如通过在用户验证时自动下载与设备相关联的部署简档。备选地，在特定实现中，OEM可以自动将包含特定定制设置的部署简档应用于设备，然后可以将设备锁定给客户，使得只有在设备上电时提供的用户标识符与客户提供的信息匹配时，设备才可以访问。

因此，本文公开的实现提供了一种在设备制造点将设备所有权锁定给特定用户的方法，然后可以将设备直接从OEM运送给特定用户。在身份提供方对用户进行验证之后，可以根据可以存储在IAM服务上的部署简档来执行自动配置过程，使得可以以完全自动的方式设置和配置设备，而不需要用户的任何额外干预，因为设备可以根据可以本地存储在设备上或云中的部署简档或配置简档执行任何必要的设置过程。因此，如果设备在装运期间丢失或被盗，设备所有权的锁定可以防止恶意使用设备。

图1A和图1B描绘了作为设备购买过程的一部分用于将设备保护到特定用户的示例环境100的实现。具体地，图1A描绘了环境100的实现，其中设备可以由可能与组织不相关联的客户(即，不是IT管理方)从OEM购买，并且设备可以被运送到端点用户(例如，将设备运送到大学生的家长)。如图1A所示，购买方102可能希望在端点处部署设备104供用户106使用。购买方102可以与OEM 108交互，使得可以下设备订单以交付给用户106。在特定实现中，购买方102可通过与由OEM 108提供的在线商店交互来订购设备。

作为订购过程的一部分，购买方102可以向OEM 108提供所有权数据，其中所有权数据可以用于将设备锁定给用户106。设备可以访问身份提供方110，以便验证由用户106提供的用户标识符和与所有权数据相关联的用户标识符匹配。

购买方102还可以创建可以与设备104相关联的配置简档，一旦用户106的用户身份被验证，该配置简档可以用于自动配置具有特定定制设置的设备104，而不需要用户106进行交互。配置简档可以包括在设备104中，使得在验证用户身份时，自动应用定制设置。例如，假设该设备被发送给一名新的大学生，则定制设置可以应用桌面背景和屏幕保护程序，该屏幕保护程序描绘了该学生入学的学校的吉祥物。然后，设备104可以在端点直接被运送到用户106。

图1B描绘了示例环境100的备选实现，其中购买方102可以是与组织相关联的IT管理方。类似于图1A，购买方102可以向OEM 108提交设备104将被交付给用户106的订单。然而，应当理解的是，购买方102可以将采购订单表单上传给OEM 108，以购买大量设备，诸如在IT管理方可能需要将多个设备交付给整个组织的不同用户的情况下。采购订单表单可以包括从OEM订购的每个设备的所有权数据。

此外，购买方102可能希望具有与每个设备相关联的公共简档，并且因此也可以创建部署简档以供OEM在生产各种设备时使用。备选地，大多数设备可以使用部署简档，而特定设备也可以使用可以在应用部署简档之后应用于设备的配置简档。例如，组织内的IT专业人员可使用的特定设备可能需要对操作系统的命令行解释器进行更大的访问，而这种访问可被限制在典型员工的设备上。因此，特定配置简档也可以与组织内IT专业人员拥有的设备相关联。

部署或配置简档可以存储在基于云的管理服务112中，该管理服务112可以是企业移动性管理服务，诸如Microsoft Intune或AWS Marketplace，以及其他企业移动性管理服务。在设备104上电并连接到网络(诸如因特网)时，设备104可以利用身份提供方110执行所有权验证，并且在成功验证用户106时，可以从管理服务112下载设备的特定部署简档，并且简档可以自动配置设备以供用户106使用。

一旦下载了部署简档，就可以应用与设备104相关联的各种设置。此外，用户106可以看到在设备的显示器上显示的特定于组织的介绍屏幕，该介绍屏幕可以提供关于当前设备管理过程的信息，并且以其他方式阻止用户对设备设置进行备选更改。此外，在设备104具有部署简档之外的专用配置设置的情况下，可以将配置简档应用于设备以提供专用配置。

管理服务112可以包括可用于管理设备配置的一个或多个数据库和/或目录。例如，管理服务112可以包括设备目录服务(DDS)数据库114和IAM服务116。在一个实现中，购买方102可以向OEM 108提供所有权数据，OEM 108又可以将设备所有权数据和CBR上传到DDS数据库114。

DDS数据库114然后可以与IAM服务116交互。在一些实现中，IAM服务116可以是Azure活动目录或Amazon Web服务身份和访问管理以及其他身份管理软件。DDS数据库114可以在IAM服务116中创建记录，该记录可以包括持久设备ID(DDID)，该持久设备ID可以用于引用CBR中定义的记录设备。当设备经过验证以定位与设备相关联的部署简档时，可以使用DDID。

应当理解，虽然图1B将身份提供方110描述为与IAM服务116分离，但在特定实现中，IAM服务116也可以充当身份提供方110。然而，由于购买方102可以从已批准的身份提供方列表中指定任何身份提供方，因此在某些情况下，最好使用商业电子邮件提供方(诸如Hotmail)对设备104进行初始验证。然后，在验证设备时，IAM服务116可以用于确保设备104可以适当地加入到与组织相关联的任何管理网络。

图2描绘了当计划将设备集成到组织的网络中时用于将设备保护到特定用户的过程200。在步骤202，购买方102可以通过访问例如与OEM相关联的门户来与OEM 108交互以购买设备。门户可以是与OEM相关联的基于web的店面，也可以是由采购订单驱动的站点，IT管理方可以在该站点上传要为组织部署的设备的采购订单。利用门户，客户可以根据需要配置设备，并且还可以提供用户所有权数据，该数据可以用于在收到设备时验证用户的身份。例如，用户所有权数据可以包括特定用户标识符，以及可以验证用户标识符的身份提供方。

OEM然后可以利用所提供的信息将所有权标记写入设备固件的安全部分。例如，在特定实现中，所有权标记可以在设备的初始制造时写入统一可扩展固件接口(UEFI)基本输入输出系统(BIOS)。此外，可以在制造级别设置BIOS标志，以指示在允许任何OS操作继续之前应进行所有权验证。因此，基于所有权标记到固件的写入，设备可以被自动置于不可用状态，直到用户身份的验证发生。

在步骤204处，OEM 108可以将设备104运送给用户106。此外，在步骤206处，OEM可以向DDS数据库114提供机器身份信息，使得DDS数据库具有已经提供给客户的设备的记录。在步骤208处，OEM 108还可以向IAM服务116上传与所部署的设备对应的CBR，IAM服务可以记录OEM生产的将与组织的网络相关联的所有产品的各种CBR数据。CBR数据可以包括与设备相关联的各种构建信息，以及加密的BIOS标志和加密的OS哈希，其可以用于与设备上电时进行比较，以确认设备上的BIOS和OS的状态在设备被运送到端点后没有被篡改。

当用户106接收到设备104时，用户可以对设备上电，并且设备可以确定设置了BIOS标志，这可能需要设备验证设备的所有权。这样，设备104可以访问与固件相关联的所有权标记，以确定烧录到固件中的身份提供方。在步骤210处，设备可以与身份提供方110通信，以便向用户106呈现身份验证提示。一旦用户106提交了用户身份，则在身份提供方110处验证用户身份，身份提供方110可以向设备104返回验证票据，表明用户已被验证。

在确认用户106的身份和与所有权标记相关联的用户身份匹配时，设备104可以继续配置设备。在特定实现中，在步骤212处，设备可以通过向DDS数据库114提供其DDID来请求在组织的管理网络中登记。DDS数据库116可以确定适当的部署简档，并且在步骤214中，可以与帐户存储库216交互以接收适当的帐户信息以供管理服务112使用。此外，在步骤218处，DDS数据库114可以与IAM服务116交互以验证与设备104相关联的所有权标记与从OEM108接收的CBR中包含的信息匹配，DDS数据库114可以确认与设备104相关联的4k硬件哈希和加密OS哈希和与设备的存储CBR记录相关联的哈希值匹配。最后，在确定证明过程成功后，DDS数据库114可以向设备104提供部署简档，设备104可以自动配置设备104而无需额外的用户参与。

最后，在将设备运送给用户106之后，可能存在设备可能被赠与另一个人或出售给第三方的情况。在这种情况下，设备可以被格式化以将设备返回到其出厂状态，但结果是，设备可以继续假定BIOS标志被设置，并且设备的所有权仍然属于用户106。在这种情况下，DDS数据库114可以用指示设备锁可以被释放的信息来更新。在特定实现中，所有权标记可以保留在设备的固件中，并且可以在固件中提供附加标记，该附加标记可以指示当用户不再是设备的所有方时不需要强制执行所有权标记。用于添加附加标记的这种过程可以根据购买方102(例如，IT管理方)在步骤220提供的指令，或者可以由用户106在步骤222处发起。

示例系统

本实现可以在各种设备上的各种场景中执行。图3示出了其中可以采用本实施方式的示例系统300，如下面更详细讨论的。

如图3所示，系统300可以包括购买设备302、管理服务112和用于部署的一个或多个设备104。上述设备中的每一个可以通过一个或多个网络304连接，网络304可以是LAN、WAN或任何其他此类类型的网络。注意，购买设备302和/或设备104可以被实现为诸如智能手机或平板电脑之类的移动设备，以及诸如台式机、服务器设备、独立信息亭等之类的固定设备。同样，管理服务112可以使用各种类型的计算设备来实现。在一些情况下，图3所示的任何设备，尤其是服务器，都可以在数据中心、服务器场等中实现。

通常，设备104、管理服务112和购买设备302可以具有各自的处理单元306和存储资源308，这将在下面更详细地讨论。设备还可以具有使用处理单元和存储资源来执行本文所讨论的技术的各种模块。存储资源可以包括永久性存储资源，诸如只读存储器和磁性或固态驱动器，以及易失性存储设备，诸如一个或多个随机存取存储器设备。在一些情况下，模块被提供为可执行指令，其被存储在持久存储设备上，被加载到随机存取存储器设备中，并由处理单元从随机存取存储器读取以供执行。在其他情况下，模块可以作为可执行指令被提供，这些可执行指令被永久地存储在永久性存储器(诸如只读存储器)中。

例如，购买方102可以使用购买设备302来购买用于部署的设备，并使用部署模块310来创建部署简档，该部署模块可以与管理服务112上的管理模块312交互。一般来说，部署模块可以向管理模块提供特定配置参数，并且可以将特定部署简档与反映设备所有权的特定设备ID和/或用户标识符相关联，这些标识符可以在设备初始上电时用于配置设备。配置参数可以包括系统配置设置以及可以根据管理模块312控制的策略限制和要求。

管理模块312还可用于验证与设备104相关联的用户的身份，并进一步证实从设备104接收的信息，诸如通过证实与BIOS或其他硬件相关联的特定哈希值与可与设备104相关联的记录信息对应。然后，管理模块312可以确认设备104的登记，并且提供要与设备相关联的特定部署简档。然后，部署简档可由可在设备104上操作的配置模块314使用，该配置模块可根据部署简档中提供的指令配置共享设备。

设备实现

如关于图3所述，系统300可以包括若干组件和/或设备，包括设备104、管理服务112和购买设备302。然而，并非所有设备实现都可以被示出，并且其他设备实现对于本领域技术人员来说从以上和以下描述中应该是明显的。

本文中可能使用的术语“设备”、“计算机”、“计算设备”、”客户端设备“、”服务“、”服务器“和/或”服务器设备“可以指具有一定量的硬件处理能力和/或硬件存储设备/存储器能力的任何类型的设备。处理能力可以由可以执行计算机可读指令以提供功能的一个或多个硬件处理器单元(例如，硬件处理单元/核)提供。计算机可读指令和/或数据可以存储在永久存储器或易失性存储器上。本文使用的术语“服务”和/或“系统”可以指单个设备、多个设备等。

存储资源可以位于与其关联的任何相应设备的内部或外部。存储资源可以包括易失性或非易失性存储器、硬盘驱动器、闪存设备和/或光学存储设备(例如，CD、DVD等)中的任何一个或多个。如本文所用，术语“计算机可读介质”可以包括信号。相比之下，术语“计算机可读存储介质”不包括信号。计算机可读存储介质包括“计算机可读存储设备”。计算机可读存储装置的示例包括易失性存储介质(诸如RAM)，以及非易失性介质(诸如ROM、硬盘、光盘和闪存等)，以及可需要存储资源的其他介质。

在某些情况下，设备被配置有通用硬件处理器和存储资源。在其他情况下，设备可以包括片上系统(SOC)类型设计。在SOC设计实现中，设备提供的功能可以集成在单个SOC或多个耦合SOC上。一个或多个相关联的处理器可以被配置为与共享资源(例如存储器、存储器等)和/或一个或更多个专用资源(例如被配置为执行特定功能的硬件块)协调。因此，本文中使用的术语“处理器”、“硬件处理器”或“硬件处理单元”还可以指中央处理器(CPU)、图形处理单元(GPU)、控制器、微控制器、处理器核或适合于在常规计算架构和SOC设计中实现的其他类型的处理设备。

备选地或附加地，本文描述的功能可以至少部分地由一个或多个硬件逻辑组件执行。例如但不限于，可使用的说明性类型的硬件逻辑组件包括现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑器件(CPLD)等。

在一些配置中，本文讨论的任何模块/代码都可以在软件、硬件和/或固件中实现。在任何情况下，模块/代码都可以在设备制造期间提供，或者由准备将设备出售给最终用户的中间方提供。在其他情况下，最终用户可以稍后安装这些模块/代码，诸如通过下载可执行代码并在对应设备上安装可执行代码。

还应注意，本文描述的组件和/或设备可以以独立或协作的方式工作以实现所描述的技术。例如，本文描述的方法可以在单个计算设备上执行和/或分布在通过一个或多个网络通信的多个计算设备上。无限制地，这样的一个或多个网络可以包括一个或多个局域网(LAN)、广域网(WAN)、因特网等。

示例保护用户所有权方法

以下讨论概述了上述保护用户所有权功能。图4示出了与本概念一致的示例方法400。

在框402，设备可以检测从设备制造方接收到的设备的初始上电。在特定实现中，设备制造方可以是OEM，并且可以基于OEM接收的指示OEM将设备运送到端点的采购订单将设备交付到端点。然后，一旦在端点处接收到该信号，该设备就可以被初始上电，以便配置该设备以供使用。

在框404，设备可以确定所有权标记是否存在于设备的固件中。例如，在设备的初始上电时，设备可以确定存在引导设备锁定操作系统操作的BIOS标志，直到接收到可以根据固件中存储的所有权数据验证的用户标识符。

在框406，设备可以针对用户标识符提示用户，然后在框408可以验证该用户标识符以便解锁设备。例如，用户可以输入用作用户标识符的电子邮件地址，并且可以针对可以是商业电子邮件提供方的身份提供方验证电子邮件地址。

最后，在框410，在验证了用户标识符之后，可以解锁设备并下载部署简档，并且设备可以使用部署简档来根据部署简档中提供的设置自动配置设备。在特定实现中，设备可以执行配置而不需要设备的用户的任何参与，因为部署简档可以指定与创建部署简档的组织相关联的组织数据，以及可以完全配置设备以供用户使用的默认设置。

以上描述了各种示例。附加示例如下所述。一个示例包括一种设备，该设备包括硬件处理单元和存储有计算机可读指令的存储资源，当由硬件处理单元执行时，该计算机可读指令使硬件处理单元：检测设备的初始上电，确定设备上是否存在所有权标记，如果确定存在所有权标记时锁定设备以免执行操作系统操作，获得用户标识符的输入以解锁设备，并且，如果接收到所获得的输入和与所有权标记相关联的用户标识符相匹配的验证，解锁设备以用于进一步的操作系统操作。

另一示例可以包括以上和/或以下示例中的任何一个，其中设备包括计算机可读指令，该计算机可读指令当由硬件处理单元执行时还使硬件处理单元：当所获得的用户标识符的输入和与所有权标记相关联的用户标识符匹配时，从数据库下载包含用于设备的配置设置的部署简档。

另一示例可以包括以上和/或以下的示例中的任何一个，其中设备包括计算机可读指令，该计算机可读指令当由硬件处理单元执行时还使硬件处理单元：在不需要设备的用户输入任何配置设置的情况下根据配置设置自动地配置设备。

另一个示例可以包括以上和/或以下的示例中的任何一个，其中部署简档由与组织相关联的管理方创建。

另一示例可以包括以上和/或以下的示例中的任何一个，其中部署简档限定将要应用于设备的移动设备管理策略设置。

另一个示例可以包括以上和/或以下的示例中的任何一个，其中设备由原始装备制造方直接运送给用户。

另一个示例可以包括以上和/或以下的示例中的任何一个，其中所有权标记由原始装备制造方写入设备的固件。

另一个示例可以包括以上和/或以下的示例中的任何一个，其中所有权标记包括用户身份和身份提供方，该用户身份与被指示为设备的所有方的用户相对应，该身份提供方能够执行对所获得的用户标识符的输入的验证。

另一个示例可以包括以上和/或以下的示例中的任何一个，其中设备由购买方订购，该购买方与被指示为设备的所有方的用户不同。

另一示例可以包括以上和/或以下的示例中的任何一个，其中购买方在设备的购买期间向原始装备制造方提供用户身份和身份提供方。

另一个示例可以包括以上和/或以下的示例中的任何一个，其中购买方指定所有权标记不应通过向固件添加附加标记而被强制执行。

另一示例包括一种用于将设备锁定到用户的方法，包括：检测设备的初始上电，该设备已从设备制造方被接收，确定该设备的固件中是否存在标记，该标记反映该设备被锁定到该用户，如果确定存在该标记，提示用户标识符，以及验证用户标识符以便解锁设备。

另一个示例可以包括以上和/或以下的示例中的任何一个，其中该方法还包括如果验证了用户标识符，下载包含用于设备的配置设置的部署简档。

另一个示例可以包括以上和/或以下的示例中的任何一个，其中标记由设备制造方写入设备的固件。

另一个示例可以包括以上和/或以下的示例中的任何一个，其中设备由购买方从设备制造方订购，该购买方不同于与用户标识符相关联的用户。

另一个示例可以包括以上和/或以下示例中的任何一个，其中购买方指定：如果确定用户不再是设备的所有方，标记不应通过向固件添加附加标记而被强制执行。

另一个示例包括一种系统，该系统包括硬件处理单元和存储有计算机可读指令的存储资源，该计算机可读指令当由硬件处理单元执行时使硬件处理单元：确定存在BIOS标志以对操作系统操作实施锁定，响应于确定存在BIOS标志而接收用户标识符，以及使用存储在固件中的身份提供方来验证所接收的用户标识符，其中在验证所接收的用户标识符时去除对操作系统操作的锁定。

另一个示例可以包括以上和/或以下的示例中的任何一个，其中当接收的用户标识符与固件中存储的所有权数据相匹配时，接受的用户标识符被验证。

另一个示例可以包括以上和/或以下的示例中的任何一个，其中身份提供方与所有权数据相关联。

另一个示例可以包括以上和/或以下的示例中的任何一个，其中所有权数据由原始设备制造方存储在固件中。

结论

尽管已经用特定于结构特征和/或方法行为的语言描述了主题，但是应当理解，在所附权利要求中定义的主题不一定局限于上述特定特征或动作。相反，上述具体特征和动作被公开为实现权利要求的示例形式，并且本领域技术人员将认识到的其他特征和动作意指在权利要求的范围内。