选择性地管理数据集的制作方法

计算机和计算系统已经影响了现代生活的几乎每个方面。计算机通常涉及工作，休闲，医疗，交通，娱乐，家庭管理等。

近来，已经有诸如智能手机和平板电脑之类的个人移动计算设备的爆炸式发展。通常，用户将购买用于个人使用的移动计算设备，但是用户将希望也使用该设备来访问用于他们的工作或他们与之相关联的其他组织的资源。这通常被称为“带上你自己的设备”(BYOD)模型。

当个人设备用于访问公司或其他组织资源时，该组织将希望确保该设备满足某些合规策略并且具有被授予该组织的IT的某些控制。例如，设备可能需要受到密码保护。在设备丢失或被盗时，或者在个人不再与组织相关联时，可能需要该设备允许IT擦除设备。然而，需要平衡组织控制数据的需要与个人维持对其个人数据的控制的愿望。因此，当设备被擦除时，用户可能不希望擦除他们的个人数据。

选择性擦除是组织的管理员从不是由组织所拥有但包含组织资产的计算设备中只移除组织数据的能力。例如，信息工作者可以具有个人设备，比如电话。该设备可用于工作活动并且其上具有组织数据(以及与组织不相关联的个人数据)。如果该信息工作者被终止，则管理员希望能够选择性地擦除公司信息并留下所有的个人数据。为此，需要知道什么是组织数据，以及什么不是组织数据。当应用不知道该区别时，可能特别需要执行这样的功能。具体地，给定应用可以简单地将所有数据看作应用数据，而不在个人数据和组织数据之间区分。

本文要求保护的主题不限于解决任何缺点或仅在诸如上述环境的环境中操作的实施例。相反，背景仅提供以示出其中可以实施本文所描述的一些实施例的一个示例性技术领域。

技术实现要素：

本文所示的一个实施例包括可以在计算环境中实施的方法。该方法包括用于管理设备上的数据集以用于在标识被管理的数据集以及在被管理的数据集上操作中的效率的改进的动作。该方法包括标识设备上的应用的用户想要使用该应用来创建数据集。该方法还包括在设备上从与用户相关联的多个用户账户中标识将被用于数据集创建过程的用户账户。该方法还包括该应用创建数据集。该方法还包括通过将账户标识符与数据集相关联来将所标识的用户账户与数据集相关联。该方法还包括使账户标识符和数据集的关联被存储在应用外部。

另一实施例可以是在计算环境中实施的方法。该方法可以包括用于从设备选择性地擦除数据的动作。该方法包括标识设备上的多个数据集。该方法还包括以数据集为基础，从多个数据集中标识一个或多个数据集，该一个或多个数据集是通过在设备外部的数据结构处与用于特定用户账户的账户标识符相关联来与该特定用户账户相关联的被管理数据集。被管理的数据集通过与用于特定用户账户的账户标识符相关联，来与该特定用户账户相关联。该方法还包括接收与该特定用户账户相关联的被管理数据应该从该设备被擦除的指示。该方法还包括擦除被标识为与特定用户账户相关联的被管理的数据集的一个或多个数据集，而不擦除来自该多个数据集的不与该特定用户账户相关联的数据集。

提供本发明内容以便以简化形式介绍将在以下具体实施例中进一步描述的概念的选择。本发明内容不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在被用于帮助确定所要求保护的主题的范围。

附加的特征和优点将在下面的描述中阐述，并且部分地将从该描述中显而易见，或者可以通过实施本文的教导而习得。本发明的特征和优点可以通过在所附权利要求中特别指出的仪器和组合来实现和获得。从下面的描述和所附权利要求中，本发明的特征将变得更加显而易见，或者可以通过下文所阐述的本发明的实施习得。

附图说明

为了描述可以获得上文列举的和其他的优点和特征的方式，将通过参考在附图中示出的具体实施例来呈现上面简要描述的主题的更具体的描述。应当理解，这些附图仅描绘了典型的实施例，并且因此它们不被认为是范围上的限制，将通过使用附图利用附加的详情和细节来描述和解释实施例，其中：

图1示出了可以利用合作应用执行选择性擦除的环境；

图2示出了可以利用非合作应用执行选择性擦除的环境；

图3示出了管理设备上的数据集的方法；

图4示出了从设备选择性擦除数据的方法。

具体实施方式

实施例可以包括用于将标识符与数据集(比如文档、文件、数据库条目或其他数据集)相关联的功能，其中标识符标识账户。这样，账户与数据集相关联。如果要擦除账户的数据，比如来自公司账户的数据，则可以通过只擦除具有与该账户相关联的标识符的数据，来擦除与该账户相关联的任何数据而不擦除与该账户不相关联的任何数据。

将数据集与账户标识符相关联可以以多种不同的方式实现。例如，在一些实施例中，应用可以确定什么账户是活动的，然后用活动的账户的标识符来标记用该应用创建的任何数据集。例如，考虑管理若干账户的电子邮件程序。用户可以选择与要关注的账户之一相关联的收件箱(或其他文件夹)。然后，用户可以在此收件箱受关注时撰写电子邮件。与该账户相关联的标识符将与所撰写的电子邮件相关联，从而将电子邮件与账户相关联。

在备选示例中，实施例可以使用自然语言处理或“查找字符串”(grep)来查看文档的内容以确定与该文档相关联的账户。

在备选实施例中，用户可以明确地在数据集创建时将账户与数据集相关联。例如，用户可以再次从电子邮件应用撰写电子邮件。该电子邮件应用可能没有用于确定所撰写的电子邮件应当与哪个账户相关联的功能。然而，在用户指示希望撰写电子邮件之后，用户可以被呈现一个对话框(或其他用户接口)，该对话框具有允许用户选择账户的选取器。然后，用户选择的账户的标识符将与所撰写的电子邮件相关联。

以下示出了各种细节。特别地，以下描述的第一部分描述了整体系统。第一部分示出了实施例如何在接收到信号以执行选择性擦除时确定需要擦除什么数据。以下描述的第二部分描述了附加功能，当在整体系统中未写入用于标识账户(或者是非合作的)的应用时，该附加功能可以被实施以递送(deliver)选择性擦除。

整体系统

如前所述，实施例应当被配置成当接收到选择性擦除信号时确定要从设备擦除什么数据。如果在擦除操作中从设备中移除了所有的数据，则会从设备中移除个人数据，而设备的所有者会在丢失其数据时感到失望。为了避免这种情况，实施例将谁拥有特定文档(或其他数据集)中的数据与用户进行相关，并且更具体地与用户账户进行相关。为此，实施例用被用来创建数据的用户账户的账户标识符来标记每个文件。例如，用户可以在电子邮件程序中具有多个电子邮件账户。信息工作者(IW)需要选择电子邮件将从哪个账户发起。在所示示例中，该方法被应用于所有的文档创建，使得如果IW创建新的电子邮件或文字处理文档，则将该电子邮件或文字处理文档与创建文档的该用户的账户进行相关。一些实施例可以保持对文件名到账户进行追踪的表，而不是直接修改文档。例如，这可以用于本地计算机不支持关于文件类型的扩展元数据的情况。

这允许实施例知道哪个账户创建了文档。当接收到擦除命令时，实施例需要知道哪个账户应该使其数据移除。这可以通过为向组织登记设备的用户保存账户标识符来完成。登记设备例如可以包括登入公司网站并同意被管理。当这种情况发生时，登记服务保存账户标识符和设备标识符。备选地，IT专业人员可以向设备提供特定用户的身份。这样用户就不需要去网站，而是自动发生。

当请求选择性擦除时，应用中的代理(或者可以与应用中的代理共享关于擦除的信息的应用外部组件)将设备标识符给予登记服务，并且接收较早记录的账户标识符。备选地，登记过程的一部分可以是标识公司账户。如果执行这一部分，则实施例不需要登记服务以获得账户标识符。然后，代理告诉客户端应用移除用该账户标识符标记的所有文件，这将所有个人数据留在该设备上，同时移除组织资产。图1中示出了其示例。图1示出了可以实施实施例的环境和示例流程。特别地，图1示出了其中应用被配置成执行选择性擦除的合作环境示例。例如，这可以通过使用由组织提供的应用来实施，使得组织可以保护其组织数据。

图1示出了设备102。例如，该设备可以是移动电话，平板或其他计算设备。例如，设备102可以是用户104的个人设备。然而，在设备102是不太(或非)便携式的设备的情况下和/或当设备102是公司或组织资产时，也可以实施实施例。如步骤1所示，通过向登记Web服务106发送设备标识符和账户标识符，用户104登记设备102。如步骤2所示，账户标识符和设备标识符在诸如表之类的数据结构108中被相关。

如步骤3所示，用户104在设备102上启动应用110。应用110被用户用来创建数据集112(在所示的示例中为文档)。应用110将用账户标识符来标记数据集112。

在稍后的某个时间，如步骤5所示，管理员114向选择性擦除控制台116发送擦除命令。如步骤6所示，擦除命令被发送到设备102。如在7处所示，设备102处的客户端118从数据结构108获得账户的账户标识符。例如，该客户端可以是在设备上运行的移动设备管理(MDM)代理。在一个示例中，MDM代理具有设备管理员能力，比如设置设备PIN策略，但是其不具有查看其他应用的沙箱以擦除应用数据的能力。相反，它会告诉各个应用擦除其公司数据。备选地，该客户端可以是在进程内运行的代码，比如用其建立应用的移动应用管理SDK。此SDK可以公开API，其可以通知应用何时其应该执行擦除。

如步骤8所示，设备102处的客户端118告诉应用110擦除与该账户标识符相关联的所有数据集。在备选示例中，当没有客户端时，该应用联系服务以询问是否应该擦除公司数据。然后，应用110擦除与账户标识符相关联的数据集。擦除可以包括以下中的一个或多个：删除数据集，加密数据集以及丢弃解密密钥，加密并随后删除数据集，或者使用户104不能在设备102处访问数据集的其他适当方式。

现在，下面示出非合作示例的细节。在这种情况下，应用不会被写入以使用选择性擦除。例如，应用可以简单地是从应用商店购买的应用，其中应用一般可用于消费而不是简单地可用于组织的成员。通过截取和定制文件(或其他数据集)创建对话来添加“账户选取器”，实施例可以解决未被具体配置来实施选择性擦除的应用。因此，例如，当用户尝试创建文件时，可以向用户呈现用户接口，其要求用户选择与文件相关联的账户。这可以使用单选按钮、下拉菜单、复选框等来完成。这种改变允许实施例知道正在用什么账户来创建文件。在上面的示例中，如果电子邮件或文字处理应用不知道使用了什么账户来创建文档，则实施例可以通过代码检查找到数据集创建对话，比如“邮件撰写”或“文件新建”对话框，当显示时会添加一个复选框，说“这是一个公司文档”。当用户选择复选框项时，实施例将在本地数据库中保存文档名和账户标识符。在这一点上，系统工作与上述示例中所示的相同，不同之处在于客户端118将处理选择性擦除。它将通过查看数据库并删除账户标识符与选择性擦除账户标识符匹配的所有文档来完成。

图2中示出了一个示例。图2示出了设备102的用户104。如步骤1所示，用户发起数据集创建。如步骤2所示，应用110启动文件创建对话框120。如步骤3所示，设备102上的客户端118截取文件创建对话框120并添加一个字段以选择账户。在此示例中，客户端将包括在应用进程内运行的代码。这可以通过使用应用包装器工具将SDK代码注入应用来完成。应用不会在标记数据集过程中合作，而是SDK代码通过截取系统调用来代表应用执行此操作。如步骤4所示，用户104可以使用文件创建对话框来选择文件名和账户。例如，用户可以能够通过选择复选框，通过选择单选按钮或其他选择从下拉用户接口中选择账户。设备102具有与其相关联的多个账户，并且因此用户可以从多个不同的账户中进行选择。然而，在一些实施例中，设备102可以具有一个或多个个人账户，以及仅一个需要由组织来管理的被管理账户。在这种情况下，对话框可以简单地提示用户，以指示何时该数据集是属于组织的数据集或者否则何时应被管理。如步骤5所示，应用110保存该文档。如步骤6所示，客户端118可以在数据结构108中将用户所选择账户的账户标识符与所创建的数据集的标识符相关联。

在稍后的某个时间，如步骤7所示，发起选择性擦除。例如，选择性擦除可以通过组织的系统管理员发送擦除命令来发起。例如，系统管理员可以能够访问与客户端118通信的管理服务122。系统管理员可以在管理系统122中指示应该在设备102上执行选择性擦除。管理系统122可以与客户端118通信来使选择性擦除被执行。

备选地，当客户端118或设备102上的其他组件标识出该设备不再符合一些组织策略时，可以发起选择性擦除。例如，客户端118可以标识设备102不再受密码保护或者该设备不受足够强的密码保护，和/或设备102不再符合一个或多个其他策略。

如步骤8所示，客户端118查阅将账户标识符与数据集标识符相关的数据结构108，并且擦除与特定被管理的账户相关联的任何数据集。因此，例如，选择性擦除可以标识与账户标识符相关联的账户。备选地，选择性擦除可以标识可以与账户相关的组织，使得可以定位账户标识符。在备选实施例中，可以仅基于账户来标记数据。实施例将不需要标识特定用户。例如，如果个人在公司工作，则实施例可以使用与上面相同的想法，该想法为将数据与特定公司而非特定的用户相关，然后擦除该公司的数据。当公司提供设备但许多用户使用它时，这可能是有用的。使用来自数据结构108的信息，可以从设备102标识和擦除数据集。因此，可以从设备102选择性地擦除由与用户账户相关联的组织所管理的数据集的选择性擦除，而不影响并非由组织管理或不与特定用户账户相关联的设备102上的其他数据，该特定用户账户与组织相关联。

以下讨论现在涉及可以执行的多种方法和方法动作。尽管方法动作可以以特定顺序被讨论或者可以在以特定顺序发生的流程图中被示出，然而除非特别声明，否则不需要特定顺序，或者由于动作依赖于在该动作被执行之前完成的另一动作而需要特定顺序。

现在参考图3，示出了方法300。可以在计算环境中实施方法300。方法300包括用于管理设备上的数据集以用于在标识被管理的数据集以及在被管理数据集上操作中的效率的改进的动作。方法300包括标识设备上的应用的用户想要使用该应用创建数据集(动作302)。例如，实施例可以标识用户已经选择了“新”文档用户接口元素。

方法300还包括在设备上从与用户相关联的多个用户账户中标识将被用于数据集创建过程的用户账户(动作304)。例如，诸如设备102之类的设备可以具有各种用户账户，诸如公司或其他组织账户，以及个人用户账户。下面将更详细地讨论用于标识用户账户的各种备选方案。

方法300还包括应用创建数据集(动作306)。例如，应用可以创建新文档或电子邮件。

方法300还包括通过将账户标识符与数据集相关联来将所标识的用户账户与数据集相关联。例如，与用户账户相关联的唯一号码或其他标识符可以与新文档或电子邮件相关联。

方法300还包括使账户标识符和数据集的关联被存储在应用外部。例如，数据结构108可以用于存储相关性。

方法300可以被实施为其中在标识用户账户基于用于该应用的活动的用户账户。例如，应用可以具有受关注的某些数据，可以具有所选择的对应于特定用户账户的某些文件夹等。

备选地，方法300可以被实施为其中标识用户包括账户从选取器用户接口元素接收用户账户的手动选择。例如，如上所述，可以提供允许用户在文档创建时选择账户的用户接口。这样的选取器可以是下拉菜单、单选按钮、复选框等。

方法300可以被实施为其中用户账户和数据集的关联被存储在设备外部的服务处。

方法300还可以包括接收针对用户账户的选择性擦除命令。因此，该方法还可以包括标识具有与其相关联的该账户标识符的所有数据集。该方法还可以包括选择性地擦除具有与其相关联的该账户标识符的所有数据集。

在备选实施例中，方法300还可以包括确定设备不再符合策略约束。因此，方法300还可以包括标识具有与其相关联的该账户标识符的所有数据集。方法300还可以包括选择性地擦除具有与其相关联的该账户标识符的所有数据集。

方法300可以被实施为其中通过将账户标识符与数据集相关联来将所标识的用户账户与数据集相关联由应用外部的包装器执行。特别地，包装器可以截取应用与操作系统之间的数据通信。包装器还可以具有用于标识和擦除数据的功能。上文通过客户端118示出了包装器的示例。备选地，方法300可以被实施为其中通过将账户标识符与数据集相关联来将所标识的用户账户与数据集相关联由应用执行。

现在参考图4，示出了另一种方法400。可以在计算环境中实施方法400。方法400包括用于从设备选择性地擦除数据的动作。该方法包括标识设备上的多个数据集(动作402)。

方法400还包括以数据集为基础，从多个数据集中标识一个或多个数据集，该一个或多个数据集是通过在设备外部的数据结构处与用于特定用户账户的账户标识符相关联来与该特定用户账户相关联的被管理的数据集(动作404)。被管理的数据集通过与用于特定用户账户的账户标识符相关联来与特定该用户账户相关联。

方法400还包括接收与该特定用户账户相关联的被管理的数据应该从设备被擦除的指示(动作406)。

方法400还包括擦除被标识为与特定用户账户相关联的被管理的数据集的一个或多个数据集，而不擦除来自该多个数据集的不与特定用户账户相关联的数据集(动作408)。

方法400可以被执行为其中擦除被标识为与特定用户账户相关联的被管理数据集的一个或多个数据集由包装器执行。例如，作为客户端118的一部分被包括的包装器可以能够标识要被擦除的数据集。

备选地或附加地，方法400可以被执行为其中擦除被标识为与特定用户账户相关联的被管理的数据集的一个或多个数据集由被配置成创建一个或多个数据集中的一个或多个的应用来执行。例如，应用110可以包括擦除数据集的功能。因此，在一些实施例中，创建数据集或是与数据集交互的应用可用于擦除那些相同的数据集。

方法400可以被执行为其中接收与特定用户账户相关联的被管理的数据应该从设备被擦除的指示包括接收设备不再被管理的指示。例如，登记服务106或另一管理服务可以向客户端118发送指示设备102不再由管理服务管理的消息。

方法400可以被执行为其中接收与特定用户账户相关联的被管理的数据应该从设备被擦除的指示包括接收设备不再符合策略并且然后执行擦除的指示。例如，设备102可以指示其状态。客户端118可以确定该状态是否符合管理服务所指定的特定策略。如果设备102不再符合，则客户端可以进行该确定。在备选实施例中，可以由外部服务周期性地执行检查以确保设备符合策略。当设备不再符合策略时，可以向客户端118发送指示该不符合的消息。

方法400可以被执行为其中接收与特定用户账户相关联的被管理的数据应该从设备被擦除的指示包括接收选择性擦除命令。例如，诸如登记服务106、相关联的服务或其他服务之类的管理服务可以向客户端118指示应该擦除某些数据。例如，这可以通过提供账户标识符来执行。

此外，该方法可以由包括一个或多个处理器和诸如计算机存储器之类的计算机可读介质的计算机系统来实施。特别地，计算机存储器可以存储计算机可执行指令，当由一个或多个处理器执行时，该计算机可执行指令使各种功能被执行，比如在实施例中叙述的动作。

如下面更详细地讨论的，本发明的实施例可以包括或利用包括计算机硬件的专用或通用计算机。在本发明的范围内的实施例还包括用于携带或存储计算机可执行指令和/或数据结构的物理和其他计算机可读介质。这样的计算机可读介质可以是可由通用或专用计算机系统访问的任何可用介质。存储计算机可执行指令的计算机可读介质是物理存储介质。携带计算机可执行指令的计算机可读介质是传输介质。因此，作为示例而非限制，本发明的实施例可以包括至少两种截然不同种类的计算机可读介质：物理计算机可读存储介质和传输计算机可读介质。

物理计算机可读存储介质包括RAM，ROM，EEPROM，CD-ROM或其它光盘存储器(比如CD，DVD等)，磁盘存储器或其他磁存储设备，或任何其它介质，该任何其它介质可用于存储计算机可执行指令或数据结构的形式的期望的程序代码装置并且可以由通用或专用计算机访问。

“网络”被定义为一个或多个数据链路，其使能计算机系统和/或模块和/或其他电子设备之间的电子数据传输。当通过网络或另一通信连接(硬连线，无线或硬连线或无线的组合)向计算机传送或提供信息时，计算机适当地将该连接视为传输介质。传输介质可以包括网络和/或数据链路，其可用于运载计算机可执行指令或数据结构的形式的期望的程序代码装置并且可以由通用或专用计算机访问。上述的组合也包括在计算机可读介质的范围内。

此外，在到达各种计算机系统组件时，计算机可执行指令或数据结构形式的程序代码装置可以从传输计算机可读介质自动转移到物理计算机可读存储介质(或反之亦然)。例如，通过网络或数据链路接收的计算机可执行指令或数据结构可以被缓存在网络接口模块(例如，“NIC”)内的RAM中，然后最终被转移到计算机系统RAM和/或计算机系统处的弱易失性计算机可读物理存储介质。因此，计算机可读物理存储介质可以包括在同样(或甚至主要)利用传输介质的计算机系统组件中。

例如，计算机可执行指令包括使通用计算机、专用计算机或专用处理设备执行某一功能或一组功能的指令和数据。例如，计算机可执行指令可以是二进制、诸如汇编语言之类的中间格式指令、或甚至源代码。虽然已经用特定于结构特征和/或方法动作的语言描述了主题，但是应当理解，所附权利要求中定义的主题不一定限于上述描述的特征或动作。相反，所描述的特征和动作作为实施权利要求的示例形式被公开。

本领域技术人员将理解，本发明可以在具有许多类型的计算机系统配置的网络计算环境中实施，该配置包括个人计算机、台式计算机、膝上型计算机、消息处理器、手持设备、多处理器系统、基于微处理器的或可编程的消费电子产品、网络PC、微型计算机、大型计算机、移动电话、PDA、寻呼机、路由器、交换机等。本发明还可以在分布式系统环境中实施，在该环境中通过网络被链接(通过硬连线数据链路、无线数据链路或通过硬连线和无线数据链路的组合)的本地和远程计算机系统都执行任务。在分布式系统环境中，程序模块可以位于本地和远程存储器存储设备中。

备选地或附加地，本文所描述的功能性可至少部分地由一个或多个硬件逻辑组件来执行。例如，但不限于，可使用的硬件逻辑组件的说明性类型包括：现场可编程门阵列(FPGA)、程序特定集成电路(ASIC)、程序特定标准产品(ASSP)、片上系统的系统(SOC)、复杂可编程逻辑器件(CPLD)等。

在不脱离本发明的精神或特性的情况下，本发明可以其它具体形式实施。所描述的实施例在所有方面都被认为仅是说明性的而不是限制性的。因此，本发明的范围由所附权利要求书而不是前面的描述来表示。在权利要求的等同方案的含义和范围内的所有改变将被包括在其范围内。