移动设备管理代理器的制作方法

本申请要求于2014年3月31日提交的题目为“BYOD MANAGEMENT BROKER”的美国临时专利申请号为61/973,083的优先权，出于所有目的通过引用将所述美国临时专利申请结合到本文中。

背景技术：

员工越来越多地可以使用个人设备（例如,移动电话、平板、膝上型计算机等）用于工作目的，有时被称为“带你自己的设备”（BYOD）。当设备被用在BYOD环境中时，公司可能需要在允许设备被用于工作之前管理员工的设备以保护内容和应用（app）。当设备由公司管理时，虽然设备拥有者是员工，但员工可能失去设备和隐私的至少一些控制（例如，应用和使用可以被报告给公司的管理服务器）。在某些情况下，当员工的设备与家庭成员共享时和/或当员工为多个公司工作时引入复杂度。例如，员工和/或设备可能不得不在多个公司的管理服务器中的每个之间来回地改变。在一些场景中，增加的复杂度可能使用户较少地倾向于在BYOD环境中使用他们的设备。

附图说明

在以下详细描述和附图中公开了本发明的各种实施例。

图1是图示了其中移动设备上的管理委托（proxy）代理（agent）（代理器（broker））管理由多个服务器在设备的管理中的参与的移动设备管理系统的实施例的框图。

图2是图示了其中在移动设备之外的MDM代理器管理由多个服务器在设备的管理中的参与的移动设备管理系统的实施例的框图。

图3是图示了将MDM代理器配置成管理由多个服务器在设备的管理中的参与的过程的实施例的流程图。

图4是图示了在移动设备管理（MDM）系统的实施例中的被用来存储配置和策略信息的数据结构的示例的框图。

图5是图示了在权限（authority）的范围内实施（enforce）MDM顺从动作的过程的实施例的流程图。

图6是图示了允许在其权限范围内从移动设备移除数据的管理权限的过程的实施例的流程图。

图7是图示了对请求进行响应以撤销先前准予的MDM权限的过程的实施例的流程图。

具体实施方式

本发明可以以许多方式来实现，包括作为过程；装置；系统；物质的组成；被体现在计算机可读存储介质上的计算机程序产品；和/或处理器，诸如被配置成执行被存储在耦合到处理器的存储器上的和/或由耦合到处理器的存储器提供的指令的处理器。在本说明书中，这些实现或本发明可以采取的任何其他形式可以被称为技术。一般地，可以在本发明的范围内更改所公开的过程的步骤的顺序。除非被另外声明，被描述为被配置成执行任务的诸如处理器或存储器之类的部件可以被实现为被临时地配置成在给定时间执行任务的通用部件或被制造成执行任务的特定部件。如本文中使用的那样，术语“处理器”指被配置成处理诸如计算机程序指令之类的数据的一个或多个设备、电路和/或处理核。

下面提供了对本发明的一个或多个实施例的详细描述连同图示本发明的原理的附图。结合这样的实施例描述了本发明，但本发明不限于任何实施例。本发明的范围仅由权利要求限制并且本发明包含许多替代、修改和等同物。在以下描述中阐述了许多特定细节以便提供对本发明的透彻理解。出于示例的目的提供了这些细节并且可以在没有这些特定细节中的一些或全部的情况下根据权利要求实践本发明。出于清楚的目的，尚未详细地描述在与本发明相关的技术领域中已知的技术材料，使得本发明没有被不必要地模糊。

公开了允许多个设备管理服务器参与管理诸如电话或平板之类的移动设备的技术。在一些实施例中，本文中所公开的技术可以被用来在设备级别处建立管理委托代理，除了（on top of）设备移动设备管理（MDM）代理之外。设备上的管理委托代理可以被配置成允许并管理诸如第三方MDM服务器和/或使能MDM的应用服务器之类的多个MDM管理实体在设备上的应用和内容的管理中的参与。在一些实施例中，受信任的基于云的管理委托服务器或“代理器”可以被用来代表诸如第三方MDM服务器和/或使能MDM的应用服务器之类的一个或多个管理服务器来管理设备MDM代理。

图1是图示了其中移动设备上的管理委托代理（代理器）管理由多个服务器在设备的管理中的参与的移动设备管理系统的实施例的框图。在示出的示例中，MDM代理器120，在本文中有时被称为管理委托代理或管理代理器，包括在移动设备140上运行的软件代码，诸如移动应用。在该示例中，开着的设备（on device）MDM代理器120经由设备上的原生或其他MDM代理110提供MDM控制。在各种实施例中，设备MDM代理110被配置成信任MDM代理器120并接受来自MDM代理器120的指导。在各种实施例中，MDM代理器120包括被配置成显示未在图1中示出的交互式用户界面的软件代码，用以使得设备140的用户能够将MDM代理器120配置成允许诸如该示例中的第三方MDM服务器100和102和/或应用服务器150之类一个或多个远程MDM实体参与设备140的管理。

虽然在本文中描述的各种实施例中术语“移动设备管理”或“MDM”可以被用来指管理委托，诸如在图1中示出的示例中的MDM代理器120，但本文中公开的技术可以被应用在例如管理服务器的任何管理代理或节点的背景中。

根据各种实施例，设备管理服务器100（例如，MDM服务器）可以与例如企业、消费者和/或其他实体相关联。例如，多个公司中的每个可以具有不同类型的MDM服务器100。BYOD设备140（例如，移动电话、平板、iPhone、iPad等）可以包括设备管理代理110（例如，MDM代理）。例如，取决于与设备140相关联的操作系统（OS），代理110可以被嵌入到OS（例如，iOS、Windows phone），可以是具有设备管理许可的应用（例如，Android），和/或可以以其他方式与设备140相关联。在一些实施例中，设备140可以包括管理委托代理（代理器）120。例如，设备140可以与多个MDM服务器100相关联，并且管理委托代理（代理器）120可以例如从每个MDM服务器100接收管理命令并且（例如在认证和授权之后）将管理命令传递到设备管理代理110。可以（例如，在用于隐私和/或其他控制的所要求的过滤之后）经由管理委托代理（代理器）120将信息从设备管理代理110传递到设备管理服务器100。管理委托协议130可以允许设备管理服务器100与管理委托代理（代理器）120通信。应用服务器150可以向BYOD设备140发送设备管理命令和/或其他信息。

在各种实施例中，设备拥有者（例如，员工）可以将BYOD设备140上的管理委托代理（代理器）120配置成由多个设备管理服务器100、应用服务器150和/或其他节点来管理。管理委托代理（代理器）120可以维护用于一列受信任的设备管理服务器100的配置、授权设备管理功能/信息，和/或执行其他操作。在各种实施例中，在注册（registration）期间，设备拥有者可以选择用于设备管理服务器100、应用服务器150和/或其他节点的允许的许可。许可可以包括例如允许锁定、不允许擦除、允许密码策略、允许密码顺从、不允许应用详细目录（inventory）和/或其他许可。在各种实施例中，当设备管理服务器100要求设备信息时，管理委托代理（代理器）120可以过滤信息并将其发送到设备管理服务器100。在一些情况下，取决于信息公开策略，管理委托代理（代理器）120可以报告经过滤的信息，因此设备管理服务器100可以例如决定针对丢失的信息做什么。在各种实施例中，应用服务器150可以与管理委托代理（代理器）120交互来管理BYOD设备140。

图2是图示了其中在移动设备之外的MDM代理器管理由多个服务器在设备的管理中的参与的移动设备管理系统的实施例的框图。在示出的示例中，在诸如移动设备140之类的一个或多个所管理的移动设备之外的管理节点处提供的MDM委托（代理器）200或其他管理服务器管理由多个服务器在MDM委托（代理器）200被配置成管理的设备的管理中的参与。

在各种实施例中，诸如图2中的MDM服务器100和102之类的设备管理服务器可以与企业、消费者和/或其他实体相关联。例如，一个或多个公司中的每个可以具有不同类型的MDM服务器，例如，MDM服务器100可以是来自第一个第三方MDM提供者的第一类型的MDM服务器，并且MDM服务器102可以是来自不同的第三方MDM提供者的第二类型的MDM服务器。在示出的示例中，设备管理代理110（例如，MDM代理）被安装在BYOD设备140上。在各种实施例中，管理代理110的类型可以例如取决于设备OS。代理110可以例如被嵌入到OS（例如，iOS、Windows phone）、具有设备管理许可的应用（例如，Android），和/或另一类型的管理代理110。

在各种实施例中，诸如应用服务器150之类的应用服务器可以经由MDM委托200向BYOD设备140发送设备管理命令。MDM委托200可以被配置成例如由设备140的用户向应用服务器150委派/准予关于设备140的特定范围的管理权限和/或特权。

在一些实施例中，MDM委托200可以从诸如MDM服务器100和/或MDM服务器102之类的设备管理服务器接收管理命令。例如，云MDM委托200可以（例如在认证和授权之后）将命令传递到设备管理代理110。云MDM委托200也可以在将设备信息从设备管理代理110发送到设备管理服务器100之前执行隐私过滤和/或信息加密。

在各种实施例中，云业务接合器（splicer）210可以包括委托服务器，其将设备蜂窝和/或Wi-Fi业务连接到因特网。

根据一些实施例，业务委托215、217可以例如与设备管理服务器100（例如，企业、消费者和/或其他服务器）相关联。例如，多个公司中的每个可以具有不同的委托服务器（例如，不同类型的委托服务器）。在图2中示出的示例中，与MDM服务器100相关联的业务委托服务器215可以将业务连接到企业A的内联网，而与MDM服务器102相关联的业务委托217可以将业务连接到企业B的内联网。在一些情况下，MDM服务器可以包括和/或充当用于企业或其他内联网的业务委托。

在各种实施例中，云MDM委托200可以管理（220）云业务接合器210。管理委托协议230、232可以允许设备管理服务器100、102与云MDM委托200通信。设备管理协议235可以促进设备管理代理110和云MDM委托200之间的通信。

在各种实施例中，设备拥有者（例如，员工）可以将BYOD设备140上的设备管理代理110配置成由云MDM委托200管理。云MDM委托200可以例如维护用于一列受信任的设备管理服务器100、应用服务器150和/或其他节点的配置。云MDM委托200可以授权设备管理功能/信息和/或执行其他操作。在各种实施例中，在注册期间，设备拥有者可以选择针对设备管理服务器（诸如MDM服务器100、102）和/或应用服务器（诸如应用服务器150）和/或其他节点的允许的许可。在设备管理服务器100、102要求设备信息的情况下，云MDM委托200可以过滤信息并将其发送到设备管理服务器100、102。在各种实施例中，取决于信息公开策略，云MDM委托200可以报告经过滤的信息，因此设备管理服务器100可以决定针对丢失的信息做什么。

根据一些实施例中，设备拥有者可以将BYOD设备140配置成使用云业务接合器210用于网络访问（例如，蜂窝、Wi-Fi和/或其他因特网访问）。在各种实施例中，云业务接合器210可以由云MDM委托200配置。例如，取决于通信的性质/内容、起源的应用等，云MDM委托200可以利用策略将云业务接合器210配置成将业务接合到一个或多个企业或其他私有域的相应的业务委托215、217；因特网；和/或其他目的地。在各种实施例中，云业务接合器可以被配置成计量与访问公司内联网相关联的数据业务使用，并且公司可以针对企业数据使用补偿（reimburse）员工，例如用以促进员工与公司呆在一起。

根据各种实施例，企业设备管理服务器100、应用服务器150和/或其他节点可以使用例如云MDM委托200提供的应用编程界面（API）向BYOD设备140发送推送消息传送。在各种实施例中，推送消息可以被用来唤醒BYOD设备140（例如，用以得到最新设备状态）。例如，可以使用设备OS推送消息框架（例如，iOS推送通知、Android的谷歌云消息传送、Windows的Windows推送消息传送等）将推送消息递送到设备。在另一示例中，可以使用消费者推送消息传送（例如，短消息传送服务（SMS）文本消息、定制消息传送递送机制等）来递送推送消息。

在各种实施例中，本文中描述的移动设备管理的全部或部分，特别是保持一个企业的应用相关的内容和活动与另一企业的应用相关的内容和活动分离和/或就个人而言保持个人的应用内容和活动被保留给用户所要求的管理可以至少部分地通过使用移动操作系统的应用级别管理功能（诸如iOS7管理的应用或Android操作系统的“Android for Work”特征）和/或通过用以单独地管理应用的在设备上提供的第三方管理基础设施（诸如MobileIron的® AppConnect™技术）来提供。例如，MobileIron的® AppConnect™技术可以被用来将企业A的应用与可由那些应用访问的一个安全总线和与企业B的应用相关联的第二个分离的安全总线相关联。在（企业A或B）应用的每个相应的集合内的应用将具有对经由仅与应用的该集合相关联的AppConnect™总线共享的内容和信息的安全访问。在一些实施例中，诸如在图1中示出的示例中的MDM代理器120或在图2中的MDM代理器200之类的MDM代理器可以具有关于移动设备和其MDM架构的特权的级别以管理和促进安全应用通信总线的供应。

虽然上面结合图1和图2描述的示例涉及提供代表两个或更多企业和/或应用服务器的代理管理，但在一些实施例中本文中公开的技术可以由设备拥有者/用户用来配置移动设备上的信息、内容和/或应用的个人域的类似的管理。例如，基于云的个人MDM或其他管理服务可以被提供，并且可以以诸如在图1和2中示出的示例的中的MDM服务器100、102之类的MDM服务器参与移动设备上的其相应的内容和应用的管理的相同方式来参与设备上的个人内容的管理。例如，在一些实施例中，用户可以使用这样的服务来管理设备上的个人内容，提供对MDM和/或其他管理特征的访问，诸如从设备选择性擦除（移除）个人数据的能力、提供如在设备上存储的或在运送中的内容的加密的能力等。在一些实施例中，可以提供多个个人/用户域，例如用以使得拥有者能够独立于诸如配偶、合作者、孩子等的另一用户的内容来管理他/她的内容。

图3是图示了将MDM代理器配置成管理由多个服务器在设备的管理中的参与的过程的实施例的流程图。在各种实施例中，可以通过和/或关于被安装在移动设备上的MDM委托代理/代理器（诸如图1的MDM委托代理/代理器120）或外部MDM委托/代理器（诸如图2的MDM代理器200）来执行图3的过程。在示出的示例中，接收用以配置MDM代理器的请求（302）。例如，设备拥有者和/或管理用户可能已经访问基于web的用户界面或其他管理用户界面。接收移动设备和一个或多个管理权限（例如，MDM服务器100、MDM服务器102、应用服务器150等）的标识（304）。针对每个权限，接收关于设备的权限的相应的范围的指示（例如，一组管理权利和/或特权）（306）。例如，管理用户界面可以使得设备拥有者能够针对由用户标识的管理权限中的每个指示权限范围。MDM代理器（例如，MDM代理器120或MDM代理器200）被配置成针对关于设备的被准予权限的每个权限来促进和实施由用户定义的权限的相应范围（308）。例如，MDM代理器可以被配置成按要求执行过滤以确保管理权限没有接收拥有者尚未准予该权限对其的访问的信息。

图4是图示了在移动设备管理（MDM）系统的实施例中的被用来存储配置和策略信息的数据结构的示例的框图。在一些实施例中，可以提供用户界面来使得诸如设备拥有者之类的用户能够定义策略和设置，诸如在图4中示出的示例中的那些。

在各种实施例中，通过配置例如MDM委托/代理器200的云MDM委托（或设备级别MDM委托代理，诸如MDM委托代理120）和诸如业务接合器210之类的云业务接合器，设备拥有者可以将管理委派给一个或多个企业MDM服务器和/或应用服务器。例如，用户可以委派由用户选择的特定管理特征，并且可以指定哪些数据可以由哪个企业MDM服务器和/或应用服务器管理。

根据一些实施例，企业设备管理服务器和/或应用服务器可以与云MDM委托（或设备级别MDM委托代理）交互来管理设备和/或得到设备信息。在各种实施例中，企业MDM服务器和/或应用服务器可以行使对所管理的设备上的应用和/或数据的控制和/或经由MDM委托来获得来自设备和/或关于设备的信息，到由设备的拥有者例如经由基于web的用户界面或其他用户界面定义的程度。

在图4中示出的示例中，例如，针对设备“1234”，拥有者已经授权分别与“企业1”和“企业2”相关联的MDM服务器关于与那些企业的Microsoft Exchange^®服务器的设备交互来定义策略和/或调整设备上的设置。例如，这样的权限可以使得企业中的每个能够经由MDM委托200在设备1234上建立经受企业的控制和拥有的企业特定的电子邮件简档（profile）。每个企业然后可以例如通过经由被发送到MDM委托200的命令/请求移除简档和相关联的内容数据来控制其自己的企业内容。在一些实施例中，MDM委托200将检查数据结构，诸如基于企业MDM服务器已经准予其采取关于与该企业MDM服务器相关联的电子邮件简档的顺从动作的权限的表400中的相应条目确定的图4的表400，并且将使将导致移除简档和相关联的内容的命令中继或以其他方式转发到设备1234，在各种实施例中不影响与其他实体和/或拥有者就个人而言相关联的简档和/或内容。

进一步参考图4中示出的示例，相同的两个企业已经被准予关于被安装在设备1234上的应用的权限，但在该示例中用户（例如，设备拥有者）已经向企业准予稍微不同的特权。具体地，在该示例中，用户已经向“企业1”准予安装应用以及移除或获得仅由该企业安装的那些应用的详细目录的权利。相比之下，在该示例中“企业2”已经被准予安装、移除或获得设备上的所有应用的详细目录的权限。在该示例中，第二企业可以具有员工提供设备1234上的应用的该较高级别的权限的策略或要求，而第一企业可以仅要求其被给予对由该企业安装的应用的控制。在其他示例中，可以存在不同的要求，并且设备的用户/拥有者可以以各种级别的粒度和特异性分配和/或限制权限。

在一些实施例中，开着的设备或基于云的MDM代理器，诸如图1的MDM代理器120或图2的MDM代理器200，可以促进由MDM服务器和/或应用服务器对已经被准予给它们的权限的行使，所述权限如在图4中示出的示例中那样，经受由用户/拥有者指定的限制和资格。

在图4中示出的示例中，受限的管理权限已经被准予给“应用服务器1”，例如在图1中示出的示例中的应用服务器150。在各种实施例中，受限的MDM功能可以被内置于应用服务器侧上的应用中，以使得对设备的应用相关的控制能够被行使。例如，MDM模块或插件可以被提供，或者软件开发套件（SDK）或其他代码被提供并包括在应用服务器处运行的应用代码中，和/或应用开发者可以写代码来调用MDM代理器的应用编程界面（API）以使得MDM功能能够被结合和/或提供。

在图4中示出的示例中，“应用服务器1”已经被准予关于“设备下锁”的权限，但经受将应用限制到能够设置“相机捕捉锁定”以防止屏幕捕捉的“过滤器”。例如，应用（例如，Snapchat™）可以希望提供通信的隐私和/或通信的短暂性质将不通过设备屏幕捕捉而被损害的保证，并且可以要求用户准予权限（诸如在图4中示出的权限）作为使用应用的条件。在各种实施例中，应用服务器可以使用权限的这样的准予，例如用以在应用服务器促进的连接或会话的开始时经由MDM代理器向设备发送命令。

在各种实施例中，云业务接合器可以将设备数据业务接合到因特网、企业后端和/或中继委托服务器，这取决于接合器已经被如何配置。在一些实施例中，接合器可以被配置成保护业务（例如，过滤、加密等）。在图4中示出的示例中，第一企业（“企业1”）已经被准予将设备1234与其相关联的业务接合器配置成接合与企业1相关联的业务的权限，在该示例中权限范围被定义为与“ent1.com”域相关联的业务。第二企业（“企业2”）已经被准予关于在被指示的范围中的业务关联的IP地址来配置业务接合器的权限，其可以对应于企业的内部网络，例如，内联网。

在各种实施例中，在图4中示出的权限的准予可以使得相应的MDM服务器能够经由与MDM代理器的交互将业务接合器配置成将与每个相应的企业相关联的业务接合到与该企业相关联的委托或其他节点。例如，参考图2，MDM服务器100、102可以经由协议230、232与MDM代理器200交互以使得接合器210被配置成经由通信220将每个企业的业务路由到由该企业指定的目的地，例如在MDM服务器100的情况下到委托215或在MDM服务器102的情况下到委托217。在一些实施例中，MDM/应用服务器或另一节点可以充当业务委托。

图5是图示了在权限范围内实施MDM顺从动作的过程的实施例的流程图。在各种实施例中，图5的过程可以由诸如图1的MDM委托代理/代理器120或图2的MDM委托/代理器200之类的MDM代理器来实现。在示出的示例中，从例如图1和图2的MDM服务器100或102或图1和图2的应用服务器150的MDM权限接收用以关于所管理的移动设备执行管理动作的命令（或请求）（502）。确定如与命令/请求相关的关于设备的权限范围（504）。例如，可以在诸如图4的表4之类的数据结构中执行查找来确定已经向发送命令/请求的MDM权限准予的权限的相关范围。命令/请求被中继到设备，如果和/或到由权限的可适用范围指示的程度（506）。例如，参考图4，可以通过从设备获得应用详细目录并且过滤掉未由该企业安装的任何应用来处理从与“企业1”相关联的MDM服务器接收的应用详细目录的请求。类似地，从“应用服务器1”接收的“设备下锁”命令可以在被发送到设备之前（或在开着的设备MDM代理器的情况下，在将命令发送到原生或其他MDM代理之前）可以被修改成“相机捕捉锁定”命令。

在一些实施例中，企业应用和数据可以保持存储在设备上，而设备或至少企业应用和其上的内容由企业管理。例如当用户不再是受信任的企业用户时，企业设备管理系统可以被通知，接收哪些企业应用存在于设备上的确认，以及可以在由企业和/或其MDM服务器保持的权限范围内（例如，从企业应用）移除数据。

图6是图示了允许在其权限范围内从移动设备移除数据的管理权限的过程的实施例的流程图。在各种实施例中，可以由诸如图1的MDM委托代理/代理器120或图2的MDM委托/代理器200之类的MDM代理器来实现图6的过程。在示出的示例中，接收用以“擦除”（即移除）设备上的特定内容和/或用以擦除设备自身（例如，重置成工厂状态或不具有用户数据的其他状态）的命令（602）。确定从其接收命令的MDM权限（例如，MDM服务器、应用服务器）的权限范围（604）。例如，在一些实施例中，可以通过在诸如图4的表4之类的数据结构中执行查找来确定用以移除数据的权限范围。如果命令是完全擦除命令并且发送者已经被准予发起这样的擦除的权限（606），则完全（设备）擦除命令被转发到设备（608），例如通过将其从MDM代理器（120、200）发送到设备MDM代理（110）。如果命令用于内容的选择性擦除并且发送者已经被准予发起数据的移除的至少某范围的授权（610）（或者，在一些实施例中，如果发送者发送完全的/设备擦除命令但已经仅被准予选择性擦除授权），则该命令被作为用以擦除命令的发起者已经被准予从设备移除其的权限的内容的命令中继（如果需要则以修改的形式）（612）。例如，参考图4，来自“企业1”的用以移除所有所管理的应用的命令可以在MDM代理器处被转化成用以移除由“企业1”安装的和/或以其他方式经受由“企业1”的管理的一列特定应用的命令。如果确定请求的发起者尚未被授权来从设备移除甚至部分数据（610），则请求被拒绝，因为超出了发起者关于设备的权限（614）。

图7是图示了对请求进行响应以撤销先前准予的MDM权限的过程的实施例的流程图。在各种实施例中，可以例如响应于由设备用户/拥有者撤销先前准予的管理权限的准予的尝试，由诸如图1的MDM委托代理/代理器120或图2的MDM委托/代理器200之类的MDM代理器执行图7的过程。在示出的示例中，接收用以撤销权限的准予的指示（702）。例如，设备用户/拥有者可以使用基于web的用户界面或其他管理用户界面来尝试修改先前准予的权限，诸如在图4中示出的那些。在示出的示例中，做出关于是否存在MDM代理器被配置成在由用户撤销管理权限之前和/或在由用户撤销管理权限的情况下自动地执行的任何动作的确定（704）。例如，在一些实施例中，MDM代理器可以被配置成例如通过已经向其准予权限的MDM权限和/或通过设备的用户/拥有者来自动地且在没有进一步的人类交互的情况下移除与MDM权限相关联的内容（706）。如果被这样配置（706），则可以例如在移除权限的先前定义的范围内移除与管理权限被撤销的MDM权限（例如，MDM服务器、应用服务器）相关联的内容的（708）。如果未配置和/或授权MDM代理器移除任何内容（706），或者一旦这样的移除已经被完成（706、708），则业务接合器（如果被配置成将业务接合到企业）被更新成不再将业务接合到该企业，并且MDM代理器被更新成反映先前准予的权限的撤销（710），例如在诸如图4的表400之类的数据结构中的任何条目可以被标记为“撤销”或删除。管理权限已经被撤销的通知被发送到其权限已经被撤销的MDM权限（例如，企业MDM服务器、应用服务器）（712）。

在各种实施例中，本文中公开的技术可以被用来使得企业、应用开发者/提供者和其他管理权限能够在由设备的拥有者/用户定义和准予的权限范围内被准予关于企业/被存储在未拥有的或完全经受企业/其他实体的控制的移动设备上的和/或与所述移动设备相关联的其他内容的管理权限。在各种实施例中，可以由内容拥有者关于个人数据和使用在不损害设备的拥有者/用户的隐私的情况下以及在不损害由其他（诸如其他企业）拥有的数据的安全的情况下行使一定程度的管理权限。

在各种实施例中，本文中公开的技术可以被用来使得企业A能够在不能看到超越其已经被准予看到的事物的任何事物的情况下管理其自己的内容。类似地，企业B可以管理其自身的内容但不能看到除了其已经被准予看到事物的之外的任何事物。在各种实施例中，移动设备的终端用户可以向诸如前述示例中的企业A和企业B之类的其他实体准予管理权利，同时保存终端用户看到设备上的所有事物和管理设备的其余部分（即，如本文中公开的没有经受由用户向其他做出的准予的任何事物）的能力。在各种实施例中，本文中公开的技术可以减轻隐私忧虑，所述隐私忧虑以其他方式可能已经使这样的终端用户较少倾向于使用他/她的个人移动设备用于企业的工作目的，其要求企业甚至在企业数据驻留在个人移动设备上时维持对企业数据的控制。

尽管出于理解的清楚的目的已经相当详细地描述了前述实施例，但本发明未限制于所提供的细节。存在实现本发明的许多替代方式。所公开的实施例是说明性的且不是限制性的。