设备策略管理器的制作方法

移动设备实施的策略通常被控制以保护和/或管理此类移动设备。通常，多个策略源配置移动设备的策略值。使得多个策略源能够配置策略值的许多传统方法包括集中式策略服务器。多个策略源通常向集中式策略服务器发送策略配置请求(包括策略的策略值)。集中式策略服务器可收集来自多个策略源的策略的策略值，在策略的这些策略值之间进行仲裁，以及向移动设备发送策略的策略值。相应地，使用这种基于服务器的方法，集中式策略服务器管理从多个策略源获得的策略值，且移动设备使用由集中式策略服务器设置的策略值。

一些其它常规方法涉及移动设备接收和处理策略配置请求的一子集，而集中式策略服务器处理策略配置请求的其余部分。然而，使用这种方法，移动设备限于管理策略配置请求的一部分，而策略配置请求的其余部分被移动设备移交。相应地，这些传统方法通常是复杂且难以实现的。

概述

本文描述了涉及移动设备上的策略管理的各种技术。移动设备可包括至少一个处理器和计算机可读存储，且该计算机可读存储可包括能够由该至少一个处理器执行的设备策略管理器系统。设备策略管理器系统可包括统一接口组件，该统一接口组件被配置成接收来自多个策略源的策略配置请求。该多个策略源至少包括内部策略源组件和在该移动设备外部的设备管理服务器，该内部策略源组件被配置成由该移动设备的该至少一个处理器执行。统一接口组件接收的策略配置请求至少包括从第一策略源接收的第一策略配置请求和从第二策略源接收的第二策略配置请求。第一策略配置请求包括一策略的第一策略值，而第二策略配置请求包括该策略的第二策略值。第一策略源不同于第二策略源，且第一策略值与第二策略值相冲突。而且，设备策略管理器系统包括策略处置器组件，该策略处置器组件被配置成基于冲突解决技术来解决该策略的第一策略值和第二策略值之间的冲突，以设置控制该移动设备的该策略的当前策略值。

以上概述呈现了简化概述，以提供对本文讨论的系统和/或方法的一些方面的基本理解。本概述并不是对此处所讨论的系统和/或方法的全面综述。并不旨在标识关键/重要元素，也不描绘这样的系统和/或方法的范围。其唯一目的是以简化形式呈现一些概念，作为稍后呈现的更详细说明的序言。

附图简述

图1示出了执行移动设备上的策略管理的示例性系统的功能框图。

图2示出了执行移动设备上的策略管理的另一示例性系统的功能框图。

图3示出了描绘由策略处置器组件执行的策略评估过程的示例性图示。

图4更详细地示出了移动设备的设备策略管理器组件的功能框图。

图5示出了设备策略管理器系统的示例性实现。

图6是示出管理移动设备上的策略的示例性方法体系的流程图。

图7是示出控制被用来管理移动设备上的策略的冲突解决技术的示例性方法体系的流程图。

图8示出了示例性计算设备。

详细描述

现在参考附图来描述涉及在移动设备上处置对来自多个策略源的策略的策略配置请求的各种技术，其中在附图中贯穿始终使用相同的参考标记来引述相同的要素。在以下描述中，为解释起见，阐明了众多具体细节以提供对一个或多个方面的全面理解。然而，显然这(些)方面可以在没有这些具体细节的情况下实施。在其他实例中，以框图形式示出公知的结构和设备以便于描述一个或多个方面。另外，要理解，被描述为由特定系统组件执行的功能性可由多个组件执行。类似地，例如，一组件可被配置成执行被描述为由多个组件实现的功能。

此外，术语“或”意指包括性“或”而非排斥性“或”。即，除非另有指定或从上下文显而易见，否则短语“X采用A或B”意指任何自然的包括性排列。即，短语“X采用A或B”藉由以下实例中任何实例得到满足：X采用A；X采用B；或X采用A和B两者。另外，本申请和所附权利要求书中所使用的冠词“一”和“某”一般应当被解释成表示“一个或多个”，除非另外声明或者可从上下文中清楚看出是指单数形式。

现在参考附图，图1示出在移动设备102上执行策略管理的系统100。移动设备102包括至少一个处理器104和计算机可读存储106。处理器104被配置成执行加载到存储106中的指令(例如，加载到存储106中的一个或多个系统、加载到存储106中的一个或多个组件等)。如本文更详细地描述的，存储106包括设备策略管理器系统108。相应地，设备策略管理器系统108能被处理器104执行。设备策略管理器系统108被配置成在移动设备102上以集中式方式处置对来自多个策略源的策略的策略配置请求。

移动设备102可以是基本上任何类型的移动设备。移动设备102的示例包括但不限于：移动电话(例如，智能电话)、膝上型计算设备、上网本计算设备、平板计算设备、可穿戴计算设备、手持式计算设备、便携式游戏设备、个人数字助理、以及汽车计算机等。根据其它示例，移动设备102可以是台式计算设备、游戏控制台、娱乐电器、机顶盒等。

系统100包括多个策略源，其可向移动设备102的设备策略管理器系统108提供策略配置请求以设置控制移动设备102的策略的策略值。多个策略源可包括能被移动设备102的处理器104执行的一个或多个内部策略源组件110。附加地或替换地，多个策略源可包括在移动设备102外部的一个或多个设备管理服务器。

(诸)内部策略源组件110可包括由移动设备102的处理器104执行的应用、移动设备102的设备用户接口等。例如，由移动设备102的处理器104执行的应用可基于(诸)事件设置策略；该应用可基于一个或多个触发器(诸如(诸)简档改变、(诸)开箱即用(OOBE)状态等)配置在移动设备102内部的策略。根据一示例，(诸)内部策略源组件110可包括可基于事件生成策略配置请求的第一方应用，其中策略配置请求可由设备策略管理器系统108来处置。第一方应用可以是移动设备102的基础组件或者与移动设备102耦合的外设，其不由任何设备管理服务器112-114限制或绑定至任何设备管理服务器112-114。

如图1的示例中所示，系统100包括设备管理服务器1 112、……以及设备管理服务器N 114，其中N是基本上任何整数(设备管理服务器1 112……以及设备管理服务器N 114在本文被统称为设备管理服务器112-114)。然而，根据其它示例，构想了系统100可包括少于N个设备管理服务器112-114(例如，移动设备102可不向任何设备管理服务器登记，移动设备102可向一个设备管理服务器登记)。设备管理服务器112-114可包括(诸)移动运营商管理服务器、(诸)企业设备管理服务器、或其组合。企业设备管理服务器的示例包括消息收发服务器、移动设备管理(MDM)服务器、文档服务器等。MDM服务器可管理移动设备102；MDM服务器可使用应用、数据和策略配置请求的空中分发来控制和保护移动设备102上的数据和配置设置。而且，消息收发服务器可与移动设备102交换与电子邮件、日历、联系人、笔记、任务等有关的数据(例如，移动设备102可与消息收发服务器安全地同步电子邮件、日历、联系人、笔记、任务等)；从而，当移动设备102被向消息收发服务器登记时，消息收发服务器可向移动设备102发送(诸)策略配置请求。文档服务器可具有应用用于访问文档的策略的策略应用系统(例如，支持信息权限管理)。

设备策略管理器系统108集中式管理来自移动设备102上的各策略源的策略配置请求。构想了，设备策略管理器系统108可集中式管理在委托给移动设备102上存在的或在移动设备102上的硬件中的(诸)其它组件的策略存储中维护的策略的策略值。例如，一些策略可在移动设备102的硬件中被管理和证实。设备策略管理器系统108可被拆分为例如两个组件，这两个组件例如向彼此委托任务。根据又一示例，设备策略管理器系统108可包括可向硬件策略管理器和设备策略管理器系统108的组件分配任务的协调器组件。

设备策略管理器系统108处置与来自基本上任何策略源的基本上任何策略有关的策略配置请求。设备策略管理器系统108可以是一致的、安全的、简明的以及可扩展的。而且，设备策略管理器系统108可以是轻量级和灵活的，从而允许策略源设置移动设备102的策略的策略值。

设备策略管理器系统108可接受来自可在移动设备102内部(例如，(诸)内部策略源组件110)以及在移动设备102外部(例如，设备管理服务器112-114)的多个策略源的策略配置请求。而且，策略源可从设备策略管理器系统108检索策略的当前策略值。策略的当前策略值是在移动设备102上实施以控制移动设备102的策略值。

移动设备102的计算机可读存储106还可包括(诸)内部系统116。(诸)内部系统116可以是移动设备102的处理器104可执行的。内部系统116可类似地从设备策略管理器系统108检索策略的当前策略值。附加地或替换地，设备策略管理器系统108可响应于策略的当前策略值的改变向(诸)内部系统116中的一个或多个发送通知。

设备策略管理器系统108包括被配置成接收来自多个策略源的策略配置请求的统一接口组件。多个策略源可包括由移动设备102的处理器104执行的至少一个内部策略源组件(例如，(诸)内部策略源组件110)以及在移动设备102外部的至少一个设备管理服务器(例如，设备管理服务器112-114)。统一接口组件118可以是针对策略源的用于设置和获得策略值的接口。从而，内部和外部策略源可经由统一接口组件118配置移动设备102的策略值。而且，统一接口组件118可以是允许内部系统116检索移动设备102实施的当前策略值的接口。统一接口组件118使得设备策略管理器系统108能够在读取/写入移动设备102的策略值时与基本上任何类型的策略源互操作。

设备策略管理器系统108进一步包括被配置成设置控制移动设备102的策略的当前策略值的策略处置器组件120。策略处置器组件120可进一步检索策略的当前策略值(例如，响应于来自策略源和/或内部系统116的请求、向(诸)内部系统116发送通知等)。而且，策略处置器120可响应于移动设备102从特定策略源解除登记或者特定策略源删除特定策略源设置的策略的策略值而重新评估策略的当前策略值。策略处置器组件120可执行策略评估过程来计算策略的当前策略值；该策略评估过程可以是可扩展的以使得附加策略能被设备策略管理器系统108支持，并且是安全的以使得一个策略源无法查看或修改其它策略源的策略配置请求。

设备策略管理器系统108可具有模块化的策略配置架构，其可允许附加策略的插入。设备策略管理器系统108可以是可扩展的，而无需更新移动设备102的操作系统。而且，设备策略管理器系统108可以使得在一策略源不再管理移动设备102时该策略源的管理权威对策略的影响能够被擦除。

策略处置器组件120可解决由不同策略源指定的冲突的策略值之间的冲突。例如，策略处置器组件120可利用各种冲突解决技术来解决策略的冲突。要领会，策略解决技术可以针对两个或更多个策略设置。附加地或替换地，不同的冲突解决技术可针对不同策略设置。

在移动设备102上的策略源之间不需要建立信任，其可简单地向(诸)策略源登记移动设备102。例如策略处置器组件120可被配置成解决来自策略源的策略的策略值之间的冲突而无需在移动设备102上建立这些策略源之间的信任(例如，由设备管理服务器1 112指定的第一策略值和由设备管理服务器N 114指定的第二策略值之间的冲突可被策略处置器组件120解决而无需在移动设备102上建立设备管理服务器1 112和设备管理服务器N 114之间的信任)。

可被策略处置器组件120使用的示例性冲突解决技术包括排他性规则(例如，当策略的特定值被应用时，则另一策略的特定值不被应用)、包容性规则(例如，仅当另一策略值落入bar的范围时将策略设置为值Foo)、仅当移动设备102的特定条件为X时将策略值设置为Foo、根据来自特定策略源的请求实施策略值等。其它示例性冲突解决技术包括将策略的当前值设置为最近写入的策略值或将策略的当前设置为最严格的策略值。

根据另一示例，冲突解决技术可指定各策略源类型的相应权威等级。根据这一示例，策略处置器组件120可被配置成使用这种冲突解决技术基于从其接收策略配置请求的策略源的相应权威等级来设置策略的当前策略值，其中这些策略配置请求包括该策略的相应策略值。作为说明，第一策略配置请求(包括该策略的第一策略值)可来自具有第一权威等级的第一策略源，而第二配置请求(包括该策略的第二策略值)可来自具有第二权威等级的第二策略源。根据此说明，策略处置器组件120可使用该冲突解决技术基于第一权威等级和第二权威等级来解决第一策略值和第二策略值之间的冲突(例如，来自具有第一策略等级的策略源的策略值可优先于来自具有第二权威等级的策略源策略值被选择)。例如，一冲突解决技术可针对一特定策略指定选择来自移动运营商管理服务器的策略值而不是来自消息收发服务器的策略值，同时该冲突解决技术可针对一不同该策略指定选择来自消息收发服务器的策略值而不是选择来自移动运营商管理服务器的策略值。

构想了，冲突解决技术可每个源(例如，基于源标识符(ID))或每个源类型来设置权威等级(例如，可分别针对消息收发服务器、MDM服务器、移动运营商管理服务器、(诸)内部策略源组件设置不同权威等级)。而且，权威等级可每策略地定义或者针对策略组定义。根据一示例，冲突解决技术可针对一组策略指定各策略源类型的相应权威等级，并针对一组不同策略指定各策略源类型的不同相应权威等级。根据一说明，权威等级的类定义可被支持。相同权威等级可被认为是一个类，并且可定义一个类如何与另一个类冲突。例如，给定类可包括一个或多个策略源，且各类之间的冲突解决可由作为特定冲突解决技术的一部分的规则来确定。

根据另一示例，冲突解决技术可指定抑制具有特定权威等级的策略源设置策略的当前策略值。根据此示例，构想了，策略配置请求可由移动设备102的被信任的策略源签名来盖写该抑制。作为说明，来自企业设备管理服务器(例如，设备管理服务器112-114之一、消息收发服务器、MDM服务器等)的策略配置请求可以是被签名的策略配置请求；该被签名的策略配置请求可以被移动设备102的被信任的策略源(例如，移动设备102的处理器104执行的操作系统的源)签名。在接收到来自统一接口组件118的被签名的策略配置请求之后，策略处置器组件120可被配置成基于该被签名的策略配置请求来盖写冲突解决技术所指定的抑制。对策略配置请求签名可确保从策略源发送的策略值不能被恶意修改，因为如果被修改，预期散列或签名将不再匹配。

设备策略管理器系统108进一步包括策略管理器元数据库存储122。策略管理器元数据库存储122存储控制移动设备102的策略的当前策略值。当前策略值可来自由策略处置器组件120实现的策略评估过程，其将默认策略值和由策略源指定的策略值合并(例如，作为由统一接口组件118接收的策略配置请求的一部分)。默认策略值可在策略管理器元数据库存储122中被预设。而且，根据一示例，构想了，被信任的策略源可远程修改策略的默认策略值。

策略管理器元数据库存储122还可存储每个策略的冲突解决技术(例如，处置规则等)和支持的数据类型，包括但不限于，如果不同策略值被不同策略源请求则哪些值可以被设置。策略管理器元数据库存储122可允许用与(诸)设备条件(例如，移动设备102的(诸)条件)、(诸)策略源条件(例如，策略源中的一个或多个的(诸)条件)和(诸)其它策略条件(例如，不同策略的当前策略值)集成的定制规则的每策略而异的处置。相应地，策略管理器元数据库存储122可允许对设备策略管理器系统108实施的策略的灵活控制。

而且，策略管理器元数据库存储122可执行策略值变形(transfiguration)。例如，旧策略可能指定“1＝禁用，0＝启用”。然而，新模型可能提供“0＝禁用，1＝启用”。从而，为了提供向后兼容性，策略管理器元数据库存储122可重配置旧策略的策略值。

每个策略可具有在策略管理器元数据库存储122中维持的默认值，策略的默认值可被保留在策略管理器元数据库存储122的默认策略存储中。而且，策略的当前策略值可基于策略管理器元数据库存储122的默认策略存储中的元数据被确定。

策略管理器元数据库存储122还可包括移动设备102向其登记的多个策略源的相应源策略存储。策略管理器元数据库存储122可存储由相应源策略存储中的策略源设置的策略值(例如，在来自设备管理服务器1 112的策略配置请求中指定的策略值可被存储在与设备管理服务器1 112相对应的源策略存储中，在来自设备管理服务器N 114的策略配置请求中指定的策略值可被存储在与设备管理服务器N 114相对应的源策略存储中等)。策略管理器元数据库存储122还可将移动设备102处实施的当前策略值存储在当前策略存储中。

每个策略源可与唯一源标识符(ID)(例如，其可由设备策略管理器系统108在内部处置)相关联。源ID可由调用过程设置并且可被用来存储因源而异的创建的资源以及策略管理器元数据库存储122中的被改变的策略值。而且，统一接口组件118可基于源ID来读取/写入因源而异的策略值并读取在策略管理器元数据库存储122中维持的策略的当前策略值。

如本文所述，统一接口组件118被配置成接收来自多个策略源的策略配置请求。根据一示例情景，策略配置请求可包括来自第一策略源的第一策略配置请求和来自第二策略源的第二策略配置请求。在此示例性情景之后，要领会，策略配置请求可进一步包括基本上任何数量的策略配置请求。第一策略配置请求可包括策略的第一策略值。而且，第二策略配置请求可包括该策略的第二策略值。第一策略源不同于第二策略源，且第一策略值与第二策略值相冲突。策略处置器组件120倍配置成解决该策略的第一策略值和第二策略值之间的冲突。而且，策略处置器组件120被配置成基于冲突解决技术来解决该冲突以设置控制移动设备102的策略的当前策略值。

第一策略配置请求可进一步包括第一策略源的标识符(例如，第一策略源的源ID)和指定为其指定第一策略值的策略的指示符。而且，第二策略配置请求可进一步包括第二策略源的标识符(例如，第二策略源的源ID)和指定该策略的指示符。而且，第一策略源的标识符不同于第二策略源的标识符(例如，其可由统一接口组件118来确定)。

策略处置器组件120被配置成接收来自统一接口组件118的第一策略配置请求和第二策略配置请求。策略处置器组件120可将该策略的第一策略值写入到策略管理器元数据库存储122的第一源策略存储，其中第一源策略存储对应于第一策略源。策略处置器组件120可进一步将该策略的第二策略值写入到策略管理器元数据库存储122的第二源策略存储，其中第二源策略存储对应于第二策略源。策略处置器组件120进一步可使用冲突解决技术来至少基于来自第一源策略存储的第一策略值和来自第二源策略存储的第二策略值确定该策略的当前策略值。而且，要领会，响应于来自(诸)其它策略源的(诸)其它策略配置请求而被写入到策略管理器元数据库存储122的(诸)其它源策略存储的(诸)其它策略值可类似地被用来确定当前策略值和/或策略管理器元数据存储122的默认策略存储中的默认策略值可被用来确定该当前策略值。附加地，策略处置器组件120可被配置成将所确定的该策略的当前策略值写入到策略管理器元数据存储122的默认策略存储。

参考图2，示出另一系统200，该系统执行移动设备102上的策略管理。移动设备102包括设备策略管理器系统108、(诸)内部系统116、以及(诸)内部策略源组件(例如，在(诸)内部策略源组件110中的)。更特别而言，图2的示例中示出的移动设备102的(诸)内部策略源组件包括由移动设备102的处理器执行的一个或多个应用202和设备用户接口(UI)204。

移动设备102的用户可经由设备用户接口204与移动设备102交互。例如，设备用户接口204可提供用户可与之交互的控制面板。相应地，设备用户接口204可接收来自移动设备102的用户的策略的策略值的策略配置请求。经由设备用户接口204接收的策略配置请求可由设备策略管理器系统108处置。这些请求可被统一接口组件118接收并被策略处置器组件120进一步处理，如本文所述。

而且，移动设备102可包括与设备管理服务器112-114交互的(诸)客户端206。例如，设备管理服务器112-114中的每一者可在移动设备102上具有相应的客户端(例如，(诸)客户端206之一)。

移动设备102的(诸)内部系统可包括移动设备102的第一和/或第二方过程。(诸)内部系统116可接收来自设备策略管理器系统108的当前策略值。(诸)内部系统116可拥有或实施移动设备102的策略。例如，(诸)内部系统116可读取在设备策略管理器系统118的策略管理器元数据库存储122中维持的当前策略值。附加地或替换地，设备策略管理器系统108(例如，统一接口组件118)可向(诸)内部系统116发送通知；统一接口组件118可允许被策略控制的资源(例如，(诸)内部系统116)注册以获得策略更新通知。从而，设备策略管理器系统108(例如，统一接口组件118)可响应于策略值修改向(诸)内部系统116发送通知。

策略处置器组件120可读取在策略管理器元数据库存储122中维持的策略的当前策略值。策略处置器组件120可包括用于向策略管理器元数据存储122中的相应策略存储读取/写入策略值的策略存储模块。相应的策略存储例如可保留具有元数据的默认策略值、设备UI或应用策略值、设备管理服务器策略值、以及当前策略值。策略处置器组件120在策略值写入之后可基于与策略管理器元数据存储122的默认策略存储中的策略相关联的元数据执行策略评估。例如，该元数据可针对该策略指定要由策略处置器组件使用的冲突解决技术。

设备策略管理器系统108可管理从一个或多个策略源设置的策略。在移动设备102上使用的策略值可以是由策略处置器组件120执行的策略评估过程的结果，该过程考虑移动设备向其注册的设备管理服务器112-114以及(诸)内部源组件中的每一个的策略值。策略处置器组件120可使用冲突解决技术来选择策略的相应当前策略值。构想了，对策略的策略值的修改可触发该策略处置器组件120的策略评估过程。策略的不同策略值可被不同策略源写入；策略处置器组件120可确保使用与该策略相对应的冲突解决技术对所述策略值的可预测选择。

策略源设置或删除策略管理器元数据库存储122的相应源策略存储中的策略值，或设备管理服务器解除登记引起其策略值从相应源策略存储的移除可触发策略处置器组件120的策略评估过程。根据一示例，该一个或多个策略源可包括向移动设备102登录的该一个或多个设备管理服务器112-114。当设备管理服务器(例如，设备管理服务器112-114之一)被从移动设备102解除登记时，移动设备102上被该设备管理服务器设置的策略值被复原，回落到由(诸)不同设备管理服务器设置的策略值、由(诸)不同策略源设置的策略值(例如，(诸)应用202、由用户经由设备用户接口等)、或默认策略值。从而，响应于设备管理服务器的解除登记，该设备管理服务器写入的策略值被移除，且默认策略存储和剩余的源策略存储中的策略值被策略处置器组件120重新检查来更新当前策略存储中的当前策略值。然而，对于某些策略源，这些源写入的策略值可不被移除。

控制移动设备102的行为的策略可被一个或多个设备管理服务器112-114、设备用户接口204和、或应用202通过统一接口组件118来设置。策略值被存储在策略管理器元数据库存储122中的三种类型的位置中：包括策略的默认策略值的默认策略存储、各自包括由相应策略源写入的策略的策略值的源策略存储(例如，每个设备管理服务器112-114可具有其自己的源策略存储，每个内部策略源组件可具有其自己的源策略存储)、以及包括策略的当前策略值(例如，来自合并来自默认和源策略存储的策略值)的当前策略存储。

根据一示例，策略处置器组件120可被配置成在允许来自特定策略源的策略的策略值被设置在该特定策略源的策略源存储中之前验证该策略值。附加地或替换地，策略处置器组件120可被配置成在将策略的来自一源策略存储的策略值设置为当前策略存储中的该策略的当前策略值之前执行兼容性检查。

根据各示例，(诸)内部系统116可能无法修改策略值。然而，根据其它示例，(诸)内部系统116可能能够修改策略值。根据一说明，如果(诸)内部系统116被允许修改策略值，则策略管理器元数据库存储122可包括用于记录来自(诸)内部系统116的策略值。从而，当一策略被评估时，(诸)内部系统116的源策略存储可被策略处置器组件120按照与其它策略源的源策略存储相比类似的方式访问。

设备策略管理器系统108允许移动设备102的(诸)内部策略源组件(例如，第一方组件)按照与外部设备管理服务器112-114类似的方式设置移动设备102上的策略值并且与这些外部策略源集成。这种内部策略源组件的示例是反泄露锁组件。例如，在移动设备102启动时，反泄露锁组件可创建其自己的配置简档来锁住移动设备102，从而设置与反泄露锁组件相对应的源策略存储中的策略值。从而，移动设备102上的锁可通过使用反泄露锁组件结合设备策略管理器系统108来提升。

设备策略管理器系统108不绑定至特定设备管理服务器(例如，设备管理服务器112-114之一)；相反，设备策略管理器系统108可跨不同类型的外部服务器交互(例如，设备管理服务器112-114)。设备策略管理器系统108是轻量级且灵活的并且不需要外部服务器(例如，设备策略管理器系统108是策略源不可知的)。

而且，策略管理器元数据库存储122可持久地存储用户输入的策略值(例如，经由设备用户204接收的策略值)。作为说明，策略管理器元数据库存储122可保留策略的与由不同策略源(例如，设备管理服务器112-114和/或(诸)应用202之一)设置的值相冲突的策略值。在不同策略源继续登记移动设备102时，用户输入的值可被忽略(例如，这些用户输入的值可被认为是无效的然而可继续被保留在相应的源策略存储中)。然而，在具有与策略的冲突值的该不同策略源解除登记之后，则用户输入的值可以是可访问的并且可能被用作由策略处置器组件120通过策略评估过程确定的当前策略值(例如，用户输入的值可稍后是有效的)。

转向图3，示出了描绘由策略处置器组件120执行的策略评估过程的示例性图示。尽管图3描述了设置相应策略值(例如，策略源1和策略源2)的两个策略源，然而构想了，实际上任何其它策略源均可如本文所述地设置策略值。

在302，在移动设备102上预设的默认策略值被示出。默认策略值可被存储在策略管理器元数据库存储122的默认策略存储中。默认策略值可连同描述被用来选择策略的当前策略值的冲突解决技术的元数据被存储。如果没有其它策略源设置该策略的策略值，则策略的默认策略值可被返回(例如，到调用者)。例如，当没有其它策略源设置策略的策略值时，策略的默认策略值可被存储为当前策略存储中的当前策略值。根据另一示例，当没有其它策略源设置策略的策略值时，策略的默认策略值可被从默认策略存储返回。

在304，第一策略源可写入和读取其自己的策略值并且可读取移动设备102的当前策略值。在管理会话期间，第一策略源可通过设备策略管理器系统108改变其自己的源策略存储中的策略值，这可导致涉及其它策略和该默认策略的策略评估过程(例如，经由合并)。所得到的当前策略值可在当前策略存储中被保留。而且，如果策略值从其当前策略存储中的先前策略值改变，则可发送通知(例如，给(诸)内部系统116中的一个或多个)。而且，被写入到第一策略源的源策略存储的策略值不能被其它策略源或移动设备102修改或删除。

在306，第二策略源可写入和读取其自己的策略值并且可读取移动设备102的当前策略值。与上面类似，在管理会话期间，第二策略源可改变其自己的源策略存储中的策略值，这可导致策略评估过程被执行。而且，被写入到第二策略源的源策略存储的策略值不能被其它策略源或移动设备102修改或删除。

在308，当前策略被存储在当前策略存储中。而且，在策略源的解除登记期间，该策略源所设置的策略值被从该策略源的相应源策略存储移除且策略评估过程被重新应用。

图4更详细地示出了移动设备102的设备策略管理器系统108。设备策略管理器系统108包括统一接口组件118,、策略处置器组件120、以及策略管理器元数据库存储122。

再次参考上面指出的示例性情景，其中统一接口组件118所接收的策略配置请求至少包括来自第一策略源的第一策略配置请求和来自第二策略源的第二策略配置请求。同样，第一策略配置请求可包括策略的第一策略值，而第二策略配置请求可包括该策略的第二策略值。第一策略源不同于第二策略源，且第一策略值与第二策略值相冲突。

根据各示例，设备策略管理器系统108可包括沙盒安全组件402，该沙盒安全组件被配置成禁止策略源查看或修改另一策略源的策略配置请求。上面提到的示例性情景再次被参考。沙盒安全组件402可被配置成准许第一策略源访问第一策略源的策略管理器元数据库存储122的第一源策略存储。沙盒安全组件402可进一步被配置成准许第二策略源访问第二策略源的策略管理器元数据库存储122的第二源策略存储。而且，沙盒安全组件402可被配置成限制第一策略源访问第二源策略存储并被配置成限制第二策略源访问第一源策略存储。

设备策略管理器系统108可进一步包括解决控制组件404。解决控制组件404可被配置成控制策略的策略处置器组件120所使用的冲突解决技术(例如，设置与默认策略存储中的策略相关联的元数据)。根据一示例，解决控制组件404可被配置成基于从特定策略源接收的冲突解决处置设置和该特定策略源的权威等级(例如，冲突解决处置设置可由统一接口组件118接收)来控制策略处置器组件120针对策略所使用的冲突解决技术。策略处置器组件120可基于被解决控制组件404用于该策略的冲突解决技术来解决在不同策略源提供的不同策略配置请求中指定的策略的不同策略值之间的冲突。

例如，解决控制组件404可被配置成基于该多个策略源中的该两个或更多个策略源的相应全文等级来在从该多个策略源的两个或更多个策略源(例如，统一接口组件118从其接收策略配置请求，移动设备102向其登记)接收的冲突解决处置设置之间进行仲裁。这种仲裁可使得解决控制组件404能够选择策略的所选冲突解决处置设置。而且，解决控制组件404可被配置成基于所选冲突解决处置设置来控制策略处置器组件120针对该策略所使用的冲突解决技术(例如，策略评估可由策略处置器组件120基于所选冲突解决处置设置来使用所选的冲突解决技术来针对该策略执行)。

作为说明，移动运营商管理服务器可通过向移动设备102发送第一冲突解决处置设置来设置策略处置器组件120针对策略所使用的冲突解决技术；冲突控制组件404可基于第一冲突解决处置设置来接收并设置冲突解决技术。此后，企业设备管理服务器(具有比该策略的移动运营商管理服务器更大的权威等级)可通过向移动设备发送第二冲突解决处置设置改变策略处置器组件120所使用的冲突解决技术。从而，解决控制组件404可基于第二冲突解决处置设置来接收并改变该策略的冲突解决技术，因为企业设备管理服务器具有更大的权威等级。

根据另一示例，解决控制组件404可被配置成从特定策略源接收冲突解决处置设置。而且，解决控制组件404可被配置成检测在特定策略源和移动设备102的受信任的策略源之间的建立的信任。受信任的策略源可以是移动设备102的操作系统的源；然而，所要求保护的主题不限于此。而且，响应于被建立的信任的检测，解决控制组件404可以基于冲突解决处置设置来控制策略处置器组件120针对该策略所使用的冲突解决技术。根据此示例，在缺少被建立的信任的情况下，该特定策略源可被禁止基于该特定策略源的权威等级控制策略处置器组件120针对该策略所使用的冲突解决技术。

设备策略管理器系统108可进一步包括状态分析组件，该状态分析组件被配置成检测策略处置器组件120用来解决策略的冲突的给定冲突解决技术是否引起移动设备102的不期望的状态。例如，状态分析模块406可检测给定冲突解决技术的使用将引起的不可操作状态、不稳定状态、或不安全状态(例如，第一策略源将显示器上的文本颜色设置为黑色而第二策略源将显示器上的背景颜色设置为黑色，导致移动设备被预设的策略的策略值组合高于阈值发生百分比等)。解决控制组件404可进一步被配置成基于给定冲突解决技术是否引起不期望的状态来控制策略处置器组件120针对该策略所使用的冲突解决技术。例如，解决控制组件404可基于状态分析组件406检测到给定冲突解决技术不引起不期望的状态而维持该给定冲突解决技术为策略处置器组件120所使用的冲突解决技术。而且，解决控制组件404可基于状态分析组件406检测到给定冲突解决技术引起不期望的状态而将该给定冲突解决技术修改为策略处置器组件120所使用的不同冲突解决技术。附加地或替换地，状态分析组件406可进一步被配置成响应于检测到给定冲突解决技术引起不期望的状态而更改(诸)管理和/或审计服务器。相应地，状态分析组件406可增强移动设备102上的安全性并且导致移动设备102更可靠。

状态分析组件406可执行验证来检测特定冲突解决是否引起不期望的状态。状态分析组件406所执行的验证可基于从多个移动设备收集的数据。例如，趋势可从被收集的数据检测以确定不期望的状态。从而，状态分析组件406在评估策略处置器组件用来解决策略的冲突的给定冲突解决技术是否引起移动设备102的不期望的状态时可使用与不期望的状态有关的信息。

而且，状态分析组件406可使用所收集的数据来检测恶意源是否正以(诸)策略源为目标并且恶意地修改策略源目标而造成不安全。附加地或替换地，恶意软件可使用所收集的数据来类似地检测。

图1、2和4现在被概括参考。下面是可被设备策略管理器系统108管理的各示例性策略。

设备锁

设备密码已启用

允许设备密码

最小设备密码长度

要求字母数字设备密码

设备密码期满

设备密码历史

允许的最大设备密码失败尝试次数

设备锁住前的最大不活动时间

最小设备密码复杂字符

WiFi

允许WiFi

允许因特网共享

允许WiFi卸载

允许WiFi热点报告

允许手动WiFi配置

系统

允许FM收音机

允许外部存储卡

允许定位

允许遥测

连接性

允许蜂窝数据

允许蜂窝数据漫游

允许手动VPN配置

允许NFC

允许USB连接

允许蓝牙

体验

允许设置的同步

允许儿童角

允许复制粘贴

允许屏幕捕捉

允许语音记录

允许锁屏上的应用通知账户

允许账户类型1

允许账户类型2

允许社交网络服务账户

允许微博服务账户

允许保存电子邮件附件

允许手动电子邮件配置安全

允许手动根证书安装

允许第三方应用安装认证

要求设备加密

浏览器

允许代理

允许Cookie

允许上传浏览历史

允许建议

允许浏览器

实施智能筛选过滤

实施不跟踪

允许浏览器访问位置

允许改变扩展关联

更新

允许由用户更新

相机

允许照片和视频分享

允许照片和视频上传

允许图片和视频加地理标签

允许相机使用

应用管理

允许游戏

允许音乐

存储自动更新

被禁止的应用

图5示出了设备策略管理器系统的示例性实现。要领会，图5中示出的设备策略管理器系统是作为示例性实现提供的，且所要求保护的主题不限于图5中阐述的示例。图5中阐述的示例包括移动设备102以及MDM服务器502、MDM服务器504、消息收发服务器506以及消息收发服务器508。

MDM服务器502、MDM服务器504、消息收发服务器506以及消息收发服务器508可具有相应的向设备策略管理器系统的预先设立的账户。账户可以是与诸如举例而言服务器名称、服务器地址、认证信息等信息相关联的字符串。类似地，内部策略源组件可具有预先确立的账户。而且，取决于策略源类型，策略源可具有不同的设置策略的能力。例如，可被MDM服务器502-504控制的一组策略源可不同于可被消息收发服务器506-508、应用经由设备UI等控制的一组策略源。而且，构想了，不同策略源所控制的相应组中的策略可基于与移动设备102有关的因素(例如，移动设备的存储中的组件或系统的版本或许可、移动设备102的类型等)而改变。

在一会话期间，策略源(例如，MDM服务器502、MDM服务器504、消息收发服务器506、消息收发服务器508、设备UI或应用510等)可通过配置管理器512设置策略。策略源可提供XML(可扩展标记语言)514，其可被馈送到配置管理器512中。作为对此的响应，配置管理器512可加载统一接口组件118。统一接口组件118可被用来读取/写入因策略源而异的策略值并读取当前策略值。源ID被用来存储因策略源而异地创建的资源和被改变的策略值的调用进程设置。统一接口组件118可加载与一种类型的策略源相对应的策略处置器组件120的一部分。

统一接口组件118可标识尝试实施策略改变的策略源。统一接口组件118所标识的策略源的策略处置器组件120的相关部分可被加载，其可被用于读取和写入策略值到策略管理器元数据库存储122的相应策略存储。

策略处置器组件120可读取/写入策略值到策略管理器元数据库存储122中的相应源策略存储(例如hive(数据仓库))。而且，响应于将策略值写入到源策略存储中，策略评估过程可被执行。策略处置器组件120可包括用于从当前策略存储516读取当前策略值的策略模块。而且，策略处置器组件120可包括用于向适当的源策略存储518和520(例如，与策略源相对应)读取/写入策略值的策略存储模块。而且，第一方策略写入模块可被策略处置器组件120支持以读取/写入默认策略值和元数据到默认策略存储522中。策略处置器组件120在策略值写入之后可基于默认策略存储522中的每个策略相关联的元数据进一步执行策略评估。作为示例，元数据(例如，冲突解决技术)可声明该策略将是最安全的策略合并或者不需要合并。作为说明，策略可支持无合并模型，其中策略处置器组件120不合并策略的策略值；相反，策略处置器组件120可发送包括所得到的值的位置的指示的通知，其可以是可访问的并且在查询时作为当前策略值被返回。

构想了策略可按区域分割。例如，在上面阐述的示例性策略的列表中，区域的示例包括设备锁、WiFi、系统、连接性、体验、账户、安全性、浏览器、更新、相机和应用管理。策略处置器组件120可向在具有被改变的策略的区域上的第一方和第二方过程524提供通知。而且，要领会，外部策略源可添加新策略；从而，新策略所属的区域可被宣告。从而，外部策略源可针对该新策略对配置源、策略值元数据等进行分类。

策略管理器通知处置器526可接收来自策略处置器组件120的通知。而且，第一方和第二方代码528可引起策略值被设置。根据一示例，反泄露锁组件可以是设置策略值的代码528的一部分。

为了更详细地描述图5中示出的设备策略管理器系统的示例性实现，下面阐述各种示例性情景。要领会，这些情景是出于图解说明目的被提供的，并且所要求保护的主题不限于此。

示例性情景1：移动设备102不具有设备管理服务器管理策略，但是第一方组件设置/获得策略。

在此情景下，移动设备102不具有正管理策略值的设备管理服务器。这意味着，不存在已登记了移动设备102的MDM服务器502-504或消息收发服务器506-508。在此情景下，第一方和第二方设备上过程524设置策略值。例如，设备制造商可能已包括了设置专用于该制造商的(诸)策略值的组件；(诸)此类策略值可盖写操作系统内建的默认值。此类组件可以是与获得/设置策略交互的程序，或者操作系统本身可包括读取和应用制造商宣告的策略值的程序。

当第一方组件设置策略时，它们可使用从策略处置器组件120导出的模块来设置具体策略。“设置”模块将策略值写入到默认策略存储522，发起策略评估过程，并且将当前策略值保存在当前策略存储516中。因为仅默认策略存储522具有策略值，策略评估过程查看其它源策略存储518-520来进行评估，然而因为在这些源策略存储518-520中没有其它策略值，所以当前策略值随着来自默认策略存储522的策略值被更新。默认策略存储522中的策略值被复制到当前策略存储516。

为了读取策略，第一方组件可使用策略处置器组件120(例如，策略处置器组件536)的各模块。在“设置”中描述的基本类似的策略评估同样在“获得”的情况下进行，从而更新当前策略存储516中的策略值。注意，如果当前策略存储516不具有针对目标策略存储的值，则不需要发出通知作为改变通知。实际上，这种策略尚未改变。而且，策略具有在默认策略存储522中的默认值。从而，分组(例如，策略管理器配置服务器提供商(CSP)538)可定义策略的默认值。

示例性情景2：移动设备102被登记到一个或多个消息收发服务器506-508和单个MDM服务器502中。在管理会话期间，MDM服务器502设置策略值。

根据此情景，移动设备102被登记到多个消息收发服务器506-508和MDM服务502中。在登记后，MDM服务器502通过统一接口组件118将被称为“设备密码被启用”的策略设置为值“0”，从而引起用户输入密码。统一接口组件118处理每个节点“设备锁”和“设备密码被启用”，将“设备锁”标记为区域并将“设备密码被启用”标记为策略。

统一接口组件118可调用设置策略值的策略处置器组件120的策略管理器存储模块。源ID、区域、策略名称、以及值可被输入到内部存储模块中。源ID是在移动设备102向MDM服务器502登记期间被创建的开放移动联盟(OMA)设备管理(DM)账户或消息收发服务器账户的密钥。源ID可被OMA-DM会话处置或消息收发服务器会话处置设置为被称为“OMADM::ServerID”的会话变量并在调用策略处置器组件120的策略管理器存储模块之前被统一接口组件118检索。源ID值零(0)指示第一方或第二方组件正调用此模块，在本情景下并非如此。

根据一示例，策略处置器组件120的策略管理器存储模块可执行以下。策略处置器组件120的该部分可通过去往OMA DM账户来验证源ID(如果不是NULL(空))是有效的，然而OMA DM模块来找到它。如果没有找到，则消息收发服务器账户可被搜索。如果没有找到该账户，则错误被返回到统一接口组件118并且从而这被返回至MDM服务器502。注意，如果源ID为空，则该方法被第一方组件调用。还要注意，消息收发服务器具有全局唯一标识符作为ID且这些被预期担当源ID。

而且，策略处置器组件120的策略管理器存储模块可通过使用与策略相关联的默认策略存储522中的元数据来确认该策略值。如果错误被返回，则此结果被传播回到统一接口组件118，从而终止该处理。而且，策略处置器组件120的该部分可将策略值写入到策略管理器元数据库存储122的适当源策略存储。

根据另一示例，区域和策略名称可被输入到策略处置器组件120的策略评估模块。策略评估模块可枚举遍历默认策略存储522以及每个源ID、给定区域以及策略名称的各源策略存储518-520。而且，存储在默认策略存储522中的策略源数据所指导的所得到的策略可被计算。最终，预期结果策略被通过策略评估过程推导并且值在当前策略存储516中被设置。如果被推导策略值不同于先前存储在当前策略存储516中的不同，则指示被改变和任选地返回的策略值是该已改变的值(当前策略存储516中的值)的棋标被返回。如果请求成功，则策略评估模块的被改变的参数可被检查以确定通知是否被发送。而且，如果上述步骤中的任一步骤失败，则改变被回滚且错误值被反馈。

统一接口组件118记录被改变的棋标是否被设置。如果此棋标被设置，则该区域被添加到“已改变区域”集合。此集合被用来在配置管理器512业务成功完成之后发送每区域通知。在接收到通知之后，被注册的策略管理器通知处置器(例如，策略管理器通知处置器526)可检查被设置的比特的有效载荷(例如，32比特)，其对应于该区域下的策略。而且，策略管理器通知处置器可读取策略值(例如，使用策略处置器组件120的获得模块)。

示例性情景3：移动设备102在先前管理会话期间被从已设置策略的MDM服务器(例如，MDM服务器502)解除登记。

根据此情景，当策略源被解除登记时，解除登记过程(532、534)可检索要被移除的策略。对于策略，解除登记代码534可使用策略处置器组件120的寻找第一策略模块，其返回第一策略。该策略随后通过策略处置器组件120的删除当前策略模块删除，其将该策略从源策略存储删除并且进行如在示例性情景2中描述的策略评估。该过程可针对使用策略处置器组件120的寻找下一策略模块获得的被返回的策略被执行。

示例性情景4：移动设备102被登记到MDM服务器502，且MDM服务器502想要查询它配置的策略。

根据此情景，根据策略源，策略列表和相应值可针对给定区域被返回。例如，策略处置器组件120的寻找第一策略模块和寻找下一策略模块可被连同源ID使用以内部返回该策略源的策略。

示例性情景5：移动设备102被登记到MDM服务器502，且MDM服务器502想要独立于策略源查询策略。

策略和相应值的列表可使用查询针对合并的策略hive中的区域被返回。根据一示例，策略处置器组件120的寻找第一策略模块和寻找下一策略模块可被连同源ID使用以内部返回该策略源的策略。

示例性情景6：移动设备102被登记到一个或多个消息收发服务器506-508和单个MDM服务器502，而消息收发服务器506-508和MDM服务器502尝试并行设置单一策略。

同步技术可被用来保护数据完整性。而且，策略管理器元数据库存储122的策略存储可具有锁。

示例性情景7：移动运营商管理服务器在管理会话期间尝试通过统一接口组件118改变策略。

配置管理器512可加载统一接口组件118并随后处理节点路径。不同的策略源可被赋予对不同的策略的不同的访问等级。例如，一移动运营管理服务器可具有访问与配置连接有关的策略的权限但是没有访问与电子邮件有关的策略的权限，并且该移动运营商管理服务器配置与电子邮件有关的策略的尝试可导致访问被拒绝。

根据各示例，可提供策略应用。策略应用可以使显示各策略存储的策略的UI应用。应用允许策略的改变(例如，在除了当前策略存储516之外的策略存储中)。根据各实施例，策略评估过程可开始于与默认策略存储522一起存储的描述策略评估过程期望如何执行的元数据。

更一般而言，根据另一示例性情景，可使用设备策略管理器系统设置可在混合环境中管理的策略。设备除了管理器系统可仅在已经具有不能改变以绑定至该设备策略管理器系统的现有设备管理功能性的旧式系统上运行。考虑设备策略管理器系统在桌面设备上运行的情景，其中它所配置的设置可以是由多个代理修改的注册表键(设备上的直接写注册表的应用、经由域加入的活动目录等)。在此情况下，尝试回滚到原始设置的设备策略管理器系统可能被损坏，因为它不再是所述设置的唯一权威机构。

为了解决上述示例性情景中的上述问题，设备策略管理器系统可监视写入所述设置的其它代理。例如，设备策略管理器系统可监听注册表改变通知。如果它所配置的设置被另一代理修改，则设备策略管理器系统可进行以下操作(但是可能更多)——(a)审计别人直接改变的值以便该组件可在未来改变；(b)知晓设备是“脏”的并且在解除登记期间，设备策略管理器系统可不再将设置回滚到其原始值；以及(c)采取附加动作以获得最安全的胜利以及其它计算，同时知晓在其核心“最佳胜利”数据库外有附加数据以将其计入。

图6-7示出了与管理移动设备上的策略相关的示例性方法体系。尽管各方法被表示和描述为顺序地执行的一系列动作，但要理解，这些方法不受该顺序的次序的限制。例如，一些动作能以与本文描述的不同的次序发生。另外，某一动作可以与另一动作并发地发生。此外，在一些实例中，实现本文描述的方法并不需要所有动作。

此外，本文描述的动作可以是可由一个或多个处理器实现的和/或存储在一个或多个计算机可读介质上的计算机可执行指令。计算机可执行指令可包括例程、子例程、程序、执行的线程等。另外，这些方法的动作的结果可以存储在计算机可读介质中，显示在显示设备上，等等。

图6示出了管理移动设备上的策略的方法体系600。在602，来自多个策略源的策略配置请求可在移动设备处被接收。该多个策略源至少包括由移动设备执行的内部策略源和在移动设备外部的设备管理服务器。策略配置请求至少包括来自第一策略源的第一策略配置请求和来自第二策略源的第二策略配置请求。第一策略配置请求包括策略的第一策略值，而第二策略配置请求包括该策略的第二策略值。第一策略源不同于第二策略源，且第一策略值与第二策略值相冲突。在604，可基于一冲突解决技术解决该策略的第一策略值和第二策略值之间的冲突。该冲突可在无需第一策略源和第二策略源之间的信任在该移动设备上被建立的情况下被解决。在606，响应于解决冲突，可设置控制移动设备的该策略的当前策略值。

转向图7，示出了控制被用来管理移动设备上的策略的冲突解决技术的方法体系700。在702，可从特定策略源接收冲突解决处置设置。在704，可基于来自该特定策略源和冲突解决处置设置和该特定策略源的权威等级来控制策略的冲突解决技术。在706，可基于冲突解决技术解决不同策略源所提供的不同策略配置请求中指定的策略的不同策略值之间的冲突。控制移动设备的该策略的当前策略值可使用冲突解决技术来设置。

现在参考图8，示出了可以根据本文公开的系统和方法使用的示例性计算设备800的高级图示。例如，计算设备800可以是移动设备102。作为另一示例，设备管理服务器112-114可以是或可以包括计算设备800。计算设备800包括执行存储在存储器802中的指令的至少一个处理器804。这些指令可以是例如用于实现被描述为由上述一个或多个组件执行的功能的指令或用于实现上述方法中的一个或多个的指令。处理器802可以通过系统总线804访问存储器806。除了存储可执行指令外，存储器804还可存储策略的策略值、策略的元数据(例如，冲突解决技术)、冲突解决处置设置等等。

此外，计算设备800还包括可由处理器808通过系统总线802访问的数据存储806。数据存储808可包括可执行指令、策略的策略值、策略的元数据(例如，冲突解决技术)、冲突解决处置设置等。计算设备800还包括允许外部设备与计算设备800通信的输入接口810。例如，输入接口810可被用于从外部计算机设备、从用户等处接收指令。计算设备800也可包括使计算设备812和一个或多个外部设备相对接的输出接口800。例如，计算设备800可以通过输出接口812显示文本、图像等。

考虑了通过输入接口800和输出接口810与计算设备812通信的外部设备可被包括在提供实质上任何类型的用户可与之交互的用户界面的环境中。用户界面类型的示例包括图形用户界面、自然用户界面等。例如，图形用户界面可接受来自用户采用诸如键盘、鼠标、遥控器等之类的(诸)输入设备的输入，以及在诸如显示器之类的输出设备上提供输出。此外，自然用户界面可使用户能够以不受输入设备(诸如键盘、鼠标、遥控器等)所施加的约束的方式与计算设备800进行交互。相反，自然用户界面可依赖于语音识别、触摸和指示笔识别、屏幕上和屏幕附近的姿势识别、空中姿势、头部和眼睛跟踪、语音和语音、视觉、触摸、姿势、以及机器智能等。

此外，尽管被示为单个系统，但可以理解，计算设备800可以是分布式系统。因此，例如，若干设备可以通过网络连接进行通信并且可共同执行被描述为由计算设备800执行的任务。

现在给出各示例。

示例1：一种移动设备，包括：至少一个处理器；以及计算机可读存储，所述计算机可读存储包括能由所述至少一个处理器执行的设备策略管理器系统，所述设备策略管理器系统包括：统一接口组件，所述统一接口组件被配置成接收来自多个策略源的策略配置请求，所述多个策略源至少包括被配置成能被所述移动设备的所述至少一个处理器执行的内部策略源组件和在所述移动设备外部的设备管理服务器，所述策略配置请求至少包括：来自第一策略源的第一策略配置请求，所述第一策略配置请求包括策略的第一策略值；以及来自第二策略源的第二策略配置请求，所述第二策略配置请求包括所述策略的第二策略值，所述第一策略源不同于所述第二策略源，且所述第一策略值与所述第二策略值相冲突；以及策略处置器组件，所述策略处置器组件被配置成基于冲突解决技术解决所述策略的所述第一策略值和所述第二策略值之间的冲突以设置控制所述移动设备的所述策略的当前策略值。

示例2：根据示例1所述的移动设备，其中：所述第一策略配置请求进一步包括所述第一策略源的标识符和指定所述策略的指示符；所述第二策略配置请求进一步包括所述第二策略源的标识符和指定所述策略的所述指示符；以及所述第一策略源的标识符不同于所述第二策略源的标识符。

示例3：如示例1-2中任一项所述的移动设备，所述策略处置器组件被进一步配置成解决所述策略的所述第一策略值和所述第二策略值之间的冲突，而无需在所述的移动设备上在所述第一策略源和所述第二策略源之间建立信任。

示例4：根据示例1-3中任一项所述的移动设备，所述冲突解决技术指定策略源类型的相应权威等级，并且所述策略处置器组件被进一步配置成使用所述冲突解决技术来基于所述第一策略源的第一权威等级和所述第二策略源的第二权威等级来设置所述策略的所述当前策略值。

示例5：根据示例4所述的移动设备，所述冲突解决技术指定一组策略的策略源类型的相应权威等级，该组策略包括该策略，且该冲突解决技术指定不包括该策略的一组不同策略的策略源类型的不同的相应权威等级。

示例6：根据示例1-5中任一项所述的移动设备，其特征在于，所述第一策略源是具有给定权威等级的企业设备管理服务器，所述冲突解决技术指定禁止具有所述给定权威等级的策略源设置所述策略的当前策略值，所述第一策略配置请求是由所述移动设备的被信任的策略源签名的已签名策略配置请求，且所述策略处置器组件被进一步配置成基于所述已签名策略配置请求盖写由所述冲突解决技术指定的禁止。

示例7：根据示例1-6中任一项所述的移动设备，所述计算机可读存储进一步包括策略管理器元数据库存储，且所述策略处置器组件被进一步配置成：从所述统一接口组件接收第一策略配置请求和第二策略配置请求，将所述策略的第一策略值写入到所述策略管理器元数据库存储的第一源策略存储，所述第一源策略存储对应于所述第一策略源；将所述策略的第二策略值写入到所述策略管理器元数据库存储的第二源策略存储，所述第二源策略存储对应于所述第二策略源；至少基于来自第一源策略存储的第一策略值和来自第二源策略存储的第二策略值来使用冲突解决技术确定所述策略的当前策略值；以及将所述策略的当前策略值写入到所述策略管理器元数据库存储的当前策略存储。

示例8：根据示例1-7中任一项所述的移动设备，所述计算机可读存储进一步包括策略管理器元数据库存储，所述策略管理器元数据库存储包括用于所述多个策略源的相应策略存储；以及所述设备策略管理器系统进一步包括沙盒安全组件，所述沙盒安全组件被配置成：准许所述第一策略源访问用于所述第一策略源的第一源策略存储；准许所述第二策略源访问用于所述第二策略源的第二源策略存储；限制所述第一策略源访问所述第二源策略存储；以及限制所述第二策略源访问所述第一源策略存储。

示例9：根据示例1-8中任一项所述的移动设备，所述设备策略管理器系统进一步包括解决控制组件，所述解决控制组件被配置成基于从特定策略源接收的冲突解决处置设置和所述特定策略源的权威等级来控制述策略的由所述策略处置器组件使用的冲突解决技术。

示例10：根据示例1-9中任一项所述的移动设备，所述设备策略管理器系统进一步包括解决控制组件，所述解决控制组件被配置成：基于所述多个策略源中的两个或更多个策略源的相应权威等级在从所述多个策略源中的所述两个或更多个策略源接收的冲突解决处置设置之间进行仲裁以选择所选冲突解决处置设置；以及基于所述所选冲突解决处置设置来控制所述策略的由所述策略处置器组件使用的冲突解决技术。

示例11：根据示例1-10中任一项所述的移动设备，所述设备策略管理器系统进一步包括解决控制组件，所述解决控制组件被配置成：接收来自特定策略源的冲突解决处置设置；检测在所述特定策略源和所述移动设备的受信任策略源之间建立的信任；以及响应于检测到所建立的信任，基于所述冲突解决处置设置来控制所述策略的由所述策略处置器组件使用的冲突解决技术。

示例12：根据示例1-11中任一项所述的移动设备，所述设备策略管理器系统进一步包括：状态分析组件，所述状态分析组件被配置成检测被所述设备处置器组件用于解决所述策略的冲突的给定冲突解决技术是否引起所述移动设备的不期望的状态；以及解决控制组件，所述解决控制组件被配置成：基于所述给定冲突解决技术是否引起不期望的状态来控制所述策略的由所述策略处置器组件使用的冲突解决技术；基于所述状态分析组件检测到所述给定冲突解决技术不引起不期望的状态，维持所述给定冲突解决技术为所述冲突解决技术；以及基于所述状态分析组件检测到所述给定冲突解决技术引起不期望的状态，将所述给定冲突解决技术修改为所述冲突解决技术。

示例13：根据示例1-12中任一项所述的移动设备，所述内部策略源组件包括由所述移动设备的至少一个处理器执行的应用或所述移动设备的设备用户接口中的至少一者。

示例14：根据示例1-13中任一项所述的移动设备，所述多个策略源进一步包括移动运营商管理服务器、消息收发服务器、以及移动设备管理服务器。

示例15：根据示例1-4中任一项所述的移动设备，所述策略处置器组件被进一步配置成响应于所述移动设备从所述第一策略源解除登记而重新评估所述策略的当前策略值。

示例16：一种移动设备，包括：至少一个处理器，以及计算机可读存储，所述计算机可读存储包括能由所述至少一个处理器执行的设备策略管理器系统，所述设备策略管理器系统包括：统一接口组件，所述统一接口组件被配置成接收来自多个策略源的策略配置请求以及接收来自特定策略源的冲突解决处置设置；解决控制组件，所述解决控制组件被配置成基于来自所述特定策略源的冲突解决处置设置和所述特定策略源的权威等级来控制策略的冲突解决技术；以及策略处置器组件，所述策略处置器组件被配置成基于由所述解决控制组件控制所述策略的冲突解决技术来解决在由不同策略源提供的不同策略配置请求中指定的所述策略的不同策略值之间的冲突，以及使用所述冲突解决技术来设置控制所述移动设备的所述策略的当前策略值。

示例17：根据示例16所述的移动设备，所述解决控制组件被进一步配置成基于相应的权威等级在来自该特定策略源的冲突解决处置设置和来自至少一个不同策略源的至少一个不同冲突解决处置设置之间进行仲裁以选择被用来控制所述策略的冲突解决技术的所选冲突解决处置设置。

示例18：根据示例16-17中任一项所述的移动设备，所述解决控制组件被进一步配置成：检测在所述特定策略源和所述移动设备的被信任策略源之间建立的信任，其中在缺少所建立的信任的情况下，所述特定策略源被禁止基于所述特定策略源的权威等级控制所述策略的由所述策略处置器组件使用的冲突解决技术；以及响应于检测到所建立的信任，基于所述冲突解决处置设置来控制所述策略的由所述策略处置器组件使用的冲突解决技术。

示例19：一种管理移动设备上的策略的方法，包括：接收来自多个策略源的策略配置请求，所述多个策略源至少包括由所述移动设备执行的内部策略源以及在所述移动设备外部的设备管理服务器，所述策略配置请求至少包括：来自第一策略源的第一策略配置请求，所述第一策略配置请求包括策略的第一策略值；以及来自第二策略源的第二策略配置请求，所述第二策略配置请求包括所述策略的第二策略值，所述第一策略源不同于所述第二策略源，且所述第一策略值与所述第二策略值相冲突；基于冲突解决技术解决所述策略的所述第一策略值和所述第二策略值之间的冲突，而无需在所述移动设备上在所述第一策略源和所述第二策略源之间建立信任；以及响应于解决所述冲突，设置控制所述移动设备的所述策略的当前策略值。

示例20：根据示例19所述的方法，进一步包括控制被用来解决所述策略的冲突的冲突解决技术。

如本文所使用的，术语“组件”和“系统”旨在包含用使得在被处理器执行时执行特定功能的计算机可执行指令配置的计算机可读数据存储。计算机可执行指令可包括例程、功能等等。还要理解组件或系统可以位于单个设备上或跨若干设备分布。

另外，如此处所用的，术语“示例性”旨在是指“充当某事物的图示或示例”。

本文中描述的各功能可在硬件、软件或其任何组合中实现。如果在软件中实现，则这些功能可以作为一条或多条指令或代码存储在计算机可读介质上或藉其进行传送。计算机可读介质包括计算机可读存储介质。计算机可读存储介质可以是能被计算机访问的任何可用存储介质。作为示例而非限定，这样的计算机可读介质可包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储或其他磁存储设备、或能被用来存储指令或数据结构形式的期望程序代码且能被计算机访问的任何其他介质。如本文中所使用的盘(disk)和碟(disc)包括压缩碟(CD)、激光碟、光碟、数字多用碟(DVD)、软盘和蓝光碟(BD)，其中盘(disk)往往以磁的方式再现数据，而碟(disc)常常用激光以光学方式再现数据。另外，所传播的信号不被包括在计算机可读存储介质的范围内。计算机可读介质还包括通信介质，该通信介质包括促成将计算机程序从一地转移到另一地的任何介质。连接例如可以是通信介质。例如，如果软件使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)、或诸如红外线、无线电、以及微波之类的无线技术来从web网站、服务器、或其它远程源传输，则该同轴电缆、光纤电缆、双绞线、DSL、或诸如红外线、无线电、以及微波之类的无线技术被包括在通信介质的定义中。上述的组合应当也被包括在计算机可读介质的范围内。

作为替换或补充，本文所述的功能可至少部分地由一个或多个硬件逻辑组件来执行。例如、但非限制，可使用的硬件逻辑组件的说明性类型包括现场可编程门阵列(FPGA)、程序专用的集成电路(ASIC)、程序专用的标准产品(ASSP)、片上系统系统(SOC)、复杂可编程逻辑器件(CPLD)、等等。

以上所描述的包括一个或多个实施例的示例。当然，出于描绘前述各方面的目的而描述上述设备或方法的每个可以想到修改和改变是不可能的，但本领域内的普通技术人员可以认识到，各方面的许多另外的组合和置换都是可能的。因此，所描述的各方面旨在包括所有这些属于所附权利要求书的精神和范围内的改变、修改和变型。此外，就在详细描述或权利要求书中使用术语“包括”而言，这一术语旨在以与术语“包含”在被用作权利要求书中的过渡词时所解释的相似的方式为包含性的。