用于受损设备的增强型选择性擦除的制作方法

工作人员使用越来越多种类的设备来访问高价值的企业数据，例如存储在企业服务器或云上的电子邮件或文档。即使在非工作相关的设定和场景中，个人也使用各种计算设备来访问他们的个人数据。

假如设备错放、当工作成员不再与他们的公司相关联时、或者在盗窃的情况下，这种访问的增加带来额外遭受数据丢失的风险。在这些和其它情况下，组织或个人可能对从有问题的设备中清除企业数据或其它选择数据感兴趣。

选择性擦除(selective wipe)是一种当设备变得受损时允许移除某些应用和简档、同时保留其它数据的计算技术。例如，当用户的设备变得受损时，安装在该设备上的企业应用和简档可以自动被移除，而用户的个人数据可以保持完整。

在员工将他们的个人计算设备用于工作和个人目的两者的自带设备场景中这种技术是特别有用的。在员工离开企业或者他们的设备变得丢失、被盗或仅仅临时错放的情况下，企业可以保护其数据而不会对用户的个人数据造成损害。

大多数选择性擦除实施方式涉及与专用的客户端安装的端用户设备进行通信的设备管理器服务。当设备变得受损时，该情况被报告给该服务。该服务随后与安装在受损设备上的客户端进行通信，以便发起对选择数据的擦除。所选择的数据可以是例如与个人数据相对的企业数据。

技术实现要素：

本文提供了增强选择性擦除技术的系统、方法和软件。在一种实施方式中，应用发起针对应用来认证用户的请求。在一些场景中，应用接收对该请求的响应，该响应包括选择性擦除指令。应用接收该响应后，应用选择性地擦除与该应用相关联的数据。

在至少一种实施方式中，设备管理服务可以指示设备管理客户端在设备上发起主选择性擦除过程。主选择性擦除过程之后可以跟随有辅助选择性擦除过程，其中辅助选择性擦除过程是经由认证用户的请求和对该认证请求的对应响应来发起的。

提供本概述是为了以简化形式介绍一些概念，这些概念在下面的技术公开中进一步描述。可以理解的是，本概述并非旨在标识要求保护的主题的关键特征或必要特征，也并非旨在用于限制要求保护的主题的范围。

附图说明

参考以下附图可以更好地理解本公开内容的许多方面。虽然结合这些附图描述了若干实施方式，但本公开内容不限于本文所公开的实施方式。相反，意在涵盖所有的替代方案、修改和等效方案。

图1示出了在一种实施方式中的操作架构，在该操作架构的上下文中可以采用增强型选择性擦除。

图2示出了在一种实施方式中可由在线服务采用的选择性擦除过程。

图3示出了在一种实施方式中可由本地应用采用的选择性擦除过程。

图4示出了在一种实施方式中涉及增强型选择性擦除的操作场景。

图5示出了在一种实施方式中在其中可采用增强型选择性擦除的另一种操作架构。

图6A示出了在一种实施方式中的操作场景。

图6B示出了在一种实施方式中的操作场景。

图7A示出了在一种实施方式中的操作场景。

图7B示出了在一种实施方式中的操作场景。

图8示出了在一种实施方式中的操作场景。

图9示出了适合于实现本文中针对图1-图8所公开的并在下面的技术公开中讨论的任何应用、架构、服务、过程和操作场景的计算系统。

具体实施方式

本文所公开的增强型选择性擦除的实施方式利用应用与服务之间的认证通道来触发选择性擦除过程。可以经由认证通道向应用传送选择性擦除指令，从而触发该应用从设备中移除所选择的数据。认证通道还可以用于传送除了选择性擦除之外的或与之不同的其它设备管理指令和操作。

在简单的示例中，当设备未受损时，该设备上的应用可以与应用服务进行通信，以便与用户交互、获得或以其它方式向用户提供该应用和服务的特征和功能。作为该交互的一部分，应用还可以与授权和认证服务进行通信，以便确保用户被认证和/或授权使用该应用服务。

然而，设备在某个时刻可能变得受损。例如，设备可能丢失、被盗或错放、或者与设备相关联的用户可能变得离开企业或其它此类组织。当这种情况发生时，可以报告设备的受损状态并采用增强型选择性擦除过程来确保敏感数据得到保护。

例如，当应用发起针对该应用来授权或认证(或两者)用户的请求时，对应的授权和认证服务可以传送对该请求的响应，其中该响应包括选择性擦除指令。响应可以是例如拒绝访问与应用相对应的应用服务。

当应用接收到响应时，该响应触发应用选择性地擦除与该应用相关联的数据。与应用相关来的数据可以包括企业数据和个人数据。为了选择性地擦除与应用相关联的数据，应用可以移除企业数据，同时保留个人数据。在一些情况下，应用可以跟踪(track)与该应用相关联的数据中哪些是企业数据以及与该应用相关联的数据中哪些是个人数据，以便促进选择性擦除。

在一些场景中，与给定设备相关联的用户可以与一个以上企业相关联。因此，用户的设备上很可能具有与多个企业相关联的数据。例如，用户可以与大学以及公司相关联。因此，用户的设备上可以具有与大学相关联的数据和与公司相关联的数据，以及用户自己的个人数据。

本文所公开的实施方式允许这些企业中的任一者选择性地擦除它们自己的数据而不会删除另一企业的数据。大学可以经由访问控制服务来发起选择性擦除操作，该操作移除与大学相关联的数据，而不会损害公司数据或个人数据。公司也可以发起它们自己的选择性擦除操作，该操作移除公司数据，而不会损害大学数据或个人数据。

在一些实施方式中，这种增强型选择性擦除可以与现有的或经修改的选择性擦除操作共存(并且甚至与其合作)。在一个示例中，设备可以包括具有增强型选择性擦除能力的一个或多个应用，但除了这些应用之外，还可以包括与设备管理服务交互的设备管理应用。在此类场景中，当设备变得受损时，设备管理服务指示设备管理应用实现其自身的选择性擦除过程。

在设备上存在设备管理应用的场景中，设备管理应用可以(但并非总是)执行主选择性擦除过程，该过程涉及移除业务线应用、简档以及对设备管理应用可见的其它数据。由除了设备管理应用之外的应用实现的选择性擦除过程(其由认证和授权服务或过程触发)可以移除对设备管理应用不可见或者设备管理应用不可访问的数据。这种数据的示例包括在与在线服务(例如，生产力(productivity)服务、云存储服务、个人信息管理服务以及协作服务)交互时所创建的文件。另外，辅助选择性擦除过程可以防止在已执行主选择性擦除过程之后文件向下同步到受损设备。

为了进一步示出增强型选择性擦除，以下对图1-图9进行讨论。图1示出了在增强型选择性擦除的一种实施方式中的操作架构。图2示出了可由在操作架构中找到的服务所采用的选择性擦除过程，而图3示出了如由架构中的应用所采用的选择性擦除过程。图4示出了增强型选择性擦除的示例性场景。图5示出了另一种操作架构并且图6A-图8示出了针对该架构的各种操作场景。图9示出了代表适合于实现本文所讨论的应用、过程、架构和服务的任何一个或多个系统的计算系统。

参考图1，操作架构100包括应用平台101、服务平台121和应用平台131。本地应用103在应用平台101上运行或者以其它方式在应用平台101的上下文内运行。本地应用103将数据113和数据115存储在数据存储装置107中。数据113代表可以与企业或特定标识相关联的数据以使得其能够被选择性地擦除。数据115代表不与企业或特定标识相关联的数据，并且因此即使在数据113被擦除时也可以保留。服务平台121托管在线服务123并且应用平台131托管报告应用133。

在操作中，本地应用103与在线服务123对接，以便实现应用的各种特征和功能。作为所述操作的一部分，本地应用103可以在用阶段141和阶段143表示的至少两个阶段中与在线服务123进行通信。在第一阶段(阶段141)中，本地应用103可以参与认证和/或授权阶段，以便例如代表特定用户获得对在线服务123的访问。一旦被认证和/或授权，本地应用103就可以在阶段143期间与在线服务123进行通信，以便例如获得对在线服务123所提供的各种特征和功能的访问。

在第一阶段期间，在线服务123采用选择性擦除过程124。图2包括流程图200，该流程图200示出了代表在一些实施方式中由选择性擦除过程124提供的功能的步骤。过程124可以体现在由计算系统执行的适合于实现在服务(例如，在线服务123)中的程序指令中。选择性擦除过程124可以集成在在线服务123中，尽管在一些实施方式中选择性擦除过程124可以与在线服务123分离或者跨多个服务分布。

参考图2，在本地应用103尝试认证用户时，在线服务123接收认证请求(步骤201)。在线服务123作为响应地确定与认证请求相关联的设备(应用平台101)是否已被标识为受损(步骤203)。如果设备被标识为受损，则在线服务123利用选择性擦除指令来答复(步骤205)以擦除所选择的数据。

报告应用133可以与在线服务123进行通信以标识可能受损的那些设备。例如当给定的设备错放、丢失或被盗时，管理员或者经由应用平台131参与报告应用133的其它此类人员可以报告该给定设备。在一些场景中，可能是应用平台101的相同用户采用报告应用133来报告设备(应用平台101)已受损。在其它场景中，另一设备(未示出)可以与报告应用133进行通信以将设备报告为受损，报告应用133随后可以将该事实传送给在线服务123。

不管机制(可以利用该机制将设备报告成受损)如何，在线服务123都将存储设备的标识和其受损状态，以使得当本地应用尝试代表用户进行认证时可以引用该受损状态。这种认证尝试可以标识用于作出认证尝试的特定设备。这允许在线服务123首先检查设备是否已受损。

在线服务123可以提供代码而不是返回用于本地应用103的有效令牌，其中当该代码被本地应用103识别时，触发本地应用103删除可以被选择性地标识为与应用、用户、或者将数据113与其它数据(例如，数据115)分离的某种其它描述相关联的数据。

在相同的上下文中，本地应用103在其端点上采用选择性擦除过程104。选择性擦除过程104可以在本地应用103的开机或启动序列、刷新序列、同步序列、或包括对用户、设备或两者或可以被认证的某种其它要素进行认证和/或授权的尝试的任何其它操作的过程内执行。

图3包括流程图300，该流程图300示出了代表在一些实施方式中选择性擦除过程104所提供的功能的步骤。选择性擦除过程104可以体现在由计算设备执行的适合于实现在应用(例如，本地应用103)中的程序指令中。选择性擦除过程104可以集成在本地应用104中，尽管在一些实施方式中选择性擦除过程104可以与本地应用103分离或者跨多个程序、应用模块或软件层分布。

参考图3，本地应用103向在线服务123传送认证请求以尝试对用户进行认证(步骤301)。在用户被成功认证并且发送请求的设备未受损的情况下，可以返回有效令牌，该有效令牌允许本地应用103在正常条件下进行。然而，在设备已被标识为受损的情况下，在线服务123可以传送由本地应用103接收的选择性擦除指令(步骤303)。响应于选择性擦除指令，本地应用103删除、移除、编码或以其它方式“擦除”选择性地标识的数据，以使得数据在至少大多数实际方面中不再可读可用(步骤305)。

虽然图1将选择性擦除过程104示出为实现在本地应用103中，但可以意识到，选择性擦除过程104可以实现为与本地应用103分离的或在其外部的独立应用或模块。例如，选择性擦除过程104可以与操作系统、网络浏览器或某种其它应用集成。可选地，选择性擦除过程104的功能可以跨多个应用分布。

图4示出了操作场景400以进一步说明增强型选择性擦除的各个方面。在操作中，本地应用103将数据113以及数据115存储在数据存储装置107中。如所提及的，数据113与数据115分开，这是因为数据113与企业或其它标识相关联，而数据115并非如此。因此，数据113可以经由认证过程来作为供删除的目标，而数据115可以保留。

在一个示例中，本地应用103可以表示电子邮件应用，而数据113可以表示与企业电子邮件地址或账户相关联的电子邮件数据库。数据115可以表示不与该企业相关联的另一电子邮件数据库或账户。在该示例中，在线服务123可以表示与企业相关联的电子邮件服务，并且电子邮件应用与在线服务123进行通信以对用户进行认证。数据113因此可以由与企业相关联的服务进行认证，从而将数据113针对可以由不与企业相关的另一服务认证的、或者完全未被认证的数据115进行区分。

在另一示例中，本地应用103可以表示企业级的云存储应用，而数据113可以表示由云存储应用存储的并且与企业相关联的数据。在该示例中，在线服务123可以表示云存储服务，其中云存储应用与该云存储服务进行通信以对用户进行认证。相比之下，数据115可以与本地文件系统位置(即，桌面)或不与企业相关联的另一云存储服务相关联。因此，数据113由于其与企业的关联而可以被删除，而数据115可以保留。以此方式，企业数据可以移除，而个人数据可以保留。

在另一个示例中，本地应用103可以表示生产力应用(例如，文字处理应用)，而数据113可以表示与企业标识相关联地生成、创建或以其它方式产生的生产力文档等等。在该示例中，在线服务123可以表示生产力服务或协作服务，其中生产力应用与该生产力服务或协作服务进行通信以对用户进行认证。生产力文档因此可以针对用户进行认证，从而将生产力文档与用数据115表示的其它数据进行区分。数据115可以经由不作为供选择性擦除的目标的某种其它标识来产生，或者完全没有具体的标识。

返回到操作场景400，本地应用103可以尝试对用户进行认证。这可以在启动本地应用103时或者在贯穿其操作周期性地发生。在该场景中，假定认证失败，并且更具体而言，假定响应于认证请求而返回选择性擦除应用。本地应用103作为响应地删除数据113，但数据115未被删除。以此方式，可以移除与用户的企业标识或某种其它界定标识相关联的数据而不会损害其它数据。其它数据可以是例如用户可能不希望破坏的个人数据。

返回参考图1，应用平台101代表能够运行本地应用103并实现选择性擦除过程104的任何物理或虚拟计算系统、设备或者其集合。应用平台101的示例包括但不限于图9中所示出的计算系统901所代表的智能电话、膝上型计算机、平板计算机、台式计算机、混合计算机、游戏机、智能电视、虚拟机和可穿戴设备、以及其任何变型或组合。

本地应用103代表能够实现选择性擦除过程104的任何软件应用、模块、组件或者其集合。本地应用103的示例包括但不限于：电子邮件应用、云存储应用、生产力应用、日历应用、实时通信应用、博客和微博应用、社交网络应用、电子商务应用和游戏应用、以及能够执行选择性擦除过程104的任何其它类型的应用。

本地应用103可以是在本地安装并执行的应用、流式应用、移动应用或者其任何组合或变型。在一些实施方式中，本地应用103可以是在浏览器应用的上下文中执行的基于浏览器的应用。本地应用103可以实现为独立应用或者可以跨多个应用分布。

服务平台121代表能够托管在线服务123的全部或一部分的任何物理或虚拟计算系统、设备、或者其集合。服务平台121的示例包括但不限于图9中所示出的计算系统901所代表的服务器计算机、网络服务器、应用服务器、机架服务器、刀片服务器、虚拟机服务器、或塔式服务器、以及任何其它类型的计算系统。在一些场景中，在线服务123可以实现在数据中心、虚拟数据中心中，或实现在某种其它适当的计算设施中。在线服务123的示例包括但不限于：网络服务、电子邮件服务、实时通信服务、博客和微博服务、社交网络服务、电子商务服务、生产力应用服务、云存储服务和游戏应用、以及任何其它类型的服务、服务的组合、或者其变型。

在线服务123可以代表单独的服务，但也可以代表在线服务的集合。例如，在线服务123可以包括授权和认证服务、以及线服务(line service)，例如电子邮件服务、云存储服务、生产力服务等等。在一些场景中，在线服务123包括向多个线服务提供认证和授权的授权和认证服务。例如，认证和授权服务可以以集成的方式处理针对电子邮件服务、生产力服务和云存储服务的认证和授权。

应用平台131代表能够运行报告应用133并与在线服务123对接的任何物理或虚拟计算系统、设备、或者其集合。应用平台131的示例包括但不限于图9中所示出的计算系统901所代表的智能电话、膝上型计算机、平板计算机、台式计算机、混合计算机、游戏机、智能电视、虚拟机、和可穿戴设备、以及其任何变型或组合。其它示例包括服务器计算机、网络服务器、应用服务器、机架服务器、刀片服务器、虚拟机服务器或塔式服务器、以及任何其它类型的计算系统。

报告应用133代表用户可以经由其将设备报告为受损的任何软件应用、模块、组件、或者其集合。报告应用133的示例包括但不限于：管理人员所使用的管理入口、用户可以通过其报告受损设备的网站、能够通过语音连接(例如，电话呼叫)与用户对接以将设备报告为受损的语音响应系统、用于接收对受损设备的通知的电子邮件或文本消息系统、或者可以通过其将受损设备报告给在线服务123的任何一个或多个其它系统。

图5示出了增强型选择性擦除的一种实施方式中的操作架构500。操作架构500包括托管与服务提供方541交互的应用的应用平台501、应用平台505、应用平台511和应用平台521。服务提供方541包括分别托管生产力服务553、个人信息管理服务563和驱动服务573的服务平台551、服务平台561和服务平台571。对包括在服务提供方541中的应用服务的访问由托管在服务平台581上的访问控制服务583来管理。操作架构500中的各种应用平台和服务平台经由通信网络531所代表的一个或多个通信网络来通信。

设备管理应用503在应用平台501上运行，并且向管理员502或其它人员提供至运行在服务平台591上的设备管理服务593的入口。管理员502可以与入口交互，以报告设备何时已变得受损、设定策略等等。管理员502可以与特定的企业相关联，例如大学、公司或其它实体。因此，当设备已丢失或者与该设备相关联的人员离开企业时，管理员502可以报告该设备已变得受损。

设备管理应用507在应用平台505上运行，并且向管理员508或其它人员提供至设备管理服务593的入口。管理员508可以与该入口交互，以报告设备何时已变得受损、设定策略等等。管理员508可以与特定的企业相关联，例如除了与企业502相关联的企业之外的大学、公司或其它实体。例如当设备已丢失或者与该设备相关联的人员离开企业时，管理员508可以报告该设备已变得受损。

应用平台511包括设备管理客户端523，设备管理客户端523与设备管理服务593进行通信以促进设备管理操作，包括选择性擦除操作。应用平台511还包括应用525，其中用户512可以经由应用525来访问各种应用服务，包括生产力服务553、个人信息管理服务563、以及驱动服务572(有时被称为云存储服务)。数据517代表可以与设备管理客户端523和应用525相关联的数据。

用户512还可以经由应用平台521上的应用525来访问应用服务。应用525的示例包括生产力应用555、个人信息管理应用565、驱动应用575(有时被称为云存储应用)、以及业务线应用595。

数据527代表可以与应用525相关联的数据。数据527的一部分可以是企业数据，而其它部分可以是个人数据，如由企业数据相对于个人数据的不同填充图案所指示的。

例如，数据527包括与生产力应用555相关联的个人数据557、企业数据558和企业数据559。个人数据567和企业数据569表示与个人信息管理应用565相关联的数据。数据527还包括与驱动应用575相关联的个人数据577和企业数据579。设备管理数据597表示与业务线应用595相关联的数据以及可能可以由设备管理客户端523访问的其它数据。

应用平台501、505、511和521各自代表能够分别采用设备管理应用503、设备管理客户端513和523、以及应用515和525的任何一个或多个计算系统。示例包括图9中的计算系统901所代表的台式计算机、膝上型计算机、平板计算机、移动电话、智能电话、平板手机、游戏系统、智能电视、可穿戴设备(例如，智能手表和智能眼镜)、虚拟机和服务器计算机、以及任何其它类型的一个或多个计算系统、其组合或变型。

服务平台551、561、571、581和591各自代表能够采用包括在服务提供方541中的各种应用服务和设备管理服务的任何一个或多个计算系统。示例包括图9中所示出的计算系统901所代表的服务器计算机、刀片服务器、虚拟服务器、机架服务器、网络服务器、云计算平台、和数据中心装置、以及任何其它类型的物理或虚拟服务器机器、以及其任何变型或组合。

图6A示出了展示增强型选择性擦除技术的各个方面的操作场景601。在操作中，管理员502通过设备管理应用503报告设备已受损。在该示例中，受损设备是应用平台521。设备管理应用503向设备管理服务593报告受损设备。

设备管理服务593向访问控制服务583标识受损设备。可选地，设备管理服务593还可以向设备管理客户端523传送选择性擦除指令。在选择性擦除指令被传送给设备管理客户端523的情况下，设备管理客户端523可以行进至从设备管理数据597中删除所选择的数据。

此外在操作中，应用可以尝试访问应用服务，这包括与访问控制服务583进行通信。在该示例性场景中，驱动应用575尝试访问驱动服务573，这包括在授权过程、认证过程等等的上下文中初始地与访问控制服务583进行通信。

响应于访问尝试，访问控制服务583向驱动应用575传送选择性擦除指令。在一些可选的实施方式中，驱动应用575可以与设备管理客户端523进行通信以确定是否要擦除所选择的数据。在此类场景中，设备管理客户端523可以确认选择性擦除是合适的并指示驱动应用575行进。在任一情况下，驱动应用575可以行进至删除企业数据579。

可以意识到，无论何时驱动应用575进行访问尝试，操作场景601中所示出的流程都可以重复发生。这可以发生在例如当驱动应用575尝试同步数据时。以此方式，可以防止驱动服务573将数据向下同步到受损设备。同时，用户512仍然可以经由应用平台511访问他或她的数据和服务。

图6B示出了展示多个企业如何可以选择性地擦除单个设备上的数据的操作场景602。在操作中，管理员502通过设备管理应用503报告设备已受损。在该示例中，受损设备是应用平台521。设备管理应用503向设备管理服务593报告受损设备和其相关联的企业。设备管理服务593转而向访问控制服务583标识受损设备，并且还标识与报告该设备的管理员相关联的企业。

生产力应用555可以尝试访问生产力服务553，这包括在授权过程、认证过程等等的上下文中与访问控制服务583进行通信。响应于访问尝试，访问控制服务583向生产力应用555传送选择性擦除指令。生产力应用555随后行进至删除与发起选择性擦除过程的企业相关联的企业数据558。

此外在操作中，管理员508通过设备管理应用507报告设备已受损。在该示例中，受损设备是应用平台521。设备管理应用507向设备管理服务593报告受损设备和其相关联的企业。设备管理服务593转而向访问控制服务583标识受损设备，并且还标识与报告该设备的管理员相关联的企业。

生产力应用555可以再次尝试访问生产力服务553，这包括在授权过程、认证过程等等的上下文中与访问控制服务583进行通信。响应于访问尝试，访问控制服务583向生产力应用555传送选择性擦除指令。生产力应用555随后进行至删除企业数据559，这是因为企业数据559与发起选择性擦除的企业相关联。

从图6B可以意识到，多个不同的企业可以发起单独的选择性擦除过程，这些单独的选择性擦除过程使得不同的企业数据被删除。在第一实例中，一个企业移除企业数据558，而在第二实例中，不同的企业选择性地移除企业数据559。

图7A示出了展示增强型选择性擦除技术的各种其它方面的另一操作场景701。在操作中，管理员502通过设备管理应用503报告设备已受损。在该示例中，受损设备是应用平台521。

设备管理服务593向访问控制服务583标识受损设备。在操作中，应用可以尝试访问应用服务，这包括与访问控制服务583进行通信。在该示例性场景中，生产力应用555尝试访问生产力服务553，这包括在授权过程、认证过程等等的上下文中初始地与访问控制服务583进行通信。

响应于访问尝试，访问控制服务583向生产力应用555传送选择性擦除指令。生产力应用555随后行进至删除企业数据559。

此外在操作中，驱动应用575尝试访问驱动服务573，这包括在授权过程、认证过程等等的上下文中初始地与访问控制服务583进行通信。

响应于访问尝试，访问控制服务583向驱动应用575传送选择性擦除指令。驱动应用575随后行进至删除企业数据579。

可以意识到，无论何时生产力应用555或驱动应用575进行访问尝试，操作场景701中所示出的流程都可以重复发生。这可以发生在例如当生产力应用555或驱动应用575尝试同步数据时。以此方式，可以防止生产力服务553和驱动服务573将数据向下同步到受损设备。同时，用户512仍然可以经由应用平台511访问他或她的数据和服务。

图7B示出了展示增强型选择性擦除技术的各种其它方面的另一操作场景702。在操作中，管理员502通过设备管理应用503报告设备已受损。在该示例中，受损设备是应用平台521。

设备管理服务593向访问控制服务583标识受损设备。在操作中，应用可以尝试访问应用服务，这包括与访问控制服务583进行通信。在该示例性场景中，生产力应用555尝试访问生产力服务553，这包括在授权过程、认证过程等等的上下文中初始地与访问控制服务583进行通信。

响应于访问尝试，访问控制服务583向生产力应用555传送选择性擦除指令。生产力应用555随后行进至删除企业数据559。

此外在操作中，除了驱动应用575从访问控制系统583接收选择性擦除指令之外或者作为其替代，生产力应用555也可以向驱动应用575传送选择性擦除指令。指令可以是推送给驱动应用575的离散指令，尽管在一些情况下，驱动应用575可以查询生产力应用555(或者任何其它本地应用)。在其它情况下，驱动应用575可以监视与生产力应用555相关联的数据的状态。当与生产力应用555相关联的数据被选择性地擦除时，这可以充当用于驱动应用575选择性地擦除其自身数据的信号。

图8示出了展示认证通道可以用于除了选择性擦除之外的或与之不同的其它操作的操作场景800。在操作中，管理员502通过设备管理应用503提供策略，该策略限定了例如当打开文档或文档集合时针对设备的配置。

例如，策略可以限定当打开与企业相关联的特定文档或文档集合时禁用设备的摄像头、屏幕捕捉能力、或屏幕共享能力。策略可以包括其它约束，例如在确定如何以及何时实施策略时可以应用的位置、时间或数据约束。

设备管理应用503向设备管理服务593传送策略，设备管理服务593转而将可能受制于该策略的一个或多个设备的标识提供给访问控制服务583。当在设备上打开应用时，该应用尝试向访问控制系统583进行认证。除了认证与访问控制系统相关联的设备和/或用户之外，访问控制系统583还可以向应用传送设备管理指令。在该示例中，打开文件或对文件进行操作的应用是生产力应用555，尽管各种应用是可能的。

生产力应用555接收设备管理指令并负责执行该指令以实施所指定的策略。例如，生产力应用555可以禁用其设备的摄像头、屏幕捕捉能力或屏幕共享能力。

操作架构500可以支持多个企业。虽然图5示出了与一个企业相关联的管理员502，但可以意识到，可以支持与其它企业相关联的其它管理员。虽然上面针对图6-图8所讨论的操作场景示出了由管理员502代表一个企业发起的选择性擦除过程，但代表其它企业发起的其它选择性擦除过程是可能的。例如，经由另一设备管理应用进行交互的另一管理员可以发起另一选择性擦除过程以擦除与另一企业相关联的数据。

从前述实施方式中可以意识到各种技术效果。本文所公开的增强型“选择性擦除”或“仅企业擦除(enterprise-only wipe)”特征允许域(例如，contoso.com)的管理员触发从特定的设备中移除contoso.com数据，同时使个人的或属于其它组织(大学、慈善机构等等)的数据保持完整。在非工作相关的示例中，个人可能期望选择性地擦除仅与他或她维持的特定角色或标识相关联的数据。

现有的解决方案包括允许选择性擦除的移动设备管理(MDM)特征或服务。然而，MDM解决方案依赖于实现集装箱化SDK或使用MDM提供的移动客户端的应用，每一者均具有其自身的缺陷。例如，MDM客户端通常向应用环境引入大量的复杂性。客户端应用必须跟踪每个数据团块的来源，以使得仅Contoso数据(或其它所跟踪的数据)可以稍后被删除。客户端-服务器应用需要知晓DeviceID(设备ID)，以便使选择性擦除命令到达丢失的目标物理设备(而不是属于相同用户的其它设备)。为了验证选择性擦除信号，应用需要保持相互认证的数据通道。这与一旦设备对象(例如，目录存储中)不受信任就将其禁用以便停止向这些设备的数据同步的最佳实践相冲突。阻止数据同步转而阻止认证，并且因此阻止选择性擦除信号的传送。

为了超越这些和其它解决方案，本文所公开的系统、方法和软件利用认证过程来传送选择性擦除命令。另外，可以将选择性擦除功能集成到本地应用中，而不是依赖于专用的MDN客户端。选择性擦除可以应用于与该应用相关联的数据以及与发出选择性擦除命令的认证机构或过程相关联的数据。

这种增强型选择性擦除技术依赖于修改设备知晓的现有客户端-服务器认证协议(例如，OAuth的Azure AD实施方式)来向设备提供可靠和安全的选择性擦除信号。在一种实施方式中，该选择性擦除信号与向客户端发出的并用于下载数据/检查服务器侧更新的安全令牌相关联。这允许应用使用被标记为“选择性擦除”的令牌以便同样地枚举遍历本地存储并删除来源于该特定企业的所有文件。

对于“单点登录”的常见布置(其中相同组织(例如，Microsoft.com)托管具有截然不同的URL(例如，sdfpilot.outlook.com、msp.oppe.com、Microsoft.com、exchange.microsoft.com等等)的许多服务)来说，这种解决方案可能是有益的。当特定的企业托管如此多不同的在线数据目录时，知道客户端上哪些数据元素/缓存属于该企业会是一项挑战，通过使用用于选择性擦除目的的认证令牌来缓解该挑战。

图9示出了代表其中可以实现本文所公开的各种操作架构、场景和过程的任何系统或系统的集合的计算系统901。计算系统901的示例包括但不限于：智能电话、膝上型计算机、平板计算机、台式计算机、混合计算机、游戏机、虚拟机、智能电视、智能手表和其它可穿戴设备、以及其任何变型或组合。其它示例包括服务器计算机、机架服务器、网络服务器、云计算平台、和数据中心装置、以及任何其它类型的物理或虚拟服务器机器、以及其任何变型或组合。

计算系统901可以实现为单个装置、系统或设备，或者可以以分布式方式实现为多个装置、系统或设备。计算系统901包括但不限于：处理系统902、存储系统903、软件905、通信接口系统907、以及用户接口系统909。处理系统902与存储系统903、通信接口系统907和用户接口系统909操作地耦合。

处理系统902加载并执行来自存储系统903的软件905。软件905包括至少选择性擦除过程906，其中选择性擦除过程906代表针对先前的图1-图8所讨论的选择性擦除过程，包括选择性擦除过程104和124以及体现在操作场景601、602、701、702和800中的过程。当软件905由处理系统902执行以增强数据擦除能力时，软件905指导处理系统902如本文针对至少前述实施方式中所讨论的各种过程、操作场景和顺序所描述的来操作。计算系统901可以可选地包括另外的设备、特征或功能，为简单起见未对这些另外的设备、特征或功能进行讨论。

仍然参考图9，处理系统902可以包括微处理器和从存储系统903取回并执行软件905的其它电路。处理系统903可以实现在单个处理设备内，但也可以跨越在执行程序指令时合作的多个处理设备或子系统分布。处理系统902的示例包括通用中央处理单元、专用处理器和逻辑器件、以及任何其它类型的处理设备、组合或者其变型。

存储系统903可以包括可由处理系统902读取的并且能够存储软件905的任何计算机可读存储介质。存储系统903可以包括以用于存储信息(例如，计算机可读指令、数据结构、程序模块或其它数据)的任何方法或技术来实现的易失性和非易失性、可移动和不可移动介质。存储介质的示例包括随机存取存储器、只读存储器、磁盘、光盘、闪存、虚拟存储器和非虚拟存储器、磁带盒、磁带、磁盘存储或其它磁存储设备、或者任何其它适当的存储介质。在任何情况下计算机可读存储介质都不是传播信号。

除了计算机可读存储介质之外，在一些实施方式中存储系统903还可以包括计算机可读通信介质，至少一些软件905可以通过其进行内部或外部通信。存储系统903可以实现为单个存储设备，但也可以跨越共置或相对于彼此分布的多个存储设备或子系统来实现。存储系统903可以包括能够与处理系统902或者可能其它系统进行通信的另外的元件，例如控制器。

软件905可以实现在程序指令中，并且除了其它功能外，当软件905由处理系统902执行时，还可以指导处理系统902如针对本文所示出的各种操作场景、顺序和过程所描述的来操作。例如，软件905可以包括用于实现增强型选择性擦除和相关功能的程序指令。

具体而言，程序指令可以包括合作或以其它方式交互以实现本文所描述的各种过程和操作场景的各种组件或模块。各种组件或模块可以体现在经编译或解释的指令中，或者指令的某种其它变型或组合中。各种组件或模块可以以同步或异步方式、串行地或并行地、在单线程环境或多线程中、或者根据任何其它适当的执行范例、变型或者其组合来执行。软件905可以包括除了选择性擦除过程906之外的或者包含选择性擦除过程906的另外的过程、程序或组件，例如操作系统软件或其它应用软件。软件905还可以包括固件或可由处理系统902执行的某种其它形式的机器可读处理指令。

通常，当软件905被加载到处理系统902中并执行时，软件905可以将(计算系统901所代表的)适当的装置、系统或设备整体上从通用计算系统转换成被定制为促进增强型选择性擦除的专用计算系统。实际上，存储系统903上的编码软件905可以转换存储系统903的物理结构。在本描述的不同实施方式中对物理结构的特定转换可以取决于各种因素。此类因素的示例可以包括但不限于：用于实现存储系统903的存储介质的技术、以及计算机存储介质被表征为主存储还是辅助存储、以及其它因素。

例如，如果计算机可读存储介质实现为基于半导体的存储器，则当半导体存储器中编码有程序指令时，软件905可以例如通过转换晶体管、电容器、或构成半导体存储器的其它离散电路元件的状态来转换该半导体存储器的物理状态。类似的转换可以针对磁性或光学介质发生。在不偏离本描述的范围的情况下，对物理介质的其它转换是可能的，其中提供前述示例仅是为了促进本讨论。

再次参考图4作为示例，通过计算系统901所代表的一个或多个计算系统的操作，可以针对本文所描述的各种场景执行转换。举例而言，数据存储装置107可以初始地包括存储在其中的数据113。在接收到来自在线服务的选择性擦除信号时，本地应用103从数据存储装置107中删除数据113，从而改变其状态。

可以理解的是，计算系统901通常旨在表示其上可以部署并执行软件905以便实现增强型选择性擦除的一个或多个计算系统。然而，计算系统901还可以适合于作为其上可以展现软件905并且软件905可以从其分发、传输、下载或以其它方式提供给另一个计算系统以用于部署和执行或另外分发的任何计算系统。

通信接口系统907可以包括允许在通信网络(未示出)上与其它计算系统(未示出)进行通信的通信连接和设备。加在一起允许系统间通信的连接和设备的示例可以包括网络接口卡、天线、功率放大器、RF电路、收发机、以及其它通信电路。连接和设备可以在通信介质上通信以便与其它计算系统或系统的网络交换通信，例如金属、玻璃、空气或任何其它适当的通信介质。前述的介质、连接和设备是公知的并且无需在此详细讨论。

用户接口系统909是可选的并且可以包括：键盘、鼠标、语音输入设备、用于从用户接收触摸手姿势的触摸输入设备、用于检测非触摸姿势以及用户的其它运动的运动输入设备、以及能够从用户接收用户输入的其它相当的输入设备和相关联的处理元件。诸如显示器、扬声器、触觉设备之类的输出设备以及其它类型的输出设备也可以包括在用户接口系统909中。在一些情况下，输入和输出设备可以组合在单个设备中，例如能够显示图像并接收触摸姿势的显示器。前述用户输入和输出设备在本领域公知并且无需在此详细讨论。

用户接口系统909还可以包括可由处理系统902执行以支持上面所讨论的各种用户输入和输出设备的相关联的用户接口软件。用户接口软件和用户接口设备可以单独地或者彼此结合以及与其它硬件和软件元件结合，来支持图形用户接口、自然用户接口、或者任何其它类型的用户接口。

计算系统901与其它计算系统(未示出)之间的通信可以在一个或多个通信网络上并且根据各种通信协议、协议的组合或者其变型来发生。示例包括内联网、互联网、因特网、局域网、广域网、无线网、有线网、虚拟网、软件定义的网络、数据中心总线、计算背板、或者任何其它类型的网络、网络的组合或者其变型。前述的通信网络和协议是公知的并且无需在此详细讨论。然而，可以使用的一些通信协议可以包括但不限于：互联网协议(IP、IPv4、IPv6等等)、传输控制协议(TCP)、和用户数据报协议(UDP)、以及任何其它适当的通信协议、变型或者其组合。

在交换数据、内容或任何其它类型的信息的任何前述示例中，信息的交换可以根据各种协议中的任何协议来发生，包括FTP(文件传输协议)、HTTP(超文本传输协议)、REST(表述性状态转移)、WebSocket、DOM(文档对象模型)、HTML(超文本标记语言)、CSS(级联样式表)、HTML5、XML(可扩展标记语言)、JavaScript、JSON(JavaScript对象表示)、和AJAX(异步JavaScript和XML)、以及任何其它适当的协议、变型或者其组合。

虽然图1-图9通常描绘了服务平台、应用平台、应用和服务的相对少的用户和相对少的实例，但可以意识到，本文所公开的概念可以大规模地应用。例如，可以部署本文所公开的选择性擦除过程以支持任意数量的设备、用户、数据、应用、以及其实例。

从前述实施方式中可以意识到对选择性擦除技术的各种改善。经由认证或授权通道来触发选择性擦除过程的能力即使在设备管理服务与其客户端之间不存在通信的情况下也允许选择性擦除行进。另外，经由认证通道来触发选择性擦除防止数据同步过程下载最近擦除的数据的新副本。这种技术效果改善了选择性擦除的功能并改善了企业、个人和组织保护他们的数据的能力。

从前述公开内容中可以意识到某些发明性方面，以下是这些发明性方面的各种示例。

示例1：一种装置，包括：一个或多个计算机可读存储介质；以及程序指令，所述程序指令存储在所述一个或多个计算机可读存储介质上并且包括应用，当所述应用由处理系统执行时，指导所述处理系统进行至少以下操作：发起相对于所述应用来认证用户的请求；接收对所述请求的响应，所述响应包括设备管理指令；以及执行所述设备管理指令。

示例2：根据示例1所述的装置，其中，所述设备管理指令包括用于选择性地擦除与所述应用相关联的数据的选择性擦除指令，并且其中，所述应用还指导所述处理系统向提供认证和授权服务的访问控制服务传送认证所述用户的请求，其中，所述访问控制服务返回对所述请求的响应，所述响应包括所述设备管理指令。

示例3：根据示例1-2所述的装置，其中，所述程序指令还包括设备管理应用，当所述设备管理应用由所述处理系统执行时，指导所述处理系统进行以下操作：响应于由设备管理服务传送的另一个选择性擦除指令，选择性地擦除其它数据。

示例4：根据示例1-3所述的装置，还包括被配置为执行所述程序指令的处理系统，其中，所述应用在尝试将与所述应用相关联的数据与由对应于所述应用的应用服务保持的所述数据的副本进行同步时，发起相对于所述应用来认证所述用户的请求。

示例5：根据示例1-4所述的装置，其中，与所述应用相关联的数据包括企业数据和个人数据，并且其中，为了选择性地擦除与所述应用相关联的数据，所述应用指示所述处理系统移除所述企业数据，同时保留所述个人数据。

示例6：根据示例1-5所述的装置，其中，所述应用还指示所述处理系统跟踪与所述应用相关联的数据中的哪些数据包括企业数据以及与所述应用相关联的数据中的哪些数据包括个人数据。

示例7：根据示例1-6所述的装置，其中，所述程序指令还包括第二应用，当所述第二应用由所述处理系统执行时，指导所述处理系统进行至少以下操作：发起相对于所述第二应用来认证所述用户的第二请求；接收对所述第二请求的第二响应，所述第二响应包括第二选择性擦除指令；以及响应于所述第二请求，选择性地擦除与所述第二应用相关联的第二数据。

示例8：根据示例1-7所述的装置，其中，所述应用包括生产力应用、个人信息管理应用、或云存储应用。

示例9：根据示例1-8所述的装置，其中，所述响应包括对访问与所述应用相对应的应用服务的拒绝。

示例10：一种对服务提供方进行操作以促进增强型选择性擦除能力的方法，所述方法包括：接收对设备何时变得受损的通知；在为多个应用服务提供认证和授权服务的访问控制服务中，从应用接收相对于与所述应用相对应的应用服务来认证用户的请求；响应于所述请求，所述访问控制服务确定与所述请求相关联的设备是否已被标识为受损；以及当所述设备被标识为受损时，所述访问控制服务利用选择性擦除信号来对所述请求进行响应，并且当所述设备未被标识为受损时，所述访问控制服务向所述应用准许对所述应用服务的访问。

示例11：根据示例10所述的方法，其中，利用所述选择性擦除信号来对所述请求进行响应包括：向所述应用返回包括所述选择性擦除信号的令牌，并且其中，向所述应用准许对所述应用服务的访问包括：向所述应用返回不包括所述选择性擦除信号的不同令牌。

示例12：根据示例10-11所述的方法，其中，接收对设备何时变得受损的所述通知包括：所述访问控制服务从设备管理服务接收所述通知。

示例13：根据示例10-12所述的方法，其中，接收对设备何时变得受损的所述通知包括：设备管理服务从至少一个设备管理客户端接收所述通知并警告所述访问控制服务设备已变得受损。

示例14：根据示例10-13所述的方法，还包括：当设备变得受损时，设备管理服务向所述设备上的设备管理应用传送另一个选择性擦除信号。

示例15：一种服务提供方架构，包括：多个应用服务，所述多个应用服务于部署在多个客户端设备上的多个客户端应用进行通信；设备管理服务，当所述多个客户端设备中的任何设备变得受损时，所述设备管理服务在所述设备上发起选择性擦除过程；以及访问控制服务，当客户端应用尝试访问应用服务时，所述访问控制服务授权所述多个客户端应用访问所述多个应用服务并在设备上发起辅助选择性擦除过程。

示例16：根据示例15所述的服务提供方架构，其中，所述访问控制服务通过向所述多个客户端应用传送安全令牌以便在与所述多个应用服务进行通信时使用，来授权所述多个客户端应用访问所述多个应用服务。

示例17：根据示例15-16所述的服务提供方架构，其中，所述访问控制服务通过传送包括选择性擦除信号并且防止所述客户端应用与所述多个应用服务中的任何应用服务进行通信的安全令牌，来发起所述辅助选择性擦除过程。

示例18：根据示例15-17所述的服务提供方架构，其中，所述设备管理服务通知所述访问控制服务设备何时变得受损。

示例19：根据示例15-18所述的服务提供方架构，其中，当设备变得受损时，所述设备管理服务从设备管理客户端接收报告，并且响应地通知所述访问控制服务所述设备已变得受损。

示例20：根据示例15-19所述的服务提供方架构，其中，所述多个客户端应用包括生产力应用、个人信息管理应用和云存储应用，并且其中，所述多个应用服务包括生产力服务、个人信息管理服务和云存储服务。

附图中所提供的功能框图、操作场景和顺序以及流程图代表用于执行本公开内容的新颖性方面的示例性系统、环境和方法。然而，出于简化说明的目的，本文所包括的方法可以具有功能图、操作场景或顺序或流程图的形式，并且可以被描述为一系列的动作，但要理解并意识到，这些方法并不受动作次序的限制，因为根据本公开内容，一些动作可以用与本文所示出并描述的次序不同的次序和/或与其它动作并发地发生。例如，本领域技术人员将理解并意识到，方法可以替代地例如用状态图表示为一系列互相关的状态或事件。此外，并非方法中所示出的所有动作都是新颖性实施方式所必需的。

本文所包括的描述和附图描绘了特定的实施方式以教导本领域技术人员如何做出和使用最佳选择。出于教导发明性原理的目的，已简化或省略了一些常规方面。本领域技术人员将意识到来自这些实施方式的变型落入本发明的范围内。本领域技术人员还将意识到，上面所描述的特征可以以各种方式组合以形成多种实施方式。因此，本发明并非要受限于上面所描述的特定实施方式，而是仅受限于由权利要求及其等效物。