将安全策略管理权限委托给管理账户的制作方法

企业网络管理员面临着服务来自企业网络资源的标准用户的大量请求的挑战。网络管理员的一个重要目标是针对个体客户需求和/或偏好来调整企业安全策略，同时仍然保持足够严格的策略以防止对企业数据的未经授权的公开。实现该目标可能需要针对个体工作团队或者甚至个体员工的需求来定制安全策略，同时仍然考虑具有个人和企业应用两者需要访问数千个个人和企业数据资源的高度复杂的计算环境。加剧这一挑战的是选择员工使用个人设备来执行其企业任务中的一些或全部任务的增加的比率。这种现象模糊了通常应当被拒绝访问企业数据资源的个人应用与通常应当被授权访问企业数据资源的企业应用之间的区别。在企业安全策略阻止标准用户执行某一动作时，标准用户可以提交改变票证请求以供网络管理员审查，然后最终实施或拒绝。然而，网络管理员可能难以即时处理大量这样的请求。此外，必须处理冗余请求可能降低网络管理员有效地管理他的其他工作职责的能力。

关于这些考虑以及其他考虑，提出了在本文中所公开的内容。

技术实现要素：

在本文中所描述的技术提供了将用于开发和管理针对企业网络的安全策略的有限权限委托给该企业网络的管理账户。一般而言，在本文中所公开的技术使得系统能够覆写和/或定制企业的安全策略内的应用管理设置，并且最终允许管理账户的标准用户以使得应用能够访问企业资源，尽管该应用未被企业的安全策略明确地允许这样做。

如在本文中所使用的，“安全策略”通常指代与控制在各种类型的计算资源之间的企业数据流相关联的定义的许可和/或约束。示例性安全策略可以包括应用管理设置，所述应用管理设置提供和控制个体功能资源(例如，计算设备和/或应用)或功能资源组对个体数据资源(例如，企业网络存储位置和/或企业数据)或者甚至其他功能资源的访问。作为特定示例，安全策略可以包括移动应用管理(mam)设置，其包括被允许访问企业资源的应用列表和/或被禁止访问企业资源的应用列表。这样的示例性安全策略还可以包括这样的mam设置：其定义特定应用是否被允许与其他个体应用或应用组通信(例如，向其公开数据和/或从其接收数据)。在一些实现方式中，安全策略还可以包括默认规则，以拒绝对未明确列出为被允许与企业资源通信或者禁止与企业资源通信的应用的访问。

用于开发和/或管理企业安全策略的常规技术限制应用管理设置被修改，除非通过与具有进行这样的修改的特定授权的有限数量的企业员工、即管理人员相对应的管理账户。根据这样的常规技术，为了使管理账户的标准用户实施对其应用管理设置的改变，用户必须向管理人员提交改变请求票证以请求通过管理账户进行改变。将来自管理账户的许多用户的改变请求票证引导到具有管理账户特权的相对较小组的管理人员会产生妨碍企业生产力的工作流程瓶颈。例如，管理人员可能陷入大量的改变请求票证，使得改变请求票证的积压可能导致在被提交的改变请求票证与正在实施的用户应用管理设置的对应改变之间的提前期(leadtime)。

为了例示这一点，考虑现代企业可能仅需要少数管理人员来监督与企业标准劳动力相对应的数千个管理账户。进一步考虑员工偏好可能变化，使得相对于一个员工而言最优的特定安全策略可能过度限制另一员工使用她希望被允许用于访问企业数据资源的一些应用。因此，试图在一体适用标准下维持最佳安全策略可能给网络管理员带来挑战，因为最佳安全策略可能在不同员工之间变化很大，甚至可能相对于相同员工而随着时间变化。

将应用于管理账户的开发和/或管理安全策略的权限委托该管理账户的标准用户提供了优于将该权限限于一小组管理人员的益处。标准用户通常根据企业的最佳利益而做出与工作相关的决策。因此，只要标准用户认识到安全策略的目的以及与使安全策略设置过于松散相关联的风险，标准用户在某些情况下做出的改变安全策略的决策通常将与管理人员在相同环境下将做出的决策一致。例如，在许多情况下，由标准用户提交的改变请求票证将在管理人员拿到后立即相对于管理账户来实施。在改变请求票证最终由管理人员实施的情况下，能够意识到，简单地允许与管理账户相对应的标准用户单方面地实施相同的改变将更加有利，例如无需等待管理人员拿出其改变请求票证。因此，如果改变请求票证最终被拒绝并且未由管理人员实施的情况相对较少，则至少部分地将开发和/或管理安全策略的权限委托给标准用户(例如，与管理账户相对应的用户，而不是管理账户)，这可能是谨慎的。

出于例示的目的，考虑这样的场景：与受管理企业账户相对应的标准用户希望使用通常仅用于个人目的并且因此未包含在安全策略内被允许访问企业数据的应用列表中的应用来执行一些与工作相关的任务。进一步假设尽管标准用户使用的应用未被明确允许访问企业数据资源，但是企业的管理人员也并不专门反对该应用访问企业数据资源。例如，标准用户可能正在生成与工作相关的演示，并且可能希望使用由标准用户个人拥有的媒体编辑应用(例如，照片和/或视频编辑应用)，而不是使用作为企业拥有的应用的应用。在此，因为未明确地允许媒体编辑应用访问企业数据资源，所以策略施行服务可以应用阻止未列出的应用访问企业数据资源的默认规则，例如，除非明确地将应用列出为被允许访问企业资源，否则将拒绝这样的访问。根据先前所描述的用于在标准用户的设备上实施对安全策略的改变的常规技术，标准用户将被要求向企业管理人员提交改变请求票证，然后等待一段时间她才能够继续使用其个人拥有的媒体编辑应用用于与工作相关的任务。与妨碍标准用户生产力的这些常规技术相反，在本文中所描述的技术使得标准用户能够单方面地覆写和/或定制要部署在她的设备上的企业应用管理设置。将安全策略开发和/或管理权限委托给标准用户可以降低与员工停工期相关联的成本，在员工停工期期间，特定应用被限制访问企业数据资源，而同时降低了管理人员管理大量改变请求票证的负担。

根据本公开的各方面，提供了一种系统，以使得与企业管理账户相对应的标准用户能够至少部分地覆写企业安全策略和/或其一个或多个应用管理设置。在一些实现方式中，所述系统可以获得包括应用管理设置的安全策略数据，其指示被允许从所述管理账户访问企业数据资源的一个或多个应用。例如，所述应用管理设置可以定义当特定应用在标准用户登录到管理账户的设备上操作时为所述特定应用施行的许可。作为特定示例，设备可以具有在其上操作的策略施行服务，所述策略施行服务被配置为确定标准用户是否登录到管理账户，并且基于此来部署与管理账户相对应的特定应用管理设置，只要标准用户仍然保持为登录。在一些实现方式中，企业可以部署对多个标准用户账户共同的应用管理设置。例如，企业可以部署对企业工程团队共同的应用管理设置，以及对企业会计团队共同的其他应用管理设置。

在一些实现方式中，在本文中所公开的技术还使得系统能够通过从管理账户操作(例如，在标准用户登录到管理账户的同时在设备上操作)的特定应用来接收对访问特定资源的请求。在试图从本地存储和/或能通过企业网络访问的企业数据库访问企业数据时，特定应用可以生成示例性的这样的请求。在另一示例中，示例性请求可以对应于试图与企业应用通信的特定应用。在已经接收到请求之后，系统可以分析所述请求以识别特定资源并且确定其是否被标记为企业资源。例如，在将特定资源识别为数据文件或网络位置时，系统可以确定与其相关联的一个或多个所有权属性以确定其是否被标记为由企业拥有。在一些实现方式中，系统可以被配置为将没有所有权属性的所有数据资源视为个人数据资源，例如，任何特定数据资源仅在其所有权属性将其标记为这样时才被确定为企业数据资源。能够意识到，诸如例如microsoftwindows和macosx的许多版本的常见操作系统包括文件所有权能力，以使得能够相对于个体文件和文件夹专门控制许可。因此，能够进一步意识到，确定将特定资源标记为企业数据资源可以包括检查内置于常见操作系统中的文件/文件夹所有权属性。在一些实现方式中，在将与请求相关联的特定资源识别为应用时，系统可以分析安全策略数据以确定所述应用是否被标记为企业应用。

系统还可以请求分析标准用户有兴趣用于访问所识别出的企业资源的特定应用。在已经识别出特定应用之后，系统然后可以分析与管理账户相对应的应用管理设置，以确定所述特定应用是否被包含在与管理账户相对应的被允许应用的集合中。例如，系统可以确定所述特定应用是否被允许一般地访问企业资源和/或所述特定应用是否被允许具体地访问所识别出的企业资源。在特定应用包含在被允许应用的集合中的情况下，系统可以通过允许特定应用访问所识别出的企业资源来允许所述请求。然而，在特定应用未被包含在被允许应用的集合中的情况下，系统可以以各种方式响应于这样的请求。在一些情况下，系统可以被配置为基于特定应用未被包含在被允许应用的集合中而暴露应用豁免管理器。应用豁免管理器可以被配置为使得标准用户能够在登录到管理账户时生成豁免指令，其中，所述豁免指令可以使系统从安全策略中至少部分地豁免所述特定应用。然后，基于由标准用户生成的豁免指令，系统可以允许特定应用在标准用户登录到管理账户时访问所识别出的企业资源。在一些情况下，系统还可以被配置为确定特定应用是否被包含在被拒绝应用的集合中，所述被拒绝应用明确地被限制一般地访问企业数据资源和/或具体地访问所识别出的企业资源。例如，能够意识到，企业的管理人员可以选择在任何环境下限制已知的对等文件共享服务访问企业数据资源。在这样的情况下，系统可以被配置为基于特定应用未被包含在被允许应用的集合中或被拒绝应用的集合中而暴露应用豁免管理器。因此，系统可以被配置为仅在安全策略中管理人员未明确地解决特定应用的情况下，使得标准用户能够从安全策略中豁免所述特定应用。

为了进一步例示这些概念，假设安全策略的范围是明确地允许两个应用(例如，应用“a”和“b”)访问企业数据库，同时明确地限制另一应用(例如，应用“c”)访问企业数据库。进一步假设标准用户试图使用应用“d”来访问企业数据库。在这些环境下，系统可以分析所述请求以确定安全策略的应用管理设置既未明确地允许也未明确地限制应用“d”访问企业数据库。因此，系统可以通过暴露应用豁免管理器来响应该请求，以使得标准用户能够从安全策略中豁免特定应用，使得所述特定应用能够在标准用户登录到管理账户时访问特定数据资源。替代地，假设标准用户试图使用应用“c”来访问企业数据库。在这些环境下，系统可以分析与应用“c”相对应的请求，以确定安全策略的应用管理设置确实明确地限制应用“c”访问企业数据库。在此，系统可以避免暴露应用豁免管理器并且拒绝所述请求。

根据本公开的另外的方面，还提供了一种系统，其用于使得标准用户能够通过修改与管理账户相对应的应用管理设置来生成定制安全策略。在一些实现方式中，系统可以获得安全策略数据，所述安全策略数据指示已经被批准从管理账户访问企业资源的被批准应用的集合。被批准应用的集合可以宽泛地包括管理机构已经确定可以接受访问企业数据资源和/或与企业应用通信的那些应用。通常，被批准应用的集合包括但不限于(例如，其可以宽于)由被允许从管理账户访问企业数据资源的应用管理设置所指示的被允许应用的集合。换言之，被批准应用的集合可以包括由管理机构已经批准用于访问企业资源以执行与工作相关的任务但是管理机构未选择将其包含在被允许应用的集合中的应用。

在接收到安全策略数据时，系统可以确定包括指示被允许应用的集合的应用管理设置的默认安全策略。例如，默认安全策略可以指示被允许应用的集合，默认情况下允许这些被允许应用从管理账户访问企业数据资源。然后，系统可以接收从特定应用访问企业资源的请求，尽管管理机构已经批准这样做，但是所述特定应用在默认情况下未被允许从管理账户访问企业资源。换言之，所述特定应用包含在被批准应用的集合中，但是未包含在被允许应用的集合中。能够意识到，在这样的场景下，管理机构将很可能授权来自标准用户的请求以修改其设备上的应用管理设置，而将特定应用包含在被允许应用的集合内。具体地，管理权限将允许为其管理账户部署定制安全策略，以允许特定应用访问企业资源。因此，在一些实现方式中，系统可以暴露安全策略定制接口以使得标准用户能够生成具有应用管理设置的定制安全策略，所述应用管理设置包括在被允许应用的集合内的特定应用。

出于例示的目的，考虑安全策略包括应用管理设置的场景，所述应用管理设置默认明确地允许生产力套件(例如，文字处理应用、电子邮件应用、电子表格应用等)的各种应用访问企业资源，诸如，例如标记为企业拥有的数据资源。进一步考虑安全策略指示如果标准用户请求，则应当将媒体编辑应用添加到被允许应用的集合中，否则应当从被允许应用的集合中排除。在这些环境中，当标准用户试图打开被标记为企业数据资源的文件时，系统可以确定尽管当前未允许媒体编辑应用打开该文件，但是企业的管理权限已经指示该媒体编辑应用被批准用于企业用途，使得标准用户能够选择在其被允许应用的特定集合内包括媒体编辑应用。因此，系统可以通过暴露安全策略定制接口来响应于试图打开该文件的标准用户，使得标准用户能够将媒体编辑应用添加到其被允许应用的特定集合中。最终，一旦修改了应用管理设置以允许媒体编辑应用访问企业数据资源，则将允许标准用户使用媒体编辑应用打开所述文件。

根据本公开的甚至更多的方面，还提供了一种系统，其用于在包含式计算环境内启动应用，以基于该应用未被允许从标准计算环境内访问企业资源而向所述应用提供对企业资源的访问。例如，标准用户可以试图使用既未被明确允许也未被明确拒绝访问企业数据资源的应用来访问企业数据资源。在这样的场景下，系统可以生成包含式计算环境以将企业数据资源与标准计算环境隔离，而不是完全阻止访问。例如，所述标准计算环境可以简单地是当标准用户登录到管理账户时由操作系统生成的计算环境，而包含式计算环境可以被具体配置为将所述应用与所述标准计算环境隔离。示例性的包含式计算环境可以包括但不限于可以部署在标准用户的客户端设备上的虚拟机和/或应用容器和/或远程企业计算设备以将企业数据资源与客户端设备的标准计算环境隔离。然后，系统可以在包含式计算环境内启动应用，同时根据安全策略来管理对企业数据资源的公开。在一些实现方式中，系统还可以暴露安全策略定制接口以提示标准用户指示应用的特性。例如，用户可以指示针对所述应用的应用类型以使得系统能够适当地应用安全策略。

出于例示的目的，再次考虑标准用户试图使用个人拥有的媒体编辑应用来访问企业数据资源以便生成与工作相关的演示的场景。例如，用户可以试图利用媒体编辑应用来打开被标记为企业数据资源的数据文件。因此，所述媒体编辑应用可以生成对访问该数据文件的请求，并且在接收到所述请求时，系统可以分析与标准用户的管理账户相关联的应用管理设置，以确定媒体编辑应用未被包含在被允许应用的集合中。然后，系统可以提示标准用户经由安全策略定制接口来指示媒体编辑应用是什么类型的应用，从而系统能够确定安全策略的哪些部分(如果有的话)能够被应用于媒体编辑应用。例如，用户可以指示所述媒体编辑应用类似于被包含在被允许应用的集合中的文字处理应用。然后，系统可以生成包含式计算环境，并且最终在包含式计算环境内启动媒体编辑应用，以使得所述媒体编辑应用能够访问数据文件，而同时将所述数据文件与标准计算环境隔离，并且还根据针对包含式计算环境的安全策略来管理对数据文件的公开，包含式计算环境的安全策略可以与企业安全策略类似地建模。在一些实现方式中，由于标准用户指示媒体编辑应用类似于系统的文字处理应用，所以系统可以如同在类似安全环境下处置文字处理应用一样处置媒体编辑应用。

应当意识到，尽管关于系统进行了描述，但是上述主题还可以被实施为计算机控制的装置、计算机过程、计算系统，或者被实施为诸如计算机可读介质之类的制品。通过阅读以下详细描述以及对相关联附图的回顾，这些和各种其他特征将是显而易见的。提供本发明内容是为了以简化的形式介绍一些概念，这些概念将在下文的具体实施方式中进一步描述。

本发明内容并不旨在标识所要求保护的主题的关键特征或必要特征，也并不旨在将本发明内容用于限制所要求保护的主题的范围。此外，所要求保护的主题并不限于解决在本公开的任何部分中所提到的任何或所有缺点的实现方式。

附图说明

参考附图描述了具体实施方式。在附图中，参考标记的最左边的(一个或多个)数字标识首次出现该参考标记的图。在不同图中的相同参考标记指示相似或相同的项。对多个项中的个体项的引用能够使用具有字母序列的字母的参考标记来指代每个个体项。对项的通用引用可以使用没有字母序列的特定参考标记。

图1图示了系统的示例性数据流场景，其使得标准用户能够在标准用户登录到管理账户时覆写安全策略的应用管理设置。

图2图示了能够在客户端设备上显示以使得标准用户能够生成豁免指令的应用豁免管理器用户界面(ui)的各个方面。

图3图示了系统的示例性数据流场景，所述系统使得标准用户能够在用户登录到管理账户时至少部分地定制安全策略的一个或多个应用管理设置。

图4a和图4b图示了安全策略定制管理器ui的各个方面，其能够在客户端设备上显示以使得标准用户能够生成定制安全策略。

图5图示了系统的示例性数据流场景，所述系统使得未允许从标准计算环境内访问企业资源的应用能够在包含式计算环境中启动以向该应用提供对企业资源的访问。

图6是使得标准用户能够从管理账户覆写安全策略的各个方面的例示性过程的流程图。

图7是使得标准用户能够修改一个或多个应用管理设置以从管理账户生成定制安全策略的例示性过程的流程图。

图8示出了用于计算机的示例性计算机架构的额外细节，所述计算机能够为如在本文中所描述的任何程序组件执行策略施行服务和/或策略管理服务。

具体实施方式

以下详细描述描述了用于向管理账户用户委托有限量的权限以开发和/或管理针对企业网络的安全策略的技术。一般而言，在本文中所公开的技术使得管理账户的标准用户能够覆写和/或定制应用管理设置，并且最终使得应用能够访问企业资源，尽管所述应用管理设置未将所述应用列出为被允许的应用。如上所述，将开发和/或管理安全策略的一些权限委托给管理账户的标准用户提供了优于将该权限限制于一小组企业管理人员的益处。具体地，由于员工通常进行与企业的最佳利益一致的与工作相关的决策，因此由标准用户做出的改变安全策略的决策通常将与管理人员在类似情况下做出的决策一致。例如，在最终实施被提交给管理人员的改变请求票证的情况下，能够意识到，允许与管理账户相对应的标准用户单方面地实施相同的改变可能更为有利。因此，在这些情况下，将权限委托给标准用户以开发和/或管理与其管理账户相对应的安全策略可能是谨慎的。

出于例示的目的，考虑这样的场景：与管理企业账户相对应的标准用户希望使用通常仅用于个人目的并且因此未包含在由安全策略允许访问企业资源的应用的列表中的应用来执行一些与工作相关的任务。进一步假设尽管未明确地允许所述应用访问企业资源，但是企业的管理人员并未具体地反对该应用访问企业资源。例如，标准用户可能正在生成与工作相关的演示，并且可能希望使用不是企业所有的应用的媒体编辑应用。在此，因为未明确地允许媒体编辑应用访问企业数据资源，所以策略施行服务可以应用阻止未列出的应用(即，既未列出在被允许应用集合中也未列出在被拒绝应用集合中的应用)访问企业数据资源的默认规则。用于提供对媒体编辑应用的访问的常规技术可能要求标准用户向管理人员提交改变请求票证，然后等待一段时间才能继续使用媒体编辑应用进行与工作相关的任务。相反，在本文中所描述的技术使得标准用户能够单方面地覆写和/或定制部署在其客户端设备上的应用管理设置，以使得媒体编辑应用能够更快地访问企业数据。根据在本文中所描述的技术和具体示例，能够意识到，将安全策略开发和/或管理权限委托给标准用户可以降低与员工停工期相关联的成本，而同时降低管理大量改变请求票证的管理人员的负担。

为了例示在本文中所公开的技术的各方面，图1、图3和图5图示了系统的各种数据流场景，其使得管理账户的标准用户能够使得应用能够访问企业资源，但是应用管理设置当前未将所述应用包含在被允许应用的列表中。与在本文中所描述的其他例示类似，能够意识到，可以根据各种组件之间的逻辑数据流来描述操作和/或功能。在本文中描述和/或图示这些操作和/或功能的次序并不旨在被解释为限制。而是，根据本公开，关于图1、图3和图5中的任一个所描述的任意数量的操作和/或功能可以以任意次序组合和/或并行地组合。应当相应地解释贯穿本公开所描述的其他过程和/或操作和/或功能。

现在转到图1，关于系统100图示了示例性数据流场景，系统100使得与管理账户相对应的标准用户能够使用应用豁免管理器至少部分地覆写一个或多个应用管理设置。如在本文中所使用的，术语“标准用户”指代需要使用一个或多个应用从客户端设备访问企业资源但是关于访问企业资源以及开发和/或管理安全策略在其管理权限方面至少部分受限或受约束的用户。例如，标准用户可能需要使用来自生产力套件的各种应用利用电子邮件客户端以及一个或多个企业共享文件夹来访问企业电子邮件数据库。此外，企业可以确定标准用户在任何情况下都不能够利用一些特定应用(例如，对等文件共享应用)来访问企业资源。如在本文中所使用的，术语“管理账户”指代与企业内的标准用户相对应的用户账户。示例性管理账户可以被用于基于标准用户从客户端设备登录到管理账户来部署安全策略。与标准用户相反，如在本文中所使用的，术语“管理权限”指代具有比标准用户更大的管理权限并且能够关于开发和/或管理安全性策略而覆写和/抢夺标准用户的某些动作的实体(例如，企业的人员和/或第三方供应商)。示例性管理机构可以包括企业的一个或多个管理人员，其具有允许他们登录管理账户的管理证书，通过所述管理账户可以比通过与标准用户相对应的管理账户更大程度地修改安全策略数据。

如所图示的，系统100可以包括客户端设备102，客户端设备102可以生成与访问企业资源相关联的各种请求，所述企业资源诸如例如是企业应用和/或被标记为企业数据的数据。系统100还可以包括策略管理服务104，策略管理服务104被配置为向客户端设备102发送包括应用管理设置的至少一些安全策略数据。

在一些实施例中，客户端设备102可以包括账户管理器106，账户管理器106被配置为接收用户证书，例如，例如特定于标准用户的证书或者特定于网络管理员的证书。然后，基于接收到的用户证书，客户端设备102的操作系统可以提供对与接收到的用户证书相关联的标准计算环境的访问。例如，如果接收到的用户证书对应于标准用户，则可以创建具有至少部分受限管理权限的计算环境以供标准用户使用。相反，如果接收到的用户证书是网络管理员的，则操作系统可以创建替代计算环境以提供相对较高的管理许可。

在一些实施例中，客户端设备102可以包括策略施行服务108，策略施行服务108被配置为施行包括应用管理设置112和/或账户数据114的安全策略110。应用管理设置112可以包括但不限于待由策略施行服务108允许访问企业资源的被允许应用的列表。例如，在从特定应用接收到从企业数据库接收数据或者向企业应用公开数据的请求时，策略施行服务108可以被配置为检查应用管理设置，并且最终确定所述请求是否应当被允许或被阻止。作为特定示例，应用管理设置112可以明确地允许两个应用(例如，应用“a”和“b”)从客户端设备102的本地存储设备访问企业数据。作为更具体的但是并非限制性的示例，应用“a”和“b”可以属于生产力套件，企业员工已知该套件用于真正的商业目的。在一些实现方式中，应用管理设置112还可以包括被限制访问企业资源的被拒绝应用的列表。例如，应用管理设置112可以明确地限制另一应用(例如，应用“c”)访问企业资源。作为更具体但是并非限制性的示例，应用“c”可以是已知的对等文件共享服务，一旦数据已经被共享，该应用就提供对下游采取的安全措施的很少控制或者不进行控制。

在一些实施例中，策略施行服务108还可以包括应用豁免管理器116，应用豁免管理器116被配置为使得标准用户能够从安全策略110和/或其应用管理设置112中豁免一个或多个应用模块。例如，在各种情况下，诸如，例如在本文中所描述的那些情况下，应用豁免管理器116可以使得用户界面被显示给标准用户，使得标准用户能够生成豁免指令118，豁免指令118指示策略施行服务108避免将安全策略的至少一部分应用于特定应用。如下文将更详细描述的，该豁免指令可以使得标准用户能够使用所述应用来访问企业数据资源，尽管该应用未被列出在被允许应用的集合中。

在一些实施例中，客户端设备102还可以包括策略学习日志120，策略学习日志120被配置为接收、存储和/或发送豁免指令数据118。例如，在经由应用豁免管理器116生成豁免指令118时，可以将所述豁免指令传输到策略施行服务108以实施所述指令并且还传输到策略学习日志120以记录所述指令。如下文将更详细描述的，策略学习日志120可以被周期性地传输到策略管理服务104。

在一些实施例中，客户端设备102还可以包括一个或多个应用模块122，其中的一些可以被应用管理设置112明确地寻址，并且其中的一些可能未被应用管理设置112寻址。出于本公开的目的，因为涉及图1，所以假设应用管理设置112包括被允许应用的集合以明确地允许应用a122(a)和应用b122(b)访问一个或多个企业资源，并且包括被拒绝应用的集合以明确地限制应用c122(c)访问一个或多个企业资源。进一步假设被允许应用的集合和被拒绝应用的集合都不包括应用d122(d)。

在一些实施例中，客户端设备102还可以包括本地数据124(其可以以易失性或非易失性的方式来存储)，其包括企业数据124(e)和/或个人数据124(p)中的一项或多项。本地数据124可以以易失性方式(例如，本地高速缓存)或者以非易失性方式(例如，在本地硬盘驱动器上)存储。

在一些实施例中，策略管理服务104可以包括策略裁定模块126，策略裁定模块126被配置为接收策略学习日志120以分析豁免指令数据118，并且最终通知管理人员已经请求和/或已经授权某些安全策略豁免。策略管理服务104还可以包括一个或多个应用编程接口128(“api128”)，其公开接口，策略管理服务104能够通过所述接口向客户端设备102发送数据和/或从客户端设备102接收数据。通过使用该数据接口和其他接口，在本文中所描述的设备和服务能够以实现在本文中所公开的功能和/或操作的这样的方式来通信和处理数据。

关于图1的示例性数据流场景，策略管理服务104被示为将安全策略数据130传输到客户端设备102，并且更具体地，传输到能在客户端设备102上执行的策略施行服务108。如上所述，示例性安全策略数据130可以相对于一般和/或具体企业资源中的企业资源来定义针对多个应用模块122的应用管理设置112。例如，应用管理设置112可以允许应用a122(a)和应用b122(b)访问被标记为企业数据124(e)的本地数据124。策略施行服务108可以被配置为分析与试图访问各种资源的应用模块中的个体应用模块相关联的请求以确定这些资源是否被标记为属于企业。例如，策略施行服务108可以检查内置于客户端设备102的操作系统中的所有权属性。在一些实例中，账户管理器106可以被配置为与策略施行服务108通信，以使得应用管理设置112能够跨不同的用户账户而变化。例如，尽管出于本讨论的目的，账户数据114可以指示标准用户132未被允许经由应用c122(c)来访问企业资源，但是账户数据114也可以指示一些其他用户(例如，另一标准用户或网络管理员134)在其对应用c122(c)的使用方面不受约束。

在策略施行服务108正在部署安全策略110的某个时间，可以与用于访问企业资源(诸如，例如企业数据124(e))的应用d122(d)相关联地生成数据请求136。然后，策略施行服务108可以分析数据请求136以识别与数据请求136相关联的应用和资源。更具体地，策略施行服务108可以分析数据请求136以识别正在搜索的资源被标记为企业资源，并且此外寻求企业资源的应用未包含在应用管理设置112中定义的被允许应用的集合中。在一些实现方式中，应用管理设置112还可以定义被拒绝应用的集合，并且策略施行服务108还可以确定寻求访问企业资源的应用也未包含在被拒绝应用的集合中。根据已经概述的假设，策略施行服务108可以分析数据请求136以确定应用d122(d)正在寻求访问企业资源，例如，企业数据124(e)，并且此外，应用d122(d)未由应用管理设置112具体地寻址。

在一些实施例中，策略施行服务108还被配置为分析应用模块122以识别启发(enlightenment)状态，所述启发状态指示特定应用模块122是否具体配置有支持与策略施行服务108通信以便辅助部署安全策略110的功能。具体地，策略施行服务108可以被具体配置为分析与应用模块122中的个体应用模块相对应的启发数据138。如在本文中所使用的，术语“启发”指代应用是否被指示为能够区分企业资源与其他类型的资源，以便确定根据安全策略110待保护哪些资源。例如，启发的应用可以能够区分企业数据与个人数据，然后根据安全策略110保护被确定为属于企业的数据。相反，未启发的应用不能够区分企业数据与其他数据。因此，在根据安全策略110允许未启发的应用访问企业数据的一些情况下，默认可以要求未启发的应用加密其接收访问的任何数据，而不管与该数据相对应的所有权属性。例如，如果未启发的应用被添加到被允许应用的集合中并且随后被用于访问个人数据124(p)，则不期望的结果可能是使未启发的应用根据安全策略110来加密个人数据124(p)。

在一些实施例中，策略施行服务108还可以被配置为分析应用模块122以识别指示应用模块122的源和/或启发数据138的有效性中的至少一项的认证器140。例如，策略施行服务108可以识别与应用d122(d)相对应的认证器140，以便确定该应用是否来源于受信任发布者和/或分发者。作为另一示例，策略施行服务108可以识别认证器140以确定应用的源(例如，应用的发布者)是否已经具体关于启发数据138被签署以提供关于应用的启发状态的提高级别的信任。作为更具体的示例，知名并且受信任的发布者可以签署启发数据138公钥基础结构(pki)证书。

基于对数据请求136的分析，策略施行服务108可以暴露应用豁免管理器116以使得标准用户132能够在她登录到她的管理账户时生成豁免指令118。豁免指令118可以使策略施行服务108永久地和/或临时地从安全策略110和/或其应用管理设置112中豁免应用d122(d)。具体地，根据本示例，尽管通常基于由管理机构(例如，网络管理员134)定义的安全策略110来防止应用d122(d)访问企业数据124(e)，但是应用豁免管理器116被配置为使得标准用户132能够临时地和/或永久地至少部分地覆写安全策略110。换言之，标准用户132被委托有限量的权限来覆写安全策略110。然而，能够意识到，根据一些实现方式并且在不同的情况下，可以从标准用户132中扣除该有限量的权限。为了例示这一点，回想一下，根据当前的假设，应用c122(c)被包含在应用管理设置112内的被拒绝应用的集合中。因此，在标准用户132试图使用应用c122(c)生成寻求访问企业数据124(e)的数据请求的场景中，标准用户132可能未被委托允许该应用访问企业数据124(e)的权限。在一些实现方式中，在标准用户132未被委托从安全策略110中豁免特定应用的权限的情况下，策略施行服务108可以避免将应用豁免管理器116暴露给标准用户132。

在一些实施例中，策略施行服务108可以被配置为基于上文所描述的启发状态来避免允许特定应用从各种管理账户访问企业资源。例如，在接收到数据请求136时，策略施行服务108可以分析启发数据138以确定应用d122(d)是否是启发的应用。然后，基于确定应用d122(d)是启发的应用，策略施行服务108可以如上文所描述地暴露所述应用豁免管理器，并且最终允许所述启发的应用根据数据请求136来访问企业数据124(e)。相反，基于替代地确定应用d122(d)是未启发的应用，策略施行服务108可以避免允许未启发的应用根据数据请求136来访问企业数据124(e)。在一些实施例中，策略施行服务108还可以被配置为识别数字签名(诸如，例如认证器140)是否已经与启发数据138相关联，以进一步验证应用模块的确定出的启发状态。然后，如果数字签名已经与启发状态相关联，则策略施行服务108还可以确定数字签名的来源是否包含在被指示为在安全策略110中被企业信任的发布者的集合中。在一些实现方式中，允许任何特定应用永久地和/或临时地从安全策略110中豁免可以基于数字签名的来源。例如，安全策略110可以包括若干受信任发布者的列表，并且允许任何特定应用从安全策略中豁免可以取决于已经从这些若干受信任发布者之一获得的特定应用。

在一些实施例中，策略施行服务108可以被配置为使得条目被添加到策略学习日志120，其中，条目文档包括豁免指令118。所述条目还可以指示与标准用户132和/或豁免应用(例如，在当前情况下的应用d122(d))和/或经由数据请求136寻求的企业资源中的一个或多个相关联的识别信息。在一些实施例中，策略施行服务108还可以被配置为存储在策略学习日志120内的企业数据124(e)的副本，用于随后审核由标准用户132执行的任何动作。例如，通过允许标准用户从安全策略110中豁免应用，能够意识到企业可能正在接受一定量的风险，即企业数据可能被无意地和/或恶意地泄露。因此，存储由豁免的应用发送和/或传输的任何企业数据的副本可以使网络管理员134能够同时和/或随后检查由标准用户132执行的动作。在一些实施例中，所述应用豁免管理器可以被配置为通知标准用户132策略施行服务108可以创建由用户使用豁免的应用和/或被转移到豁免的应用或从豁免的应用转移的任何数据执行的任何活动的记录。可以与关于豁免指令118存储在策略学习日志120内相关的其他示例性类型的信息包括但不限于一个或多个各种应用属性和/或客户端设备属性。示例性应用属性包括但不限于应用行发行的发布者信息、版本信息和/或散列信息。示例性客户端设备属性包括但不限于针对客户端设备的独有的识别符，诸如，例如国际移动设备识别符(eviei)号。

如所图示的，策略施行服务108还可以向策略管理服务104提供豁免通知142，以通常向管理人员(例如，网络管理员134)通知已经发布了一条或多条豁免指令118和/或提示由管理人员进行政策裁定。例如，策略裁定模块126可以由网络管理员134使用，以便查看豁免通知142和/或访问安全策略110和/或策略学习日志120中的一者或两者。策略裁定模块126还可以由网络管理员134用于生成经更新的安全策略数据144，其定义了关于一个或多个标准用户132试图从安全策略110中豁免的一个或多个应用的特定应用管理设置112。最终，可以将经更新的安全策略数据144发送到策略施行服务108，以减轻标准用户132发布豁免指令118以便允许特定应用从管理账户访问企业数据资源的未来需要。换言之，豁免通知142可以提示企业决策制定者(网络管理员134)考虑安全策略和/或应用管理设置112未寻址的资源，并且决定是否更新安全策略110以将该特定应用包含在被允许应用的集合中、被拒绝应用的集合中或被批准应用的集合中。

现在转到图2，在此图示了应用豁免管理器用户界面(ui)200的各个方面，所述用户界面能够被显示在客户端设备102上以使得标准用户132能够从如在本文中所描述的应用豁免管理器生成豁免指令118。在所图示的场景中，应用豁免管理器ui200可以传达安全策略110的细节，因为其与试图访问企业资源的特定应用相关。例如，如所图示的，应用豁免管理器(ui)200通知标准用户132应用d122(d)未在应用管理设置112内被列出为被允许一般地访问企业资源和/或在数据请求136中寻找的特定企业资源的应用。应用豁免管理器(ui)200还可以询问标准用户132将可能如何继续进行，同时提供用于这样做的一个或多个选项。例如，如所图示的，标准用户132被提供有从安全策略110中豁免应用的选项以及一个或多个其他选项。在一些实施例中，应用豁免管理器(ui)200可以使得标准用户132能够指示策略施行服务108永久地从安全策略110中豁免应用d122(d)，或者替代地，仅临时地(例如，如所图示的仅一次和/或在预先定义的有限时间段期间)豁免该应用。在一些实施例中，策略施行服务108可以被配置为基于试图从安全策略110永久地豁免特定应用的豁免指令118来提示关于与豁免指令相对应的特定应用的策略裁定。换言之，在一些实施例中，策略施行服务108可以允许标准用户在不提示策略裁定的情况下一次性地从安全策略中豁免应用，而永久地豁免应用的试图将提示策略裁定。

在一些实施例中，应用豁免管理器(ui)200还可以使得标准用户132能够选择一个或多个其他选项，诸如，例如退出应用豁免管理器而未豁免所述应用，向管理人员询问是否允许和/或建议豁免所述应用，或者查明已经包含在被允许应用的集合中的任何其他应用是否能够访问所寻求的企业资源。

在一些实施例中，应用豁免管理器(ui)200可以提示标准用户132重新输入对应的用户证书，以便选择一个或多个所提供的选项。例如，在所图示的场景中，由于标准用户132已经选择永久地从安全策略110中豁免应用d122(d)，所以提示该标准用户132输入她的用户证书。

在一些实施例中，策略施行服务108可以被配置为基于标准用户132生成豁免指令118来生成如下文更详细描述的包含式计算环境。然后，可以在包含式计算环境内启动被豁免的应用，同时包含式计算环境管理对根据安全策略110访问的企业资源的公开。例如，在标准用户132生成豁免指令118以指示策略施行服务108从安全策略110中豁免应用d122(d)时，策略施行服务108可以通过生成包含式计算环境并且在其中启动应用d122(d)来进行响应，同时将安全策略110的一个或多个方面应用于去往或来自应用d122(d)的数据流。

图3图示了系统300的示例数据流场景，其使得标准用户132能够在登录到她的管理账户时至少部分地定制安全策略110。与图1类似，策略管理服务104被示为将安全策略数据130传输到客户端设备102。在此，安全策略数据130包括定义针对应用管理设置112的默认设置的默认安全策略302。具体地，默认安全策略302定义被允许应用的集合，所述应用默认被允许从与标准用户132相对应的管理账户访问一般的企业资源和/或一个或多个指定的企业资源。如在本文中所使用的，术语“默认安全策略”指代在管理人员为标准用户132提供管理账户时部署在客户端设备102上的安全策略110的版本。例如，默认安全策略302可以指代当标准用户132最初登录到她的账户时由策略施行服务108部署的那个安全策略。出于本论述的目的，因为其涉及图3，假设默认安全策略302指示应用a122(a)和应用b122(b)默认被明确地允许访问一个或多个企业资源，而应用程序c122(c)默认被明确限制访问一个或多个企业资源。在接收到安全策略数据130时，系统可以根据安全策略数据130来确定默认安全策略302。然后，策略施行服务108可以部署该默认安全策略302，直到标准用户132根据在本文中所描述的技术定制该安全策略为止。

在一些实施例中，安全策略数据130还可以指示管理机构已经被批准供标准用户132用于访问企业资源的被批准应用的集合。例如，网络管理员134可能已经考虑并且批准了用于企业使用的宽泛应用组，但是可以选择从被允许应用的默认集合中省略这些批准应用中的各种应用。例如，网络管理员134可能已经考虑了媒体编辑应用并且确定该应用适合用于访问企业数据资源。然而，基于该应用未被启发且还广泛用于访问客户端设备102上的个人数据，网络管理员134可以有目的地从被允许应用的集合中省略该应用，以减轻个人数据被无意地加密和/或被标记为企业数据的可能性。出于本论述的目的，假设安全策略数据110包括被批准应用的集合中的应用e122(e)。

在策略施行服务108正在部署默认安全策略302的某个时间，可以与用于访问企业资源(诸如，例如企业数据124(e))的应用e122(e)相关联地生成数据请求136。如上所述，可以分析数据请求136以识别与其相关联的应用和资源，并且最终确定应用e122(e)未包含在由默认安全策略302定义的被允许应用的集合中。策略施行服务108还可以确定与数据请求136相对应的特定应用包含在被批准应用的集合306中。因此，除了确定当前未允许应用e122(e)访问企业数据124(e)之外，系统300还可以基于来自标准用户132的请求来确定管理人员已经预先批准应用e122(e)以包含在被允许应用的集合中。

策略施行服务108可以暴露安全策略定制管理器304以使得标准用户132能够修改一个或多个应用管理设置112，并且最终生成定制安全策略308。例如，当标准用户132登录到她的管理账户时，她可以修改应用管理设置112以将应用e122(e)包含在被允许访问企业数据124(e)的应用的集合中。因此，基于管理人员已经考虑了应用e122(e)并且将其添加到被批准应用的集合306中，向标准用户132委托允许她单方面向被允许应用的集合添加和/或从被允许应用的集合移除应用e122(e)的权限量。在标准用户132使用安全策略定制管理器304来生成定制安全策略308时，策略施行服务108可以相对于数据请求136来部署该新的策略以允许应用e122(e)访问企业数据124(e)。

在一些实施例中，策略施行服务108还被配置为将策略定制通知310传输到策略管理服务104，以向管理机构(诸如，例如网络管理员134)通知定制安全策略308。策略定制通知310可以简单地用于记录保存目的，例如策略学习日志120可以被简单地存储在策略管理服务104处。在一些实施例中，网络管理员134可以访问与由企业的标准用户生成的一个或多个定制安全策略相关联的记录，以周期性地更新默认安全策略302，并且经由经更新的安全策略数据144将经更新的默认安全策略传输到客户端设备102。

在一些实施例中，策略定制通知310可以提示管理机构经由策略裁定模块126关于定制安全策略308来执行策略裁定。例如，可以提示网络管理员134查看并且最终批准或拒绝定制安全策略308。一旦恰当裁定了定制安全策略，就可以经由经更新的安全策略数据144来通信裁定的结果，以指示策略施行服务108是否部署安全策略308。在一些实施例中，策略施行服务108可以被配置为避免部署自定义安全策略308，直到其已经接收到经更新的安全策略数据144，经更新的安全策略数据144指示定制安全策略308已经被网络管理员134裁定和批准。因此，能够意识到，策略施行服务108可以避免允许应用e122(e)访问企业数据124(e)，直到已经接收到经更新的安全策略数据144。

如上所述，安全策略数据130还可以包括被拒绝应用的集合，管理机构已经明确地未批准用于从标准用户132的管理账户访问企业资源。因此，在一些实施例中，安全策略定制管理器304可以被配置为防止标准用户132通过将明确地拒绝的应用添加到被允许应用的集合来修改应用管理设置112。例如，回想一下默认安全策略302明确地限制应用c122(c)访问企业数据124(e)。在这种场景下，能够意识到，安全策略定制管理器304可以被配置为不允许标准用户132将应用c122(c)添加到被允许应用的集合。

在一些实施例中，账户数据114可以指示与标准用户132的管理账户相对应的信任级别，其中，所述信任级别至少部分地对应于被委托给标准用户132的权限量。例如，网络管理员134可以指定对标准用户132的信任级别，其足够高以使得标准用户132能够单方面地部署定制安全策略308，例如，在没有网络管理员134的个性化审查和批准的情况下部署对应用管理设置112的修改。替代地，网络管理员134可以向另一标准用户指定相对较低的信任级别，该信任级别不足够高以使得该标准用户不能够单方面地部署安全策略定制，但是足够高以允许该标准用户生成定制安全策略，所述定制安全策略随后被传输到策略裁定模块126以供网络管理员134进行裁定。然后，经更新的安全策略数据144可以被传输回策略施行服务108，以指示提交的定制安全策略请求是否已经被批准。在被批准的情况下，策略施行服务然后可以部署所提交的安全策略定制。替代地，在拒绝的情况下，策略施行服务108可以继续部署默认安全策略302。

在一些实施例中，网络管理员134可以向一个或多个标准用户指定甚至更低的信任级别，即使安全策略定制管理器304被暴露给这些用户，该信任也不足够高。作为特定示例，账户数据114可以指示与多个入门级别员工相对应的信任级别，该级别对于这些员工来说太低而无法生成定制安全策略。然而，账户数据114还可以指示与这些入门级员工的管理者相对应的更高的信任级别，其允许管理者为她自己和/或向她报告的入门级员工生成定制安全策略。在一些实施例中，可以向管理者分配信任级别，所述信任级别允许她单方面地为这些入门级员工和/或她自己部署定制安全策略。在一些实施例中，可以向管理者分配信任级别，以允许她生成这样的定制安全策略，并且在部署这些策略之前将其提交给网络管理员134以进行裁定。

现在转到图4a，在此图示的是安全策略定制管理器(ui)400的各个方面，其能够被显示在客户端设备102上以使得标准用户132能够生成如在本文中所描述的定制安全策略308。在所图示的场景中，安全策略定制管理器(ui)400可以通信安全策略110的细节，更具体地，通信被批准应用的集合306，因为其涉及被批准用于访问企业资源的特定应用。在所图示的示例中，安全策略定制管理器(ui)400通知标准用户132已经批准名为“moviepro”的应用访问一个或多个企业存储资源。更具体地，标准用户132已经选择了“企业存储”字段，该字段继而导致显示动作菜单，所述动作菜单列出了被批准应用的集合306指示“moviepro”被批准进行访问的三个特定企业存储资源。如所图示的，标准用户132已经将光标放置在标题为“z:\\year-endpresentation”的企业存储位置上，以定制应用管理设置112来允许名为“moviepro”的应用访问该特定企业存储位置。在输入期望的定制之后，标准用户132然后可以通过点击“保存策略”按钮来将该策略保存为定制安全策略308。在一些实施例中，安全策略定制管理器(ui)400可以被配置为指示与特定资源(例如，本地应用、本地存储、企业服务器应用等)相对应的多个应用管理设置，并且指示与这些特定资源相对应的设置根据默认设置保持或者是否已经由用户定制。例如，在所图示的场景中，标准用户没有关于是否允许“moviepro”应用从本地应用和企业服务器应用接收企业数据而修改默认设置。

在一些实施例中，安全策略定制管理器(ui)400还可以使得标准用户能够将策略名称分配给定制安全策略308。在所图示的示例中，标准用户132已经将定制安全策略308命名为“允许moviepro编辑ed”以辅助她记住定制安全策略308如何与默认安全策略302不同。在一些实施例中，安全策略定制管理器(ui)400可以使得标准用户能够保存多个安全策略，并且随后进行查看，进一步定制和/或部署这些保存的安全策略。在所图示的示例中，标准用户132可以选择在ui400左侧上的“您的安全策略”选项卡以访问先前生成和保存的安全策略。

在一些实施例中，安全策略定制管理器(ui)400可以使得标准用户132能够将适用性间隔分配给定制安全策略，以限制策略施行服务108部署定制安全策略308的时长。例如，标准用户132可以将适用性间隔指定为由分钟、小时、天或任何其他相关时间单位定义的预定时间。替代地，标准用户132可以根据某种条件和/或事件来指定适用性间隔，所述条件和/或事件诸如例如是客户端设备102的断电事件、客户端设备102的重启事件、管理账户的注销事件或者任何其他相关条件和/或事件。在一些实现方式中，标准用户132可以将适用性间隔指定为仅应用于单个数据请求136，使得一旦在客户端设备102处完全处理了数据请求136，则策略施行服务108将重新部署默认安全策略302和/或在与数据请求136相关联的自定义安全策略308之前就位的一些其他自定义安全策略。

现在转到图4b，在一些实施例中，安全策略定制管理器(ui)400还可以使得标准用户132能够管理安全策略，因为其被部署在与其他标准用户相关联的一个或多个其他管理账户上。例如，管理机构可以关于企业的众多员工来定义管理层级402，其中，管理层级402识别各种管理账户之间的关系。作为具体示例，图示了管理层级402，其包括层级顶部的网络管理员，使得这些网络管理员134被委托关于管理安全策略110的最重要权限。例如，这些网络管理员134的任务可以是生成默认安全策略302，管理账户数据114(例如，输出用户证书，为各种标准用户账户分配信任级别等)，和/或定义被批准的应用306。除了标准用户132之下的若干团队主管，以及最终在这些团队主管之下的若干较低级别的员工，在管理层级402上的网络管理员134之下是工程管理者(为了图4b的讨论目的将其假定为标准用户132)。

如所图示的，安全策略定制管理器(ui)400使得标准用户132能够从为工程团队1(即，团队主管1，tom、bill和susan)部署的若干定制安全策略中进行选择。因此，能够意识到，在一些实施例中，策略施行服务108被配置为分析管理层级402以识别与标准用户132的管理账户相关联的一个或多个其他管理账户。例如，策略施行服务108可以分析管理层级402以确定与团队主管1：tom、bill和susan相关联的管理账户各自与标准用户132的管理账户相关联。此外，策略施行服务108可以确定网络管理员134是否已经授权工程管理者/标准用户132单独修改针对她的账户的设置或者她是否被授权以根据层级402的管理来修改针对与她的账户相关联的其他管理账户。如所图示的，网络管理员134已经授权标准用户选择要为工程团队1部署的至少三种不同的定制安全策略，并且标准用户132选择标题为“允许moviepro编辑ed”的安全策略。一旦选择该定制安全策略308并且进一步点击“部署策略”按钮，标准用户132将使经更新的安全策略数据被传输到与这些管理账户相关联的客户端设备，以使这些设备中的每个设备上的策略施行服务部署该定制安全策略。

图5图示了系统500的示例性数据流场景，系统500使得未被允许从标准计算环境502内访问企业资源的应用在包含式计算环境504中启动以向该应用提供对期望的企业资源的访问。如所图示的，标准用户132已经试图使用已经使该应用生成数据请求136的应用f122(f)从标准计算环境502访问企业数据124(e)。类似于图1和图3，在此，在客户端设备102上操作的策略施行服务108已经从策略管理服务104获得了安全策略数据110。此外，安全策略数据130包括指示被允许应用的集合的至少一些应用管理设置112，如在本文中所描述的。在一些实现方式中，应用管理设置112还可以指示被拒绝应用的集合，如在本文中进一步描述的。出于图5的讨论目的，假设应用122(f)未包含在由应用管理设置112定义的被允许应用的集合或被拒绝应用的集合中。在系统500接收到与应用f122(f)相对应的数据请求136试图访问企业数据124(e)时，策略施行服务108可以识别与在请求136中正在搜索的资源相关联的一个或多个特性，以确定这些资源已经被标记为企业资源。例如，所述策略施行服务可以识别和分析与企业数据124(e)相关联的所有权属性元数据。

基于数据请求136，系统500还可以确定与请求相关联的应用(即应用f122(f))未包含在被允许应用的集合中，而不是完全阻止所请求的访问，系统可以生成包含式计算环境504并且在包含式计算环境504内启动应用f122(f)的实例，以根据数据请求136向该应用提供对企业数据124(e)的访问，同时还将该数据与标准计算环境502隔离。如在本文中所使用的，“标准计算环境”通常指代在标准用户132登录到她的管理账户时由操作系统生成的基本计算环境。相反，“包含式计算环境”指代专门被配置为将在其中运行的应用的实例和/或其中包含的数据资源与在客户端设备102上运行的标准计算环境隔离的计算环境。示例性包含式计算环境可以包括但不限于可以部署在客户端设备和/或远程计算设备(例如企业服务器)上的虚拟机和/或应用容器，以将企业数据124(e)与客户端设备的标准计算环境502隔离。

在生成包含式计算环境504时，系统500可以在其中启动应用f122(f)以使得应用f能够根据数据请求136来访问企业数据124(e)，同时与标准计算环境502隔离以减轻与企业数据泄漏相关的风险。在一些实施例中，系统500可以被配置为进一步在包含式计算环境504内启动策略施行服务108的实例，以使得能够相对于在包含式计算环境504中操作应用f122(f)的实例来部署安全策略110的至少一部分。

在一些实施例中，系统500可以被配置为暴露安全策略定制管理器304，以使得标准用户132能够根据她的管理账户的与应用f122(f)相对应的安全策略(更新)建议506来生成。例如，可以提示用户指示与该应用相对应的一个或多个特性，诸如，例如该应用是否类似于针对已经存在的应用管理设置112的一个或多个其他应用。在一些实施例中，系统500可以被配置为将接收安全策略建议506视为在包含式计算环境504内启动应用的前提条件。具体地，可以要求标准用户132生成安全策略建议506，以向网络管理员134通知在系统500允许她在包含式计算环境504内启动应用f之前，她如何相信应当修改她的安全策略。在一些实施例中，系统500可以被配置为至少部分地基于安全策略建议506来管理包含式计算环境504。例如，在一些情况下，安全策略建议506可以被传输到在包含式计算环境504内操作的策略施行服务108的实例。

作为具体的示例，假设应用f是个人拥有的媒体编辑应用，标准用户132希望临时使用该应用以生成一些与工作相关的演示。在用户132试图利用应用f122(f)访问企业数据124(e)时，系统500可以通知标准用户132该应用未被允许访问所请求的数据。系统500还可以通过生成安全策略建议506和/或向系统500指示应用f的应用类型(例如，其是是文字处理应用、电影编辑应用、文件共享应用等)，来通知标准用户她可以覆写安全策略110。然后，一旦标准用户132已经指示她希望覆写安全策略110以向应用f提供对所寻求的企业数据124(e)的访问，则系统500就可以在包含式计算环境504内启动应用f的实例，并且根据安全策略110和/或安全策略建议506来管理来自该应用的公开。

图6是使得标准用户能够从管理账户覆写安全策略的各个方面的说明性过程600的流程图。参考图1-5来描述过程600。过程600被图示为逻辑流程图中的框的集合，其表示能够以硬件、软件或者其组合实施的操作的序列。在软件的上下文中，框表示计算机可执行指令，所述指令当由一个或多个处理器运行时执行所述操作。通常，计算机可执行指令包括执行或实施特定功能的例程、程序、对象、组件、数据结构等。描述操作的次序并不旨在被解读为限制，并且可以以任意次序和/或并行地组合任意数量的所描述的框以实现该过程。应当相应地解读贯穿本公开描述的其他过程。

在框601处，系统可以获得安全策略数据，所述安全策略数据包括应用管理设置，所述应用管理设置指示被允许从与标准用户相关联的管理账户访问一个或多个企业资源的至少一些应用。在各种情况下，所述应用管理设置可以向一个或多个应用提供对任意和所有企业资源的无约束的访问。例如，应用管理设置可以指示允许特定应用访问被标记为属于企业的任何资源，而不是仅授权该特定应用访问一些企业资源。在各种情况下，所述应用管理设置可以向一个或多个应用提供对某些企业资源的有限访问。例如，应用管理设置可以允许特定应用仅访问被标记为属于企业的资源的子集。根据一些实施方式，可以由在客户端设备102上操作的策略施行服务108从策略管理服务104接收安全策略数据130。尽管在图中被图示为膝上型计算设备，但是客户端设备102可以是服务器计算机、膝上型计算机、台式计算机或者任何其他类型的计算设备。如在本文中所描述的，安全策略数据130的示例性形式包括但不限于任何类型的移动应用管理(mam)许可数据和/或移动设备管理(mdm)许可数据。

在框603处，系统可以分析数据请求以识别正在被请求的特定资源。例如，在一些情况下，系统可以分析数据请求以识别正在被请求访问的特定文件和/或文件夹。此外，在一些实例中，系统可以分析所述请求以识别正在请求特定资源的应用。例如，特别参考图1，系统100可以分析数据请求136以识别应用d122(d)正在寻求对本地数据124的访问。

在框605处，系统可以确定所请求的特定资源是企业资源。例如，系统可以分析本地数据124以确定其被元数据标记(例如，使用操作系统的所有权属性功能)以指示该数据是企业数据124(e)。

在框607处，系统可以确定正在请求访问在框605处识别出的企业资源的应用未在安全策略数据的应用管理设置中被指示为被允许访问在框605处识别出的企业资源。例如，系统可以分析由应用管理设置112定义的被允许应用的集合，以确定应用d122(d)未被允许访问企业数据124(e)。在各种实现方式中，系统还可以确定该应用也未被明确地限制访问企业数据124(e)。例如，应用管理设置112可以没有专门对应用d122(d)进行寻址的任何设置。

在框609处，系统可以暴露应用豁免管理器以使得标准用户132能够通过创建豁免指令来至少部分地覆写应用管理设置112以使请求应用从安全策略中豁免。然后，在框611处，系统可以最终通过允许特定应用访问在框605处识别出的企业资源来授权数据请求，尽管安全策略数据未明确地允许该特定应用进行这样的访问。在一些实现方式中，授权数据请求可以包括生成如关于图5所讨论的包含式计算环境，并且最终启动在包含式计算环境内发布数据请求136的特定应用，以使得该应用能够从管理账户访问所寻求的企业数据资源，同时根据安全策略来管理对企业数据资源的公开。

图7是使得标准用户132能够修改一个或多个应用管理设置112以从管理账户生成定制安全策略308的说明性过程700的流程图。如所图示的，过程700包括如关于图6所描述的框601至607。因此，为了避免冗余，不需要再次讨论这些框。

在框701处，系统700可以确定当前未被允许访问企业资源的特定应用然而由在框601处获得的安全策略数据指示为在标准用户132期望的情况下由企业管理人员允许访问企业资源。例如，除了被允许应用的集合和/或被拒绝应用的集合之外，应用管理设置112还可以包括管理机构被明确地批准从标准用户132的管理账户访问企业资源的被允许应用的集合。

在框703处，系统可以暴露安全策略定制接口以使得标准用户能够生成定制安全策略308。例如，系统可以使客户端设备102显示在图4a-4b中图示的一个或多个ui，由此使得标准用户132能够修改一个或多个应用管理设置112。然后，在框705处，系统可以通过基于现在确实明确地允许特定应用访问所请求的企业资源的定制安全策略308允许所述特定应用访问在框605处识别出的企业资源来授权数据请求。

图8中图示的计算机架构800包括：中央处理单元802(“cpu”)；系统存储器804，其包括随机存取存储器806(“ram”)和只读存储器(“rom”)808；以及系统总线810，其将存储器804耦合到cpu802。包含有助于诸如在启动期间在计算机架构800内的元件之间传送信息的基本例程的基本输入/输出系统被存储在rom808中。计算机架构800还包括：大容量存储设备812，其用于存储操作系统814、其他数据以及一个或多个应用程序。大容量存储设备812还可以包括策略管理服务104和/或策略施行服务108中的一个或多个。

大容量存储设备812通过连接到总线810的大容量存储控制器(未示出)连接到cpu802。大容量存储设备812以及其相关联的计算机可读介质为计算机架构提供非易失性存储。尽管在本文中所包含的计算机可读介质的描述指代大容量存储设备，诸如固态驱动器、硬盘或cd-rom驱动器，但是本领域技术人员应当意识到计算机可读介质能够是能够由计算机架构800访问的任何可用计算机存储介质或通信介质。

通信介质包括计算机可读指令、数据结构、程序模块或者在经调制的数据信号(诸如载波或其他传输机制)中的其他数据，并且包括任何传送介质。术语“经调制的数据信号”意指以对信号中的信息进行编码的方式改变或设置其一个或多个特性的信号。通过示例而非限制，通信介质包括诸如有线网络或直连线连接的有线介质，以及诸如声学、rf、红外和其他无线介质的无线介质。上述内容的任何组合也应当包含在计算机可读介质的范围之内。

通过示例而非限制，计算机存储介质可以包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据的信息的任何方法或技术实施的易失性和非易失性、可移除和不可移除介质。例如，计算机介质包括但不限于：ram，rom，eprom，eeprom，闪存或其他固态存储器技术，cd-rom，数字通用盘(“dvd”)，hd-dvd，blu-ray，或其他光学存储设备，磁带盒，磁带，磁盘存储设备或其他磁存储设备，或者能够用于存储所需信息并且能够由计算机架构800访问的任何其他介质。为了权利要求的目的，短语“计算机存储介质”、“计算机可读存储介质”以及其变型本身不包括波、信号和/或其他瞬态和/或无形通信介质。

根据各种技术，计算机架构800可以使用通过网络820和/或另一网络(未示出)到远程计算机的逻辑连接而在联网环境中操作。计算机架构800可以通过被连接到总线810的网络接口单元816而连接到网络820。应当意识到，网络接口单元816也可以用于连接到其他类型的网络和远程计算机系统。计算机架构800还可以包括输入/输出控制器818，其用于接收和处理来自多个其他设备的输入，所述设备包括键盘、鼠标或电子笔(图8中未示出)。类似地，输入/输出控制器818可以向显示屏、打印机或其他类型的输出设备(也未在图8中示出)提供输出。还应当意识到，经由通过网络接口单元816到网络820的连接，计算架构可以使得策略管理服务104和/或策略施行服务108能够与客户端设备102通信。

应当意识到，在本文中所描述的软件组件当被加载到cpu802中并且被执行时，可以将cpu802和整个计算架构800从通用计算系统变换为被定制用于促进在本文中提出的功能的专用计算系统。cpu802可以由任何数量的晶体管或其他分立电路元件构成，其可以个体地或共同地呈现任何数量的状态。更具体地，响应于包含在本文公开的软件模块内的可执行指令，cpu802可以作为有限状态机来操作。这些计算机可执行指令可以通过指定cpu802如何在各状态之间转换来变换cpu802，由此变换构成cpu802的晶体管或其他分立硬件元件。

对在本文中提出的软件模块进行编码还可以变换在本文中提出的计算机可读介质的物理结构。在本说明书的不同实现方式中，物理结构的特定变换可以取决于各种因素。这样的因素的示例可以包括但不限于：用于实施计算机可读介质的技术，计算机可读介质被表征为主存储装置或辅助存储装置等。例如，如果计算机可读介质被实施为基于半导体的存储器，则可以通过变换半导体存储器的物理状态而将在本文中公开的软件编码在计算机可读介质上。例如，软件可以变换构成半导体存储器的晶体管、电容器或其他分立电路元件的状态。该软件还可以变换这样的组件的物理状态，以便在其上存储数据。

作为另一示例，在本文中所公开的计算机可读介质可以使用磁或光技术来实施。在这样的实现方式中，当在其中编码软件时，在本文中所提出的软件可以变换磁性或光学介质的物理状态。这些变换可以包括改变给定磁介质内的特定位置的磁特性。这些变换还可以包括改变给定光学介质内的特定位置的物理特征或特性，以改变那些位置的光学特性。在不背离本说明书的范围和主旨的情况下，物理介质的其他变换是可能的，其中前述示例仅用于促进该论述。

鉴于以上内容，应当意识到，在计算机架构800中发生许多类型的物理变换，以便存储和执行在本文中所提出的软件组件。还应当意识到，计算机架构800可以包括其他类型的计算设备，包括手持式计算机、嵌入式计算机系统、个人数字助理以及本领域技术人员已知的其他类型的计算设备。还设想到了计算机架构800可能并不包括图8中所示的所有组件，可以包括未在图8中明确示出的其他组件，或者可以使用与图8中所示的架构完全不同的架构。

示例性条款

鉴于以下条款，可以考虑在本文中所提出的公开内容。

示例性条款a，一种用于从管理账户覆写应用管理设置的系统，所述系统包括：至少一个处理器；以及与所述至少一个处理器通信的至少一个存储器，所述至少一个存储器在其上存储有计算机可读指令，所述计算机可读指令当由所述至少一个处理器执行时使所述至少一个处理器：获得包括所述应用管理设置的安全策略，以指示被允许从所述管理账户访问一个或多个企业资源的被允许应用的集合；接收通过正在操作的特定应用从所述管理账户访问特定数据资源的请求；基于所述请求来确定所述特定数据资源被标记为企业数据资源并且所述特定应用未包含在所述被允许应用的集合中；暴露应用豁免管理器，所述应用豁免管理器被配置为使得标准用户能够从所述管理账户生成豁免指令，以从所述安全策略中至少部分地豁免所述特定应用；以及基于所述豁免指令来允许所述特定应用从所述管理账户访问所述特定数据资源。

示例性条款b，示例性条款a的系统，其中，所述计算机可读指令还使所述至少一个处理器分析所述特定应用以识别启发状态，所述启发状态指示所述特定应用被配置为与策略施行服务通信以至少部分地施行所述安全策略，其中，允许所述特定应用从所述管理账户访问所述特定数据资源还基于所述启发状态。

示例性条款c，示例性条款a至b中的任一项的系统，其中，所述计算机可读指令还使所述至少一个处理器分析所述特定应用用于：识别与所述特定应用的所述启发状态相关联的数字签名；以及确定所述数字签名的来源对应于受信任发布者的预定集合的至少一个受信任发布者，其中，允许所述特定应用从所述管理账户访问特定数据资源还基于所述数字签名的来源。

示例性条款d，示例性条款a至c中的任一项的系统，其中，所述应用豁免管理器还被配置为使得所述标准用户能够对所述豁免指令分配时间适用性，其中，所述时间适用性指示是永久地还是临时地应用所述豁免指令。

示例性条款e，示例性条款a至d中的任一项的系统，其中，所述计算机可读指令还使所述至少一个处理器使与所述豁免指令相对应的条目被添加到由策略管理服务能访问的策略学习日志中。

示例性条款f，示例性条款a至e中的任一项的系统，其中，所述计算机可读指令还使所述至少一个处理器基于所述豁免指令或者被分配给所述豁免指令的时间适用性中的至少一项来提示策略裁定以生成与所述特定应用相对应的特定应用管理设置。

示例性条款g，示例性条款a至f中的任一项的系统，其中，所述计算机可读指令还使所述至少一个处理器：基于所述豁免指令来生成包含式计算环境，所述包含式计算环境被配置为根据所述安全策略来管理对一个或多个企业资源的公开；以及在所述包含式计算环境中启动所述特定应用以允许所述特定应用从所述管理账户访问所述特定数据资源。

尽管以上关于系统描述了示例性条款a至g，但是在本文档的上下文中应当理解，示例性条款a至g的主题也能够通过设备、经由计算机实施的方法和/或经由计算机可读存储介质来实施。

示例性条款h，一种计算机实施的方法，包括：获得安全策略数据，所述安全策略数据指示管理机构已经批准从管理账户访问企业资源的被批准应用的集合；基于所述安全策略数据来确定默认安全策略，所述默认安全策略包括应用管理设置以指示被允许从所述管理账户访问企业资源的被允许应用的集合；接收与通过未包含在所述被允许应用的集合中的特定应用从所述管理账户访问所述企业资源相关联的请求；确定所述特定应用包含在所述被批准应用的集合中；至少部分地基于所述请求来暴露安全策略定制接口，以使得标准用户能够从所述管理账户通过修改所述应用管理设置以将所述特定应用包含在所述被允许应用的集合内来生成定制安全策略；以及基于所述定制安全策略允许所述特定应用从所述管理账户访问所述企业资源。

示例性条款i，示例性条h的计算机实施的方法，还包括：将所述定制安全策略传输到策略管理服务，以提示所述管理机构执行关于所述定制安全策略的策略裁定；以及接收至少部分基于所述策略裁定的经更新的安全策略数据。

示例性条款j，示例性条款h至i中的任一项的计算机实施的方法，其中，允许所述特定应用从所述管理账户访问所述企业资源还基于所述经更新的安全策略数据。

示例性条款k，示例性条款h至j中的任一项的计算机实施的方法，权利要求8的计算机实施的方法，还包括：分析管理层级以识别与所述管理账户相关联的一个或多个其他管理账户；以及基于所述定制安全策略来允许所述特定应用从所述一个或多个其他管理账户访问所述企业资源。

示例性条款l，示例性条款h至k中的任一项的计算机实施的方法，其中，所述安全策略数据还指示所述管理机构未批准从所述管理账户访问所述企业资源的被拒绝应用的集合，并且其中，所述安全策略定制接口被配置为防止所述标准用户修改所述应用管理设置以包含来自所述被拒绝应用的集合的个体应用。

示例性条款m，示例性条款h至l中的任一项的计算机实施的方法，还包括：确定与所述管理账户相对应的信任级别；以及使得所述标准用户能够基于满足或超过阈值信任级别的信任级别来单方面地部署所述定制安全策略。

示例性条款n，示例性条款h至m中的任一项的计算机实施的方法，其中，所述安全策略定制接口还被配置为使得所述标准用户能够指示与所述定制安全策略相关联的预先定义的适用性间隔，并且其中，允许所述特定应用从所述管理账户访问所述企业资源受限于所述预先定义的适用性间隔。

示例性条款o，示例性条款h至n中的任一项的计算机实施的方法，还包括基于与所述管理账户相对应的用户证书来认证所述标准用户，并且其中，使得所述标准用户能够生成所述定制安全策略还基于对所述标准用户的所述认证。

尽管上文关于方法描述了示例性条款h至o，但是在本文档的上下文中应当理解，示例性条款h至o的主题也能够由设备、由系统和/或经由计算机可读存储介质来实施。

示例性条款p，一种在其上存储有计算机可执行指令的计算机可读存储介质，所述计算机可执行指令当由计算设备的一个或多个处理器执行时使所述计算设备的所述一个或多个处理器：获得包括至少一个应用管理设置的安全策略，以指示被允许在标准计算环境中操作的同时从所述管理账户访问企业资源的被允许应用的集合；接收通过未包含在被允许应用的集合中的特定应用访问特定数据资源的请求；识别所述特定数据资源的一个或多个特性，以确定所述特定数据资源是企业数据资源；生成包含式计算环境，所述包含式计算环境被配置为将所述企业数据资源与所述标准计算环境隔离，并且根据所述安全策略来管理对企业数据资源的公开；并且在所述包含式计算环境内启动所述特定应用以使得所述特定应用能够在所述包含式计算环境中操作时从所述管理账户访问所述企业数据资源。

示例性条款q，示例性条款p的计算机可读存储介质，其中，所述指令还使所述计算设备的所述一个或多个处理器：暴露安全策略定制接口以使得标准用户能够从管理账户生成与所述特定应用相对应的安全策略更新建议；并且至少部分地基于安全策略更新建议来管理所述包含式计算环境。

示例性条款r，示例性条款p至q中的任一项的计算机可读存储介质，其中，所述指令还使所述计算设备的所述一个或多个处理器：将所述安全策略更新建议传输到策略管理服务，以关于所述安全策略更新建议来提示策略裁定，其中，在所述包含式计算环境内启动所述特定应用是以策略管理服务接收安全策略更新建议为条件的。

示例性条款s，示例性条款p至r中的任一项的计算机可读存储介质，其中，所述指令还使所述计算设备的所述一个或多个处理器：暴露安全策略定制接口以提示标准用户从所述管理账户指示与所述特定应用相对应的一个或多个特性。

示例性条款t，示例性条款p至s中的任一项的计算机可读存储介质，其中，所述包含式计算环境包括在应用容器或虚拟机中的至少一个内操作的策略施行服务，所述策略施行服务被配置为至少部分地基于所述安全策略来管理所述包含式计算环境。

尽管上文关于系统描述了示例性条款p和t，但是在本文档的上下文中应当理解，示例性条款s和t的主题也可以由设备、经由计算机实施的方法和/或经由计算机可读存储介质来实施。

结论

最后，尽管已经用特定于结构特征和/或方法动作的语言描述了各种技术，但是应当理解，在所附的表示中定义的主题并不必限于所描述的特定特征或动作。而是，公开了特定特征和动作作为实施所要求保护的主题的示例性形式。