本申请要求2013年9月13日提交的且标题为“提供移动设备管理功能(PROVIDING MOBILE DEVICE MANAGEMENT FUNCTIONALITIES)”的编号为14/025,898的美国专利申请优先权,并且该专利申请通过引用被全部并入本文。另外,本申请要求2013年8月8日提交的且标题为“提供移动设备管理功能(PROVIDING MOBILE DEVICE MANAGEMENT FUNCTIONALITIES)”的编号为61/863,629的美国临时专利申请权益,并且该专利申请通过引用被全部并入本文。本申请还要求2013年3月29日提交的且标题为“企业移动管理的系统和方法(SYSTEMS AND METHODS FOR ENTERPRISE MOBILITY MANAGEMENT)”的编号为61/806,577的美国临时专利申请权益,并且该专利申请通过引用被全部并入本文。
技术领域
本公开的各方面涉及计算机硬件和软件。具体地,本公开的一个或多个方面主要涉及用于提供移动设备管理功能的计算机硬件和软件。
背景
公司和其它组织越来越多地提供给和/或以其它方式使他们的雇员和其它伙伴启用移动设备,诸如智能电话、平板计算机以及其它移动计算设备。随着这些设备继续日益普及和提供越来越多的功能,许多组织可能希望对如何能够使用这些设备、这些设备能够访问的资源以及在这些设备上运行的应用如何能够与其它资源进行交互而进行某些控制。
概述
本公开的各个方面提供更有效、更经济、功能化和方便的方式来对可以如何使用移动设备、移动设备能够访问什么资源以及在这些设备上运行的应用和其它软件可如何与其它资源交互进行控制。具体地,在下面更加详细的讨论的一个或多个实施方案中,移动设备管理功能以若干不同的方式被部署、实现和/或使用以提供这些和/或其它优点的一个或多个优点。
在一些实施方案中,计算设备可加载受管浏览器。随后,计算设备可应用一个或多个移动设备管理策略到受管浏览器,并且一个或多个移动设备管理策略中的至少一个策略可配置为控制计算设备的一个或多个功能。
在一些实施方案中,移动设备管理代理可监测与移动计算设备相关的状态信息。随后,移动设备管理代理可基于所监测的状态信息应用一个或多个策略到移动计算设备上的应用隧穿功能。
在一些实施方案中,计算设备可建立到至少一个其它设备的连接以启动设备云。随后,计算设备可应用一个或多个策略到设备云,并且该一个或多个策略可配置为将第一角色分配给计算设备以及将第二角色分配给参加设备云的至少一个其它设备。
在一些实施方案中,移动设备管理代理可监测与移动计算设备相关的状态信息。随后,基于所监测的状态信息,多模式应用的一个或多个模式可选择为禁用。
在一些实施方案中,移动设备管理代理可监测与移动计算设备相关的状态信息。随后,基于所监测的状态信息,一个或多个策略可在移动计算设备上的至少一个应用上强制执行。
在一些实施方案中,移动设备管理代理可监测与移动计算设备相关的状态信息。随后,基于所监测的状态信息,可控制安全文档容器。
在一些实施方案中,移动设备管理代理可监测与移动计算设备相关的状态信息。随后,基于所监测的状态信息,可动态修改移动计算设备上的移动设备管理策略强制执行方案。
在一些实施方案中,移动计算设备可从应用商店接收至少一个移动设备管理策略。随后,与移动计算设备相关的状态信息可经由移动设备管理代理监测。然后,基于所监测的状态信息,该至少一个移动设备管理策略可强制执行。
在一些实施方案中,移动计算设备可接收与至少一个用户账号相关的单点登录(SSO)凭证。随后,与移动计算设备相关的状态信息可经由移动设备管理代理监测。然后,基于所监测的状态信息和SSO凭证,至少一个移动设备管理策略可强制执行。
本公开的实施方式还涉及以下方面:
1)一种方法,包括:
由移动设备管理代理监测与移动计算设备相关的状态信息,其中,监测所述状态信息包括给一个或多个策略管理服务器提供至少一些所述状态信息和从所述一个或多个策略管理服务器接收管理信息;以及
基于所监测的状态信息,由所述移动设备管理代理将一个或多个策略应用到所述移动计算设备上的应用隧穿功能,
其中,将所述一个或多个策略应用到所述移动计算设备上的所述应用隧穿功能包括启用至少一个应用隧道,
其中,所述一个或多个策略中的至少一个策略接收自策略管理服务器。
2)如项目1)所述的方法,其中,监测所述状态信息包括以下至少一项:识别呈现在所述移动计算设备上的一个或多个应用;识别由所述移动计算设备使用的一个或多个网络连接;以及确定所述移动计算设备的当前位置信息。
3)如项目1)所述的方法,其中,将所述一个或多个策略应用到所述移动计算设备上的所述应用隧穿功能包括基于所监测的状态信息选择性地禁用所述移动计算设备上的一个或多个应用的所述应用隧穿功能。
4)如项目1)所述的方法,其中,将所述一个或多个策略应用到所述移动计算设备上的所述应用隧穿功能包括限制经由所述应用隧穿功能可交换的内容。
5)如项目1)所述的方法,其中,将所述一个或多个策略应用到所述移动计算设备上的所述应用隧穿功能包括限制经由所述应用隧穿功能可实施的操作。
6)如项目1)所述的方法,其中,所述管理信息包括一个或多个命令。
7)如项目1)所述的方法,其中,所述管理信息包括一个或多个策略更新。
8)一种移动计算设备,包括:
至少一个处理器;以及
存储计算机可读指令的存储器,当被所述至少一个处理器执行时,所述计算机可读指令使得所述计算设备:
经由移动设备管理代理监测与移动计算设备相关的状态信息,其中,监测所述状态信息包括给一个或多个策略管理服务器提供至少一些所述状态信息和从所述一个或多个策略管理服务器接收管理信息;以及
基于所监测的状态信息,经由所述移动设备管理代理将一个或多个策略应用到所述移动计算设备上的应用隧穿功能,
其中,将所述一个或多个策略应用到所述移动计算设备上的所述应用隧穿功能包括启用至少一个应用隧道,
其中,所述一个或多个策略中的至少一个策略接收自策略管理服务器。
9)如项目8)所述的移动计算设备,其中,监测所述状态信息包括以下至少一项:识别呈现在所述移动计算设备上的一个或多个应用;识别由所述移动计算设备使用的一个或多个网络连接;以及确定所述移动计算设备的当前位置信息。
10)如项目8)所述的移动计算设备,其中,将所述一个或多个策略应用到所述移动计算设备上的所述应用隧穿功能包括基于所监测的状态信息选择性地禁用所述移动计算设备上的一个或多个应用的所述应用隧穿功能。
11)如项目8)所述的移动计算设备,其中,将所述一个或多个策略应用到所述移动计算设备上的所述应用隧穿功能包括限制经由所述应用隧穿功能可交换的内容。
12)如项目8)所述的移动计算设备,其中,将所述一个或多个策略应用到所述移动计算设备上的所述应用隧穿功能包括限制经由所述应用隧穿功能可实施的操作。
13)如项目8)所述的移动计算设备,其中,所述管理信息包括一个或多个命令。
14)如项目8)所述的移动计算设备,其中,所述管理信息包括一个或多个策略更新。
15)一种或多种具有储存其上的指令的非临时性计算机可读介质,当所述指令被执行时,所述指令促使移动计算设备:
经由移动设备管理代理监测与移动计算设备相关的状态信息,其中,监测所述状态信息包括给一个或多个策略管理服务器提供至少一些所述状态信息和从所述一个或多个策略管理服务器接收管理信息;以及
基于所监测的状态信息,经由所述移动设备管理代理将一个或多个策略应用到所述移动计算设备上的应用隧穿功能,
其中,将所述一个或多个策略应用到所述移动计算设备上的所述应用隧穿功能包括启用至少一个应用隧道,
其中,所述一个或多个策略中的至少一个策略接收自策略管理服务器。
16)如项目15)所述的一种或多种非临时性计算机可读介质,其中,监测所述状态信息包括以下至少一项:识别呈现在所述移动计算设备上的一个或多个应用;识别由所述移动计算设备使用的一个或多个网络连接;以及确定所述移动计算设备的当前位置信息。
17)如项目15)所述的一种或多种非临时性计算机可读介质,其中,将所述一个或多个策略应用到所述移动计算设备上的所述应用隧穿功能包括基于所监测的状态信息选择性地禁用所述移动计算设备上的一个或多个应用的所述应用隧穿功能。
18)如项目15)所述的一种或多种非临时性计算机可读介质,其中,将所述一个或多个策略应用到所述移动计算设备上的所述应用隧穿功能包括限制经由所述应用隧穿功能可交换的内容。
19)如项目15)所述的一种或多种非临时性计算机可读介质,其中,所述管理信息包括一个或多个命令。
20)如项目15)所述的一种或多种非临时性计算机可读介质,其中,所述管理信息包括一个或多个策略更新。
在下面更加详细地讨论这些特征以及许多其它特征。
附图说明
本公开以示例的方式说明并且并非限制于附图,在附图中,相似的参考编号表示类似的元件,并且其中:
图1描述了可根据本文描述的一个或多个说明性方面来使用的说明性计算机系统架构。
图2描述了可根据本文描述的一个或多个说明性方面来使用的说明性远程访问系统架构。
图3描述了可根据本文描述的一个或多个说明性方面来使用的说明性企业移动管理系统。
图4描述了可根据本文描述的一个或多个说明性方面来使用的另一个说明性企业移动管理系统。
图5描述了根据本文所讨论的一个或多个说明性方面示出将一个或多个移动设备管理策略应用到受管浏览器的方法的流程图。
图6描述了根据本文所讨论的一个或多个说明性方面示出将一个或多个移动设备管理策略应用到应用隧穿功能的方法的流程图。
图7描述了根据本文所讨论的一个或多个说明性方面示出将一个或多个移动设备管理策略应用到设备云的方法的流程图。
图8描述了根据本文所讨论的一个或多个说明性方面示出基于一个或多个移动设备管理策略可选择地禁用多模式应用的一个或多个模式的方法的流程图。
图9描述了根据本文所讨论的一个或多个说明性方面示出使一个或多个移动设备管理策略在一个或多个应用上强制执行的方法的流程图。
图10描述了根据本文所讨论的一个或多个说明性方面示出基于设备状态信息控制安全文档容器的方法的流程图。
图11描述了根据本文所讨论的一个或多个说明性方面示出基于设备状态信息动态修改移动设备管理策略强制执行方案的方法的流程图。
图12描述了根据本文所讨论的一个或多个说明性方面示出强制执行接收自应用商店的移动设备管理策略的方法的流程图。
图13描述了根据本文所讨论的一个或多个说明性方面示出基于单点登录凭证强制执行移动设备管理策略的方法的流程图。
图14描述了根据本文所讨论的一个或多个说明性方面示出将一个或多个移动设备管理策略应用到设备云的另一方法的流程图。
具体实施方式
在各个实施方案的下列描述中,参考了上面指出并形成各个实施方案的一部分的附图,其中以说明各个实施方案的方式示出,所公开的在各个实施方案中的各方面可被实践。可利用其它实施方案,并且在不脱离本文所讨论的范围的情况下可作出结构和功能的修改。各个方面能够用于其它实施方案且能够以各种不同方式实践或执行。另外,本文所使用的措辞和术语是出于描述的目的,而不应被视为限制。更确切地,本文使用的短语和术语应被给予其最广泛的解释和含义。“包括(including)”和“包括(comprising)”及其变形的使用意欲包括在其后列出的项及其等同项以及另外的项及其等同项。
如上面所提到的,本文所讨论的特定实施方案设计提供移动设备管理功能。然而,在更详细讨论这些概念前,将首先关于图1-4讨论可在实现和/或以其它方式提供所公开的各个方面中使用的计算架构和企业移动管理架构的几个示例。
计算架构
可在各种不同的系统环境中利用计算机软件、硬件和网络,不同的系统环境包括单机的、联网的、远程访问的(也叫做,远程桌面)、虚拟的、和/或基于云的环境,等等。图1示出了系统架构和数据处理设备的一个示例,其被用于在单机环境和/或网络环境中执行本文描述的一个或多个说明性方面。各种网络节点103、105、107和109可经由诸如互联网的广域网(WAN)101进行互连。还可使用或可选地使用其它网络,包括私有内联网、协同网络、局域网(LAN)、城域网(MAN)、无线网、个人网络(PAN)等等。网络101用于说明的目的并且可以用更少或附加的计算机网络来代替。LAN可具有任何已知的LAN拓扑中的一个或多个,并且可使用多种不同协议中的一个或多个,诸如以太网。设备103、105、107、109和其它设备(未示出)可经由双绞线、同轴电缆、光纤、无线电波或其它通信媒介连接到一个或多个网络。
本文所使用以及附图中所描述的术语“网络”不仅指其中远程存储设备经由一个或多个通信路径耦合在一起的系统,还指有时可耦合到具有存储能力的该类系统的单机设备。因此,术语“网络”不仅包括“物理网络”还包括“内容网络”,其由单个实体引起-跨越所有的物理网络驻留的数据组成。
组件可包括数据服务器103、web服务器105和客户端计算机107、109。数据服务器103提供对数据库和控制软件的全面访问、控制和管理,用于执行本文描述的一个或多个说明性方面。数据服务器103可连接到web服务器105,其中用户通过该web服务器105根据请求与数据交互并获得数据。可选地,数据服务器103可充当web服务器本身,并直接地连接到互联网。数据服务器103可经由直接或间接连接或经由一些其它网络通过网络101(例如,互联网)连接到web服务器105。用户可使用远程计算机107、109与数据服务器103交互,如使用网络浏览器经由web服务器105托管的一个或多个对外公开的网站连接至数据服务器103。客户端计算机107、109可用于与数据服务器103合作以访问储存其中的数据,或可用于其它目的。例如,如本领域中已知的,用户可使用互联网浏览器从客户端设备107访问web服务器105,或通过执行与web服务器105和/或数据服务器103通过计算机网络(如互联网)通信的软件应用访问web服务器105。
服务器和应用可被组合在相同的物理机器上,并且保留分离的虚拟或逻辑地址,或可驻留在不同的物理机器上。图1仅示出可以被使用的网络架构的一个示例,并且本领域中的技术人员应当理解,如在本文进一步所描述的,所使用的特定网络架构和数据处理设备可以改变,并且对于它们提供的功能来说是次要的。例如,通过web服务器105和数据服务器103提供的服务可被组合在单一服务器上。
每个组件103、105、107、109可以是任何类型的已知计算机、服务器或数据处理设备。例如,数据服务器103可包括控制速率服务器103的总体操作的处理器111。数据服务器103可进一步包括RAM 113、ROM 115、网络接口117、输入/输出接口119(例如,键盘、鼠标、显示器、打印机等等),以及存储器121。I/O 119可包括用于读取、写入、显示和/或打印数据或文件的各种接口单元和驱动器。存储器121还可存储用于控制数据处理设备103的整体操作的操作系统软件123、用于指示数据服务器103执行本文描述的方面的控制逻辑125以及提供辅助、支持、和/或其它可用于或不可用于与本文描述的方面结合使用的功能的其它应用软件127。本文中,控制逻辑还可被称为数据服务器软件125。数据服务器软件的功能可指基于被编码到控制逻辑中的规则自动作出的操作或决定、通过用户将输入提供到系统中手动做出的操作或决定,和/或基于用户输入(例如,查询、数据更新等等)的自动处理的组合。
存储器121还可存储在本文描述的一个或多个方面的性能中使用的数据,包括第一数据库129和第二数据库131。在一些实施方案中,第一数据库可包括第二数据库(例如,作为分离的表、报告等)。即,该信息可存储在单个数据库中,或分离到不同的逻辑、虚拟或物理数据库,其取决于系统设计。设备105、107、109可具有如关于设备103所描述的类似或不同的体系结构。本领域技术人员应理解,如本文所述的数据处理设备103(或设备105、107、109)的功能可遍布多个数据处理器,例如,以将处理负载分配到多个计算机、以基于地理位置、用户访问级别、服务质量(QoS)等分隔事务。
一个或多个方面可用通过本文所描述的一个或多个计算机或其它设备执行的计算机可用或可读数据和/或计算机可执行指令,诸如一个或多个程序模块来体现。通常,程序模块包括例程、程序、对象、部件、数据结构等等,当通过计算机或其它设备中的处理器执行时,该程序模块执行特定任务或实施特定抽象数据类型。该模块可用源代码编程语言编写,然后被编译用于执行,或可用脚本语言编写,诸如(但不限于)Javascript或ActionScript。计算机可执行指令可被存储在诸如非易失存储设备的计算机可读介质上。可利用任何适当的计算机可读存储介质,其中包括硬盘、CD-ROM、光学存储设备、磁性存储设备和/或其任何组合。另外,可以用电磁波的形式在源和目的之间传递表示本文所描述的数据或事件的各种传输(非存储)介质,该电磁波通过诸如金属丝、光纤、和/或无线传输介质(例如,空气和/或空间)的信号-传导介质传播。本文所描述的各个方面可被体现为方法、数据处理系统或计算机程序产品。因此,各种功能可整体或部分地体现在软件、固件和/或硬件或硬件等同物,诸如集成电路、现场可编程门阵列(FPGA),等等。特定的数据结构可用于更有效地执行本文所述的一个或多个方面,且预期这种数据结构在本文所述的计算机可执行指令和计算机可用数据的范围内。
进一步参考图2,可在远程访问环境中实现本文所述的一个或多个方面。图2描绘了示例性的系统架构,包括在说明性计算环境200中的通用计算设备201,其可根据本文所述的一个或多个说明性方面来使用。通用计算设备201可以被用作单一服务器或多服务器桌面虚拟化系统(例如,远程访问或云系统)中的服务器206a,所述系统经配置提供用于客户端访问设备的虚拟机。通用计算设备201可具有用于控制服务器及其相关部件(包括随机存取存储器(RAM)205、只读存储器(ROM)207、输入/输出(I/O)模块209和存储器215)的整体操作的处理器203。
I/O模块209可包括鼠标、键盘、触摸屏、扫描仪、光学阅读器和/或手写笔(或其它输入设备),通用计算设备201的用户可通过这些输入设备提供输入,并且也可包括用于提供音频输出的扬声器和用于提供文本、视听和/或图形输出的视频显示设备中的一个或多个。软件可存储在存储器215和/或其它储存器中,以提供指令给处理器203用于将通用计算设备201配置为专用计算设备,以便执行如本文所述的各种功能。例如,存储器215可以存储由计算设备201使用的软件(诸如操作系统217、应用219和关联的数据库221)。
计算设备201可在网络化环境中操作,该网络化环境支持到诸如终端240(也被称为客户端设备)的一个或多个远程计算机的连接。终端240可以是个人计算机、移动设备、膝上计算机、平板电脑或服务器,其包括以上描述的关于通用计算设备103或201的许多或全部元件。在图2中描绘的网络连接包括局域网(LAN)225和广域网(WAN)229,但还可包括其它网络。当用于LAN网络环境中时,计算设备201可通过网络接口或适配器223连接到LAN 225。当在WAN联网环境中使用时,计算设备201可包括调制解调器227或用于通过诸如计算机网络230(例如,互联网)的WAN 229建立通信的其它广域网接口。将理解的是,所述网络连接是例证性的,且可使用建立计算机之间的通信链路的其它装置。计算设备201和/或终端240还可为移动终端(例如,移动电话、智能电话、PDA、笔记本等等),其包括各种其它部件,诸如电池、扬声器和天线(未示出)。
本文描述的各方面也可以用许多其它通用或专用计算系统环境或配置来运行。可适合于结合本文所述的方面使用的其它计算系统、环境和/或配置的示例,包括,但不限于,个人计算机、服务器计算机、手持或笔记本设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境,等等。
如图2所示,一个或多个客户端设备240可与一个或多个服务器206a-206n(在本文中统称为“服务器206”)通信。在一个实施方案中,计算环境200可包括在服务器206和客户机240之间安装的网络装置。该网络装置可管理客户端/服务器连接,并在某些情况下可在多个后端服务器206之间负载平衡客户端连接。
在一些实施方案中,可称客户端机器240为单个客户端机器240或单组客户端机器240,而可称服务器206为单个服务器206或单组服务器206。在一个实施方案中,单个客户端机器240与多于一个服务器206通信,而在另一实施方式中,单个服务器206与多于一个客户端机器240通信。在又一实施方案中,单个客户端机器240与单个服务器206通信。
在一些实施方案中,可通过下列非穷举术语中的任何一个指代客户端机器240:客户端机器;客户端;客户端计算机;客户端设备;客户端计算设备;本地机器;远程机器;客户端节点;端点;或端点节点。在一些实施方案中,可通过下列非穷举术语中的任何一个指代服务器206:服务器;本地机器;远程机器;服务器群;或主机计算设备。
在一个实施方案中,客户端机器240可以是虚拟机。虚拟机可以是任何虚拟机,而在一些实施方案中虚拟机可以是由1型或2型的超级管理器所管理的任何虚拟机,例如,由Citrix Systems、IBM、VMware开发的超级管理器,或任何其它超级管理器。在一些方面中,虚拟机可由超级管理器管理,而在其它方面中,虚拟机可由在服务器206上执行的超级管理器或在客户端240上执行的超级管理器管理。
一些实施方案包括客户端设备240,其显示由在服务器206上远程执行的应用或由其它远程放置的机器上远程执行的应用生成的应用输出。在这些实施案中,客户端设备240可执行虚拟机客户端代理程序或应用,以在应用窗口、浏览器、或其它输出窗口中显示输出。在一个示例中,应用是桌面,而在其它示例中应用是生成或呈现桌面的应用。桌面可包括为操作系统的实例提供用户界面的图形壳,本地和/或远程应用可集成在操作系统中。如在本文所使用的,应用是在操作系统(和可选地,还有桌面)的实例被加载之后执行的程序。
在一些实施方案中,服务器206使用远程呈现协议或其它程序以将数据发送给瘦客户端或在客户端上执行的远程显示应用,以便呈现通过在服务器206上执行的应用生成的显示输出。瘦客户端或远程显示协议可以是下列非穷举协议列表中的任意一个:通过佛罗里达州劳德代尔堡(Ft.Lauderdale,Florida)的Citrix系统公司开发的独立计算架构(ICA)协议;或通过华盛顿雷德蒙德(Redmond,Washington)的微软公司制造的远程桌面协议(RDP)。
远程计算环境可包括多于一个的服务器206a-206n,使得,例如在云计算环境中,服务器206a-206n逻辑组合在一起成服务器群206。服务器群206可包括地理上分散而同时逻辑分组在一起的服务器206,或彼此接近放置同时在逻辑上分组在一起的服务器206。在一些实施方案中,在服务器群206中的地理上分散的服务器206a-206n使用WAN(广域网)、MAN(城域网)、或LAN(局域网)通信,其中不同的地理区域可表征为:不同大陆;大陆的不同区域;不同的国家;不同的州;不同的城市;不同的校区;不同的房间;或前述地理位置的任何组合。在一些实施方案中,服务器群206可作为单一实体进行管理,而在其它实施方案中,服务器群206可包括多个服务器群。
在一些实施方案中,服务器群可包括服务器206,其执行基本上类似类型的操作系统平台(例如,WINDOWS、UNIX、LINUX、iOS、ANDROID、SYMBIAN,等)。在其它实施方案中,服务器群206可包括执行第一类型的操作系统平台的一个或多个服务器的第一组,以及执行第二类型的操作系统平台的一个或多个服务器的第二组。
服务器206可根据需要配置成任何类型的服务器,例如,文件服务器、应用服务器、web服务器、代理服务器、装置、网络装置、网关、应用网关、网关服务器、虚拟服务器、部署服务器、SSL VPN服务器、防火墙、网络服务器、应用服务器或作为主应用服务器、执行活动目录的服务器、或执行提供防火墙功能、应用功能、或负载平衡功能的应用加速程序的服务器。还可使用其它服务器类型。
一些实施方案包括第一服务器206a,其接收来自客户端机器240的请求、转发该请求至第二服务器206b,并使用来自第二服务器206b的响应对由客户端机器240生成的请求响应。第一服务器206a可以获得可用于客户端机器240的应用的列举以及与托管在应用列举内被识别的应用的应用服务器206相关联的地址信息。然后,第一服务器206a可使用web接口呈现对客户端请求的响应,并直接与客户端240通信以给客户端240提供对所标识的应用的访问。一个或多个客户端240和/或一个或多个服务器206可经由例如网络101的网络230传输数据。
图2示出说明性桌面虚拟化系统的高层架构。如图所示,桌面虚拟化系统可以是单服务器或多服务器系统、或云系统,包括配置为给一个或多个客户端访问设备240提供虚拟桌面和/或虚拟应用的至少一个虚拟化服务器206。如在本文中使用的,桌面指图形环境或空间,其中一个或多个应用可被托管和/或执行。桌面可包括为操作系统的实例提供用户界面的图形壳,本地和/或远程应用可集成在操作系统中。应用可包括装载了操作系统(和,可选地,还有桌面)的实例之后执行的程序。操作系统的每个实例可以是真实的(例如每个设备一个操作系统)或虚拟的(例如在单个设备上运行的OS的很多实例)。每个应用可在本地设备上执行或在远程定位的设备(例如远程设备)上执行。
企业移动性管理架构
图3表示在企业环境、BYOD环境或其它移动环境中使用的企业移动技术体系结构300。体系结构使移动设备302(例如,作为客户端107、211或以其它方式)的用户能够从移动设备302访问企业或个人资源,并使用移动设备302以用于个人用途。用户可使用用户所购买的移动设备302或者企业提供给用户的移动设备302来访问此类企业资源304或企业服务308。用户可使用仅用于商业用途或用于商业和个人用途的移动设备302。移动设备可运行iOS操作系统、Android操作系统和/或类似的。企业可选择来实施策略以管理移动设备304。该策略可以通过防火墙或网关以移动设备可以被识别、保障或安全被验证并提供选择性访问或全部访问企业资源的方式来植入。该策略可以是移动设备管理策略、移动应用管理策略、移动数据管理策略或移动设备、应用和数据管理策略的某些组合。通过移动设备管理策略的应用来管理的移动设备304可以被称为登记设备。
移动设备的操作系统可以被划分为受管分区310和未受管分区312。受管分区310可以具有应用于其的策略,使运行在受管分区上的应用和存储在受管分区中的数据安全。运行在受管分区上的应用可以是安全应用。安全应用可以是电子邮件应用、web浏览应用、软件即服务(SaaS)访问应用、Windows应用程序访问应用等。安全应用可以是安全本地应用314、由安全应用启动器318执行的安全远程应用322、由安全应用启动器318执行的虚拟化应用326等。安全本地应用314可由安全应用封装器320封装。当安全本地应用在设备上执行时,安全应用封装器320可包括在移动设备302上执行的集成策略。安全应用封装器320可包括元数据,其指引在移动设备302上运行的安全本地应用314到在企业托管的资源,其中安全本地应用314可需要该资源以完成在安全本地应用314执行时所请求的任务。由安全应用启动器318执行的安全远程应用322可以在安全应用启动器应用318内执行。由安全应用启动器318执行的虚拟化应用326可利用移动设备302、企业资源304等等的资源。由安全应用启动器318执行的虚拟化应用326在移动设备302上使用的资源,可包括用户交互资源、处理资源,等等。用户交互资源可用于收集和传输键盘输入、鼠标输入、摄像机输入、触觉输入、音频输入、可视化输入、手势输入,等等。处理资源可以用于呈现用户界面、处理从企业资源304接收的数据等。在企业资源304处由安全应用启动器318所执行的虚拟化应用326所使用的资源可以包括用户界面生成资源、处理资源等。用户界面生成资源可用于组装用户接口、修改用户接口、刷新用户接口,等等。处理资源可用于创建信息、读取信息,更新信息、删除信息,等等。例如,虚拟化应用可以记录与GUI相关联的用户交互并将它们传送至服务器应用,其中该服务器应用将把用户交互数据用作在服务器上运行的应用的输入。在这种布置中,企业可以选择以在服务器侧保持应用以及与该应用相关联的数据、文件等。虽然企业可以根据本文所述的原理通过将某些应用安全部署在移动设备上来选择“移动化”该某些应用,但是,这种布置也可以被选择用于特定应用。例如,尽管一些应用可被确保其在移动设备上的使用的安全,但其它应用可能未准备或不适于部署在移动设备上,因此企业可选择通过虚拟化技术提供对未准备好的应用的移动用户访问。作为另一示例,企业可能具有带有其中定制移动设备的应用会非常难或相反不合需要的大型和复杂数据集的大型复杂应用(例如,物料资源规划应用),因此,企业可选择通过虚拟化技术提供对应用的访问。作为又一示例,企业可能具有保持高度安全数据(例如,人力资源数据,客户数据,工程数据)的应用,该企业认为所述高度安全数据甚至对安全的移动环境也是很敏感,因此,企业可以选择使用虚拟化技术允许移动设备访问此类应用和数据。企业可能选择在移动设备上提供完全安全的和完全功能的两者的应用以及虚拟化应用,以允许访问认为更适合在服务器侧运行的应用。在实施例中,虚拟化应用可以将某些数据、文件等存储在移动电话上的安全存储位置中的一个安全存储位置中。例如,企业可以选择允许特定信息而不允许其它信息被存储在电话上。
如本文所述,结合虚拟化应用,移动设备可以具有经设计呈现GUI并随后记录用户与GUI交互的虚拟化应用。应用可以将用户交互传送到由服务器侧应用所使用的服务器侧来作为用户与该应用的交互。作为响应,服务器侧上的应用可以向移动设备回传新GUI。例如,新GUI可以是静态页面、动态页面、动画,等等。
运行在受管分区上的应用可以是稳定的应用。稳定的应用可以由设备管理器324来管理。设备管理器324可以监测稳定的应用,并且利用用于发现和解决问题的技术,如果这些技术未被用于发现和解决这些问题的话,这些问题将导致不稳定的应用。
安全应用可以访问存储在移动设备的受管分区310中的安全数据容器328中的数据。在安全数据容器中保护的数据可由以下应用访问,安全封装的应用314、由安全应用启动器318执行的应用、由安全应用启动器318执行的虚拟化应用326,等等。存储在安全数据容器328中的数据可包括文件、数据库,等等。存储在安全数据容器328中的数据可以包括被限制到特定安全应用330、在安全应用332之间共享等的数据。被限制到安全应用的数据可以包括一般安全数据334和高度安全数据338。一般安全数据可使用强加密形式,诸如AES 128位加密等等,而高度安全数据338可使用非常强的加密形式,诸如AES 254位加密。在接收来自设备管理器324的命令时,可从设备删除存储在安全数据容器328中的数据。安全应用可以具有双模式选项340。双模式选项340可为用户呈现以非安全模式操作安全应用的选项。在非安全模式中,安全应用可访问存储在移动设备302的非受管分区312的非安全数据容器342中的数据。存储在非安全数据容器中的数据可为个人数据344。存储在非安全数据容器342中的数据,也可由在移动设备302的非受管分区312上运行的非安全应用348访问。当存储在安全数据容器328中的数据从移动设备302中删除时,存储在非安全数据容器342中的数据可保持在移动设备302上。企业可能想从移动装置删除该企业拥有、许可或控制的选定或全部数据、文件和/或应用(企业数据),而留下或以其它方式保存用户所拥有、许可或控制的个人数据、文件和/或应用(个人数据)。该操作可称为选择性擦除。利用根据本文所述的各方面安排的企业和个人数据,企业可以执行选择性擦除。
移动设备可以将在企业的企业资源304和企业服务308连接到公共互联网348等。通过虚拟私有网络连接,移动设备可连接到企业资源304和企业服务308。虚拟私有网络连接可特定于特定应用350、特定设备、移动设备上的特定安全区域等(例如,352)。例如,电话的安全区中的封装应用中的每个可以通过指定应用VPN访问企业资源,使得对VPN的访问将基于与该应用相关联的属性(可能的话,结合用户或装置属性信息)来授权。虚拟专用网络连接可以携带Microsoft Exchange流量、Microsoft Active Directory流量、HTTP流量、HTTPS流量、应用管理流量等。虚拟私有网络连接可支持并实现单点登录认证过程354。单点登录过程可允许用户提供单个认证凭证集,然后其由认证服务358验证。然后,认证服务358可授权用户访问多个企业资源304,而无需用户提供认证凭证到每个单个的企业资源304。
虚拟私有网络连接可由接入网关360建立和管理。接入网关360可以包括管理、加速并提高向移动装置302输送企业资源304的性能增强功能。接入网关还可将流量从移动设备302重新路由到公共互联网348,使得移动设备302能够访问在公共互联网348上运行的公共可用的和未保护的应用。移动设备可经由传输网络362连接到接入网关。传输网络362可以是有线网络、无线网络、云网络、局域网、城域网、广域网、公共网络、私有网络等。
企业资源304可包括电子邮件服务器、文件共享服务器、SaaS应用、Web应用服务器、Windows应用服务器,等等。电子邮件服务器可包括Exchange服务器、Lotus Notes服务器,等等。文件共享服务器可包括SHAREFILE服务器、其它文件共享服务等等。SaaS应用可包括Salesforce,等等。Windows应用服务器可以包括经构建提供旨在于本地Windows操作系统上运行的应用的任何应用服务器等。企业资源304可以是基于内建式(premise-based)的资源、基于云的资源等。企业资源304可以由移动设备302直接访问或通过接入网关360来访问。企业资源304可以由移动设备302经由传输网络362来访问。传输网络362可以是有线网络、无线网络、云网络、局域网、城域网、广域网、公共网络、私有网络等。
企业服务308可以包括认证服务358、威胁检测服务364、设备管理器服务324、文件共享服务368、策略管理器服务370、社交集成服务372、应用控制器服务374等。认证服务358可以包括用户认证服务、设备认证服务、应用认证服务、数据认证服务等。认证服务358可以使用证书。证书可以由企业资源304等存储在移动设备302上。存储在移动设备302上的证书可以被存储在移动设备上的加密位置,证书可以被暂时存储在移动设备302上用于在认证时使用等等。威胁检测服务364可包括入侵检测服务、未经授权的访问尝试检测服务等。未经授权的访问尝试检测服务可以包括未经授权尝试访问设备、应用、数据等。设备管理服务324可以包括配置、供应、安全、支持、监测、报告和停止使用服务。文件共享服务368可以包括文件管理服务、文件存储服务、文件协调服务等。策略管理器服务370可包括设备策略管理器服务、应用策略管理器服务、数据策略管理器服务等。社交集成服务372可包括联系人集成服务、协作服务、社交网络集成,诸如Facebook、Twitter和LinkedIn等。应用控制器服务374可包括管理服务、供应服务、部署服务、分配服务、撤销服务、封装服务等。
企业移动性技术架构300可包括应用商店378。应用商店378可包括未封装的应用380、预封装的应用382等。应用可以从应用控制器374被填充到应用商店378中。应用商店378可以由移动设备302通过接入网关360、通过公共互联网348等来访问。应用商店可以设置有直观并易于使用的用户界面。应用商店378可以提供对软件开发工具包384的访问。通过如本说明书中先前的描述的对应用进行封装,软件开发工具包384可向用户提供使用户所选的应用安全的能力。使用软件开发工具包384进行封装的应用可以随后通过使用应用控制器374将其填充到应用商店378中来提供给移动设备302。
企业移动性技术架构300可包括管理和分析能力。管理和分析能力可提供与资源如何使用、资源被多久使用一次等相关的信息。资源可包括设备、应用、数据等。如何使用资源可包括哪些设备下载哪些应用、哪些应用访问哪些数据等。资源被多久使用一次可包括应用多久被下载一次、特定的数据集被应用访问了多少次等。
图4是另一说明性企业移动性管理系统400。为了简化起见,上面参考图3所述的移动管理系统300的某些组件已被省略。图4所示的系统400的架构在许多功能方面类似于上面参考图3所述的系统300的架构,并且可以包括未在上面提到的另外的功能。
在这种情况下,左手侧表示具有客户端代理404的登记移动设备402(例如,客户端107、212、302等),其与网关服务器406(该网关服务器包括接入网关和应用控制器功能)交互以访问各种企业资源408和服务409,诸如Exchange、Sharepoint、PKI资源、Kerberos资源和证书发布服务(Certificate Issuance Service),如以上的右手侧所示。尽管未特别示出,移动设备402还可与企业应用商店(如,StoreFront)交互用于应用的选择和下载。例如,客户端代理404可以是在客户端设备上执行的软件应用,其促进与远程资源和/或虚拟资源的通信。例如,网关服务器406可以是提供对企业资源和/或云资源访问的服务器或其它资源。
客户端代理404充当在企业数据中心托管的Windows应用/桌面的UI(用户接口)中介,其中使用HDX/ICA显示远程协议或任何其它远程协议访问该应用/桌面。客户端代理404还支持移动设备402上的本地应用的安装和管理,诸如本地iOS或Android应用。例如,在以上图中所示的受管应用410(邮件、浏览器、封装的应用)全都是在设备上本地执行的本地应用。客户端代理404和应用管理框架,诸如弗罗里达德代尔堡的思杰系统公司的MDX(移动体验技术)(还可使用其它应用管理框架),充当用于将策略驱动管理能力以及诸如连接性和SSO(单点登录)的特征提供给企业资源/服务408。客户端代理404以到其它网关服务器组件的SSO的认证处理主用户到企业的认证,通常到接入网关(AG)的认证。客户端代理404从网关服务器406获得策略以控制移动装置402上的受管应用410的行为。如本文所使用,受管应用为能够基于独立定义并传送的策略文件控制并根据其操作的应用。
本机应用410和客户端代理404之间的安全IPC链接412表示管理信道,其允许客户端代理通过应用管理框架414“封装”每个应用来供给将被实施的策略。IPC通道412也允许客户端代理404提供能够连接和SSO到企业资源408的凭证和认证信息。最后,IPC通道412允许应用管理框架414调用由客户端代理404所实施的用户界面功能,诸如在线认证和离线认证。
客户端代理404与网关服务器406之间的通信基本上是来自封装每个本地受管应用410的应用管理框架414的管理通道的延伸。应用管理框架414从客户端代理404请求策略信息,客户端代理404相应从网关服务器406请求该策略信息。应用管理框架414请求认证,并且客户端代理404登录进入网关服务器406的网关服务部分(也称之为NetScaler接入网关)。客户端代理404还可以调用在网关服务器406上的支持服务,其可以产生获得用于本地数据仓库416的加密密钥的输入材料,或提供其可以允许对KPI受保护资源直接认证的客户端证书,如下面将更全面解释的。
更详细地,应用管理框架414“封装”每个受管应用410。这可经由明确的构建步骤或经由构建后处理步骤合并。应用管理框架414可在首次启动应用410时与客户端代理614“配对”,以初始化安全IPC信道并为该应用获得策略。应用管理框架414可以强制执行本地应用的策略的相应部分(诸如客户端代理登录的依赖关系和限制如何可以使用本地OS服务或本地OS服务如何可以与应用410交互的遏制策略中的某些遏制策略)。
应用管理框架414可以使用客户端代理404在安全IPC通道412上所提供的服务以促进认证和内部网络访问。私有和共享数据仓库416(容器)的密钥管理也可以通过受管应用410与客户端代理404之间的适当交互来管理。仓库416可以只是在在线认证后可用,或如果策略允许,则可以在离线认证后可用。仓库416的第一次使用可以要求在线认证,并且离线访问可以在再次要求在线认证前至多被限于策略更新阶段。
对内部资源的网络访问可以通过接入网关406从独立的受管应用410直接发生。应用管理框架414负责代表每个应用410编制网络访问。通过提供遵循在线认证获得的合适时间限制次级凭证,客户端代理404可以促进这些网络连接。可以使用多种网络连接模式,诸如逆向网络代理连接以及端到端VPN式隧道418。
邮件和浏览器受管应用410具有特殊状态并且可以使用一般可能不适合随机封装应用的设施。例如,邮件应用可以使用特殊后台网络访问机制,该访问机制允许邮件应用在延长的时间段内访问Exchange而无需完全AD登录。浏览器应用可以使用多种专用数据仓库以分隔不同种类的数据。
这种架构支持各种其它安全功能的并入。例如,在某些情况下,网关服务器406(包括其网关服务)将不需要验证AD密码。这可以留给企业来判断AD密码是否用作某些情况下的某些用户的认证因素。如果用户在线或离线(即,连接到网络或未连接到网络),则可以使用不同的认证方法。
加强认证是这样一种特征,其中,网关服务器406可以识别被允许访问需要强认证的高度机密数据的受管本地应用410,并且确保对这些应用的授权仅在执行适当的认证后被允许,即使这意味着在先前的较弱级别登录后用户需要再次认证。
这种解决方案的另一安全特征是移动设备402上的数据仓库416(容器)的加密。仓库416可以被加密,使得所有设备上数据(包括文件、数据库和配置)被保护。对于在线仓库,密钥可存储在服务器(网关服务器406)上,且对于离线仓库,密钥的本地副本可由用户密码保护。当数据被本地存储在设备402上的安全容器416中时,优选最少使用AES 256加密算法。
还可实现其它安全容器的特征。例如,日志特征可以被包括,其中,发生在应用410内的所有安全事件被记入日志并报告给后端。可以支持数据擦除,诸如如果应用410检测到篡改,则相关的加密密钥可以用随机数据改写、没有留下对用户数据被破坏的文件系统的提示。屏幕截图保护是另一功能,其中,应用可以防止任何数据被存储在屏幕截图中。例如,密钥窗口的隐藏属性可以被设置为“是”。这可能会导致屏幕上当前显示的无论什么内容将被隐藏,产生任何内容原本将通常驻留其中的空白屏幕截图。
可以防止本地数据转移,诸如防止任何数据被从本地转移到应用容器外面(例如通过复制本地数据或发送本地数据到外部应用)。可以运行键盘缓存功能以禁用敏感文本字段的自动更正功能。SSL证书验证可以是可操作的,使得应用具体验证服务器的SSL证书,而不是将其存储在密钥链中。可以使用加密密钥生成功能,使得用于加密装置上的数据的密钥使用用户提供的密码来生成(如果需要离线访问的话)。如果不需要离线访问,则可以与随机生成并存储在服务器侧上的另一密钥“异或”。密钥衍生功能可操作,使得从用户密码生成的密钥使用KDF(密钥衍生功能,尤其是PBKDF2)而不是创建它的密码散列(cryptographic hash)。密码散列使得密钥易受强力或字典攻击。
此外,一个或多个初始化向量可用于加密方法。初始化向量会导致相同加密数据的多个副本产生不同的密文输出,从而阻止重放和密码分析攻击两者。如果用于加密数据的特定初始化向量是未知的,则这也将甚至防止攻击者用偷来的加密密钥解密任何数据。此外,可以使用认证接解密,其中,应用数据只在用户已在应用内被认证后才被解密。另一特征可能涉及到内存中的敏感数据,只有当需要敏感数据时,该敏感数据会被保存在内存中(而不是在磁盘中)。例如,登录凭据可以在登录后从内存擦除,并且加密密钥和在objective-C实例变量中的其它数据不被存储,因为它们可以很容易被参考。相反,可以向这些加密秘钥和其它数据手动分配内存。
可以实施休止超时,其中在策略定义的休止期后,用户对话被终止。
可以用其它方式防止数据从应用管理框架414泄露。例如,当应用410被放在后台中时,内存可以在预定(可配置)时间段后被清除。当被放在后台时,对应用的最后显示屏幕可能会被拍快照以加快转到前台的过程。屏幕截图可能包含机密数据,并且因此应被清除。
另一安全特征涉及使用OTP(一次性密码)420,无需使用访问一个或多个应用的AD(活动目录)422密码。在某些情况下,某些用户不知道(或不允许知道)他们的AD密码,那么这些用户可以使用OTP 420来认证,诸如通过使用像SecurID的硬件OTP系统(OTP也可以由不同的供应商来提供,例如Entrust或Gemalto)。在某些情况下,在用户利用用户ID认证后,文本被用OTP 420发送给该用户。在某些情况下,这可以仅在在线使用时,利用单一字段的提示来实施。
对于针对其经由企业策略允许离线使用的那些应用410,离线密码可以被实施用于离线认证。例如,企业可能想以这种方式访问企业应用商店。在此情况下,客户端代理404可以要求用户设置自定义的离线密码,并且不使用AD密码。网关服务器406可以提供策略以控制和执行关于最小长度、字符类组成和密码年限的密码标准(诸如通过标准的Windows服务器密码复杂性要求所描述的,尽管这些要求可以被更改)。
另一功能涉及到作为次级凭证用于特定应用410的客户端侧证书的启用(用于经由应用管理框架微VPN功能访问KPI受保护页面资源的目的)。例如,诸如公司电子邮件应用的应用可利用该种证书。在此情况下,可以支持使用ActiveSync协议的基于证书的认证,其中,来自客户端代理404的证书可以被网关服务器406检索并用在密钥链中。每个受管应用可以具有通过在网关服务器406中定义的标签来识别的一个关联的客户端证书。
网关服务器406可以与企业专用web服务交互,以支持客户端证书的颁布,以允许相关的受管应用认证到内部PKI受保护资源。
可增强客户端代理404和应用管理框架414,以便支持获得并使用客户端证书以用于对进入到内部PKI受保护网络资源的认证。可以支持一个以上的证书,诸如匹配各种安全级别和/或分隔要求的证书。证书可以被电子邮件和浏览器受管应用使用,并且最终被任意封装的应用使用(假设那些应用使用web服务器类型通信模式,其中应用管理框架调节HTTPS请求是合理的)。
在iOS上的应用管理框架客户端证书支持可能依赖每次使用期间,将PKCS 12BLOB(二进制大对象)输入到每个受管应用的iOS密钥链中。应用管理框架客户端证书支持可以使用具有专用内存内密钥存储的HTTPS实施。客户端证书将不再存在于iOS密钥链中,并且除了潜在的存在于受强保护的“只在线”数据值中以外,不会被存续。
通过要求移动装置402被企业认证,相互SSL也可以被实施以提供另外的安全,并且反之亦然。也可以实施用于对网关服务器406认证的虚拟智能卡。
受限和完全Kerberos支持两者可以是另外的特征。完整支持特征涉及使用AD密码或受信任客户端证书对AD 422执行完整Kerberos登录的能力,并且获得Kerberos服务票据(service ticket)来响应HTTP协商身份验证挑战。受限支持特征涉及AFEE中的约束委派(constrained delegation),其中AFEE支持调用Kerberos协议转换,从而其可获取并使用Kerberos服务票据(经受约束委派)来响应HTTP协商身份验证挑战。当HTTP(而不是HTTPS)连接在VPN和微VPN模式下被代理时,这种机制在反向web代理(又名CVPN)模式下工作。
另一特征涉及应用容器锁定和擦除,这可在检测到越狱和获取了管理员权限(root)时自动出现,并且作为来自管理控制台的推送命令出现,并且可以包括远程擦除功能(即使当应用410不运行时)。
可支持企业应用商店和应用控制器的多站点架构或配置,允许在故障情况下,从几个不同位置之一服务用户。
在一些情况下,受管应用410可以被允许经由API(示例OpenSSL)访问证书和私有密钥。企业的受信任受管应用410可以被允许利用应用的客户端证书和私有密钥来执行指定的公共密钥操作。各种使用情况可以被识别并因此被处理,诸如当应用像浏览器一样表现并且不需要证书访问时、当应用读取“我是谁”的证书时、当应用使用证书构建安全对话令牌时,以及当应用使用私有密钥用于重要数据(例如,事务日志)的数字签名或用于暂时数据加密时。
移动设备管理特征
已经讨论可用于提供和/或实现所公开的各种方面的计算架构和企业移动性管理架构的几个实例,现在将更详细地讨论许多实施方案。具体地,并如上面所介绍的,本公开的一些方面主要涉及提供移动设备管理功能。在下面的描述中,示出移动设备管理功能可根据一个或多个实施方案提供的各种示例将被讨论。
图5描述了根据本文所讨论的一个或多个说明性方面示出将一个或多个移动设备管理策略应用到受管浏览器的方法的流程图。在一个或多个实施方案中,可通过计算设备(例如,通用计算设备201)执行图5中示出的方法和/或其一个或多个步骤。在其它实施方案中,可以用计算机可执行指令实施图5中示出的方法和/或其一个或多个步骤,其中计算机可执行指令存储在诸如非暂时性计算机可读存储器的计算机可读介质中。
如在图5中可见的,方法可从步骤505开始,其中,移动设备管理(MDM)代理可被初始化。例如,在步骤505中,计算设备(如,移动计算设备,例如膝上计算机、平板计算机、智能电话或其它类型的移动设备)可初始化设备上的MDM代理(如,通过执行、配置和/或以其它方式初始化MDM代理)。在一种或多种布置中,MDM代理可以是应用、服务或进程,其配置为在设备上运行并且还配置为收集和/或以其它方式获得关于设备的信息,包括关于设备的当前状态的信息。例如,MDM代理可配置为收集和/或维护设备级状态信息,例如,指示在设备上存储和/或运行的操作系统和/或应用的状态信息、指示对设备可用和/或被设备使用的网络连接的状态信息和/或指示设备被放置和/或被使用(如,根据地理坐标;根据语义标签,诸如“家”或“工作”;等)的当前位置的状态信息。在一些例子中,虽然状态信息的这些类型此处作为可由MDM代理收集和/或维护的设备级状态信息的类型的示例列出,在其它例子中,另外的和/或可选的状态信息类型类似地可由MDM代理收集和/或维护。
除收集和维护各种类型的状态信息外,MDM代理还可配置为评估、分析和/或以其它方式监测被收集的各种类型的状态信息。例如,MDM代理可配置为定期确定状态信息是否已经改变和/或基于在状态信息中检测的改变执行一个或多个动作。在一些例子中,MDM代理可提供状态信息到一个或多个其它应用、服务和/或进程。例如,在下面讨论的一些示例中,设备上的MDM代理和/或一个或多个其它应用、服务和/或进程可分析和/或以其它方式处理由MDM代理收集的状态信息,MDM代理强制执行移动设备管理策略和/或结合移动设备管理策略执行其它动作来收集信息。例如,基于可使用由MDM代理收集的设备状态信息评估的不同的环境集,一些移动设备管理策略可限定许可和/或禁止的功能和/或应用。在这些和/或其它方式中,状态信息可用于强制执行在各种功能和/或应用上的行为限制,诸如在下面讨论的示例中的受管浏览器。
通过收集、维护、评估、分析和/或以其它方式监测设备级状态信息(例如,这可包括关于在设备上安装和/或运行的应用、设备被放置的位置、设备连接的网络和/或其它设备级考虑的信息,例如,其它设备级考虑可不同于应用级考虑),计算设备和/或在计算设备上运行的MDM代理可能够评估并作出一个或多个策略决定,其不能仅基于被单个应用已知的信息作出。因此,与一些常规应用管理框架相比(如,其可仅基于应用级信息评估并作出策略决定并因此可能不能提供与使用设备级状态信息可提供的功能相同级别的功能),这种计算设备和/或MDM代理可能够提供对策略管理和强制执行的更多控制。
在一些实施方案中,在MDM代理在计算设备上初始化后(如,在步骤505中),计算设备和/或在计算设备上运行的MDM代理可提供信息到一个或多个策略管理服务器和/或可从一个或多个策略管理服务器接收一个或多个命令(例如,其可影响设备的状态)。例如,在提供信息到一个或多个策略管理服务器时,计算设备和/或在计算设备上运行的MDM代理可发送状态信息(例如,其可包括如本文讨论的各种类型的设备状态信息)到一个或多个策略管理服务器,例如,其可配置为分析该信息并反过来将命令和/或其它信息提供到计算设备和/或在计算设备上运行的MDM代理。另外,在从一个或多个策略管理服务器接收命令时,计算设备和/或在计算设备上运行的MDM代理可接收新的和/或更新的策略和/或其它策略信息、远程分析的和/或以其它方式处理的设备状态信息(如,一个或多个策略管理服务器可远程分析和/或以其它方式处理由设备收集的、从设备获得的和/或涉及设备的状态信息,并接着反过来提供该经分析的和/或经处理的状态信息到设备),和/或其它信息。
在步骤510中,受管浏览器可被加载。例如,在步骤510中,计算设备(如,在步骤505中初始化MDM代理的计算设备)可加载受管浏览器(如,通过打开和/或以其它方式启动受管浏览器的执行)。在一些实施方案中,受管浏览器可以是配置为提供一个或多个企业安全特征的web浏览器。例如,受管浏览器可配置为在“受管”模式提供和/或操作,其中,一个或多个移动设备策略(如,其可由企业定义和/或分配)可在浏览器上强制执行(如,使得浏览器的各种功能可根据一个或多个策略和/或基于设备状态信息被限制,浏览器的各种功能包括访问企业资源和/或其它内容和/或与企业资源和/或其它内容交互的浏览器的能力),并且受管浏览器可配置为在“非受管”模式通过和/或操作,其中,策略可不被强制执行,但是浏览器访问包括一个或多个企业资源的指定资源的能力可被限制。另外地或可选地,受管浏览器可扩展各种企业安全特征用于与移动设备应用使用,移动设备应用可配置为在浏览器内运行。例如,在自带设备(bring-your-own-device)(BYOD)方案中,企业可要求一些或其所有员工和/或其它用户在其各自移动设备上安装并使用受管浏览器以降低企业安全风险。另外,例如,受管浏览器还可用于使移动设备用户能够访问公司内部网和/或其它企业资源而不连接到虚拟私有网络(VPN)。例如,受管浏览器可实现和/或提供诸如在下面更详细讨论的隧穿功能以支持这种对公司内部网和/或其它企业资源的访问。
在步骤515中,一个或多个移动设备管理策略可应用于受管浏览器。例如,在步骤515中,计算设备和/或在计算设备上运行的MDM代理可应用一个或多个策略到受管浏览器,使得受管浏览器的某些功能可基于由MDM代理收集的状态信息可选择地启用或禁用。在一种或多种布置中,应用到受管浏览器的移动设备管理策略可另外地或可选地在受管浏览器执行期间控制计算设备的功能。在一些例子中,甚至当受管浏览器不在计算设备上执行(如,以及反而仅呈现在计算设备上)时,移动设备管理策略可另外地或可选地控制计算设备的功能。
在一些实施方案中,应用一个或多个移动设备管理策略到受管浏览器可包括提供状态信息到一个或多个策略管理服务器和从一个或多个策略管理服务器接收管理信息。例如,在应用一个或多个移动设备管理策略到受管浏览器时(如,在步骤515中),通过连接到并随后发送状态消息到一个或多个策略管理服务器,计算设备和/或在计算设备上运行的MDM代理可提供状态信息(如,其可包括在步骤505中加载的由MDM代理监测的至少一些状态信息)到一个或多个策略管理服务器。例如,该一个或多个策略管理服务器可由企业操作和/或控制,其分配和/或以其它方式实现将被应用到受管浏览器的一个或多个策略。另外地或可选地,一个或多个策略管理服务器可配置为分析状态信息(如,其可接收自一台或多台设备上的一个或多个MDM代理)并生成管理信息(如,其可接着被提供到一台或多台设备上的一个或多个MDM代理并随后由一台或多台设备上的一个或多个MDM代理接收)。例如,在提供状态信息到一个或多个策略管理服务器后,计算设备和/或在计算设备上运行的MDM代理可从一个或多个策略管理服务器接收管理信息,并且该管理信息可由一个或多个策略管理服务器基于所提供的状态信息生成。在一些例子中,管理信息可包括将由计算设备和/或由MDM代理执行的一个或多个命令。例如,管理信息可包括一个或多个命令,当其被执行时,促使计算设备和/或MDM代理可选择地启用和/或可选择地禁用受管浏览器的一个或多个功能。在其它例子中,管理信息可包括一个或多个策略更新。例如,管理信息可包括反映将被应用到受管浏览器的一个或多个新的和/或更新的策略的一个或多个策略更新。
在一些实施方案中,一个或多个移动设备管理策略中的至少一个策略可接收自策略管理服务器。例如,计算设备和/或在计算设备上的MDM代理可从由企业控制和/或使用的策略管理服务器接收一个或多个策略,其可发送和/或以其它方式提供将应用到计算设备的受管浏览器的一个或多个策略到计算设备和/或在计算设备上的MDM代理。在一些例子中,接收自策略管理服务器的移动设备管理策略可以是通用策略,其配置为应用到与企业相关的所有用户。在其它例子中,接收自策略管理服务器的移动设备管理策略可以是用户指定策略,其配置为应用到计算设备的特定用户,和/或接收自策略管理服务器的移动设备管理策略可以是指定角色策略,其配置为应用到在企业内具有特定角色(如,销售、会计、法务、工程师、经理等)的用户。
在步骤520中,可监测与设备相关的状态信息。例如,在步骤520中,计算设备和/或在计算设备上运行的MDM代理可监测指示计算设备当前状态(例如,通过收集、获得、评估和/或分析该状态信息)的状态信息。如上面所讨论的,可被MDM代理监测的设备状态信息的类型的一些示例可包括关于储存在设备上和/或在设备上运行的操作系统和/或应用的信息、关于对设备可用和/或由设备使用的网络连接的信息和/或关于设备当前位置的信息。
在步骤525中,一个或多个行为限制可在受管浏览器上强制执行。例如,在步骤525中,计算设备和/或在计算设备上运行的MDM代理可基于状态信息(如,在步骤520的监测期间收集和/或分析的状态信息)将一个或多个行为限制应用到受管浏览器上。例如,在将一个或多个行为限制在受管浏览器上强制执行时,基于例如指示计算设备位于特定位置或以某种方式使用的状态信息,计算设备和/或在计算设备上运行的MDM代理可禁用在受管浏览器内的某些功能。例如,如果包含在状态信息中的位置信息指示该设备在先前未注册为用户的家的位置或工作位置的位置中使用,可禁用受管浏览器内的某些功能以阻止用户访问企业资源和/或其它企业数据。
在一些实施方案中,在受管浏览器上强制执行一个或多个行为限制可包括限制对至少一个网络资源的访问。例如,在受管浏览器上强制执行一个或多个行为限制以限制对一个或多个网络资源的访问时,计算设备和/或在计算设备上运行的MDM代理可限制、阻止和/或以其它方式控制对某些网站和/或其它网络可访问信息的控制(如,使用禁用网站黑名单、许可网站白名单等)。在一些例子中,限制对一个或多个网络资源的访问可包括限制、阻止和/或以其它方式控制对可经由一个或多个公共和/或私有网络访问的企业资源和/或其它企业数据的访问。
在一些实施方案中,在受管浏览器上强制执行一个或多个行为限制可包括基于与计算设备相关的位置信息可选择地禁用受管浏览器的至少一个功能。例如,在受管浏览器上强制执行一个或多个行为限制时,当设备在某些位置时,计算设备和/或在计算设备上运行的MDM代理可应用一个或多个基于位置的策略到受管浏览器,这种策略可选择地限制和/或许可受管浏览器的某些功能。例如,当设备在或不在一个或多个特定位置时,基于位置的策略可阻止受管浏览器(和/或受管浏览器内的一个或多个功能)被使用。例如,当设备在或不在一个或多个特定位置时,另一个基于位置的策略可限制可使用受管浏览器访问网站、应用和/或其它资源。在一些例子中,基于位置的策略可限定应用策略或不应用策略的一个或多个区域,并且一个或多个区域可地理地(如,根据地理坐标)和/或语义地(如,使用诸如“家”或“工作”的标签)限定。
在一些实施方案中,在受管浏览器上强制执行一个或多个行为限制可包括基于与计算设备相关的应用编目信息可选择地禁用受管浏览器的至少一个功能。例如,在将一个或多个行为限制在受管浏览器上强制执行时,基于与计算设备相关的应用编目信息,计算设备和/或在计算设备上运行的MDM代理可以可选择地禁用受管浏览器的一个或多个功能。例如,这些应用编目信息可包括在计算设备上运行的、在计算设备上安装的和/或以其它方式呈现在计算设备上的应用清单,以及关于包含在清单内的应用中的每一个的状态信息(如,指示应用是否打开、应用是否是本地执行、应用是否远程执行、应用是否在受管浏览器内运行等)和/或关于应用的其它信息。例如,如果一个或多个指定应用在计算设备上运行、安装在计算设备上和/或以其它方式呈现在计算设备上,计算设备和/或在计算设备上运行的MDM代理可决定可选择地禁用受管浏览器的一个或多个功能,在一些例子中,这可包括可选择地阻止受管浏览器访问指定的企业资源、修改指定的企业数据和/或执行其它功能。
在一些实施方案中,在受管浏览器上强制执行一个或多个行为限制可包括可选择地擦除与受管浏览器相关的一个或多个高速缓存。例如,在受管浏览器上强制执行一个或多个行为限制时,计算设备和/或在计算设备上运行的MDM代理可应用一个或多个高速缓存清除策略到受管浏览器,以便促使受管浏览器的一个或多个高速缓存在特定环境中被可选择地擦除(如,通过计算设备、通过在计算设备上运行的MDM代理、通过受管浏览器自身等)。例如,基于指示设备正在特定位置使用和/或以特定方式使用的状态信息,高速缓存清除策略可促使受管浏览器的一个或多个高速缓存被可选择地擦除。在可选择地擦除受管浏览器的高速缓存时,计算设备和/或在计算设备上运行的MDM代理可删除包含在高速缓存中的所有数据或仅删除包括在高速缓存中的一些数据(如,仅受管企业数据可被删除,而非受管私人数据可不被删除)。另外地或可选地,高速缓存清除策略可被网络管理员使用以主动启动一个或多个受管浏览器(如,在各种设备上)的一个或多个高速缓存被擦除的过程。
在一些实施方案中,应用一个或多个移动设备管理策略到受管浏览器可包括基于与受管浏览器的用户相关的身份信息确定一个或多个策略组的第一策略组适用于所述用户,并随后确定应用第一策略组到受管浏览器。例如,不同的策略可应用于受管浏览器的不同用户。在应用一个或多个移动设备管理策略到受管浏览器时,计算设备和/或在计算设备上运行的MDM代理可基于关于计算设备的当前用户的身份信息(如,基于当前登入计算设备的用户账号)确定将被应用的适合的策略组。例如,指定策略组可强加于特殊用户和/或特殊用户组。例如,当用户是企业内的第一组的部分或用户具有企业内的第一角色时,可应用第一策略组,并且当用户是企业内的第二组的部分或用户具有企业内的第二角色(如,这可不同于第一角色)时,可应用第二策略组(如,这可不同于第一策略组)。
图6描述了根据本文所讨论的一个或多个说明性方面示出将一个或多个移动设备管理策略应用到应用隧穿功能的方法的流程图。在一个或多个实施方案中,可通过计算设备(例如,通用计算设备201)执行图6中示出的方法和/或其一个或多个步骤。在其它实施例中,可以用计算机可执行指令实施图6中示出的方法和/或其一个或多个步骤,其中计算机可执行指令存储在诸如非暂时性计算机可读存储器的计算机可读介质中。
如在图6中可见的,方法可从步骤605开始,其中,移动设备管理(MDM)代理可被初始化。例如,在步骤605中,计算设备(如,移动计算设备,例如,膝上计算机、平板计算机、智能手机或其它类型的移动设备)可初始化MDM代理,类似于这种MDM代理在(上面讨论的)步骤505中可被初始化的方式。在一种或多种布置中,在MDM代理在计算设备上被初始化后(如,在步骤605中),计算设备和/或在计算设备上运行的MDM代理可提供信息到一个或多个策略管理服务器和/或可从一个或多个策略管理服务器接收一个或多个命令(如,这可影响设备的状态),类似于在上面讨论的示例中这种信息可被提供的方式和这种命令可被接收的方式。
在步骤610中,与移动计算设备相关的状态信息可由移动设备管理代理监测。例如,在步骤610中,移动计算设备和/或在移动计算设备上运行的MDM代理可收集、维护、评估、分析和/或以其它方式检测各种类型的状态信息,类似于在上面(如,关于图5)讨论的示例中可由MDM代理和/或计算设备监测这种状态信息的方式。
在一些实施方案中,检测状态信息可包括提供至少一些状态信息到一个或多个策略管理服务器和从一个或多个策略管理服务器接收管理信息。例如,在监测状态信息时(如,在步骤610中),通过连接到并随后发送状态消息到一个或多个策略管理服务器,计算设备和/或在计算设备上运行的MDM代理可提供由MDM代理监测的至少一些状态信息到一个或多个策略管理服务器。例如,该一个或多个策略管理服务器可由企业操作和/或控制,其分配和/或以其它方式实现将被应用到应用隧穿功能的一个或多个策略,如下面所讨论的。另外地或可选地,一个或多个策略管理服务器可配置为分析状态信息(如,其可接收自一台或多台设备上的一个或多个MDM代理)并生成管理信息(如,其可接着被提供到一台或多台设备上的一个或多个MDM代理并随后由一台或多台设备上的一个或多个MDM代理接收)。例如,在提供状态信息到一个或多个策略管理服务器后,计算设备和/或在计算设备上运行的MDM代理可从一个或多个策略管理服务器接收管理信息,并且该管理信息可由一个或多个策略管理服务器基于所提供的状态信息生成。在一些例子中,管理信息可包括将由计算设备和/或由MDM代理执行的一个或多个命令。例如,管理信息可包括一个或多个命令,当其被执行时,促使计算设备和/或MDM代理可选择地启用和/或可选择地禁用一个或多个指定应用的应用隧穿功能,如下面所讨论的。在其它例子中,管理信息可包括一个或多个策略更新。例如,管理信息可包括反映将被应用到应用隧穿功能的一个或多个新的和/或更新的策略的一个或多个策略更新。
在一些实施方案中,监测状态信息可包括识别呈现在移动计算设备上的一个或多个应用。例如,在识别呈现在移动计算设备上的一个或多个应用时,移动计算设备和/或在移动计算设备上运行的MDM代理可检查一个或多个存储设备(如,其可被连接到计算设备和/或可以其它方式可由计算设备访问)和/或安装日志(如,其可由计算设备维护)以确定什么应用储存在计算设备上、安装在计算设备上、先前在计算设备上运行和/或当前在计算设备上运行。
在一些实施方案中,监测状态信息可包括识别由移动计算设备使用的一个或多个网络连接。例如,在识别由移动计算设备使用的一个或多个网络连接时,移动计算设备和/或在移动计算设备上运行的MDM代理可检查一个或多个网络接口和/或其它网络设备(如,其可被连接到计算设备和/或以其它方式对计算设备可用)和/或一个或多个连接日志(如,其可由计算设备维护)以确定可由计算设备访问和/或在计算设备范围内的网络、计算设备先前连接到的网络和/或计算设备当前连接到的网络。
在一些实施方案中,监测状态信息可包括确定移动计算设备的当前位置信息。例如,在确定移动计算设备的当前位置信息时,移动计算设备和/或在移动计算设备上运行的MDM代理可确定和/或促使一个或多个其它组件(如,GPS接收器、其它定位组件等)和/或设备以确定移动计算设备的当前定位。在一些例子中,位置信息可包括指示移动计算设备的当前定位的地理坐标。在一些例子中,位置信息可包括指示与一个或多个用户指定的地标(如,“家”或“工作”)相关的移动计算设备的当前定位的语义标签。例如,在应用和/或强制执行一个或多个基于位置的移动设备管理策略时,这些位置中的任意和/或全部位置可由移动计算设备和/或由在移动计算设备上运行的MDM代理使用。
在步骤615中,基于所监测的状态信息,一个或多个策略可应用到移动计算设备上的应用隧穿功能。例如,在步骤615中,移动计算设备和/或在移动计算设备上运行的MDM代理可应用一个或多个移动设备管理策略到计算设备上的应用隧穿功能,使得应用隧穿功能的某些方面可基于由MDM代理监测的状态信息可选择地启用或禁用。在一种或多种布置中,例如,应用隧穿功能可启用特定应用和/或在移动计算设备上运行的其它过程以建立到企业服务器和/或其它企业资源的VPN样式的隧道(如,其可使这种应用安全地访问企业数据)。
在一些实施方案中,应用一个或多个策略到移动计算设备上的应用隧穿功能可包括启用至少一个应用隧道。例如,在启用至少一个应用隧道时,基于一个或多个移动设备管理策略(如,其可支配环境,其中,可以和/或不可建立到包括指定企业资源的指定资源的应用隧道),计算设备和/或在计算设备上运行的MDM代理许可和/或建立到一个或多个资源(如,其可包括一个或多个企业资源)的一个或多个应用隧道。在许可和/或建立一个或多个应用隧道时,计算设备和/或在计算设备上运行的MDM代理可鉴于设备状态信息来评估一个或多个移动设备管理策略,以确定是否可许可建立到指定资源(如,其可以是企业资源)的应用隧道。例如,如果计算设备和/或在计算设备上运行的MDM代理确定可许可建立到指定资源的应用隧道,则计算设备和/或在计算设备上运行的MDM代理可建立应用隧道和/或促使应用隧道的建立(如,通过连接到指定资源和/或以其它方式与指定资源通信)。另一方面,如果计算设备和/或在计算设备上运行的MDM代理确定不可许可建立到指定资源的应用隧道,则计算设备和/或在计算设备上运行的MDM代理可阻止建立应用隧道。
在一些实施方案中,(如,应用到应用隧穿功能的)一个或多个策略中的至少一个策略可接收自策略管理服务器。例如,在将一个或多个策略应用到应用隧穿功能前,计算设备和/或在计算设备上运行的MDM代理可从策略管理服务器接收一个或多个策略,并且例如,一个或多个所接收的策略可限定指定环境,其中,对于指定的应用和/或服务,某些应用隧穿功能应被可选择地启用和/或可选择地禁用。在从这种策略管理服务器(如,其可由实现策略的企业操作和/或控制)接收这种策略后,计算设备和在计算设备上运行的MDM代理可接着应用一个或多个所接收的策略到移动计算设备上的应用隧穿功能(如,根据策略和/或基于设备状态信息,通过可选择地启用和/或可选择地禁用指定应用的应用隧穿功能)。
在一些实施方案中,应用一个或多个策略到移动计算设备上的应用隧穿功能可包括基于所监测的状态信息可选择地禁用移动计算设备上的一个或多个应用的应用隧穿功能。例如,在可选择地禁用一个或多个应用的应用隧穿功能时,基于一个或多个移动设备管理策略(如,其可支配状态信息影响应用隧穿功能的方式),计算设备和/或在计算设备上运行的MDM代理可基于指示某些条件满足和/或不满足的状态信息确定禁用和/或随后禁用特定应用的应用隧穿功能。例如,基于正呈现在设备上的某些应用、基于正连接到某些网络的设备和/或基于放置在特定位置的设备,计算设备和/或在计算设备上运行的MDM代理可以可选择地禁用一个或多个应用的应用隧穿功能。
在一些实施方案中,应用一个或多个策略到移动计算设备上的应用隧穿功能可包括可选择地启用和/或可选择地禁用到一个或多个指定资源的隧穿。例如,在可选择地启用和/或可选择地禁用到一个或多个指定资源的隧穿时,基于一个或多个移动设备管理策略,计算设备和/或在计算设备上运行的MDM代理可选择地激活和/或允许一个或多个指定应用和/或其它进程建立和/或使用到一个或多个指定企业资源的隧道。另外地或可选地,在可选择地启用和/或可选择地禁用到一个或多个指定资源的隧穿时,计算设备和/或在计算设备上运行的MDM代理可选择地禁止和/或阻止一个或多个指定应用和/或其它进程建立和/或以其他方式使用到一个或多个指定企业资源的隧道。另外,例如,基于一个或多个移动设备管理策略和/或基于设备状态信息(如,其可由计算设备和/或由MDM代理监测,如上面所讨论的),计算设备和/或在计算设备上运行的MDM代理可确定可选择地启用和/或可选择地禁用到一个或多个指定资源的隧穿。因此,设备状态信息的改变可促使计算设备和/或在计算设备上运行的MDM代理可选择地启用和/或可选择地禁用到一个或多个指定企业资源的隧穿。
在一些实施方案中,应用一个或多个策略到移动计算设备上的应用隧穿功能可包括限制可经由应用隧穿功能交换的内容。例如,在限制可经由应用隧穿功能交换的内容时,基于一个或多个移动设备管理策略,计算设备和/或在计算设备上运行的MDM代理确定阻止和/或随后阻止一种或多种类型的数据经由VPN样式的隧道发送和/或接收,VPN样式的隧道可以在访问各种企业资源和/或与各种企业资源交互时由各种应用建立和/或使用。例如,基于正呈现在设备上的某些应用、基于正连接到某些网络的设备和/或基于放置在特定位置的设备,计算设备和/或在计算设备上运行的MDM代理可阻止经由应用隧穿功能交换诸如高度安全数据或极度机密数据的某些类型的数据。
在一些实施方案中,应用一个或多个策略到移动计算设备上的应用隧穿功能可包括限制可经由应用隧穿功能实施的操作。例如,在限制可经由应用隧穿功能实施的操作时,基于一个或多个移动设备管理策略,计算设备和/或在计算设备上运行的MDM代理可阻止某些类型的操作经由VPN样式的隧道实施,VPN样式的隧道可在访问各种企业资源和/或与各种企业资源交互时由各种应用建立和/或使用。例如,基于正呈现在设备上的某些应用、基于正连接到某些网络的设备和/或基于放置在特定位置的设备,计算设备和/或在计算设备上运行的MDM代理可阻止实施诸如写操作的某些类型的操作(如,同时允许实施读操作)。
图7描述了根据本文所讨论的说明性方面示出将一个或多个移动设备管理策略应用到设备云的方法的流程图。在一个或多个实施方案中,可通过计算设备(例如,通用计算设备210)执行图7中示出的方法和/或其一个或多个步骤。在其它实施例中,可以用计算机可执行指令实施图7中示出的方法和/或其一个或多个步骤,其中计算机可执行指令存储在诸如非暂时性计算机可读存储器的计算机可读介质中。
如在图7中可见的,方法可从步骤705开始,其中,移动设备管理(MDM)代理可被初始化。例如,在步骤705中,计算设备(如,移动计算设备,例如膝上计算机、平板计算机、智能电话或移动设备的其它类型)可初始化MDM代理,类似于在(上面讨论的)步骤505中初始化MDM代理的方式。在一种或多种布置中,在MDM代理在计算设备上初始化后(如,在步骤705中),计算设备和/或在计算设备上运行的MDM代理可提供信息到一个或多个策略管理服务器和/或可从一个或多个策略管理服务器接收一个或多个命令(例如,其可影响设备的状态),类似于在上面讨论的示例中这种信息可被提供的方式和这种命令可被接收的方式。例如,在提供所监测的状态信息的至少一些到一个或多个策略管理服务器后,计算设备和/或在计算设备上运行的MDM代理可基于所提供的状态信息从一个或多个策略管理服务器接收一个或多个命令(例如,如一个或多个策略管理服务器可接收所提供的状态信息、鉴于一个或多个移动设备管理策略分析所提供的状态信息、基于所提供的状态信息和/或基于一个或多个策略生成一个或多个命令以及将所生成的命令返回到计算设备和/或在计算设备上运行的MDM代理)。
在步骤710中,可建立到至少一个其它设备的连接以启动设备云。例如,在步骤710中,计算设备可建立到一个或多个其它计算设备的网络连接以启动设备云。在一种或多种布置中,例如,设备云可使两个或多个计算设备能够结合彼此使用以执行单一功能或任务。在典型的例子中,设备可由相同的用户使用和/或两台设备可位于接近彼此(如,在彼此的预定距离内)和/或接近用户(如,在用户的预定距离内)。在一些例子中,设备云可用于提供不被用户的设备中的一台设备支持但被用户设备的另一台设备支持的功能。例如,膝上计算机的用户可希望进行与另一人员的视频会议,但该膝上计算机可能不包括摄像机。然后,如果用户还有包括摄像机的智能手机(或其它计算设备),则设备云可用于动态链接由两台设备提供的功能,使得它们可用于提供视频会议。具体地,在这个示例中,可建立设备云以使用户的智能手机可用作视频会议的视频输入设备,而用户的膝上计算机可用于执行可涉及进行视频会议的其它功能(如,建立到其它人员的设备的连接、提供基于文本聊天的功能等)。虽然在一些实施方案中这个示例说明设备云可用于扩展一台或多台设备的功能的一些方式,但是在其它实施方案中这种设备云可以其它方式使用来扩展各种设备的另外的和/可选的功能。
在一种或多种布置中,可涉及设备云的两台或多台计算设备可以各种方式通信(如,以交换信息来促进经由设备云提供的一个或多个功能)。例如,两台或多台计算设备可使用无线LAN(WLAN)接口和/或信号、手机接口和/或信号、蓝牙接口和/或信号和/或任何其它通信接口和/或信号通信。在一些例子中,在涉及设备云的一台或多台计算设备上执行的编制引擎可管理涉及设备云的计算设备之间的交互和/或其它通信。
在步骤715中,一个或多个策略可应用于设备云。在一个或多个实施方案中,一个或多个策略可配置为分配第一角色到一计算设备以及第二角色到参加设备云的至少一个其它设备。例如,在步骤715中,计算设备和/或在计算设备上运行的MDM代理可应用一个或多个移动设备管理策略到在步骤710中建立的设备云。另外地或可选地,一个或多个移动设备管理策略可限定待由涉及设备云的设备中的每一台设备实施的不同的角色。例如,在上面讨论的涉及视频会议的示例中,移动设备管理策略可分配视频捕捉角色到涉及设备云的智能手机,并且移动设备管理策略可分配连接维护角色到涉及设备云的膝上计算机。另外,在应用一个或多个策略到设备云时,计算设备和/或在计算设备上运行的MDM代理可监测由MDM代理收集的状态信息(如,类似于在上面讨论的示例中可监测这种信息的方式)并随后可基于状态信息强制执行一个或多个策略。
在一些实施方案中,应用到设备云的一个或多个策略可配置为控制一台或多台指定设备是否可连接到和/或参加设备云和/或一个或多个其它设备云。例如,在这种策略应用到设备云的例子中,计算设备和/或在计算设备上运行的MDM代理可定期监测参加设备云、请求访问设备云和/或以其它方式涉及设备云的设备。例如,这种监测可使计算设备和/或在计算设备上运行的MDM代理确定特定设备是否可加入设备云和/或特定设备是否应该从设备云移除。
在一些实施方案中,应用一个或多个策略到设备云可包括限制计算设备上的至少一个功能。例如,在应用一个或多个策略到设备云时,计算设备和/或在计算设备上的MDM代理可以可选择地启用、可选择地禁用和/或以其它方式控制计算设备上的一个或多个功能。另外地或可选地,在应用一个或多个策略到设备云时,计算设备和/或在计算设备上的MDM代理可促使参加设备云的其它计算设备上的一个或多个功能被可选择地启用、可选择地禁用和/或以其它方式被控制。在一些例子中,当设备云被连接和/或设备云会话已经结束后(如,设备云被断开后),应用到设备云(如,通过计算设备和/或通过MDM代理)的移动设备管理策略可选择地可以启用和/或禁用某些功能。例如,当设备云被连接时,应用到设备云的移动设备管理策略可阻止计算设备的用户访问/或编辑企业数据和/或企业资源。在另一个示例中,当设备云被连接时,应用到设备云的移动设备管理策略可阻止计算设备的用户复制/或粘贴企业数据到一个或多个聊天窗口。
在一些实施方案中,应用一个或多个策略到设备云包括控制计算设备上的至少一个应用。例如,在应用一个或多个策略到设备云时,计算设备和/或在计算设备上的MDM代理可以可选择地启用、可选择地禁用和/或以其它方式控制计算设备上的一个或多个应用。另外地或可选地,在应用一个或多个策略到设备云时,计算设备和/或在计算设备上的MDM代理可促使参加设备云的其它计算设备上的一个或多个应用被可选择地启用、可选择地禁用和/或以其它方式被控制。在一些例子中,当设备云被连接和/或设备云会话已经结束后(如,设备云被断开后),应用到设备云(如,通过计算设备和/或通过MDM代理)的移动设备管理策略可选择地可以启用和/或禁用某些应用。
在一些实施方案中,控制计算设备上的至少一个应用可包括禁用该应用。例如,在应用一个或多个策略到设备云时和/或在控制应用时,计算设备和/或在计算设备上的MDM代理可禁用应用(如,通过阻止应用被打开和/或执行、如果其已经打开则通过关闭应用等)。
在一些实施方案中,控制计算设备上的至少一个应用可包括促使涉及设备云的一个或多个应用创建应用隧道。例如,在应用一个或多个策略到设备云时和/或在控制应用时,计算设备和/或在计算设备上的MDM代理可促使一个或多个应用(如,其可在设备上运行和/或在参加设备云的一台或多台其它设备上运行)以创建一个或多个VPN样式的隧道(如,以访问一个或多个企业资源和/或以其它方式与一个或多个企业资源交互)。
在步骤720中,可评估与计算设备相关的状态信息。例如,在步骤720中,计算设备和/或在计算设备上的MDM代理可评估可由MDM代理已经收集和/或监测的各种类型的状态信息。在一些实施方案中,在评估状态信息时,计算设备和/或在计算设备上的MDM代理可分析与计算设备相关的网络连接信息。例如,这种网络连接信息可包括识别设备连接到的网络、与所识别的网络相关的各种属性的信息和/或与网络和/或网络连接相关的其它信息,其中,网络连接由计算设备使用和/或对计算设备可用。另外地或可选地,在评估状态信息时,计算设备和/或在计算设备上的MDM代理可分析与计算设备相关的位置信息。例如,这种位置信息可包括识别设备当前被放置的位置、设备先前被放置的位置、设备可行进的方向和/或速度的信息和/或指示设备当前位置的其它信息。
在一些实施方案中,在步骤720中评估的状态信息可包括与参加设备云的其它至少一台其它设备相关的状态信息。例如,在步骤720中,计算设备和/或在计算设备上运行的MDM代理可另外地或可选地评估状态信息,该状态信息从参加设备云的一台或多台其它设备获得和/或以其它方式与其相关。从其它设备获得的状态信息可类似于由MDM代理监测的状态信息,并且例如,从其它设备获得的状态信息可包括关于哪些程序呈现在其它设备上、是否放置了其它设备、其它设备被连接到的网络等的信息。
在步骤725中,基于状态信息,可确定是否已经违反一个或多个策略中的至少一个策略。例如,在步骤725中,基于在步骤720中评估的状态信息(如,其可包括位置信息和/或网络连接信息,如上面所讨论的),计算设备和/或在计算设备上运行的MDM代理可确定在步骤710中应用到设备云的一个或多个策略是否已经被违反。
在步骤725中,如果确定一个或多个策略的至少一个策略已经被违反,则在步骤730中,设备云可被断开。例如,在步骤730中,计算设备和/或在计算设备上运行的MDM代理可断开设备云的连接和/或以其它方式促使设备云被断开(如,通过发送断开请求和/或其它信息到一个或多个远程服务器和/或设备)。
另一方面,在步骤725中,如果确定一个或多个策略的至少一个策略没有被违反,则方法可结束。另外地或可选地,方法可在循环中继续,使得步骤720和725可周期性地重复(如,以重新评估状态信息和/或确定是否一个或多个策略已经被违反)。另外,在计算设备和/或在计算设备上运行的MDM代理从参加设备云的一台或多台其它设备获得和/或评估状态信息的例子中,类似的策略分析可使用从其它设备获得的状态信息实施(如,在步骤725中)并且如果识别到违反策略则类似地断开连接动作可被实施(如,在步骤730中)。
图8描述了根据本文所讨论的一个或多个说明性方面示出基于一个或多个移动设备管理策略可选择地禁用多模式应用的一个或多个模式的方法的流程图。在一个或多个实施方案中,可通过计算设备(例如,通用计算设备201)执行图8中示出的方法和/或其一个或多个步骤。在其它实施方案中,可以用计算机可执行指令实施图8中示出的方法和/或其一个或多个步骤,其中计算机可执行指令存储在诸如非暂时性计算机可读存储器的计算机可读介质中。
如在图8中可见的,方法可从步骤805开始,其中,移动设备管理(MDM)代理可被初始化。例如,在步骤805中,计算设备(如,移动计算设备,例如膝上计算机、平板计算机、智能电话或移动设备的其它类型)可初始化MDM代理,类似于在(上面讨论的)步骤505中初始化MDM代理的方式。在一种或多种布置中,MDM代理在计算机设备上初始化后(如,步骤805中),计算设备和/或在计算设备上运行的MDM代理可提供信息到一个或多个策略管理服务器和/或可从一个或多个策略管理服务器接收一个或多个命令,类似于在上面讨论的示例中这种信息可被提供的方式和这种命令可被接收的方式。例如,在提供所监测的状态信息的至少一些所监测的状态信息到一个或多个策略管理服务器后,计算设备和/或在计算设备上运行的MDM代理可基于所提供的状态信息从一个或多个策略管理服务器接收一个或多个命令(例如,如一个或多个策略管理服务器可接收所提供的状态信息、鉴于一个或多个移动设备管理策略分析所提供的状态信息、基于所提供的状态信息和/或基于一个或多个策略生成一个或多个命令以及将所生成的命令返回到计算设备和/或在计算设备上运行的MDM代理)。
在步骤810中,与移动计算设备相关的状态信息可由移动设备管理代理监测。例如,在步骤810中,移动计算设备和/或在移动计算设备上运行的MDM代理可收集、维护、评估、分析和/或以其它方式检测各种类型的状态信息,类似于在上面讨论的示例中(如,关于图6的步骤610)可由MDM代理和/或计算设备监测这种状态信息的方式。例如,在一些实施方案中,监测状态信息可包括识别呈现在移动计算设备上的一个或多个应用(例如,如在上面的示例中)。另外地或可选地,在一些实施方案中,监测状态信息可包括识别由移动计算设备使用的一个或多个网络连接。另外地或可选地,在一些实施方案中,监测状态信息可包括确定移动计算设备的当前位置信息。
在步骤815中,可评估与移动计算设备相关的当前使用模式。例如,在步骤815中,在评估移动计算设备的当前使用模式时,计算设备和/或在计算设备上运行的MDM代理可基于所监测的状态信息(如,在步骤810中监测的状态信息)确定计算设备是否在企业模式中使用。例如,如果计算设备和/或在计算设备上运行的一个或多个应用当前在访问、编辑、储存和/或以其它方式与企业数据交互(如,从一个或多个企业资源获得的信息),而不是仅与非受管数据交互(如,非企业数据,例如用户的个人数据,像个人通讯录、笔记等),可确定计算设备在企业模式中使用。
在一些实施方案中,响应于确定移动计算设备未在企业模式中使用(如,在步骤815中评估设备的当前使用模式),计算设备和/或在计算设备上运行的MDM代理可确定可选择地禁用多模式应用(如,双模式应用,如下面所讨论的)中的至少一个模式。例如,响应于确定计算设备未在企业模式中使用,计算设备和/或在计算设备上运行的MDM代理可确定可选择地禁用双模式应用中的受管模式(如,而允许应用在非受管模式运行和/或继续在非受管模式运行)。
在一些实施方案中,在评估移动计算设备的当前使用模式时(如,在步骤815中),计算设备和/或在计算设备上运行的移动设备管理代理可提供所监测的状态信息的至少一些所监测的状态信息到一个或多个策略管理服务器。例如,一个或多个策略管理服务器可配置为接收这种状态信息、分析状态信息(如,鉴于一个或多个移动设备管理策略)和基于状态信息的分析将一个或多个命令反过来提供到移动设备管理代理和/或计算设备。另外地或可选地,在提供所监测的状态信息的至少一些所监测的状态信息到一个或多个策略管理服务器后,计算设备和/或在计算设备上运行的移动设备管理代理可从一个或多个策略管理服务器接收管理信息。在一些实施方案中,所接收的管理信息可包括一个或多个命令,其相应可包括指示计算设备和/或在计算设备上运行的移动设备管理代理是否应该禁用多模式应用的一个或多个模式的信息,多模式应用是在设备上执行或配置为在设备上执行的,如下面所讨论的。另外地或可选地,接收自一个或多个策略管理服务器的管理信息可包括一个或多个策略更新(如,其可指定一个或多个新的和/或更新的策略用于可选择地禁用多模式应用中的一个或多个模式和/或以其它方式应用到多模式应用)。
在步骤820中,基于状态信息,多模式应用的一个或多个模式可选择地被禁用。例如,在步骤820中,计算设备和/或在计算设备上运行的MDM代理可以可选择地禁用多模式应用中的一个或多个模式。在一些例子中,基于在步骤815中的评估和/或所做出的决定,计算设备和/或在计算设备上运行的MDM代理可以可选择地禁用应用的一个或多个模式和/或促使应用的一个或多个模式被禁用。另外地或可选地,一个或多个移动设备管理策略可限定特定环境,其中,应用的特定模式可被禁用,并且计算设备/或MDM代理可基于状态信息检测这些环境并随后根据策略禁用应用模式。在所监测的状态信息的至少一些所监测的状态信息被提供到一个或多个策略管理服务器的一些例子中,在步骤820中,基于接收自一个或多个策略管理服务器的管理信息(如,其可由一个或多个策略管理服务器基于所提供的状态信息的分析生成),计算设备和/或在计算设备上运行的MDM代理可以可选择地禁用多模式应用中的一个或多个模式。另外,例如,管理信息可包括指定多模式应用中的一个或多个指定模式应禁用的一个或多个命令。另外地或可选地,例如,管理信息可包括一个或多个策略更新。
在一种或多种布置中,多模式应用可以是双模式应用。例如,多模式应用可以是具有配置为提供对企业数据的访问的受管模式以及配置为将访问限于非企业数据的非受管模式(如,并且反而提供仅对个人的、非受管数据的访问)的双模式应用。在一些例子中,基于由计算设备和/或在计算设备上运行的MDM代理监测的状态信息(如,在步骤815中),计算设备和/或在计算设备上运行的MDM代理可以可选择地禁用受管模式(如,在步骤820中)。一旦双模式应用的受管模式已经被禁用,应用可能够仅在非受管模式运行和/或继续在非受管模式运行(如,直到受管模式被计算设备和/或在计算设备上运行的MDM代理启用)。
另外地或可选地,多模式应用可以是具有配置为提供对企业数据的访问的第一级别的第一模式和配置为提供对企业数据的访问的第二级别的第二模式,其中,访问的第二级别高于访问的第一级别。例如,多模式应用成本可以是具有“安全”模式和“超级安全”模式的双模式应用,其可基于计算设备和/或在计算设备上运行的MDM代理监测的状态信息可选择地被禁用(如,在步骤820中)。
图9描述了根据本文所讨论的说明性方面示出强制将一个或多个移动设备管理策略应用到一个或多个应用的方法的流程图。在一个或多个实施方案中,可通过计算设备(例如,通用计算设备201)执行图9中示出的方法和/或其一个或多个步骤。在其它实施例中,可以用计算机可执行指令实施图9中示出的方法和/或其一个或多个步骤,其中计算机可执行指令存储在诸如非暂时性计算机可读存储器的计算机可读介质中。
如在图9中可见的,方法可从步骤905开始,其中,移动设备管理(MDM)代理可被初始化。例如,在步骤905中,计算设备(如,移动计算设备,例如膝上计算机、平板计算机、智能电话或移动设备的其它类型)可初始化MDM代理,类似于在(上面讨论的)步骤505中初始化MDM代理的方式。在一种或多种布置中,在MDM代理在计算设备上初始化后(如,在步骤905中),计算设备和/或在计算设备上运行的MDM代理可提供信息到一个或多个策略管理服务器和/或可从一个或多个策略管理服务器接收一个或多个命令(例如,其可影响设备的状态),类似于在上面讨论的示例中这种信息可被提供的方式和这种命令可被接收的方式。例如,在提供所监测的状态信息的至少一些到一个或多个策略管理服务器后,计算设备和/或在计算设备上运行的MDM代理可基于所提供的状态信息从一个或多个策略管理服务器接收一个或多个命令(如,由于一个或多个策略管理服务器可接收所提供的状态信息、鉴于一个或多个移动设备管理策略分析所提供的状态信息、基于所提供的状态信息和/或基于一个或多个策略生成一个或多个命令以及将所生成的命令返回到计算设备和/或在计算设备上运行的MDM代理)。
在步骤910中,与移动计算设备相关的状态信息可由移动设备管理代理监测。例如,在步骤910中,移动计算设备和/或在移动计算设备上运行的MDM代理可收集、维护、评估、分析和/或以其它方式检测各种类型的状态信息,类似于在上面讨论的示例中(如,关于图6的步骤610)可由MDM代理和/或计算设备监测这种状态信息的方式。例如,在一些实施方案中,监测状态信息可包括识别呈现在移动计算设备上的一个或多个应用(例如,如在上面的示例中)。另外地或可选地,在一些实施方案中,监测状态信息可包括识别由移动计算设备使用的一个或多个网络连接。另外地或可选地,在一些实施方案中,监测状态信息可包括确定移动计算设备的当前位置信息。在一种或多种布置中,监测状态信息可包括提供所监测的状态信息的至少一些所监测的状态信息到一个或多个策略管理服务器。例如,在监测状态信息时(如,在步骤910中),计算设备和/或在计算设备上运行的MDM代理可发送所监测的状态信息的至少一些所监测的状态信息到一个或多个策略管理服务器(如,其可配置为分析这些状态信息,如上面所讨论的)。
在步骤915中,基于所监测的状态信息,一个或多个策略可在移动计算设备上的至少一个应用上强制执行。例如,在步骤915中,基于所监测的状态信息(如,在步骤910中),计算设备和/或在计算设备上运行的MDM代理可使一个或多个策略在设备上的应用上强制执行。一个或多个移动设备管理策略可限定特定环境,其中,特定应用的特定功能将被启用、禁用和/修改,并且计算设备/或MDM代理可基于状态信息检测这些环境并随后根据策略启用、禁用和/修改这些功能。
在一种或多种布置中,在至少一个应用中强制执行一个或多个策略可包括从一个或多个策略管理服务器接收管理信息和执行包括在管理信息中的至少一个命令。例如,在至少一个应用中强制执行一个或多个策略时(如,在步骤915中),移动计算设备和/或在移动计算设备上运行的MDM代理可从一个或多个策略管理服务器接收包括一个或多个命令的管理信息(如,其可基于在步骤910中提供到一个或多个策略管理服务器的和由其接收的设备状态信息,由一个或多个策略管理服务器生成)。另外地或可选地,在从一个或多个策略管理服务器接收这种命令后,移动计算设备和/或在移动计算设备上运行的MDM代理可执行所接收命令中的一个或多个命令,以便强制执行一个或多个策略和/或以其它方式将一个或多个限制强加到遭受策略的应用。例如,从一个或多个策略管理服务器接收的一个或多个命令可指定应用的指定功能(如,剪切-和-复制功能、保存功能等)应被可选择地禁用(如,鉴于由设备状态信息反映的当前环境)。在一些例子中,管理信息可另外地或可选地包括一个或多个策略更新,例如,其可包括将被应用到至少一个应用的新的和/或更新的策略。
在一些例子中,应用(如,在步骤915中被强制执行策略的应用)可以是封装的应用(如,其可使用应用管理框架封装,例如上面讨论的应用管理框架414)。在将策略在封装的应用上强制执行时,在计算设备上运行的MDM代理可与应用封装器和/或应用管理框架通信以可选择地启用和/或禁用应用的特定功能和/或做出对应用和/或应用封装器的配置改变。
在一些实施方案中,强制执行一个或多个策略可包括基于所监测的状态信息禁用至少一个应用。例如,在步骤915中,计算设备和/或在计算设备上运行的MDM代理可基于状态信息(如,在步骤910中所监测的)可选择地禁用应用的一个或多个功能(如,保存数据功能、远程访问功能等)。
在一些实施方案中,强制执行一个或多个策略可包括重配置至少一个应用。例如,在步骤915中,计算设备和/或在计算设备上运行的MDM代理可基于状态信息重配置应用(如,通过将应用连接到不同的后台或云,例如,基于设备的当前网络连接的状态和/或性质)。
图10描述了根据本文所讨论的一个或多个说明性方面示出基于设备状态信息控制安全文档容器的方法的流程图。在一个或多个实施方案中,可通过计算设备(例如,通用计算设备201)执行图10中示出的方法和/或其一个或多个步骤。在其它实施例中,可以用计算机可执行指令实施图10中示出的方法和/或其一个或多个步骤,其中计算机可执行指令存储在诸如非暂时性计算机可读存储器的计算机可读介质中。
如在图10中可见的,方法可从步骤1005开始,其中,移动设备管理(MDM)代理可被初始化。例如,在步骤1005中,计算设备(如,移动计算设备,例如膝上计算机、平板计算机、智能电话或移动设备的其它类型)可初始化MDM代理,类似于在(上面讨论的)步骤505中初始化MDM代理的方式。在一种或多种布置中,MDM代理在计算机设备上初始化后(如,步骤1005中),计算设备和/或在计算设备上运行的MDM代理可提供信息到一个或多个策略管理服务器和/或可从一个或多个策略管理服务器接收一个或多个命令,类似于在上面讨论的示例中这种信息可被提供的方式和这种命令可被接收的方式。例如,在提供所监测的状态信息的至少一些所监测的状态信息到一个或多个策略管理服务器后,计算设备和/或在计算设备上运行的MDM代理可基于所提供的状态信息从一个或多个策略管理服务器接收一个或多个命令(如,由于一个或多个策略管理服务器可接收所提供的状态信息、鉴于一个或多个移动设备管理策略分析所提供的状态信息、基于所提供的状态信息和/或基于一个或多个策略生成一个或多个命令以及将所生成的命令返回到计算设备和/或在计算设备上运行的MDM代理)。
在步骤1010中,与移动计算设备相关的状态信息可由移动设备管理代理监测。例如,在步骤1010中,移动计算设备和/或在移动计算设备上运行的MDM代理可收集、维护、评估、分析和/或以其它方式检测各种类型的状态信息,类似于在上面讨论的示例中(如,关于图6的步骤610)可由MDM代理和/或计算设备监测这种状态信息的方式。例如,在一些实施方案中,监测状态信息可包括识别呈现在移动计算设备上的一个或多个应用(例如,如在上面的示例中)。另外地或可选地,在一些实施方案中,监测状态信息可包括识别由移动计算设备使用的一个或多个网络连接。另外地或可选地,在一些实施方案中,监测状态信息可包括确定移动计算设备的当前位置信息。在一种或多种布置中,监测状态信息可包括提供所监测的状态信息的至少一些所监测的状态信息到一个或多个策略管理服务器。例如,在监测状态信息时(如,在步骤1010中),计算设备和/或在计算设备上运行的MDM代理可发送所监测的状态信息的至少一些所监测的状态信息到一个或多个策略管理服务器(如,其可配置为分析这些状态信息,如上面所讨论的)。
在步骤1015中,基于所监测的状态信息,可控制安全文档容器。例如,在步骤1015中,基于所监测的状态信息(如,在步骤1010中),计算设备和/或在计算设备上运行的MDM代理可控制安全文档容器。在一种或多种布置中,安全文档容器可以是计算设备上的数据储存库,其配置为安全地储存由移动计算设备接收自一个或多个企业资源的企业数据。另外地或可选地,一个或多个移动设备管理策略可限定特定环境,其中,对安全文档容器的访问将被限制、修改和/以其它方式控制,并且计算设备/或MDM代理可基于状态信息检测这些环境并随后根据策略限制、修改和/以其它方式控制对安全文档容器的访问。在其它例子中,安全文档容器的其它方面(如,不同于对安全文档容器的访问)可类似地由一个或多个移动设备管理策略控制。
在一种或多种布置中,控制安全文档容器可包括从一个或多个策略管理服务器接收管理信息和执行包括在管理信息中的至少一个命令。例如,在控制安全文档容器时(如,在步骤1015中),移动计算设备和/或在移动计算设备上运行的MDM代理可从一个或多个策略管理服务器接收包括一个或多个命令的管理信息(如,其可基于在步骤1010中提供到一个或多个策略管理服务器的和由其接收的设备状态信息,由一个或多个策略管理服务器生成)。另外地或可选地,在从一个或多个策略管理服务器接收这种命令后,移动计算设备和/或在移动计算设备上运行的MDM代理可执行所接收命令中的一个或多个命令,以便强制执行一个或多个策略和/或以其它方式将一个或多个限制强加到安全文档容器。例如,从一个或多个策略管理服务器接收的一个或多个命令可指定数据的指定类型可以或不可以被访问、储存、修改和/或以其它方式与安全文档容器交互(如,鉴于由设备状态信息反映的当前环境)。在一些例子中,管理信息可另外地或可选地包括一个或多个策略更新,例如,其可包括将被应用到至少一个应用的新的和/或更新的策略。
在一些实施方案中,控制安全文档容器可包括基于所监测的状态信息控制对储存在安全文档容器中的数据的访问。例如,在控制安全文档容器时,基于所监测的状态信息(如,在步骤1010中),计算设备和/或在计算设备上运行的MDM代理可控制对储存在安全文档容器中的数据的访问。
在一些实施方案中,控制安全文档容器可包括基于所监测的状态信息可选择地从安全文档容器中擦除数据。例如,在控制安全文档容器时,基于所监测的状态信息(如,在步骤1010中),计算设备和/或在计算设备上运行的MDM代理可以可选择地从安全文档容器中擦除数据。在一些例子中,可选择地从安全文档容器擦除数据可包括删除安全文档容器中的受管的和/或企业数据,而留下(并且不删除)安全文档容器的非受管和/或非企业数据。在其它例子中,数据的不同类型可从安全文档容器中删除(如,基于一个或多个移动设备管理策略)而安全文档容器中的其它数据类型被留下。在一些例子中,可选择地从安全文档容器擦除数据可基于一个或多个移动设备管理策略和/或基于设备状态的改变(如,其可牵涉各种策略和/或调用对设备状态的改变的各种基于策略的响应),如在下面讨论的示例中所说明的。
在步骤1020中,可接收企业数据。例如,在步骤1020中,计算设备和/或在计算设备上运行的MDM代理可接收企业数据(如,来自一个或多个企业资源,例如一个或多个企业数据库和/或服务器)。
在步骤1025中,所接收的企业数据可储存在安全文档容器中。例如,在步骤1025中,计算设备和/或在计算设备上运行的MDM代理可将企业数据(如,其可在步骤1020中已经被接收)储存在安全文档容器中。
在步骤1030中,可基于所监测的状态信息确定设备状态的改变是否已经被检测到。例如,在步骤1030中,基于所监测的状态信息(如,在步骤1030中),计算设备和/或在计算设备上运行的MDM代理可确定设备状态的改变是否已经被检测到。例如,在确定设备状态的改变是否已经被检测到时,计算设备和/或在计算设备上运行的MDM代理可确定新应用是否已经被安装到和/或以其它方式添加到计算设备、应用是否已经从计算设备删除、由计算设备使用的网络连接是否已经改变和/或计算设备被使用时的位置是否已经改变。虽然在一些例子中,这些示例说明检测到的状态信息的改变的类型,但是在其它例子中,状态信息的改变的另外的和/或可选的类型可类似地被检测。
在步骤1030中,如果确定设备状态的改变没有被检测到,则在步骤1035中,状态信息的监测可继续。例如,在步骤1035中,计算设备和/或在计算设备上运行的MDM代理可继续监测状态信息(如,类似于在步骤1010中状态信息可被监测的方式)。随后,方法可结束。可选地,方法可在循环中接续并返回到步骤1030,其中,计算设备和/或在计算设备上运行的MDM代理可定期重新评估设备状态的改变是否已经被检测到。
另一方面,如果在步骤1030中确定设备状态的改变已经被检测到,则在步骤1040中,计算设备和/或在计算设备上运行的MDM代理可确定可选择地从安全文档容器擦除数据。在一些例子中,设备状态的改变可由一个或多个策略管理服务器检测(如,基于由MDM代理提供到这些服务器的设备状态信息),并且可基于接收自策略管理服务器的一个或多个命令(如,其可配置为分析设备状态信息并随后基于该分析生成这种命令)在步骤1040中确定以可选择地擦除安全文档容器中的数据。随后,在步骤1045中,计算设备和/或在计算设备上运行的MDM代理可从安全文档容器擦除数据和/或促使数据从安全文档容器中擦除。在一些例子中,计算设备和/或MDM代理可擦除安全文档容器中的企业数据(如,在步骤1020中接收的和在步骤1025中储存在安全文档容器中的企业数据),而留下安全文档容器中的其它数据(如,不删除其它数据)。在其它例子中,计算设备和/或MDM代理可从安全文档容器擦除在特定时间段期间(如,在最后四个小时内)接收和/或储存的数据而留下其它数据(如,在不同时间段期间接收和/或储存的数据。在又一个其它例子中,计算设备和/或MDM代理可从安全文档容器擦除结合特定应用(如,web浏览器)接收和/或储存的数据而留下其它数据(如,其可以是与其它应用相关的数据,例如字处理应用、电子表格应用等)。
在一种或多种布置中,被擦除的数据(如,在步骤1045中)可根据一个或多个移动设备管理策略被删除(如,由计算设备和/或在计算设备上运行的MDM代理)。例如,一个或多个移动设备管理策略可限定特定环境,其中,数据的特定类型将可选择地从安全文档容器中擦除,并且计算设备/或MDM代理可基于状态信息检测这些环境并随后根据策略从安全文档容器中擦除数据。
图11描述了根据本文所讨论的一个或多个说明性方面示出基于设备状态信息动态修改移动设备管理策略强制执行方案的方法的流程图。在一个或多个实施方案中,可通过计算设备(例如,通用计算设备201)执行图11中示出的方法和/或其一个或多个步骤。在其它实施例中,可以用计算机可执行指令实施图11中示出的方法和/或其一个或多个步骤,其中计算机可执行指令存储在诸如非暂时性计算机可读存储器的计算机可读介质中。
如在图11中可见的,方法可从步骤1105开始,其中,移动设备管理(MDM)代理可被初始化。例如,在步骤1105中,计算设备(如,移动计算设备,例如膝上计算机、平板计算机、智能电话或移动设备的其它类型)可初始化MDM代理,类似于在(上面讨论的)步骤505中初始化MDM代理的方式。在一种或多种布置中,MDM代理在计算机设备上初始化后(如,步骤1105中),计算设备和/或在计算设备上运行的MDM代理可提供信息到一个或多个策略管理服务器和/或可从一个或多个策略管理服务器接收一个或多个命令,类似于在上面讨论的示例中这种信息可被提供的方式和这种命令可被接收的方式。例如,在提供所监测的状态信息的至少一些所监测的状态信息到一个或多个策略管理服务器后,计算设备和/或在计算设备上运行的MDM代理可基于所提供的状态信息从一个或多个策略管理服务器接收一个或多个命令(如,由于一个或多个策略管理服务器可接收所提供的状态信息、鉴于一个或多个移动设备管理策略分析所提供的状态信息、基于所提供的状态信息和/或基于一个或多个策略生成一个或多个命令以及将所生成的命令返回到计算设备和/或在计算设备上运行的MDM代理)。
在步骤1110中,与移动计算设备相关的状态信息可由移动设备管理代理监测。例如,在步骤1110中,移动计算设备和/或在移动计算设备上运行的MDM代理可收集、维护、评估、分析和/或以其它方式检测各种类型的状态信息,类似于在上面讨论的示例中(如,关于图6的步骤610)可由MDM代理和/或计算设备监测这种状态信息的方式。例如,在一些实施方案中,监测状态信息可包括识别呈现在移动计算设备上的一个或多个应用(例如,如在上面的示例中)。另外地或可选地,在一些实施方案中,监测状态信息可包括识别由移动计算设备使用的一个或多个网络连接。另外地或可选地,在一些实施方案中,监测状态信息可包括确定移动计算设备的当前位置信息。
在步骤1115中,基于所监测的状态信息,可动态修改移动设备管理策略强制执行方案。例如,在步骤1115中,基于状态信息(如,在步骤1110中监测的),计算设备和/或在计算设备上运行的MDM代理可动态修改移动设备管理策略强制执行方案。在一种或多种布置中,计算设备和/或在计算设备上运行的MDM代理可实现和/或以其它方式具有移动设备管理策略强制执行方案,其限定什么策略是起作用的(如,被限定并当前应该被强制执行的移动设备管理策略)、什么策略是不起作用的(如,被限定但当前不应该被强制执行的移动设备管理策略)和/或设备移动设备管理策略的限定和/或强制的其它因素和信息。通过基于状态信息动态修改移动设备管理策略强制执行方案,基于当前设备级别考虑(例如,如由计算设备和/或由MDM代理监测的状态信息中所反映的),计算设备和/或在计算设备上运行的MDM代理可动态改变正强制执行的策略和/或策略强制方案的其它方面。
在一些实施方案中,动态修改移动设备管理策略强制执行方案可包括基于所监测的状态信息激活一个或多个不起作用的策略。例如,在动态修改移动设备管理策略强制执行方案时,计算设备和/或在计算设备上运行的MDM代理可基于由计算设备和/或由MDM代理监测的状态信息激活一个或多个不起作用的策略。在激活一个或多个不起作用的策略时,计算设备和/或由MDM代理可设置和/或修改对应于不起作用策略的一个或多个标志以启动不起作用策略的强制执行和/或可开始强制执行这些策略。以这种方式,状态信息的改变(如,其可对应于呈现在设备上的应用的改变、由设备使用的网络连接的改变和/或设备的位置的改变)可导致策略强制执行方案的改变(如,其可包括一个或多个不起作用策略的激活)。
在一些实施方案中,动态修改移动设备管理策略强制执行方案可包括基于所监测的状态信息去激活一个或多个起作用的策略。例如,在动态修改移动设备管理策略强制执行方案时,计算设备和/或在计算设备上运行的MDM代理可基于由计算设备和/或由MDM代理监测的状态信息去激活一个或多个起作用的策略。在去激活一个或多个起作用的策略时,计算设备和/或由MDM代理可设置和/或修改对应于起作用策略的一个或多个标志以结束起作用策略的强制执行和/或可停止强制执行这些策略。以这种方式,状态信息的改变(如,其可对应于呈现在设备上的应用的改变、由设备使用的网络连接的改变和/或设备的位置的改变)可导致策略强制执行方案的改变(如,其可包括一个或多个起作用策略的去激活)。
在一些实施方案中,动态修改移动设备管理策略强制执行方案可包括基于所监测的状态信息更新与至少一个起作用的策略相关的一个或多个参数。例如,在动态修改移动设备管理策略强制执行方案时,计算设备和/或在计算设备上运行的MDM代理可基于由计算设备和/或由MDM代理监测的状态信息更新起作用的策略的一个或多个参数。在更新起作用的策略的一个或多个参数时,计算设备和/或由MDM代理监测可设置和/或修改一个或多个值和/或策略使用的其它设置(如,在限定策略是可适用和/或可调用的环境中、在限定不同环境中的响应动作和/或模式中)和/或可开始和/或继续强制执行更新的策略。以这种方式,状态信息的改变(如,其可对应于呈现在设备上的应用的改变、由设备使用的网络连接的改变和/或设备的位置的改变)可导致策略强制执行方案的改变(如,其可包括更新策略的参数)。
图12描述了根据本文所讨论的一个或多个说明性方面示出强制执行接收自应用商店的移动设备管理策略的方法的流程图。在一个或多个实施方案中,可通过计算设备(例如,通用计算设备201)执行图12中示出的方法和/或其一个或多个步骤。在其它实施例中,可以用计算机可执行指令实施图12中示出的方法和/或其一个或多个步骤,其中计算机可执行指令存储在诸如非暂时性计算机可读存储器的计算机可读介质中。
如在图12中可见的,方法可从步骤1205开始,其中,移动设备管理(MDM)代理可被初始化。例如,在步骤1205中,计算设备(如,移动计算设备,例如膝上计算机、平板计算机、智能电话或移动设备的其它类型)可初始化MDM代理,类似于在(上面讨论的)步骤505中初始化MDM代理的方式。在一种或多种布置中,MDM代理在计算机设备上初始化后(如,步骤1205中),计算设备和/或在计算设备上运行的MDM代理可提供信息到一个或多个策略管理服务器和/或可从一个或多个策略管理服务器接收一个或多个命令,类似于在上面讨论的示例中这种信息可被提供的方式和这种命令可被接收的方式。例如,在提供所监测的状态信息的至少一些所监测的状态信息到一个或多个策略管理服务器后,计算设备和/或在计算设备上运行的MDM代理可基于所提供的状态信息从一个或多个策略管理服务器接收一个或多个命令(如,由于一个或多个策略管理服务器可接收所提供的状态信息、鉴于一个或多个移动设备管理策略分析所提供的状态信息、基于所提供的状态信息和/或基于一个或多个策略生成一个或多个命令以及将所生成的命令返回到计算设备和/或在计算设备上运行的MDM代理)。
在步骤1210中,可从应用商店接收至少一个移动设备管理策略。例如,在步骤1210中,计算设备和/或在计算设备上运行的MDM代理可从应用商店接收移动设备管理策略。在一些例子中,应用商店(如,策略可从其中接收)可以是配置为提供企业应用到一台或多台移动计算设备的企业应用商店。除了配置为提供企业应用到各种设备,企业应用商店还可配置为提供一个或多个移动设备管理策略和/或策略更新到各种设备。
在步骤1215中,与移动计算设备相关的状态信息可经由移动设备管理代理监测。例如,在步骤1215中,移动计算设备和/或在移动计算设备上运行的MDM代理可收集、维护、评估、分析和/或以其它方式检测各种类型的状态信息,类似于在上面讨论的示例中(如,关于图6的步骤610)可由MDM代理和/或计算设备监测这种状态信息的方式。例如,在一些实施方案中,监测状态信息可包括识别呈现在移动计算设备上的一个或多个应用(例如,如在上面的示例中)。另外地或可选地,在一些实施方案中,监测状态信息可包括识别由移动计算设备使用的一个或多个网络连接。另外地或可选地,在一些实施方案中,监测状态信息可包括确定移动计算设备的当前位置信息。
在步骤1220中,基于所监测的状态信息,该至少一个移动设备管理策略可强制执行。例如,在步骤1220中,基于在步骤1215中所监测的状态信息,移动计算设备和/或在计算设备上运行的MDM代理可使接收自应用商店的策略(如,在步骤1210中)强制执行。例如,接收自应用商店(如,其可以是企业应用商店)的移动设备管理策略可限定一个或多个环境,其中,特定的功能和/或应用将被控制,并且计算设备和/或MDM代理可基于状态信息检测这些环境并随后控制在强制执行策略中的这些功能和/或应用。
在一些实施方案中,强制执行至少一个移动设备管理策略可包括基于所监测的状态信息可选择地禁用移动计算设备的一个或多个功能。例如,在强制执行接收自应用商店的移动设备管理策略时,基于所监测的状态信息,计算设备和/或在计算设备上运行的MDM代理可以可选择地禁用计算设备的一个或多个功能。例如,根据基于当前环境(如,由状态信息所反映的)和被应用和强制执行的策略,计算设备和/或在计算设备上运行的MDM代理可以可选择地禁用计算设备的照相功能、计算设备的局域无线共享功能和/或计算设备的其它功能。
在一些实施方案中,强制执行至少一个移动设备管理策略可包括基于所监测的状态信息可选择地禁用一个或多个应用。例如,在强制执行接收自应用商店的移动设备管理策略时,基于所监测的状态信息,计算设备和/或在计算设备上运行的MDM代理可以可选择地禁用计算设备上的一个或多个应用。在禁用应用时,例如,计算设备和/或MDM代理可阻止应用被打开或以其它方式被执行,并且如果应用当前正在运行,则可关闭应用。在一些例子中,由计算设备和/或MDM代理禁用的一个或多个应用可包括从企业应用商店(如,策略可从中接收)下载和/或以其它方式获得的企业应用。
图13描述了根据本文所讨论的一个或多个说明性方面示出基于单点登录凭证强制执行移动设备管理策略的方法的流程图。在一个或多个实施方案中,可通过计算设备(例如,通用计算设备201)执行图13中示出的方法和/或其一个或多个步骤。在其它实施例中,可以用计算机可执行指令实施图13中示出的方法和/或其一个或多个步骤,其中计算机可执行指令存储在诸如非暂时性计算机可读存储器的计算机可读介质中。
如在图13中可见的,方法可从步骤1305开始,其中,移动设备管理(MDM)代理可被初始化。例如,在步骤1305中,计算设备(如,移动计算设备,例如膝上计算机、平板计算机、智能电话或移动设备的其它类型)可初始化MDM代理,类似于在(上面讨论的)步骤505中初始化MDM代理的方式。在一种或多种布置中,MDM代理在计算机设备上初始化后(如,步骤1305中),计算设备和/或在计算设备上运行的MDM代理可提供信息到一个或多个策略管理服务器和/或可从一个或多个策略管理服务器接收一个或多个命令,类似于在上面讨论的示例中这种信息可被提供的方式和这种命令可被接收的方式。例如,在提供所监测的状态信息的至少一些所监测的状态信息到一个或多个策略管理服务器后,计算设备和/或在计算设备上运行的MDM代理可基于所提供的状态信息从一个或多个策略管理服务器接收一个或多个命令(如,由于一个或多个策略管理服务器可接收所提供的状态信息、鉴于一个或多个移动设备管理策略分析所提供的状态信息、基于所提供的状态信息和/或基于一个或多个策略生成一个或多个命令以及将所生成的命令返回到计算设备和/或在计算设备上运行的MDM代理)。
在步骤1310中,可接收与至少一个用户账号相关的单点登录(SSO)凭证。例如,在步骤1310中,计算设备和/或在计算设备上运行的MDM代理可接收单点登录凭证,并且单点登录凭证可被链接到计算设备的特定用户和/或特定用户账号和/或以其它方式与计算设备的特定用户和/或特定用户账号关联(如,其可用于访问和/或使用计算设备和/或其它资源,企业资源和/或其它网络资源)。在一种或多种布置中,单点登录凭证可以是配置为用于访问至少两个不同企业资源(如,各种企业网站、数据库、服务器、其它资源等)的授权凭证。另外地或可选地,当用户登录到计算设备上的用户账号、登录到计算设备的应用、登录到经由计算设备访问的网站、与呈现在计算设备上的鉴权请求交互和/或在其它方式中时,单点登录凭证可被接收。
在步骤1315中,与移动计算设备相关的状态信息可经由移动设备管理代理监测。例如,在步骤1315中,移动计算设备和/或在移动计算设备上运行的MDM代理可收集、维护、评估、分析和/或以其它方式检测各种类型的状态信息,类似于在上面讨论的示例中(如,关于图6的步骤610)可由MDM代理和/或计算设备监测这种状态信息的方式。例如,在一些实施方案中,监测状态信息可包括识别呈现在移动计算设备上的一个或多个应用(例如,如在上面的示例中)。另外地或可选地,在一些实施方案中,监测状态信息可包括识别由移动计算设备使用的一个或多个网络连接。另外地或可选地,在一些实施方案中,监测状态信息可包括确定移动计算设备的当前位置信息。在一种或多种布置中,监测状态信息可包括提供所监测的状态信息的至少一些所监测的状态信息到一个或多个策略管理服务器。例如,在监测状态信息时(如,在步骤1315中),计算设备和/或在计算设备上运行的MDM代理可发送所监测的状态信息的至少一些所监测的状态信息到一个或多个策略管理服务器(如,其可配置为分析这些状态信息,如上面所讨论的)。在一些例子中,除了发送所监测的状态信息的至少一些所监测的状态信息到一个或多个策略管理服务器,计算设备和/或在计算设备上运行的MDM代理还可发送SSO凭证和/或从SSO凭证得到的用户信息到一个或多个策略管理服务器。
在步骤1320中,基于所监测的状态信息和SSO凭证,至少一个移动设备管理策略可强制执行。例如,在步骤1320中,基于在步骤1310中接收的SSO凭证和在步骤1315中所监测的状态信息,移动计算设备和/或在移动计算设备上运行的MDM代理可强制执行一个或多个移动设备管理策略。具体地,例如,一些移动设备管理策略可限定特定的环境,其中,将控制特定用户和/或用户账号的特定功能和/或应用,并且计算设备和/或MDM代理可基于状态信息检测这些环境并随后基于所监测的状态信息和基于当前用户和/或当前用户账号的身份信息(如,其可基于SSO凭证确定)控制相关用户和/或用户账号的功能和/或应用。以这种方式,不同的移动设备管理策略和/或移动设备管理策略的不同组可为不同的用户和/或不同的用户账号选择和/或强制执行,并且SSO凭证(如,在步骤1310中接收的)可用于确定将被应用和/或强制执行的适合的策略和/或策略组。
在一种或多种布置中,强制执行至少一个移动设备管理策略可包括从一个或多个策略管理服务器接收管理信息和执行包括在管理信息中的至少一个命令。例如,在强制执行至少一个移动设备管理策略时(如,在步骤1320中),移动计算设备和/或在移动计算设备上运行的MDM代理可从一个或多个策略管理服务器接收包括一个或多个命令的管理信息(如,其可基于在步骤1315中提供到一个或多个策略管理服务器的和由其接收的设备状态信息,由一个或多个策略管理服务器生成)。另外地或可选地,在从一个或多个策略管理服务器接收这种命令后,移动计算设备和/或在移动计算设备上运行的MDM代理可执行所接收命令中的一个或多个命令,以便强制执行至少一个移动设备管理策略。计算设备和/或在计算设备上运行的MDM代理提供SSO凭证和/或从SSO凭证得到的用户信息到一个或多个策略管理服务器(如,除了提供设备状态信息到这些服务器外)的例子中,不仅基于设备状态信息和一个或多个策略,还基于SSO凭证和/或从SSO凭证得到的用户信息,一个或多个策略管理服务器可生成一个或多个命令。例如,一个或多个命令可由一个或多个策略管理服务器专门为特殊用户生成,如在下面讨论的一些示例中示出的。在一些例子中,管理信息可另外地或可选地包括一个或多个策略更新,例如,其可包括将被应用到至少一个应用的新的和/或更新的策略。
在一些实施方案中,强制执行至少一个移动设备管理策略可包括基于SSO凭证确定第一组移动设备管理策略是可应用的,并且随后基于所监测的状态信息强制执行第一组移动设备管理策略。例如,在强制执行一个或多个策略时,计算设备和/或在计算设备上运行的MDM代理可基于当前用户和/或用户账号的身份首先确定策略组是可应用的,如基于先前接收的单点登录凭证所确定的。随后,计算设备和/或MDM代理可基于所监测的状态信息强制执行可应用的策略,类似于在上面讨论的示例中这种策略被强制执行的方式。例如,单个用户可具有链接到单点登录凭证的多个用户账号。例如,在多个医院和办公室实践的医生可具有用于她实践的每一个医院和办公室的用户账号,并且所有这些不同的账号可链接到对应于该医生并可被该医生使用的单点登录凭证。根据本公开的一个或多个方面,在这个示例中的医生可使用相同的单点登录凭证登入到她实践的不同医院和办公室处的计算机系统,并且依赖于用户鉴权期间提供的设备的当前位置和SSO凭证,一个或多个不同的策略和/或不同的策略组可应用到该医生的计算设备的各种应用、进程和/或其它功能(如,其可从而为该医生提供对她当前实践的医院的不同资源的访问)。
在一些实施方案中,强制执行至少一个移动设备管理策略可包括基于SSO凭证获得第一组移动设备管理策略,并且基于所监测的状态信息强制执行第一组移动设备管理策略。例如,在强制执行一个或多个策略时,计算设备和/或在计算设备上运行的MDM代理可基于单点登录凭证本身和/或基于当前用户和/或用户账号的身份首先获得移动设备管理策略组,如基于单点登录凭证所确定的。在一些例子中,例如,移动设备管理策略组可从策略服务器、应用商店(如,企业应用商店)和/或一个或多个其它源获得。随后,计算设备和/或在计算设备上运行的MDM代理可基于所监测的状态信息强制执行所获得的策略,类似于在上面讨论的示例中这种策略被强制执行的方式。
在一些实施方案中,强制执行至少一个移动设备管理策略可包括可选择地禁用移动计算设备的应用和功能中的至少一个。例如,在强制执行一个或多个策略时,基于由计算设备和/或MDM代理监测的状态信息,计算设备和/或在计算设备上运行的MDM代理可以可选择地禁用计算设备的一个或多个应用和/或一个或多个功能,类似于在上面所讨论的示例中这些应用和/或功能可被可选择地禁用和/或以其它方式控制的方式。
图14描述了根据本文所讨论的说明性方面示出将一个或多个移动设备管理策略应用到设备云的另一方法的流程图。在一个或多个实施方案中,可通过计算设备(例如,通用计算设备201)执行图14中示出的方法和/或其一个或多个步骤。在其它实施例中,可以用计算机可执行指令实施图14中示出的方法和/或其一个或多个步骤,其中计算机可执行指令存储在诸如非暂时性计算机可读存储器的计算机可读介质中。
如在图14中可见的,方法可从步骤1405开始,其中,移动设备管理(MDM)代理可在第一计算设备上被启动。例如,在步骤1405中,计算设备(如,移动计算设备,例如膝上计算机、平板计算机、智能电话或移动设备的其它类型)可初始化MDM代理,类似于在(上面讨论的)步骤505中初始化MDM代理的方式。在一种或多种布置中,在MDM代理在计算设备上初始化后(如,在步骤1405中),计算设备和/或在计算设备上运行的MDM代理可提供信息到一个或多个策略管理服务器和/或可从一个或多个策略管理服务器接收一个或多个命令(例如,其可影响设备的状态),类似于在上面讨论的示例中这种信息可被提供的方式和这种命令可被接收的方式。例如,在提供所监测的状态信息的至少一些到一个或多个策略管理服务器后,计算设备和/或在计算设备上运行的MDM代理可基于所提供的状态信息从一个或多个策略管理服务器接收一个或多个命令(如,由于一个或多个策略管理服务器可接收所提供的状态信息、鉴于一个或多个移动设备管理策略分析所提供的状态信息、基于所提供的状态信息和/或基于一个或多个策略生成一个或多个命令以及将所生成的命令返回到计算设备和/或在计算设备上运行的MDM代理)。
在步骤1410中,可由第一计算设备接收请求来启动与第二计算设备的设备云。在一些例子中,例如,第一计算设备从第一计算设备的用户接收请求来启动与第二计算设备的设备云。在其它例子中,第一计算设备可从第二计算设备本身接收请求来启动与第二计算设备的设备云。在又一个其它例子中,第一计算设备可从一台或多台其它计算设备本身接收请求来启动与第二计算设备的设备云。
在步骤1415中,第一计算设备可基于一个或多个策略和设备状态信息确定是否可启动与第二计算设备的设备云。例如,鉴于一个或多个移动设备管理策略(如,其可限定特定环境,其中,可启动设备云,其中,基于这些设备状态信息可确定这些环境),第一计算设备可分析和/或以其它方式评估与第一计算设备相关的设备状态信息和/或与第二计算设备相关的设备状态信息。此外,被分析和/或以其它方式评估的设备状态信息可包括本文讨论的设备状态信息的任意和/或所有类型,包括关于呈现在计算设备上的应用、由计算设备使用的网络连接的信息和/或与计算设备有关的位置信息。
在一些实施方案中,确定是否可启动设备云可包括提供状态信息到一个或多个策略管理服务器和从一个或多个策略管理服务器接收管理信息。例如,在确定是否可启动设备云时(如,在步骤1415中),通过连接到并随后发送状态消息到一个或多个策略管理服务器,第一计算设备和/或在计算设备上运行的MDM代理可提供状态信息(如,其可包括在步骤1405中加载的由MDM代理监测的至少一些状态信息)到一个或多个策略管理服务器。例如,该一个或多个策略管理服务器可由企业操作和/或控制,其分配和/或以其它方式实现一个或多个策略,其用于确定是否可启动第一计算设备和第二计算设备之间的设备云。另外地或可选地,一个或多个策略管理服务器可配置为分析状态信息(如,其可接收自一台或多台设备上的一个或多个MDM代理)并生成管理信息(如,其可接着被提供到一台或多台设备上的一个或多个MDM代理并随后由一台或多台设备上的一个或多个MDM代理接收)。例如,在提供状态信息到一个或多个策略管理服务器后,第一计算设备和/或在第一计算设备上运行的MDM代理可从一个或多个策略管理服务器接收管理信息,并且该管理信息可由一个或多个策略管理服务器基于所提供的状态信息生成。在一些例子中,管理信息可包括将由第一计算设备和/或由MDM代理执行的一个或多个命令。例如,管理信息可包括一个或多个命令,当被执行时,该一个或多个命令促使第一计算设备和/或MDM代理允许或阻止与第二计算设备的设备云和/或将一个或多个其它限制强加到设备云。在其它例子中,管理信息可包括一个或多个策略更新。例如,管理信息可包括反映将被应用到第一计算设备和/或设备云的一个或多个新的和/或更新的策略的一个或多个策略更新。
在一些实施方案中,(如,其用于确定是否启动设备云)一个或多个策略中的至少一个策略可接收自策略管理服务器。例如,在确定是否启动与第二计算设备的设备云前,第一计算设备和/或在第一计算设备上运行的MDM代理可从策略管理服务器接收一个或多个策略,并且例如,一个或多个所接收的策略可限定指定环境,其中,可许可启动设备云和/或可阻止启动与指定设备的设备云。在从这种策略管理服务器(如,其可由实现策略的企业操作和/或控制)接收这种策略后,第一计算设备和/或在第一计算设备上运行的MDM代理接着可在确定是否可启动设备云(如,通过鉴于至少一个策略评估设备状态信息)时使用一个或多个所接收的策略中的至少一个策略。
在一些实施方案中,第一计算设备可配置为执行配置为监测与第一计算设备相关的状态信息的移动设备管理代理,并且可基于由移动设备管理代理监测的状态信息中的至少一些状态信息确定是否启动与第二计算设备的设备云。例如,第一计算设备可执行和/或可配置为执行MDM代理(如,其可在步骤1405中初始化,如上面所讨论的),并且在确定是否启动与第二计算设备的设备云时,由MDM代理监测的状态信息中的至少一些状态信息可被评估。在一些例子中,例如,这些状态信息可由第一计算设备本身在确定是否启动与第二计算设备的设备云时进行评估。在其它例子中,状态信息可由一个或多个策略管理服务器评估,如下面所讨论的。
具体地,在一种或多种布置中,移动设备管理代理可配置为提供所监测的状态信息中的至少一些状态信息到一个或多个策略管理服务器(如,其可配置为远程分析状态信息和/或基于状态信息的分析反过来将一个或多个命令提供到第一计算设备)。此外,移动设备管理代理还可配置为基于提供到一个或多个策略管理服务器的状态信息从一个或多个策略管理服务器接收一个或多个命令。例如,在提供状态信息到一个或多个策略管理服务器后,在第一计算设备上运行的移动设备管理代理可接收一个或多个命令,其包括指示第一计算设备是否可启动与第二计算设备的设备云的信息。换句话说,一个或多个策略管理服务器可远程评估由第一计算设备提供的状态信息、基于该状态信息确定第一计算设备是否鉴于一个或多个移动设备管理策略启动与第二计算设备的设备云(如,其可限定环境,如由状态信息反映的,其中,可建立与指定设备的设备云),并且随后反过来提供包括该决定的结果的信息(如,指示第一计算设备是否可以或不可以启动与第二计算设备的设备云)到第一计算设备。
在步骤1415中,如果确定不可以启动与第二计算设备的设备云,则在步骤1420中,第一计算设备可生成通知消息。例如,在步骤1420中,第一计算设备可生成指示不可以启动设备云的通知消息和/或可促使生成的通知消息被显示。
另一方面,在步骤1415中,如果确定可以启动与第二计算设备的设备云,则在步骤1425中,第一计算设备建立到第二计算设备的连接以启动设备云。例如,在步骤1425中,第一计算设备可建立到第二计算设备的连接以启动设备云,类似于在上面讨论的示例中连接可被建立以启动设备云的方式(例如,如关于步骤710在上面所讨论的)。
在步骤1430中,基于一个或多个策略和设备状态信息,第一计算设备可配置第二计算设备。例如,在基于一个或多个策略和设备状态信息配置第二计算设备时,第一计算设备可将特定限制强加到可与第二计算设备共享和/或可由第二计算设备访问的信息类型上、将指定限制强加到在设备云期间可由第二计算设备使用的网络连接类型上和/或其它指定配置设置。依赖于一个或多个策略和当前设备状态信息,可由第一计算设备将不同的限制/或设备强加到第二计算设备上。
在步骤1435中,第一计算设备可使一个或多个策略中的至少一个策略在设备云上强制执行。例如,在使一个或多个策略中的至少一个策略在设备云上强制执行时,第一计算设备可分配指定角色到其本身和/或到设备云中的第二计算设备(例如,如上面所讨论的)。
在一些实施方案中,强制执行至少一个策略可包括允许在第一计算设备上执行的应用的至少部分在第二计算设备上执行。例如,在强制执行一个或多个策略时,第一计算设备可允许在第一计算设备上执行的指定应用的特定功能和/或方面在第二计算设备上执行。在第一计算设备上执行的应用是视频会议应用的示例中,强制执行一个或多个策略可因而包含第一计算设备允许应用的照相功能和/或其它视频捕捉功能在第二计算设备上执行,同时应用的其它功能在第一计算设备上执行。
在一些实施方案中,强制执行至少一个策略包括限制在第一计算设备上执行的应用的至少部分在第二计算设备上执行。例如,在强制执行一个或多个策略时,第一计算设备可阻止指定应用的特定功能和/或方面在第一计算设备上或第二计算设备上执行。在第一计算设备上执行的应用是机密记录管理应用的示例中,强制执行一个或多个策略可因而包含第一计算设备允许应用的记录浏览功能在第二计算设备上执行,同时阻止应用的记录编辑功能在第二计算设备上执行(如,和/或限制该编辑功能仅在第一计算设备上执行)。
如上面所说明的,本公开的各种方面涉及提供移动设备管理功能。然而,在其它实施方案中,本文所讨论的概念可在任何其它类型的计算设备(如,台式计算机、服务器、控制台、机顶盒等)中实现。因此,虽然已经以针对结构特征和/或方法步骤的语言描述了本主题,但是应该理解的是,在所附权利要求中定义的主题不必限于以上所述的具体特征或步骤。相反,上述的指定特征和行为被描述为所附权利要求的某些示例实施。
示例实施方案
本公开内容的示例实施方案包括:
1.一种方法,包括:
由移动设备管理代理监测与移动计算设备相关的状态信息;以及
基于所监测的状态信息,在所述移动计算设备上的至少一个应用上强制执行一个或多个策略,
其中,监测所述状态信息包括提供所监测的状态信息中的至少一些所监测的状态信息到一个或多个策略管理服务器,以及
其中,在所述至少一个应用上强制执行所述一个或多个策略包括:
接收来自所述一个或多个策略管理服务器的管理信息;以及
执行包括在所接收的管理信息中的至少一个命令。
2.如项目1所述的方法,其中,监测所述状态信息包括识别呈现在所述移动计算设备上的一个或多个应用。
3.如项目1所述的方法,其中,监测所述状态信息包括识别由所述移动计算设备使用的一个或多个网络连接。
4.如项目1所述的方法,其中,监测所述状态信息包括确定所述移动计算设备的当前位置信息。
5.如项目1所述的方法,其中,强制执行所述一个或多个策略包括基于所监测的状态信息禁用所述至少一个应用。
6.如项目1所述的方法,其中,强制执行所述一个或多个策略包括基于所监测的状态信息选择性地禁用所述至少一个应用的一个多个功能。
7.如项目1所述的方法,其中,强制执行所述一个或多个策略包括重配置所述至少一个应用。
8.一种移动计算设备,包括:
至少一个处理器;以及
存储计算机可读指令的存储器,当被所述至少一个处理器执行时,所述计算机可读指令使得所述移动计算设备:
经由移动设备管理代理监测与所述移动计算设备相关的状态信息;以及
基于所监测的状态信息,在所述移动计算设备上的至少一个应用上强制执行一个或多个策略,
其中,监测状态信息包括提供所监测的状态信息中的至少一些所监测的状态信息到一个或多个策略管理服务器,并且
其中,在至少一个应用上强制执行一个或多个策略包括:
接收来自一个或多个策略管理服务器的管理信息;以及
执行包括在所接收的管理信息中的至少一个命令。
9.如项目8所述的移动计算设备,其中,监测所述状态信息包括识别呈现在所述移动计算设备上的一个或多个应用。
10.如项目8所述的移动计算设备,其中,监测所述状态信息包括识别由所述移动计算设备使用的一个或多个网络连接。
11.如项目8所述的移动计算设备,其中,监测所述状态信息包括确定所述移动计算设备的当前位置信息。
12.如项目8所述的移动计算设备,其中,强制执行所述一个或多个策略包括基于所监测的状态信息禁用所述至少一个应用。
13.如项目8所述的移动计算设备,其中,强制执行所述一个或多个策略包括基于所监测的状态信息选择性地禁用所述至少一个应用的一个多个功能。
14.如项目8所述的移动计算设备,其中,强制执行所述一个或多个策略包括重配置所述至少一个应用。
15.一种或多种具有储存其上的指令的非临时性计算机可读介质,当所述指令被执行时,促使移动计算设备:
经由移动设备管理代理监测与所述移动计算设备相关的状态信息;以及
基于所监测的状态信息,在所述移动计算设备上的至少一个应用上强制执行一个或多个策略,
其中,监测状态信息包括提供所监测的状态信息中的至少一些所监测的状态信息到一个或多个策略管理服务器,并且
其中,在至少一个应用上强制执行一个或多个策略包括:
接收来自一个或多个策略管理服务器的管理信息;以及
执行包括在所接收的管理信息中的至少一个命令。
16.如项目15所述的一种或多种非临时性计算机可读介质,其中,监测所述状态信息包括识别呈现在所述移动计算设备上的一个或多个应用。
17.如项目15所述的一种或多种非临时性计算机可读介质,其中,监测所述状态信息包括识别由所述移动计算设备使用的一个或多个网络连接。
18.如项目15所述的一种或多种非临时性计算机可读介质,其中,监测所述状态信息包括确定所述移动计算设备的当前位置信息。
19.如项目15所述的一种或多种非临时性计算机可读介质,其中,强制执行所述一个或多个策略包括基于所监测的状态信息禁用所述至少一个应用。
20.如项目15所述的一种或多种非临时性计算机可读介质,其中,强制执行所述一个或多个策略包括基于所监测的状态信息选择性地禁用所述至少一个应用的一个多个功能。
示例实施方案
本公开的另外的示例实施方案包括:
1.一种方法,包括:
由计算设备加载受管浏览器;
由所述计算设备应用一个或多个移动设备管理策略到所述受管浏览器,其中,应用所述一个或多个移动设备管理策略到所述受管浏览器包括提供状态信息到一个或多个策略管理服务器和从所述一个或多个策略管理服务器接收管理信息;以及
在所述受管浏览器上强制执行一个或多个行为限制,
其中,所述一个或多个移动设备管理策略中的至少一个策略配置为控制所述计算设备的一个或多个功能,以及
其中,所述一个或多个移动设备管理策略中的至少一个策略接收自策略管理服务器。
2.如项目1所述的方法,其中,所述管理信息包括命令和策略更新中的至少一个。
3.如项目1所述的方法,其中,应用所述一个或多个移动设备管理策略到所述受管浏览器包括:
基于与所述受管浏览器的用户相关的身份信息,确定一组或多组策略中的第一组策略可应用于所述用户;以及
确定应用所述第一组策略到所述受管浏览器。
4.如项目1所述的方法,其中,在所述受管浏览器上强制执行所述一个或多个行为限制包括:
限制到至少一个网络资源的访问。
5.如项目1所述的方法,其中,在所述受管浏览器上强制执行所述一个或多个行为限制包括:
基于与所述计算设备相关的位置信息,选择性地禁用所述受管浏览器的至少一个功能。
6.如项目1所述的方法,其中,在所述受管浏览器上强制执行所述一个或多个行为限制包括:
基于与所述计算设备相关的应用编目信息,选择性地禁用所述受管浏览器的至少一个功能。
7.如项目1所述的方法,其中,在所述受管浏览器上强制执行所述一个或多个行为限制包括:
选择性地擦除与所述受管浏览器相关的一个或多个高速缓存。
8.一种计算设备,包括:
至少一个处理器;以及
存储计算机可读指令的存储器,当被所述至少一个处理器执行时,所述计算机可读指令使得所述计算设备:
加载受管浏览器;
应用一个或多个移动设备管理策略到所述受管浏览器,其中,应用所述一个或多个移动设备管理策略到所述受管浏览器包括提供状态信息到一个或多个策略管理服务器和从所述一个或多个策略管理服务器接收管理信息;以及
在所述受管浏览器上强制执行一个或多个行为限制,
其中,所述一个或多个移动设备管理策略中的至少一个策略配置为控制所述计算设备的一个或多个功能,以及
其中,所述一个或多个移动设备管理策略中的至少一个策略接收自策略管理服务器。
9.如项目8所述的计算设备,其中,所述管理信息包括命令和策略更新中的至少一个。
10.如项目8所述的计算设备,其中,应用所述一个或多个移动设备管理策略到所述受管浏览器包括:
基于与所述受管浏览器的用户相关的身份信息,确定一组或多组策略中的第一组策略可应用于所述用户;以及
确定应用所述第一组策略到所述受管浏览器。
11.如项目8所述的计算设备,其中,在所述受管浏览器上强制执行所述一个或多个行为限制包括:
限制到至少一个网络资源的访问。
12.如项目8所述的计算设备,其中,在所述受管浏览器上强制执行所述一个或多个行为限制包括:
基于与所述计算设备相关的位置信息,选择性地禁用所述受管浏览器的至少一个功能。
13.如项目8所述的计算设备,其中,在所述受管浏览器上强制执行所述一个或多个行为限制包括:
基于与所述计算设备相关的应用编目信息,选择性地禁用所述受管浏览器的至少一个功能。
14.如项目8所述的计算设备,其中,在所述受管浏览器上强制执行所述一个或多个行为限制包括:
选择性地擦除与所述受管浏览器相关的一个或多个高速缓存。
15.一种或多种具有储存其上的指令的非临时性计算机可读介质,当所述指令被执行时,促使至少一台移动计算设备:
加载受管浏览器;
应用一个或多个移动设备管理策略到所述受管浏览器,其中,应用所述一个或多个移动设备管理策略到所述受管浏览器包括提供状态信息到一个或多个策略管理服务器和从所述一个或多个策略管理服务器接收管理信息;以及
在所述受管浏览器上强制执行一个或多个行为限制,
其中,所述一个或多个移动设备管理策略中的至少一个策略配置为控制所述至少一台计算设备的一个或多个功能,以及
其中,所述一个或多个移动设备管理策略中的至少一个策略接收自策略管理服务器。
16.如项目15所述的一种或多种非临时性计算机可读介质,其中,所述管理信息包括命令和策略更新中的至少一个。
17.如项目15所述的一种或多种非临时性计算机可读介质,其中,应用所述一个或多个移动设备管理策略到所述受管浏览器包括:
基于与所述受管浏览器的用户相关的身份信息,确定一组或多组策略中的第一组策略可应用于所述用户;以及
确定应用所述第一组策略到所述受管浏览器。
18.如项目15所述的一种或多种非临时性计算机可读介质,其中,在所述受管浏览器上强制执行所述一个或多个行为限制包括:
限制到至少一个网络资源的访问。
19.如项目15所述的一种或多种非临时性计算机可读介质,其中,在所述受管浏览器上强制执行所述一个或多个行为限制包括:
基于与所述计算设备相关的位置信息,选择性地禁用所述受管浏览器的至少一个功能。
20.如项目15所述的一种或多种非临时性计算机可读介质,其中,在所述受管浏览器上强制执行所述一个或多个行为限制包括:
基于与所述计算设备相关的应用编目信息,选择性地禁用所述受管浏览器的至少一个功能。
示例实施方案
本公开的另外的示例实施方案包括:
1.一种方法,包括:
由第一计算设备接收启动与第二计算设备的设备云的请求;
基于一个或多个策略和设备状态信息,由所述第一计算设备确定是否可启动与所述第二计算设备的所述设备云,其中,确定是否可启动所述设备云包括提供状态信息到一个或多个策略管理服务器和从所述一个或多个策略管理服务器接收管理信息;以及
响应于确定可以启动与所述第二计算设备的所述设备云,由所述第一计算设备建立到所述第二计算设备的连接以启动所述设备云。
其中,所述一个或多个策略中的至少一个策略接收自策略管理服务器。
2.如项目1所述的方法,还包括:
响应于确定不可以启动与所述第二计算设备的所述设备云,由所述第一计算设备生成通知消息。
3.如项目1所述的方法,
其中,所述第一计算设备配置为执行配置为监测与所述第一计算设备相关的状态信息的移动设备管理代理,以及
其中,确定是否可以启动与所述第二计算设备的所述设备云是基于由所述移动设备管理代理监测的所述状态信息中的至少一些状态信息。
4.如项目1所述的方法,其中,所述管理信息包括一个或多个命令。
5.如项目1所述的方法,其中,所述管理信息包括一个或多个策略更新。
6.如项目1所述的方法,还包括:
基于所述一个或多个策略和所述设备状态信息,由所述第一计算设备配置所述第二计算设备。
7.如项目1所述的方法,还包括:
所述第一计算设备使所述一个或多个策略中的至少一个策略在所述设备云上强制执行。
8.如项目7所述的方法,其中,强制执行所述至少一个策略包括允许在所述第一计算设备上执行的应用的至少部分在所述第二计算设备上执行。
9.如项目7所述的方法,其中,强制执行所述至少一个策略包括将在所述第一计算设备上执行的应用的至少部分限制为在所述第二计算设备上执行。
10.一种第一计算设备,包括:
至少一个处理器;以及
存储计算机可读指令的存储器,当被所述至少一个处理器执行时,所述计算机可读指令使得所述第一计算设备:
接收启动与第二计算设备的设备云的请求;
基于一个或多个策略和设备状态信息,确定是否可启动与所述第二计算设备的所述设备云,其中,确定是否可启动所述设备云包括提供状态信息到一个或多个策略管理服务器和从所述一个或多个策略管理服务器接收管理信息;以及
响应于确定可以启动与所述第二计算设备的所述设备云,建立到所述第二计算设备的连接以启动所述设备云,
其中,所述一个或多个策略中的至少一个策略接收自策略管理服务器。
11.如项目10所述的计算设备,其中所述存储器储存附加的计算机可读指令,当被所述至少一个处理器执行时,所述附加的计算机可读指令还促使所述第一计算设备:
响应于确定不可以启动与所述第二计算设备的所述设备云,生成通知消息。
12.如项目10所述的计算设备,
其中,所述第一计算设备配置为执行配置为监测与所述第一计算设备相关的状态信息的移动设备管理代理,以及
其中,确定是否可以启动与所述第二计算设备的所述设备云基于由所述移动设备管理代理监测的所述状态信息中的至少一些状态信息。
13.如项目10所述的计算设备,其中,所述管理信息包括一个或多个命令。
14.如项目10所述的计算设备,其中,所述管理信息包括一个或多个策略更新。
15.如项目10所述的计算设备,其中,所述存储器储存附加的计算机可读指令,当被所述至少一个处理器执行时,所述附加的计算机可读指令还促使所述第一计算设备:
基于所述一个或多个策略和所述设备状态信息,配置所述第二计算设备。
16.如项目10所述的计算设备,其中所述存储器储存附加的计算机可读指令,当被所述至少一个处理器执行时,所述附加的计算机可读指令还促使所述第一计算设备:
使所述一个或多个策略中的至少一个策略在所述设备云上强制执行。
17.如项目16所述的计算设备,其中,强制执行所述至少一个策略包括允许在所述第一计算设备上执行的应用的至少部分在所述第二计算设备上执行。
18.如项目16所述的计算设备,其中,强制执行所述至少一个策略包括将在所述第一计算设备上执行的应用的至少部分限制为在所述第二计算设备上执行。
19.一种或多种具有储存其上的指令的非临时性计算机可读介质,当所述指令被执行时,促使第一计算设备:
接收启动与第二计算设备的设备云的请求;
基于一个或多个策略和设备状态信息,确定是否可启动与所述第二计算设备的所述设备云,其中,确定是否可启动所述设备云包括提供状态信息到一个或多个策略管理服务器和从所述一个或多个策略管理服务器接收管理信息;以及
响应于确定可以启动与所述第二计算设备的所述设备云,建立到所述第二计算设备的连接以启动所述设备云,
其中,所述一个或多个策略中的至少一个策略接收自策略管理服务器。
20.如项目19所述的一种或多种非临时性计算机可读介质,具有储存其上的附加计算机可读指令,当所述附加计算机可读指令被执行时,促使第一计算设备:
响应于确定不可以启动与所述第二计算设备的所述设备云,生成通知消息。
示例实施方案
本公开的另外的示例实施方案包括:
1.一种方法,包括:
由移动设备管理代理监测与移动计算设备相关的状态信息;
由所述移动设备管理代理提供所监测的状态信息中的至少一些所监测的状态信息到一个或多个策略管理服务器;
接收来自一个或多个策略管理服务器的管理信息;以及
基于接收自所述一个或多个策略管理服务器的所述管理信息,选择性地禁用多模式应用中的一个或多个模式。
2.如项目1所述的方法,其中,监测所述状态信息包括识别呈现在所述移动计算设备上的一个或多个应用。
3.如项目1所述的方法,其中,监测所述状态信息包括识别由所述移动计算设备使用的一个或多个网络连接。
4.如项目1所述的方法,其中,监测所述状态信息包括确定所述移动计算设备的当前位置信息。
5.如项目1所述的方法,其中,所述多模式应用是具有配置为提供到企业数据的访问的受管模式和配置为将访问限制到非企业数据的非受管模式的双模式应用。
6.如项目1所述的方法,其中,所述多模式应用是具有配置为提供对企业数据的访问的第一级别的第一模式和配置为提供对企业数据的访问的第二级别的第二模式的双模式应用,所述访问的第二级别高于所述访问的第一级别。
7.如项目1所述的方法,还包括:
在选择性地禁用所述多模式应用的所述一个或多个模式前:
基于所监测的状态信息确定所述移动计算设备未在企业模式中使用;以及
响应于确定所述移动计算设备未在所述企业模式中使用,确定选择性地禁用所述多模式应用中的至少一个模式。
8.一种移动计算设备,包括:
至少一个处理器;以及
存储计算机可读指令的存储器,当被所述至少一个处理器执行时,所述计算机可读指令使得所述移动计算设备:
经由移动设备管理代理监测与所述移动计算设备相关的状态信息;
由所述移动设备管理代理提供所监测的状态信息中的至少一些所监测的状态信息到一个或多个策略管理服务器;
接收来自所述一个或多个策略管理服务器的管理信息;以及
基于接收自所述一个或多个策略管理服务器的所述管理信息,选择性地禁用多模式应用中的一个或多个模式。
9.如项目8所述的移动计算设备,其中,监测所述状态信息包括识别呈现在所述移动计算设备上的一个或多个应用。
10.如项目8所述的移动计算设备,其中,监测所述状态信息包括识别由所述移动计算设备使用的一个或多个网络连接。
11.如项目8所述的移动计算设备,其中,监测所述状态信息包括确定所述移动计算设备的当前位置信息。
12.如项目8所述的移动计算设备,其中,所述多模式应用是具有配置为提供到企业数据的访问的受管模式和配置为将访问限制到非企业数据的非受管模式的双模式应用。
13.如项目8所述的移动计算设备,其中,所述多模式应用是具有配置为提供对企业数据的访问的第一级别的第一模式和配置为提供对企业数据的访问的第二级别的第二模式的双模式应用,所述访问的第二级别高于所述访问的第一级别。
14.如项目8所述的移动计算设备,其中所述存储器储存附加的计算机可读指令,当被所述至少一个处理器执行时,所述附加的计算机可读指令还促使所述计算设备:
在选择性地禁用所述多模式应用的所述一个或多个模式前:
基于所监测的状态信息确定所述移动计算设备未在企业模式中使用;以及
响应于确定所述移动计算设备未在所述企业模式中使用,确定选择性地禁用所述多模式应用中的至少一个模式。
15.一种或多种具有储存其上的指令的非临时性计算机可读介质,当所述指令被执行时,促使移动计算设备:
经由移动设备管理代理监测与所述移动计算设备相关的状态信息;
由所述移动设备管理代理提供所监测的状态信息中的至少一些所监测的状态信息到一个或多个策略管理服务器;
接收来自所述一个或多个策略管理服务器的管理信息;以及
基于接收自所述一个或多个策略管理服务器的所述管理信息,选择性地禁用多模式应用中的一个或多个模式。
16.如项目15所述的一种或多种非临时性计算机可读介质,其中,监测所述状态信息包括识别呈现在所述移动计算设备上的一个或多个应用。
17.如项目15所述的一种或多种非临时性计算机可读介质,其中,监测所述状态信息包括识别由所述移动计算设备使用的一个或多个网络连接。
18.如项目15所述的一种或多种非临时性计算机可读介质,其中,监测所述状态信息包括确定所述移动计算设备的当前位置信息。
19.如项目15所述的一种或多种非临时性计算机可读介质,其中,所述多模式应用是具有配置为提供到企业数据的访问的受管模式和配置为将访问限制到非企业数据的非受管模式的双模式应用。
20.如项目15所述的一种或多种非临时性计算机可读介质,其中,所述多模式应用是具有配置为提供对企业数据的访问的第一级别的第一模式和配置为提供对企业数据的访问的第二级别的第二模式的双模式应用,所述访问的第二级别高于所述访问的第一级别。
示例实施方案
本公开的另外的示例实施方案包括:
1.一种方法,包括:
由移动设备管理代理监测与移动计算设备相关的状态信息;以及
基于所监测的状态信息,控制安全文档容器,
其中,监测所述状态信息包括提供所监测的状态信息中的至少一些所监测的状态信息到一个或多个策略管理服务器,并且
其中,控制所述安全文档容器包括:
接收来自所述一个或多个策略管理服务器的管理信息;以及
执行包括在所接收的管理信息中的至少一个命令。
2.如项目1所述的方法,其中,所述安全文档容器配置为安全地储存由所述移动计算设备接收自一个或多个企业资源的企业数据。
3.如项目1所述的方法,其中,监测所述状态信息包括识别呈现在所述移动计算设备上的一个或多个应用。
4.如项目1所述的方法,其中,监测所述状态信息包括识别由所述移动计算设备使用的一个或多个网络连接。
5.如项目1所述的方法,其中,监测所述状态信息包括确定所述移动计算设备的当前位置信息。
6.如项目1所述的方法,其中,控制所述安全文档容器包括基于所监测的状态信息控制对储存在所述安全文档容器中的数据的访问。
7.如项目1所述的方法,其中,控制所述安全文档容器包括基于所监测的状态信息选择性地擦除来自所述安全文档容器中的数据。
8.如项目1所述的方法,还包括:
在所述移动计算设备处接收企业数据;
将所述企业数据存储在所述安全文档容器中;
基于所监测的状态信息检测设备状态的改变;以及
基于检测到所述设备状态的改变,确定选择性地擦除来自所述安全文档容器的数据。
9.一种移动计算设备,包括:
至少一个处理器;以及
存储计算机可读指令的存储器,当被所述至少一个处理器执行时,所述计算机可读指令使得所述移动计算设备:
经由移动设备管理代理监测与所述移动计算设备相关的状态信息;以及
基于所监测的状态信息,控制安全文档容器,
其中,监测所述状态信息包括提供所监测的状态信息中的至少一些所监测的状态信息到一个或多个策略管理服务器,并且
其中,控制所述安全文档容器包括:
接收来自一个或多个策略管理服务器的管理信息;以及
执行包括在所接收的管理信息中的至少一个命令。
10.如项目9所述的移动计算设备,其中,所述安全文档容器配置为安全地储存由所述移动计算设备接收自一个或多个企业资源的企业数据。
11.如项目9所述的移动计算设备,其中,监测所述状态信息包括识别呈现在所述移动计算设备上的一个或多个应用。
12.如项目9所述的移动计算设备,其中,监测所述状态信息包括识别由所述移动计算设备使用的一个或多个网络连接。
13.如项目9所述的移动计算设备,其中,监测所述状态信息包括确定所述移动计算设备的当前位置信息。
14.如项目9所述的移动计算设备,其中,控制所述安全文档容器包括基于所监测的状态信息控制对储存在所述安全文档容器中的数据的访问。
15.如项目9所述的移动计算设备,其中,控制所述安全文档容器包括基于所监测的状态信息选择性地擦除来自所述安全文档容器的数据。
16.如项目9所述的移动计算设备,其中所述存储器储存附加的计算机可读指令,当被所述至少一个处理器执行时,所述附加的计算机可读指令还促使所述移动计算设备:
接收企业数据;
将所述企业数据存储在所述安全文档容器中;
基于所监测的状态信息检测设备状态的改变;以及
基于检测所述设备状态的改变,确定选择性地擦除来自所述安全文档容器的数据。
17.一种或多种具有储存其上的指令的非临时性计算机可读介质,当所述指令被执行时,促使移动计算设备:
经由移动设备管理代理监测与所述移动计算设备相关的状态信息;以及
基于所监测的状态信息,控制安全文档容器,
其中,监测所述状态信息包括提供所监测的状态信息中的至少一些所监测的状态信息到一个或多个策略管理服务器,并且
其中,控制所述安全文档容器包括:
接收来自所述一个或多个策略管理服务器的管理信息;以及
执行包括在所接收的管理信息中的至少一个命令。
18.如项目17所述的一种或多种非临时性计算机可读介质,其中,控制所述安全文档容器包括基于所监测的状态信息控制对储存在所述安全文档容器中的数据的访问。
19.如项目17所述的一种或多种非临时性计算机可读介质,其中,控制所述安全文档容器包括基于所监测的状态信息选择性地擦除来自所述安全文档容器的数据。
20.如项目17所述的一种或多种非临时性计算机可读介质,具有储存其上的附加指令,当所述附加指令被执行时,促使所述移动计算设备:
接收企业数据;
将所述企业数据存储在所述安全文档容器中;
基于所监测的状态信息检测设备状态的改变;以及
基于检测所述设备状态的改变,确定选择性地擦除来自所述安全文档容器的数据。
示例实施方案
本公开的另外的示例实施方案包括:
1.一种方法,包括:
由移动计算设备接收与至少一个用户账号相关的单点登录(SSO)凭证;
经由移动设备管理代理监测与所述移动计算设备相关的状态信息;以及
基于所监测的状态信息和所述SSO凭证,强制执行至少一个移动设备管理策略,
其中,监测状态信息包括提供所监测的状态信息中的至少一些所监测的状态信息到一个或多个策略管理服务器,并且
其中,强制执行所述至少一个移动设备管理策略包括:
接收来自所述一个或多个策略管理服务器的管理信息;以及
执行包括在所述管理信息中的至少一个命令。
2.如项目1所述的方法,其中,所述SSO凭证是配置为在访问至少两个不同的企业资源中使用的授权凭证。
3.如项目1所述的方法,其中,监测所述状态信息包括识别呈现在所述移动计算设备上的一个或多个应用。
4.如项目1所述的方法,其中,监测所述状态信息包括识别由所述移动计算设备使用的一个或多个网络连接。
5.如项目1所述的方法,其中,监测所述状态信息包括确定所述移动计算设备的当前位置信息。
6.如项目1所述的方法,其中,强制执行所述至少一个移动设备管理策略包括:
基于所述SSO凭证,确定第一组移动设备管理策略是可应用的;以及
基于所监测的状态信息,强制执行所述第一组移动设备管理策略。
7.如项目1所述的方法,其中,强制执行所述至少一个移动设备管理策略包括:
基于所述SSO凭证,获得第一组移动设备管理策略;以及
基于所监测的状态信息,强制执行所述第一组移动设备管理策略。
8.如项目1所述的方法,其中,强制执行所述至少一个移动设备管理策略包括选择性地禁用所述移动计算设备的应用和功能中的至少一个。
9.一种移动计算设备,包括:
至少一个处理器;以及
存储计算机可读指令的存储器,当被所述至少一个处理器执行时,所述计算机可读指令使得所述移动计算设备:
接收与至少一个用户账号相关的单点登录(SSO)凭证;
经由移动设备管理代理监测与所述移动计算设备相关的状态信息;以及
基于所监测的状态信息和所述SSO凭证,强制执行至少一个移动设备管理策略,
其中,监测所述状态信息包括提供所监测的状态信息中的至少一些所监测的状态信息到一个或多个策略管理服务器,并且
其中,强制执行所述至少一个移动设备管理策略包括:
接收来自所述一个或多个策略管理服务器的管理信息;以及
执行包括在所述管理信息中的至少一个命令。
10.如项目9所述的移动计算设备,其中,所述SSO凭证是配置为在访问至少两个不同的企业资源中使用的授权凭证。
11.如项目9所述的移动计算设备,其中,监测所述状态信息包括识别呈现在所述移动计算设备上的一个或多个应用。
12.如项目9所述的移动计算设备,其中,监测所述状态信息包括识别由所述移动计算设备使用的一个或多个网络连接。
13.如项目9所述的移动计算设备,其中,监测所述状态信息包括确定所述移动计算设备的当前位置信息。
14.如项目9所述的移动计算设备,其中,强制执行所述至少一个移动设备管理策略包括:
基于所述SSO凭证,确定第一组移动设备管理策略是可应用的;以及
基于所监测的状态信息,强制执行所述第一组移动设备管理策略。
15.如项目9所述的移动计算设备,其中,强制执行所述至少一个移动设备管理策略包括:
基于所述SSO凭证,获得第一组移动设备管理策略;以及
基于所监测的状态信息,强制执行所述第一组移动设备管理策略。
16.如项目9所述的方法,其中,强制执行所述至少一个移动设备管理策略包括选择性地禁用所述移动计算设备的应用和功能中的至少一个。
17.一种或多种具有储存其上的指令的非临时性计算机可读介质,当所述指令被执行时,促使移动计算设备:
接收与至少一个用户账号相关的单点登录(SSO)凭证;
经由移动设备管理代理监测与所述移动计算设备相关的状态信息;以及
基于所监测的状态信息和所述SSO凭证,强制执行至少一个移动设备管理策略,
其中,监测所述状态信息包括提供所监测的状态信息中的至少一些所监测的状态信息到一个或多个策略管理服务器,并且
其中,强制执行所述至少一个移动设备管理策略包括:
接收来自所述一个或多个策略管理服务器的管理信息;以及
执行包括在所述管理信息中的至少一个命令。
18.如项目17所述的一种或多种非临时性计算机可读介质,其中,所述SSO凭证是配置为在访问至少两个不同的企业资源中使用的授权凭证。
19.如项目17所述的一种或多种非临时性计算机可读介质,其中,强制执行所述至少一个移动设备管理策略包括:
基于所述SSO凭证,确定第一组移动设备管理策略是可应用的;以及
基于所监测的状态信息,强制执行所述第一组移动设备管理策略。
20.如项目17所述的一种或多种非临时性计算机可读介质,其中,强制执行所述至少一个移动设备管理策略包括:
基于所述SSO凭证,获得第一组移动设备管理策略;以及
基于所监测的状态信息,强制执行所述第一组移动设备管理策略。