移动设备管理的方法和装置与流程
背景
本公开的各方面涉及计算机硬件和软件。具体地,本公开的一个或多个方面大体上涉及用于提供移动设备管理功能的计算机硬件和软件。
公司和其它组织越来越多地提供给他们的雇员和其它同事移动设备和/或以其它方式使他们的雇员和其它同事启用移动设备,诸如智能电话、平板计算机以及其它移动计算设备。由于这些设备持续日益普及且提供越来越多的功能,因此许多组织可能希望对如何能够使用这些设备、这些设备能够访问什么资源以及在这些设备上运行的应用如何能够与其它资源进行交互而进行某些控制。
概述
本公开的各个方面提供更有效、实际、功能化且方便的方式来对可以如何使用移动设备、移动设备能够访问什么资源以及在这些设备上运行的应用和其它软件可如何与其它资源交互进行控制。具体地,在下面更加详细讨论的一个或多个实施方案中,移动设备管理功能以若干不同的方式被部署、实现和/或使用以提供这些和/或其它优点的一个或多个优点。
在一些实施方案中,可以在云计算环境内建立伪设备。伪设备可以代表物理终端用户设备。伪设备可以被供应用于与一个或多个移动设备管理(mdm)服务提供商一起使用。伪设备可以被配置为代表物理终端用户设备接收来自一个或多个mdm服务提供商的一个或多个命令。
在一些实施方案中,可以在云计算环境内建立多个伪设备。每个伪设备可以代表物理终端用户设备。第一伪设备可以被供应用于与第一mdm服务提供商一起使用。第二伪设备可以被供应用于与第二mdm服务提供商一起使用。第一伪设备可以被配置为代表物理终端用户设备接收来自第一mdm服务提供商的命令。第二伪设备可以被配置为代表物理终端用户设备接收来自第二mdm服务提供商的命令。
本申请还提供了以下内容:
1)一种方法,包括:
在云计算环境内建立表示物理终端用户设备的伪设备;以及
供应所述伪设备以用于与一个或多个移动设备管理(mdm)服务提供商一起使用,
其中,所述伪设备被配置为一旦被供应则代表所述物理终端用户设备接收来自所述一个或多个mdm服务提供商的一个或多个命令。
2)根据1)所述的方法,还包括:
在所述伪设备处接收来自所述一个或多个mdm服务提供商的第一mdm服务提供商的第一命令;以及
基于所述第一命令从所述伪设备向所述物理终端用户设备发送第二命令,所述第二命令不同于所述第一命令。
3)根据1)所述的方法,
其中,供应所述伪设备以用于与所述一个或多个mdm服务提供商一起使用包括:
从所述伪设备向所述一个或多个mdm服务提供商的第一mdm服务提供商发送第一登记请求;
在所述伪设备处接收来自所述第一mdm服务提供商的第一策略执行配置文件;
在所述伪设备处存储所述第一策略执行配置文件,所述方法还包括:
供应所述伪设备以用于与所述一个或多个服务提供商的另一个mdm服务提供商一起使用,包括:
从所述伪设备向所述一个或多个mdm服务提供商的第二mdm服务提供商发送第二登记请求,所述第二mdm服务提供商不同于所述第一mdm服务提供商;
在所述伪设备处接收来自所述第二mdm服务提供商的第二策略执行配置文件,所述第二策略执行配置文件不同于所述第一策略执行配置文件;以及
在所述伪设备处存储所述第二策略执行配置文件。
4)根据1)所述的方法,还包括:
在所述伪设备处接收来自所述一个或多个mdm服务提供商的第一mdm服务提供商的第一命令;
确定是否向所述物理终端用户设备发送第二命令;以及
响应于不向所述物理终端用户设备发送所述第二命令的确定:
从所述伪设备向所述第一mdm服务提供商发送对所述第一命令的响应而没有向所述物理终端用户设备发送所述第一命令和所述第二命令,其中,对所述第一命令的响应包括与所述第一命令相关联的操作被完成的指示。
5)根据4)所述的方法,其中,确定是否向所述物理终端用户设备发送第二命令还包括:
向所述物理终端用户设备发送查询命令,所述查询命令请求所述物理终端用户设备的状态信息;
确定所述物理终端用户设备的所述状态信息是否匹配期望的状态信息;以及
响应于所述物理终端用户设备的所述状态信息匹配所述期望的状态信息的确定,生成不向所述物理终端用户设备发送所述第二命令的确定。
6)根据1)所述的方法,还包括:
在所述伪设备处接收来自所述一个或多个mdm服务提供商的第一mdm服务提供商的第一命令,
其中,所述第一命令在其中与所述一个或多个服务提供商的第二mdm服务提供商相关联的策略执行配置文件在所述物理终端用户设备上是活动的时间段期间被接收,所述第二mdm服务提供商不同于所述第一mdm服务提供商。
7)根据1)所述的方法,还包括:
在所述伪设备处接收与所述一个或多个mdm服务提供商的mdm服务提供商相关联的资源数据;
当与所述资源数据相关联的策略执行配置文件当前在所述物理终端用户设备上不活动时,在所述伪设备处缓存所述资源数据;以及
当所述策略执行配置文件当前是在所述物理终端用户设备上活动时,从所述伪设备推送所述资源数据。
8)根据1)所述的方法,还包括:
在所述伪设备处接收来自所述一个或多个mdm服务提供商的第一mdm服务提供商的第一命令;
修改所述第一命令以产生修改的命令;以及
从所述伪设备将所述修改的命令发送到所述物理终端用户设备。
9)根据1)所述的方法,还包括:
从所述伪设备将选择性擦除命令发送到所述物理终端用户设备,
其中,所述选择性擦除命令被配置为使与所述一个或多个mdm服务提供商的第一mdm服务提供商相关联的应用的子集以及与应用的所述子集相关联的数据中的至少一个被删除,以及
其中,所述选择性擦除命令被配置为使个人应用和与所述个人应用相关联的数据,以及与所述第一mdm服务提供商相关联的策略执行配置文件被保持。
10)根据1)所述的方法,还包括:
响应于在所述伪设备处接收到来自所述物理终端用户设备的、基于用户输入或所述物理终端用户设备位于由所述一个或多个mdm服务提供商的第一mdm服务提供商限定的第一地理围栏内的指示中的一个来发起的请求,将所述第一mdm服务提供商的第一策略执行配置文件和所述第一mdm服务提供商的应用数据从所述伪设备部署到所述物理终端用户设备;
响应于接收到基于另一个用户输入或所述物理终端用户设备不再位于所述第一地理围栏内的指示中的一个来发起的另一个请求,从所述物理终端用户设备撤回所述第一mdm服务提供商的所述第一策略执行配置文件和所述第一mdm服务提供商的所述应用数据;以及
响应于在所述伪设备处接收到来自所述物理终端用户设备的、基于新的用户输入或所述物理终端用户设备位于由所述一个或多个服务提供商的第二mdm服务提供商限定的第二地理围栏内的指示中的一个来发起的新的请求,将所述第二mdm服务提供商的第二策略执行配置文件和所述第二mdm服务提供商的应用数据从所述伪设备部署到所述物理终端用户设备。
11)根据10)所述的方法,还包括:
识别所述一个或多个mdm服务提供商的第一mdm服务提供商的策略和所述一个或多个mdm服务提供商的第二mdm服务提供商的策略之间的冲突;
通过执行以下中的一个来解决所述冲突:
应用从所述云计算环境的基于知识的系统确定的解决方案;
向所述物理终端用户设备发送警告,所述警告包括一个或多个用户可选择的命令以解决所述冲突;以及
向所述物理终端用户设备发送微型擦除命令,其中所述微型擦除命令被配置为至少使造成所述冲突的数据的子集被删除。
12)一种方法,包括:
在云计算环境之内建立多个伪设备,每个伪设备表示物理终端用户设备;
供应所述多个伪设备中的第一伪设备以用于与第一移动设备管理(mdm)服务提供商一起使用;以及
供应所述多个伪设备中的第二伪设备以用于与不同于所述第一mdm服务提供商的第二mdm服务提供商一起使用,
其中,所述第一伪设备被配置为代表所述物理终端用户设备接收来自所述第一mdm服务提供商的一个或多个命令,以及
其中,所述第二伪设备被配置为代表所述物理终端用户设备接收来自所述第二mdm服务提供商的一个或多个命令。
13)根据12)所述的方法,还包括:
在所述第一伪设备处接收来自第一mdm服务提供商的第一命令;以及
基于所述第一命令从所述伪设备向所述物理终端用户设备发送第二命令,所述第二命令不同于所述第一命令。
14)根据12)所述的方法,
其中,供应所述多个伪设备中的所述第一伪设备以用于与所述第一mdm服务提供商一起使用包括:
从第一所述伪设备向所述第一mdm服务提供商发送第一登记请求;
在所述第一伪设备处接收来自所述第一mdm服务提供商的第一策略执行配置文件;
在所述第一伪设备处存储所述第一策略执行配置文件,
其中,供应所述多个伪设备中的所述第二伪设备以用于与第二mdm服务提供商一起使用包括:
从所述第二伪设备向所述第二mdm服务提供商发送第二登记请求;
在所述第二伪设备处接收来自所述第二mdm服务提供商的第二策略执行配置文件,所述第二策略执行配置文件不同于所述第一策略执行配置文件;以及
在所述第二伪设备处存储所述第二策略执行配置文件。
15)根据12)所述的方法,还包括:
在所述第一伪设备处接收来自所述第一mdm服务提供商的第一命令;
确定是否向所述物理终端用户设备发送第二命令;以及
响应于确定不向所述物理终端用户设备发送所述第二命令:
从所述第一伪设备向所述第一mdm服务提供商发送对所述第一命令的响应,而不向所述物理终端用户设备发送所述第一命令和所述第二命令,
其中,对所述第一命令的所述响应包括与所述第一命令相关联的操作被完成的指示。
16)根据12)所述的方法,还包括:
在所述第一伪设备处接收与所述第一mdm服务提供商相关联的资源数据;
当与所述资源数据相关联的策略执行配置文件当前在所述物理终端用户设备上不活动时,在所述第一伪设备处缓存所述资源数据;以及
当所述策略执行配置文件当前在所述物理终端用户设备上活动时,从所述第一伪设备推送所述资源数据。
17)一种非暂时性存储介质,其存储机器可执行指令,当所述机器可执行指令被执行时使计算设备执行以下操作:
在包括所述计算设备的云计算环境内建立表示物理终端用户设备的伪设备;以及
供应所述伪设备以用于与一个或多个移动设备管理(mdm)服务提供商一起使用,
其中,所述伪设备被配置为一旦被供应则代表所述物理终端用户设备接收来自所述一个或多个mdm服务提供商的一个或多个命令。
18)根据17)所述的非暂时性存储介质,其中,当所述机器可执行指令被执行时使所述计算设备执行以下操作:
在所述伪设备处接收来自所述一个或多个mdm服务提供商的第一mdm服务提供商的第一命令;以及
基于所述第一命令从所述伪设备向所述物理终端用户设备发送第二命令,所述第二命令不同于所述第一命令。
19)根据17)所述的非暂时性存储介质,其中:
当被执行时使所述计算设备供应所述伪设备以用于与所述一个或多个mdm服务提供商一起使用的所述机器可执行指令还使所述计算设备执行以下操作:
从所述伪设备向所述一个或多个mdm服务提供商的第一mdm服务提供商发送第一登记请求;
在所述伪设备处接收来自所述第一mdm服务提供商的第一策略执行配置文件;
在所述伪设备处存储所述第一策略执行配置文件,
其中,当所述机器可执行指令被执行时还使得所述计算设备:
通过进一步使所述计算设备执行以下操作而供应所述伪设备以用于与所述一个或多个服务提供商的另一个mdm服务提供商一起使用:
从所述伪设备向所述一个或多个mdm服务提供商的第二mdm服务提供商发送第二登记请求,所述第二mdm服务提供商不同于所述第一mdm服务提供商;
在所述伪设备处接收来自所述第二mdm服务提供商的第二策略执行配置文件,所述第二策略执行配置文件不同于所述第一策略执行配置文件;以及
在所述伪设备处存储所述第二策略执行配置文件。
20)根据17)所述的非暂时性存储介质,其中,当所述机器可执行指令被执行时还使得所述计算设备执行以下操作:
在所述伪设备处接收来自所述一个或多个mdm服务提供商的第一mdm服务提供商的第一命令;
确定是否向所述物理终端用户设备发送第二命令;以及
响应于确定不向所述物理终端用户设备发送所述第二命令:
从所述伪设备向所述第一mdm服务提供商发送对所述第一命令的响应,而不向所述物理终端用户设备发送所述第一命令和所述第二命令。
21)根据17)所述的非暂时性存储介质,其中,所述伪设备是第一伪设备且所述物理终端用户设备是与用户相关联的第一物理终端用户设备,
其中,当所述机器可执行指令被执行时,还使得所述计算设备:
在包括所述计算设备的所述云计算环境内建立表示与所述用户相关联的第二物理终端用户设备的第二伪设备。
在下面更加详细地讨论这些特征连同许多其它特征。
附图简述
本公开以示例的方式说明并且并非限制于附图,在附图中,相似的参考编号指示相似的元件,并且其中:
图1描绘了可以根据本文描述的一个或多个说明性方面使用的说明性的计算机系统架构。
图2描绘了可以根据本文描述的一个或多个说明性方面使用的说明性的远程访问系统架构。
图3描绘了可以根据本文描述的一个或多个说明性方面使用的说明性的虚拟化(超级监督者)系统架构。
图4描绘了可以根据本文描述的一个或多个说明性方面使用的说明性的基于云的系统架构。
图5描绘了说明性的企业移动性管理系统。
图6描绘了另一个说明性的企业移动性管理系统。
图7描绘了可以根据本文描述的一个或多个说明性方面使用的另一个说明性的企业移动管理系统。
图8描绘了可以根据本文描述的一个或多个说明性方面来使用的另一个说明性的企业移动管理系统。
图9描绘了根据本文所讨论的一个或多个说明性方面示出经由伪设备将一个或多个移动设备管理策略应用到物理终端用户设备的方法的流程图。
图10描绘了根据本文所讨论的一个或多个说明性方面示出供应了用于与一个或多个移动设备管理服务提供商一起使用的伪设备的方法的流程图。
图11描绘了根据本文讨论的一个或多个说明性方面示出响应于来自移动设备管理服务提供商的命令的方法的流程图。
图12描绘了根据本文所讨论的一个或多个说明性方面示出将资源数据推送给物理终端用户设备的方法的流程图。
图13描绘了根据本文所讨论的一个或多个说明性方面示出修改伪设备处的命令的方法的流程图。
图14描绘了根据本文所讨论的一个或多个说明性方面示出应用选择性擦除命令的方法的流程图。
图15描绘了根据本文所讨论的一个或多个说明性方面示出将信息部署到物理终端用户设备且从物理终端用户设备中撤回信息的方法的流程图。
图16描绘了根据本文所讨论的一个或多个说明性方面示出解决在不同的移动设备管理服务提供商的策略之间的冲突的方法的流程图。
详细描述
在各个实施方案的以下描述中,参考了以上确认并且其形成本文的一部分的附图,并且其中通过说明的方式示出了各个实施方案,其中本文描述的各方面可以被实践。应当理解的是,可以使用其它实施方案,并且可以做出结构性的和功能性的修改而不偏离本文描述的范围。各个方面能够是其它的实施方案并且能够以各种不同的方式来实践或实施。
作为对下文更加详细描述的主题的一般介绍,本文描述的各方面针对在移动计算设备处使用受管移动应用来控制对在企业计算系统处的资源的远程访问。访问管理器可以执行确定请求对企业资源的访问的移动应用自身是否被准确地识别以及在安装在移动计算设备之后是否没有在后续被改变的验证过程。以这种方式,访问管理器可以确保请求对企业资源访问的移动应用能够被信任以及不试图规避用于保护那些企业资源的安全机制。因此,与企业相关联的个体可以有利地在他们的个人移动设备处使用企业资源。
应当理解的是,本文使用的措辞和术语是为了描述的目的,并且不应当被视为限制。相反,本文使用的短语和术语将被给出它们最广义的解释和含义。“包括(including)”和“包含(comprising)”及其变型的使用意在包含其后列出的项以及其等价物以及其附加的项和等价物。术语“安装的”、“连接的”、“耦合的”、“定位的”、“接合的”以及类似术语的使用意在包括直接和间接的安装、连接、耦合、定位和接合两者。
计算架构
计算机软件、硬件和网络可以在各种不同的系统环境中被使用,其中各种不同的系统环境除了别的之外包括独立的、联网的、远程访问(又叫做远程桌面)、虚拟化的和/或基于云的环境。图1示出了可以用于在独立的和/或联网的环境中实现本文描述的一个或多个说明性方面的系统架构和数据处理设备的一个示例。各个网络节点103、105、107和109可以经由广域网(wan)101(例如互联网)来互连。还可使用或可选地使用其它网络,包括私有内联网、公司网络、局域网(lan)、城域网(man)、无线网、个人网络(pan)等等。网络101是为了说明的目的并且可以用更少的或附加的计算机网络来代替。lan可具有任何已知的lan拓扑中的一个或多个,并且可使用多种不同协议中的一个或多个,诸如以太网。设备103、105、107、109和其它设备(未示出)可以经由双绞线、同轴电缆、光纤、无线电波或其它通信介质连接到网络中的一个或多个。
如在本文中使用和在附图中描绘的术语“网络”不仅指的是其中远程存储设备经由一个或多个通信路径被耦合在一起的系统,而且还指的是可以不时耦合到具有存储能力的这样的系统的独立的设备。因此,术语“网络”不仅包括“物理网络”,还包括“内容网络”,其由位于全部物理网络上的归属于单个实体的数据组成。
组件可以包括数据服务器103、网络服务器105和客户端计算机107、109。数据服务器103提供数据库的总访问、控制和管理以及用于执行本文描述的一个或多个说明性方面的控制软件。数据服务器103可以连接到网络服务器105,用户根据需要通过网络服务器105与数据交互和获得数据。可选地,数据服务器103可以用作网络服务器本身并且可以直接连接到互联网。数据服务器103可以通过网络101(例如互联网)经由直接或间接连接或经由一些其它网络连接到网络服务器105。用户可以使用远程计算机107、109与数据服务器103交互,例如经由通过网络服务器105托管的一个或多个暴露的网站连接到数据服务器103的网络浏览器。客户端计算机107、109可以与数据服务器103配合使用以访问其中存储的数据或可以用于其它目的。例如,从客户端设备107用户可以如本领域已知的使用互联网浏览器或通过执行在计算机网络(例如互联网)上与网络服务器105和/或数据服务器103进行通信的软件应用来访问网络服务器105。
服务器和应用可以被组合在相同的物理机器上并且保持独立的虚拟或逻辑地址,或可以驻留在独立的物理机器上。图1仅仅示出了可以使用的网络架构的一个示例,并且本领域的技术人员将理解的是,所使用的特定的网络架构和数据处理设备可以变化,并且对于它们提供的功能是次要的,如本文进一步描述的。例如,由网络服务器105和数据服务器103提供的服务可以组合在单个服务器上。
每个组件103、105、107、109可以是任何类型的已知的计算机、服务器或数据处理设备。数据服务器103例如可以包括控制速率服务器103的整体操作的处理器111。数据服务器103还可以包括ram113、rom115、网络接口117、输入/输出接口119(例如,键盘、鼠标、显示器、打印机等)以及存储器121。i/o119可以包括用于读取、写入、显示和/或打印数据或文件的各种接口单元和设备。存储器121还可存储用于控制数据处理设备103的整体操作的操作系统软件123、用于指示数据服务器103执行本文描述的各方面的控制逻辑125以及提供辅助、支持、和/或其它可用于或可不用于与本文描述的方面结合使用的功能的其它应用软件127。控制逻辑在本文还可以被称为数据服务器软件125。数据服务器软件的功能可以指的是基于编码成控制逻辑的规则自动进行的、由将输入提供到系统中的用户手动进行的操作和决定和/或基于用户输入(例如查询、数据更新等)的自动处理的组合。
存储器121还可以存储在执行本文描述的一个或多个方面时使用的数据,包括第一数据库129和第二数据库131。在一些实施方案中,第一数据库可以包括第二数据库(例如,作为单独的表格、报告等)。也就是说,根据系统设计,信息可以被存储在单个数据库中,或分离成不同的逻辑、虚拟、或物理数据库。设备105、107、109可以具有与关于设备103描述的架构类似的或不同的架构。本领域技术人员将理解的是,如本文描述的数据处理设备103(或设备105、107、109)的功能可以遍布多个数据处理设备,例如以跨越多个计算机分配处理负荷,以基于地理位置、用户访问级别、服务质量(qos)等来分离事务。
一个或多个方面可以体现在由如本文描述的一个或多个计算机或其它设备执行的诸如在一个或多个程序模块中的计算机可用或可读数据和/或计算机可执行指令中。通常,程序模块包括当由计算机或其它设备中的处理器执行时执行特定的任务或实现特定的抽象数据类型的例程、程序、对象、组件、数据结构等。该模块可用源代码编程语言编写,其随后被编译以用于执行,或可用脚本语言编写,诸如(但不限于)javascript或actionscript。计算机可执行指令可以被存储在计算机可读介质(例如非易失性存储设备)上。可以使用任何合适的计算机可读存储介质,包括硬盘、cd-rom、光学存储设备、磁存储设备、和/或其任何组合。此外,代表如本文描述的数据或事件的各种传输(非存储)介质可以以通过信号传导介质(例如,金属线、光纤)和/或无线传输介质(例如,空气和/或空间)传播的电磁波的形式在源和目的地之间传递。本文描述的各个方面可以体现为方法、数据处理系统或计算机程序产品。因此,各个功能可以全部或部分地体现在软件、固件和/或硬件或硬件等价物中,例如,集成电路、现场可编程门阵列(fpga)等等。特定数据结构可以用于更有效地实现本文描述的一个或多个方面,并且这样的数据结构被预期在本文描述的计算机可执行指令和计算机可用数据的范围之内。
进一步参考图2,本文描述的一个或多个方面可以在远程访问环境中实现。图2描绘了包括在说明性计算环境200中的通用计算设备201的示例系统架构,其可以根据本文描述的一个或多个说明性方面来使用。通用计算设备201可以用作被配置为提供用于客户端访问设备的虚拟机的单服务器或多服务器桌面虚拟化系统(例如,远程访问或云系统)中的服务器206a。通用计算设备201可以具有用于控制服务器的整体操作的处理器203及其相关组件,包括随机访问存储器(ram)205、只读存储器(rom)207、输入/输出(i/o)模块209和存储器215。
i/o模块209可以包括鼠标、键盘、触摸屏、扫描仪、光学阅读器和/或触针(或其它输入设备),通用计算设备201的用户通过其可以提供输入,并且还可以包括用于提供音频输出的扬声器和用于提供文本、视听和/或图形输出的视频显示设备中的一个或多个。软件可以被存储在存储器215和/或其它储存器内以向处理器203提供指令以用于将通用计算设备201配置成专用计算设备以便执行如本文描述的各种功能。例如,存储器215可以存储由计算设备201使用的软件,例如,操作系统217、应用程序219和相关联的数据库221。
计算设备201可以在支持到例如终端240(也被称为客户端设备)的一个或多个远程计算机的连接的联网环境中操作。终端240可以是个人计算机、移动设备、膝上型计算机、平板电脑、或包括以上关于通用计算设备103或201描述的元件中的很多或全部的服务器。在图2中描绘的网络连接包括局域网(lan)225和广域网(wan)229,但是还可以包括其他网络。当在lan网络环境中使用时,计算设备201可以通过网络接口或适配器223连接到lan225。当在wan网络环境中使用时,计算设备201可以包括调制解调器227或用于在诸如计算机网络230(例如,互联网)的wan229上建立通信的其它广域网接口。将理解的是,所示出的网络连接是说明性的,并且可以使用在计算机之间建立通信链路的其它装置。计算设备201和/或终端240还可以是移动终端(例如,移动电话、智能电话、pda、笔记本电脑等等),其包括各种其它组件,诸如电池、扬声器和天线(未示出)。
本文描述的方面还可以利用众多其它通用或专用计算系统环境或配置来操作。可以适于与本文描述的方面一起使用的其它计算系统、环境和/或配置的示例包括但不限于个人计算机、服务器计算机、手持设备或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费性电子产品、网络pc、小型计算机、大型计算机、包括以上系统或设备中的任一个的分布式计算环境等等。
如图2中所示,一个或多个客户端设备240可以与一个或多个服务器206a-206n(在本文中通常称为“服务器206”)进行通信。在一个实施方案中,计算环境200可以包括安装在服务器206和客户端机器240之间的网络设备。网络设备可以管理客户端/服务器连接,并且在某些情况下可以在多个后端服务器206之间对客户端连接进行负载均衡。
在一些实施方案中,客户端机器240可以被称为单个客户端机器240或客户端机器240的单个组,同时服务器206可以被称为单个服务器206或服务器206的单个组。在一个实施方案中,单个客户端机器240与多于一个服务器206进行通信,然而在另一个实施方案中,单个服务器206与多于一个客户端机器240进行通信。在又一个实施方案中,单个客户端机器240与单个服务器206进行通信。
在一些实施方案中,客户端机器240可以通过以下非穷举术语中的任何一个来引用:(多个)客户端机器;(多个)客户端;(多个)客户端计算机;(多个)客户端设备;(多个)客户端计算设备;本地机器;远程机器;(多个)客户端节点;(多个)端点;或(多个)端点节点。在一些实施方案中,服务器206可以通过以下非穷举术语中的任何一个来引用:(多个)服务器;本地机器;远程机器;(多个)服务器群或(多个)主计算设备。
在一个实施方案中,客户端机器240可以是虚拟机。虚拟机可以是任何虚拟机,而在一些实施方案中,虚拟机可以是由1型或2型超级监督者(例如,由思杰系统、ibm、vmware开发的超级监督者)或任何其它超级监督者管理的任何虚拟机。在一些方面中,虚拟机可以由超级监督者管理,而在一些方面中,虚拟机可以由在服务器206上执行的超级监督者或在客户端240上执行的超级监督者来管理。
一些实施方案包括显示由在服务器206或其它远程定位的机器上远程执行地应用所生成的应用输出的客户端设备240。在这些实施案中,客户端设备240可执行虚拟机客户端代理程序或应用,以在应用窗口、浏览器、或其它输出窗口中显示输出。在一个示例中,应用是桌面,而在其它示例中,应用是生成或呈现桌面的应用。桌面可以包括为操作系统的实例提供用户界面的图形壳,其中本地和/或远程应用可以被集成。如本文使用的应用是在操作系统(并且,可选地,也有桌面)的实例已经被加载后执行的程序。
在一些实施方案中,服务器206使用远程表示协议或其它程序以发送数据到瘦客户端或在客户端上执行的远程显示应用以呈现由在服务器206上执行的应用生成的显示输出。瘦客户端或远程显示协议可以是协议的以下非穷举列表中的任何一个:由佛罗里达州的劳德代尔堡的思杰系统公司开发的独立计算架构(ica)协议;或由华盛顿州的雷德蒙德的微软公司制造的远程桌面协议(rdp)。
远程计算环境可以包括多于一个服务器206a-206n,使得服务器206a-206n例如在云计算环境中在逻辑上被分组在一起成为服务群206。服务器群206可以包括在地理上分散然而并且在逻辑上分组在一起的服务器206或彼此靠近定位同时在逻辑上分组在一起的服务器206。在一些实施方案中,在服务器群206内的地理上分散的服务器206a-206n可以使用wan(广域)、man(城域)或lan(局域)进行通信,其中不同的地理区域可以被表征为:不同的洲;洲的不同区域;不同的国家;不同的州;不同的城市;不同的园区;不同的房间;或前述地理位置的任何组合。在一些实施方案中,服务器群206可以作为单个实体来管理,而在其他实施方案中,服务器群206可以包括多个服务器群。
在一些实施方案中,服务器群可以包括执行实质上类似类型的操作系统平台(例如,windows、unix、linux、ios、android、symbian等等)的服务器206。在其它实施方案中,服务器群206可以包括执行第一类型的操作系统平台的第一组的一个或多个服务器以及执行第二类型的操作系统平台的第二组的一个或多个服务器。
服务器206可以根据需要被配置为任何类型的服务器(例如,文件服务器、应用服务器、网络服务器、代理服务器、设备、网络设备、网关、应用网关、网关服务器、虚拟化服务器、部署服务器、sslvpn服务器、防火墙、网络服务器、应用服务器)或被配置为主应用服务器、执行活动目录的服务器或执行提供防火墙功能、应用功能或负载均衡功能的应用加速程序的服务器。还可以使用其它服务器类型。
一些实施方案包括第一服务器206a,其接收来自客户端机器240的请求、向第二服务器206b转发请求以及用来自第二服务器206b的响应来响应于由客户端机器240生成的请求。第一服务器206a可以获得可用于客户端机器240的应用的枚举以及与托管应用的枚举内识别的应用的应用服务器206相关联的地址信息。第一服务器206a然后可以使用网络接口呈现对客户端的请求的响应,并且直接与客户端240进行通信以向客户端240提供对识别的应用的访问。一个或多个客户端240和/或一个或多个服务器206可以通过网络230(例如,网络101)传输数据。
图2示出说明性的桌面虚拟化系统的高级架构。如所示出的,桌面虚拟化系统可以是单服务器或多服务器系统或云系统,其包括被配置为将虚拟桌面和/或虚拟应用提供到一个或多个客户端访问设备240的至少一个虚拟化服务器206。如本文使用的,桌面指的是其中一个或多个应用可以被托管和/或执行的图形环境或空间。桌面可以包括为操作系统的实例提供用户界面的图形壳,其中本地和/或远程应用可以被集成。应用可以包括在操作系统(并且,可选地,也有桌面)的实例已经被加载后执行的程序。操作系统的每个实例可以是物理的(例如,每个设备一个操作系统)或虚拟的(例如,运行在单个设备上的os的许多实例)。每个应用可以在本地设备上执行或在远程定位的设备上执行(例如,远程的)。
进一步参考图3,计算机设备301可以被配置为在虚拟化环境(例如,单服务器、多服务器或云计算环境)中的虚拟化服务器。在图3中示出的虚拟化服务器301可以被部署为图2中示出的服务器206的一个或多个实施方案或其它已知的计算设备和/或由图2中示出的服务器206的一个或多个实施方案或由其它已知的计算设备来实现。包括在虚拟化服务器301中的是硬件层,该硬件层可以包括一个或多个物理磁盘304、一个或多个物理设备306、一个或多个物理处理器308和一个或多个物理存储器316。在一些实施方案中,固件312可以被存储在物理存储器316中的存储元件之内并且可以由物理处理器308中的一个或多个来执行。虚拟化服务器301还可以包括操作系统314,其可以被存储在物理存储器316中的存储元件中并且由物理处理器308中的一个或多个来执行。更进一步,超级监督者302可以被存储在物理存储器316中的存储元件中并且可以由物理处理器308中的一个或多个来执行。
执行在物理处理器308中的一个或多个上可以是一个或多个虚拟机332a-c(通常为332)。每个虚拟机332可以具有虚拟磁盘326a-c和虚拟处理器328a-c。在一些实施方案中,第一虚拟机332a可以使用虚拟处理器328a来执行包括工具堆栈324的控制程序320。控制程序320可以被称为控制虚拟机、dom0、domain0或用于系统管理和/或控制的其它虚拟机。在一些实施方案中,一个或多个虚拟机332b-c可以使用虚拟处理器328b-c来执行客户操作系统330a-b。
虚拟化服务器301可以包括具有与虚拟化服务器301通信的一个或多个块的硬件的硬件层310。在一些实施方案中,硬件层310可以包括一个或多个物理磁盘304、一个或多个物理设备306、一个或多个物理处理器308和一个或多个存储器216。物理组件304、306、308和316可以包括例如以上描述的组件中的任何一个。物理设备306可以包括例如网络接口卡、视频卡、键盘、鼠标、输入设备、监控器、显示设备、扬声器、光驱、储存设备、通用串行总线连接、打印机、扫描仪、网络元件(例如,路由器、防火墙、网络地址转换器、负载均衡器、虚拟专用网络(vpn)网关、动态主机配置协议(dhcp)路由器等等)、或连接到虚拟化服务器301或与虚拟化服务器301进行通信的任何设备。在硬件层310中的物理存储器316可以包括任何类型的存储器。物理存储器316可以存储数据,并且在一些实施方案中,可以存储一个或多个程序或一组可执行指令。图3示出了其中固件312被存储在虚拟化服务器301的物理存储器316之内的实施方案。被存储在物理存储器316中的程序或可执行指令可以由虚拟化服务器301的一个或多个处理器308来执行。
虚拟化服务器301还可以包括超级监督者302。在一些实施方案中,超级监督者302可以是由在虚拟化服务器301上的处理器308执行以创建和管理任何数量的虚拟机332的程序。超级监督者302可以被称为虚拟机监控器或平台虚拟化软件。在一些实施方案中,超级监督者302可以是可执行指令和监控在计算机器上执行的虚拟机的硬件的任何组合。超级监督者302可以是2型超级监督者,其中在操作系统314内执行的超级监督者在虚拟化服务器301上执行。虚拟机然后在高于超级监督者的级别处执行。在一些实施方案中,2型超级监督者在用户的操作系统的环境内执行,使得2型超级监督者与用户的操作系统进行交互。在其它实施方案中,在虚拟化环境中的一个或多个虚拟化服务器201可以相反包括1型超级监督者(未示出)。1型超级监督者可以通过直接访问硬件层310内的硬件和资源来执行在虚拟化服务器301上。也就是说,尽管2型超级监督者302通过主操作系统314(如所示)访问系统资源,但是1型超级监督者可以直接访问所有系统资源而无需主操作系统314。1型超级监督者可以直接在虚拟化服务器301的一个或多个物理处理器308上执行,并且可以包括存储在物理存储器316中的程序数据。
在一些实施方案中,超级监督者302可以以模拟操作系统330或控制程序320直接访问系统资源的任何方式向执行在虚拟机332上的操作系统330或控制程序320提供虚拟资源。系统资源可以包括但不限于物理设备306、物理磁盘304、物理处理器308、物理存储器316和包括在虚拟化服务器301的硬件层310中的任何其它组件。超级监督者302可以用于仿真虚拟硬件、对物理硬件进行分区、虚拟化物理硬件和/或执行提供对计算环境的访问的虚拟机。在另外的其它实施方案中,超级监督者302针对执行在虚拟化服务器301上的虚拟机332控制处理器调度和存储器分区。超级监督者302可以包括由加利福尼亚州的马洛阿尔托的vmware公司制造的那些;xen超级监督者,其开发由开源xen.org团体监督的一种开源产品;由微软提供的hyperv、virtualserver或虚拟pc超级监督者或其它超级监督者。在一些实施方案中,虚拟化服务器301执行超级监督者302,其创建虚拟机平台,在其上可以执行客户操作系统。在这些实施方案中,虚拟化服务器301可以被称为主机服务器。这样的虚拟化服务器的一个示例是由佛罗里达州的劳德代尔堡的思杰系统公司提供的xenserver。
超级监督者302可以创建一个或多个虚拟机332b-c(通常为332),客户操作系统330在其中执行。在一些实施方案中,超级监督者302可以加载虚拟机映像以创建虚拟机332。在其它实施方案中,超级监督者302可以在虚拟机332内执行客户操作系统330。在另外的其它实施方案中,虚拟机332可以执行客户操作系统330。
除了创建虚拟机332之外,超级监督者302可以控制至少一个虚拟机332的执行。在其它实施方案中,超级监督者302可以向至少一个虚拟机332呈现由虚拟化服务器301提供的至少一个硬件资源的抽象(例如,在硬件层310内可用的任何硬件资源)。在其它实施方案中,超级监督者302可以控制虚拟机332访问虚拟化服务器301中可用的物理处理器308的方式。控制对物理处理器308的访问可以包括确定虚拟机332是否应当访问处理器308以及物理处理器能力如何呈现给虚拟机332。
如图3中所示,虚拟化服务器301可以托管或执行一个或多个虚拟机332。虚拟机332是一组可执行指令,其当由处理器308执行时,模拟物理计算机的操作,使得虚拟机332可以很像物理计算设备一样执行程序和进程。尽管图3示出了其中虚拟化服务器301托管三个虚拟机332的实施方案,但是在其它实施方案中,虚拟化服务器301可以托管任何数量的虚拟机332。在一些实施方案中,超级监督者302向每个虚拟机332提供物理硬件、存储器、处理器和对该虚拟机332可用的其它系统资源的唯一的虚拟视图。在一些实施方案中,唯一的虚拟视图可以基于虚拟机许可中的一个或多个、到一个或多个虚拟机标识符的策略引擎的应用、访问虚拟机的用户、在虚拟机上执行的应用、由虚拟机访问的网络或任何其它期望的准则。例如,超级监督者302可以创建一个或多个不安全的虚拟机332和一个或多个安全的虚拟机332。不安全的虚拟机332可以被防止访问安全虚拟机332可以被许可访问的资源、硬件、存储器位置和程序。在其它实施方案中,超级监督者302可以向每个虚拟机332提供物理硬件、存储器、处理器和对虚拟机332可用的其它系统资源的实质上类似的虚拟视图。
每个虚拟机332可以包括虚拟磁盘326a-c(通常为326)和虚拟处理器328a-c(通常为328)。在一些实施方案中,虚拟磁盘326是虚拟化服务器301的一个或多个物理磁盘304的虚拟化视图或虚拟化服务器301的一个或多个物理磁盘304的一部分。物理磁盘304的虚拟化视图可以由超级监督者302生成、提供和管理。在一些实施方案中,超级监督者302向每个虚拟机332提供物理磁盘304的唯一视图。因此,在这些实施方案中,包括在每个虚拟机332中的特定虚拟磁盘326在与其他虚拟磁盘326比较时可以是唯一的。
虚拟处理器328可以是虚拟化服务器301的一个或多个物理处理器308的虚拟化视图。在一些实施方案中,物理处理器308的虚拟化视图可以由超级监督者302来生成、提供和管理。在一些实施方案中,虚拟处理器328具有至少一个物理处理器308的实质上所有的相同特性。在其它实施方案中,虚拟处理器308提供物理处理器308的修改视图,使得虚拟处理器328的特性中的至少一些特性不同于对应的物理处理器308的特性。
进一步参考图4,本文描述的一些方面可以在基于云的环境中实现。图4示出了云计算环境(或云系统)400的示例。如图4中所示,客户端计算机411-414可以与云管理服务器410进行通信以访问云系统的计算资源(例如,主机服务器403、储存资源404和网络资源405)。
管理服务器410可以在一个或多个物理服务器上实现。管理服务器410可以运行例如由佛罗里达州的劳德代尔堡的思杰系统公司的cloudstack或openstack,除了别的之外。管理服务器410可以管理各种计算资源,其包括云硬件和软件资源,例如,主机计算机403、数据储存设备404和网络设备405。云硬件和软件资源可以包括私有或公共组件。例如,云可以被配置为将由一个或多个特定的顾客或客户端计算机411-414和/或在私有网络上使用的私有云。在其它实施方案中,公共云或混合公共-私有云可以在开放或混合网络上由其他顾客使用。
管理服务器410可以被配置为提供用户接口,通过其云操作者和云顾客可以与云系统交互。例如,管理服务器410可以提供具有用户接口的一组api和/或一个或多个云操作者控制台应用(例如,基于网络的或独立的应用),以允许云操作者管理云资源、配置虚拟化层、管理顾客账户、以及执行其他云管理任务。管理服务器410还可以包括具有用户接口的一组api和/或一个或多个顾客控制台应用,该用户接口被配置为经由客户端计算机411-414接收来自终端用户的云计算请求,例如,创建、修改或破坏在云内的虚拟机的请求。客户端计算机411-414可以经由互联网或其它通信网络连接到管理服务器410,并且可以请求对由管理服务器410管理的计算资源中的一个或多个的访问。响应于客户端请求,管理服务器410可以包括被配置为基于客户端请求来选择和提供在云系统的硬件层中的物理资源的资源管理器。例如,管理服务器410和云系统的附加组件可以被配置为在网络(例如,互联网)上为在客户端计算机411-414处的顾客提供、创建和管理虚拟机和他们的操作环境(例如,超级监督者、储存资源、由网络元件提供的服务等等),向顾客提供计算资源、数据储存服务、网络能力和计算机平台以及应用支持。云系统还可以被配置为提供各种特定服务,其包括安全系统、开发环境、用户接口等等。
特定的客户端411-414可以是相关的,例如,创建虚拟机的不同的客户端计算机,代表相同的终端用户或附属于相同的公司或组织的不同的用户。在其它示例中,特定的客户端411-414可以是不相关的,诸如附属于不同的公司或组织的用户。对于不相关的客户端,关于任何一个用户的虚拟机或储存器的信息可以对其它用户是隐藏的。
现在参考云计算环境的物理硬件层,可用区域401-402(或区域)可以指的是一组并列的物理计算资源。区域可以与计算资源的全部云中的其它区域在地理上分开。例如,区域401可以是位于加利佛尼亚州的第一云数据中心,而区域402可以是位于佛罗里达州的第二云数据中心。管理服务器410可以位于可用区域中的一个处或单独的位置处。每个区域可以包括通过网关与在该区域的外部的设备(例如,管理服务器410)连接的内部网络。云的终端用户(例如,客户端411-414)可能或可能不知道区域之间的区别。例如,终端用户可以请求具有指定的存储量、处理能力和网络能力的虚拟机的创建。管理服务器410可以响应于用户的请求并且可以分配资源以创建虚拟机而无需用户知道是否使用来自区域401或区域402的资源来创建虚拟机。在其它示例中,云系统可以允许终端用户请求虚拟机(或其它云资源)被分配在特定区域中或在区域内的特定资源403-405上。
在该示例中,每个区域401-402可以包括各种物理硬件组件(或计算资源)403-405(例如,物理托管资源(或处理资源)、物理网络资源、物理储存资源、交换机和可以用于向顾客提供云计算服务的附加的硬件资源)的布置。在云区域401-402中的物理托管资源可以包括一个或多个计算机服务器403,诸如以上描述的虚拟化服务器301,其可以被配置为创建和托管虚拟机实例。云区域401或402中的物理网络资源可以包括一个或多个网络元件405(例如,网络服务提供商),其包括被配置为向云顾客提供网络服务的硬件和/或软件,诸如防火墙、网络地址转换器、负载均衡器、虚拟专用网络(vpn)网关、动态主机配置协议(dhcp)路由器等等。在云区域401-402中的储存资源可以包括储存磁盘(例如,固态驱动器(ssd)、磁性硬盘等等)和其它储存设备。
在图4中示出的示例云计算环境还可以包括具有附加的硬件和/或软件资源的虚拟化层(例如,如在图1-3中示出的),附加的硬件和/或软件资源被配置为创建和管理虚拟机以及使用云中的物理资源向顾客提供其它服务。虚拟化层可包括如上面在图3中描述的超级监督者连同其它组件以提供网络虚拟化、存储虚拟化等。虚拟化层可以作为与物理资源层分开的层,或者可以与物理资源层共享相同的硬件和/或软件资源中的一些或全部。例如,虚拟化层可以包括安装在具有物理计算资源的虚拟化服务器403的每个中的超级监督者。已知的云系统可以可选地被使用,例如,windowsazure(华盛顿州雷德蒙德的微软公司)、amazonec2(华盛顿州西雅图的amazon.com公司)、ibmbluecloud(armonk,newyork的ibm公司)或其它。
企业移动管理架构
图5表示用于在byod环境中使用的企业移动技术架构500。架构使得移动设备502的用户能够从移动设备502访问企业或个人资源以及使用移动设备502以用于个人用途。用户可使用用户所购买的移动设备502或者企业提供给用户的移动设备502来访问此类企业资源504或企业服务508。用户可以利用移动设备502以仅用于商业用途或用于商业和个人用途。移动设备可运行ios操作系统、android操作系统和/或类似的。企业可以选择实现策略以管理移动设备504。策略可以通过防火墙或网关以移动设备可以被识别、保护或安全验证以及提供对企业资源的选择性或完全访问的方式来植入。策略可以是移动设备管理策略、移动应用管理策略、移动数据管理策略、或移动设备、应用和数据管理策略中的一些组合。通过移动设备管理策略的应用管理的移动设备504可被称为登记设备或受管设备。
在一些实施方案中,移动设备的操作系统可分成受管分区510和非受管分区512。受管分区510可以具有应用到其以保护在受管分区上运行的应用以及在受管分区中存储的数据的策略。在其它实施方案中,所有的应用可根据与应用分开接收的一组的一个或多个策略文件执行,且当该应用在设备上执行时,其定义一个或多个安全参数、特征、资源限制、和/或其它由移动设备管理系统执行的访问控制。通过根据它们各自的策略文件进行操作,每个应用可被允许或限制与一个或多个其它应用和/或资源的通信,从而创建虚拟分区。因此,如本文所用,分区可指存储器的物理分区部分(物理分区)、存储器的逻辑分区部分(逻辑分区)和/或作为如本文描述的跨多个应用的一个或多个策略和/或策略文件执行的结果所创建的虚拟分区(虚拟分区)。换句话说,通过在受管应用上执行策略,那些应用可只限于能够与其它受管应用和值得信赖的企业资源通信,从而创建非受管应用和设备不能进入的虚拟分区。
在受管分区上运行的应用可以是安全应用。安全应用可以是电子邮件应用、网络浏览应用、软件即服务(saas)访问应用、windows应用访问应用等等。安全应用可以是安全本机应用514、由安全应用启动器518执行的安全远程应用522、由安全应用启动器518执行的虚拟化应用526等等。安全本机应用514可以由安全应用封装器520来封装。安全应用封装器520可以包括当安全本机应用在移动设备502上执行时在该设备上执行的集成策略。安全应用封装器520可以包括将在移动设备502上运行的安全本机应用514指向在企业处托管的资源的元数据,安全本机应用514可以需要完成在执行安全本机应用514时所请求的任务。由安全应用启动器518执行的安全远程应用522可以在安全应用启动器应用518内被执行。由安全应用启动器518执行的虚拟化应用526可以利用在移动设备502上、在企业资源504处等等的资源。通过由安全应用启动器518执行的虚拟化应用526在移动设备502上使用的资源可以包括用户交互资源、处理资源等等。用户交互资源可以用于收集和传输键盘输入、鼠标输入、摄像机输入、触觉输入、音频输入、视觉输入、手势输入等等。处理资源可以用于呈现用户界面、处理从企业资源504接收的数据等等。通过由安全应用启动器518执行的虚拟化应用526在企业资源504处使用的资源可以包括用户界面生成资源、处理资源等等。用户界面生成资源可以用于装配用户界面、修改用户界面、刷新用户界面等等。处理资源可以用于创建信息、读取信息、更新信息、删除信息等等。例如,虚拟化应用可以记录与gui相关联的用户交互并且将它们传输到服务器应用,其中服务器应用将使用用户交互数据作为对在服务器上运行的应用的输入。在该布置中,企业可以选择在服务器侧上保持应用以及与该应用相关联的数据、文件等等。尽管企业可以选择根据本文中的原理通过保护一些应用来“调动”它们以用于部署在移动设备上,但是该布置还可以被选择用于特定应用。例如,尽管一些应用可以是安全的用于在移动设备上的使用,但其它应用可能未准备或不适于部署在移动设备上,因此企业可选择通过虚拟化技术提供对未准备好的应用的移动用户访问。作为另一个示例,企业可以具有带有大而复杂的数据集的大型复杂应用(例如,材料资源规划应用),其中对于移动设备定制应用将是非常困难的或相反不期望的,因此企业可以选择通过虚拟化技术提供对应用的访问。作为又一示例,企业可以具有保持高度安全的数据(例如,人力资源数据、顾客数据、工程数据)的应用,高度安全的数据可以被企业视为甚至对于安全的移动环境是过于敏感的,因此,企业可以选择使用虚拟化技术以允许对这样的应用和数据的移动访问。企业可以选择在移动设备上提供完全安全的应用和完善功能性的应用两者以及虚拟化应用以允许对被视为更适于在服务器侧上运行的应用的访问。在实施方案中,虚拟化应用可以在安全存储位置中的一个中的移动电话上存储一些数据、文件等等。例如,企业可以选择以允许特定的信息被存储在电话上同时不允许其它信息被存储在电话上。
结合如本文描述的虚拟化应用,移动设备可以具有被设计为呈现gui并且然后记录用户与gui的交互的虚拟化应用。应用可以将用户交互传达到服务器侧,供服务器侧应用作为用户与应用的交互来使用。作为响应,服务器侧上的应用可以向移动设备传回新的gui。例如,新的gui可以是静态页面、动态页面、动画等等。
安全应用可以访问存储在移动设备的受管分区510中的安全数据容器528中的数据。在安全数据容器中被保护的数据可以通过安全封装的应用514、由安全应用启动器518执行的应用、由安全应用启动器518执行的虚拟化应用526等等来访问。存储在安全数据容器528中的数据可以包括文件、数据库等等。存储在安全数据容器528中的数据可以包括限于特定的安全应用530、在安全应用532之间共享的数据等等。限于安全应用的数据可以包括安全通用数据534和高度安全数据538。安全通用数据可以使用强加密形式(诸如aes128位加密等等),而高度安全数据538可以使用非常强的加密形式(诸如aes256位加密)。在接收到来自设备管理器524的命令后,存储在安全数据容器528中的数据可以被从设备中删除。安全应用可以具有双模式选项540。双模式选项540可以向用户呈现以非安全模式操作安全应用的选项。在非安全模式中,安全应用可以访问存储在移动设备502的非受管分区512上的非安全数据容器542中的数据。储存在非安全数据容器中的数据可以是个人数据544。存储在非安全数据容器542中的数据还可以由在移动设备502的非受管分区512上运行的非安全应用548来访问。当存储在安全数据容器528中的数据从移动设备502中被删除时,存储在非安全数据容器542中的数据可以保持在移动设备502上。企业可能想要从移动设备删除选择的或所有的由企业拥有、特许或控制的数据、文件和/或应用(企业数据),同时留下或以其它方式保留由用户拥有、特许或控制的个人数据、文件和/或应用(个人数据)。该操作可以被称为选择性擦除。对于根据本文描述的方面所布置的企业数据和个人数据,企业可以执行选择性擦除。
移动设备可以连接到在企业处的企业资源504和企业服务508,连接到公共互联网548等。移动设备可以通过虚拟专用网络连接而连接到企业资源504和企业服务508。虚拟私有网络连接(也称为微vpn或应用专用vpn)可以是特定于移动设备上的特定应用550、特定设备、特定安全区域,等等(例如,552)。例如,电话的安全区域中的封装的应用中的每个可以通过应用特定的vpn访问企业资源,使得对vpn的访问将基于与应用相关联的属性(可能结合用户或设备属性信息)来授权。虚拟专用网络连接可以运载微软交换(microsoftexchange)流量、微软活动目录(microsoftactivedirectory)流量、http流量、https流量、应用管理流量等等。虚拟专用网络连接可以支持和实现单点登录认证过程554。单点登录过程可以允许用户提供认证凭证的单个集合,其然后由认证服务558进行验证。认证服务558可以然后授权用户对多个企业资源504的访问,而不需要用户提供对每个单独的企业资源504的认证凭证。
虚拟专用网络连接可以由访问网关560来建立和管理。访问网关560可以包括管理、加速和提高企业资源504到移动设备502的传递的性能增强特征。访问网关还可以重新路由从移动设备502到公共互联网548的流量,使得移动设备502能够访问在公共互联网548上运行的公共可用且非安全的应用。移动设备可以经由传输网络562连接到访问网关。传输网络562可以是有线网络、无线网络、云网络、局域网络、城域网络、广域网络、公共网络、专用网络等等。
企业资源504可以包括电子邮件服务器、文件共享服务器、saas应用、网络应用服务器、windows应用服务器等等。电子邮件服务器可以包括交换服务器、lotusnotes服务器等等。文件共享服务器可以包括sharefile服务器等等。saas应用可以包括salesforce等等。windows应用服务器可以包括被构建以提供旨在本地windows操作系统上运行的应用的任何应用服务器等等。企业资源504可以是内建式资源、基于云的资源等等。企业资源504可以由移动设备502直接访问或通过访问网关560来访问。企业资源504可以由移动设备502经由传输网络562来访问。传输网络562可以是有线网络、无线网络、云网络、局域网络、城域网络、广域网络、公共网络、专用网络等等。
企业服务508可以包括认证服务558、威胁检测服务564、设备管理器服务524、文件共享服务568、策略管理器服务570、社交整合服务572、应用控制器服务574等等。认证服务558可以包括用户认证服务、设备认证服务、应用认证服务、数据认证服务等等。认证服务558可以使用证书。证书可以由企业资源504等等存储在移动设备502上。存储在移动设备502上的证书可以被存储在移动设备上的加密位置中,证书可以被暂时存储在移动设备502上以用于在认证时使用等等。威胁检测服务564可以包括入侵检测服务、未经授权的访问尝试检测服务等等。未经授权的访问尝试检测服务可以包括未经授权尝试访问设备、应用、数据等等。设备管理服务524可以包括配置、提供、安全、支持、监控、报告和停止运作服务。文件共享服务568可以包括文件管理服务、文件储存服务、文件协作服务等等。策略管理器服务570可以包括设备策略管理器服务、应用策略管理器服务、数据策略管理器服务等等。社交整合服务572可以包括联系人整合服务、协作服务、与社交网络(例如,facebook、twitter和linkedin)的整合等等。应用控制器服务574可以包括管理服务、提供服务、部署服务、分配服务、撤销服务、封装服务等等。
企业移动技术架构500可以包括应用商店578。应用商店578可以包括未封装的应用580、预封装的应用582等等。应用可以由应用控制器574被填充于应用商店578中。应用商店578可以由移动设备502通过访问网关560、通过公共互联网548等等来访问。应用商店可以被提供有直观并易于使用的用户界面。应用商店578可以提供对软件开发工具包584的访问。软件开发工具包584可以通过封装如先前在本描述中描述的应用来给用户提供保护由用户选择的应用的能力。已经使用软件开发工具包584封装的应用可以然后通过使用应用控制器574将其填充在应用商店578中而可用于移动设备502。
企业移动性技术架构500可包括管理和分析能力。管理和分析能力可提供与如何使用资源、多久使用资源一次等相关的信息。资源可以包括设备、应用、数据等等。如何使用资源可以包括哪些设备下载哪些应用、哪些应用访问哪些数据等等。多久使用资源一次可以包括多久下载一次应用、特定数据集已经被应用访问多少次等等。
图6是另一个说明性的企业移动管理系统600。为了简单起见,以上关于图5描述的移动管理系统500的组件中的一些组件已经被省略。在图6中描绘的系统600的架构在很多方面类似于以上关于图5描述的系统500的架构并且可以包括以上未提到的附加的特征。
在这种情况下,左手边表示带有客户端代理604的登记/受管移动设备602,其与网关服务器606(其包括接入网关和应用控制器功能)交互以访问各种企业资源608和服务609,诸如,如以上右手边所示的exchange、sharepoint、pki资源、kerberos资源、和证书发布服务。虽然没有具体示出,但是移动设备602还可与应用商店交互以用于应用选择和下载。
客户端代理604充当ui(用户接口)媒介,用于在企业数据中心中托管的windows应用/桌面,其使用显示远程协议来访问,诸如但不限于ica协议。客户端代理604还支持移动设备602上的本机应用的安装和管理,诸如本机ios或android应用。例如,在以上附图中示出的受管应用610(电子邮件、浏览器、封装应用)全部是在设备上本地执行的本机应用。客户端代理604和这种架构的应用管理框架(amf)用于提供策略驱动管理能力和特征,诸如对企业资源/服务608的连接性和sso(单点登录)。客户端代理604处理对企业的主用户认证,通常对具有到其它网关服务器组件的sso的接入网关(ag)的认证。客户端代理604从网关服务器606获得策略,以控制移动设备602上的amf受管应用610的行为。
本机应用610和客户端代理604之间的安全ipc链接612表示管理通道,其允许客户端代理供给将通过应用管理框架614“封装”每个应用执行的策略。ipc通道612还允许客户端代理604供给能够实现对企业资源608的连接和sso的凭证和认证信息。最后,ipc通道612允许应用管理框架614调用由客户端代理604所实施的用户界面功能,诸如在线认证和离线认证。
客户端代理604与网关服务器606之间的通信基本上是来自封装每个本机受管应用610的应用管理框架614的管理通道的延伸。应用管理框架614从客户端代理604请求策略信息,客户端代理604转而从网关服务器606请求该策略信息。应用管理框架614请求认证,并且客户端代理604登录进入网关服务器606的网关服务部分(也称之为netscaler接入网关)。客户端代理604还可以调用在网关服务器606上的支持服务,其可以产生获得用于本地数据仓库616的加密密钥的输入材料,或提供可以使得对kpi受保护资源能够直接认证的客户端证书,如下面将更全面解释的。
更详细地,应用管理框架614“封装”每个受管应用610。这可以经由明确的构建步骤或经由构建后处理步骤来并入。应用管理框架614可在首次启动应用610时与客户端代理604“配对”,以初始化安全ipc通道并获得用于该应用的策略。应用管理框架614可以执行本地应用的策略的相关部分,诸如客户端代理登录的依赖关系和限制可如何使用本地os服务或本地os服务可如何与应用610交互的遏制策略中的一些。
应用管理框架614可以使用客户端代理604在安全ipc通道612上所提供的服务以促进认证和内部网络访问。对于私有和共享数据仓库616(容器)的密钥管理还可由在受管应用610和客户端代理604之间的适当的交互进行管理。仓库616可以仅仅在在线认证以后是可用的,或可以在离线认证之后是可用的(如果策略允许的话)。仓库616的首次使用可以要求在线认证,并且离线访问可以限于至多在在线认证被再次要求之前的策略刷新周期。
对内部资源的网络访问可以通过接入网关606从独立的受管应用610直接发生。应用管理框架614负责用于精心安排代表每个应用610的网络访问。通过提供在线认证之后所获得的合适时间限制次级凭证,客户端代理604可以促进这些网络连接。网络连接的多个模式可以被使用,诸如反向web代理连接和端到端vpn式隧道618。
邮件和浏览器受管应用610具有特殊状态并且可以使用一般可能不用于任意封装应用的设施。例如,邮件应用可以使用特殊后台网络访问机制,其允许它在延长的时间段内访问exchange而无需完整ad登录。浏览器应用可以使用多种专用数据仓库以分隔不同种类的数据。
该架构支持各种其它安全特征的并入。例如,在某些情况下,网关服务器606(包括其网关服务)将不需要验证ad密码。可以交给企业来判定是否将ad密码用作关于一些情况下一些用户的认证因素。如果用户是在线或离线的(即,连接到网络或未连接到网络),则可以使用不同的认证方法。
加强认证是特征,其中网关服务器606可以识别经允许以具有对需要强认证的高度机密数据(classifieddata)的访问权的受管本机应用610,并且确保对这些应用的访问仅在执行适当的认证后被允许,即使这意味着在先前的较弱级别登录后用户需要再次认证。
该解决方案的另一个安全特征是在移动设备602上的数据仓库616(容器)的加密。仓库616可以被加密,使得包括文件、数据库和配置的所有设备上数据被保护。对于在线仓库,密钥可存储在服务器(网关服务器606)上,且对于离线仓库,密钥的本地副本可由用户密码保护。当数据在本地存储在安全容器616中的设备602上时,优选的是使用最少aes256位的加密算法。
其它安全容器特征还可以被实现。例如,日志特征可以被包括,其中,在应用610内发生的所有安全事件被记录并且报告给后端。数据擦除可以被支持,诸如如果应用610检测到篡改,则相关联的加密密钥可以用随机数据来覆盖,不在文件系统上留下用户数据被破坏的线索。屏幕截图保护是另一个特征,其中应用可以阻止任何数据被存储在屏幕截图中。例如,密钥窗口的隐藏属性可以被设置为yes。这可以使得无论什么内容当前被显示在将被隐藏的屏幕上,都会产生其中任何内容将正常存在的空白的屏幕截图。
本地数据传输可以被阻止,诸如通过防止任何数据被本地传输到应用容器之外,例如,通过将其复制或发送其到外部应用。键盘缓存特征可以运行以禁用敏感文本字段的自动校正功能。ssl证书验证可以是可操作的,因此应用特别地验证服务器ssl证书来代替其被存储在密钥链中。加密密钥生成特征可以被使用,使得使用由用户提供的密码(如果需要离线访问)来生成用于在设备上加密数据的密钥。如果不需要离线访问,则它可以与随机生成且存储在服务器侧上的另一个密钥进行异或。密钥导出功能可操作,使得由用户密码生成的密钥使用kdf(密钥导出功能,尤其是pbkdf2)而不是创建它的密码散列(cryptographichash)。密码散列使密钥易受暴力破解或字典攻击的影响。
此外,一个或多个初始化向量可以被用在加密方法中。初始化向量将使相同加密的数据的多个副本产生不同的密文输出,防止重放攻击和密码分析攻击两者。如果用于加密数据的特定的初始化向量是未知的,则这还将阻止攻击者甚至使用被盗的加密密钥来解密任何数据。此外,可以使用认证然后是解密,其中应用数据仅仅在用户在应用内被认证之后被解密。另一个特征可涉及存储器中的敏感数据,仅仅当其被需要时其才可以被保持在存储器中(并且不在磁盘中)。例如,登录凭证可以在登录之后从存储器中被擦除,并且加密密钥和objective-c实例变量内的其它数据不被存储,这是由于它们可以被容易地引用。相反,存储器可以被手动分配以用于这些功能。
闲置超时可以被执行,其中在策略定义的闲置周期之后,用户会话被终止。
可以以其它方式阻止应用管理框架614的数据泄露。例如,当应用610被放置在后台中时,在预定(可配置的)时间段之后可以清除存储器。当被作为后台时,可以拍下应用的最后显示的屏幕的快照以加快前台设置进程。屏幕截图可以包含机密数据并且因此应该被清除。
另一个安全特征涉及使用otp(一次性密码)620,而不使用访问一个或多个应用的ad(活动目录)622密码。在一些情况下,一些用户不知道(或不被许可知道)他们的ad密码,因此这些用户可以使用otp620进行认证,例如通过使用类似于securid的硬件otp系统(otp也可以由不同的供应商来提供,诸如entrust或gemalto)。在一些情况下,在用户使用用户id进行认证之后,文本被发送到具有otp620的用户。在一些情况下,这可以仅对于在线使用来执行,其中提示是单个字段。
离线密码可以被实现用于这些应用610的离线认证,对于应用610离线使用经由企业策略可被允许。例如,企业可能希望企业应用商店以这种方式被访问。在此情况下,客户端代理604可以要求用户设置自定义的离线密码,并且不使用ad密码。网关服务器606可以提供策略以控制和执行关于密码的最小长度、字符类组成和使用年限的密码标准,诸如通过标准windows服务器密码复杂性要求所描述的,但是这些要求可以被更改。
另一个特征涉及用于某些应用610的作为第二凭证的客户端侧证书的启用(用于经由微vpn特征访问pki受保护的网络资源的目的)。例如,电子邮件应用可利用这种证书。在这种情况下,可支持使用activesync协议的基于证书的认证,其中来自客户端代理604的证书可由网关服务器606检索,并在密钥链中使用。每个受管应用可具有一个相关联的客户端证书,通过在网关服务器606中定义的标签来识别。
网关服务器606可以与企业专用网络服务进行交互,以支持客户端证书的发布,以允许相关的受管应用对内部pki受保护资源进行认证。
客户端代理604和应用管理框架614可以被增强以支持获取和使用客户端证书,以用于对内部pki受保护网络资源进行认证。可以支持多于一个的证书,例如以匹配各种等级的安全和/或分离要求。该证书可以被邮件和浏览器受管应用使用,并最终被任意封装的应用使用(假设那些应用使用网络服务方式的通信模式,其中对于调解https请求的应用管理框架是合理的)。
在ios上的客户端证书支持可依靠将pkcs12blob(二进制大对象)导入到每个受管应用中的ios密钥链中,以用于每个周期的使用。客户端证书支持可使用具有私有存储器中密钥存储的https实施方式。客户端证书将永远不出现在ios密钥链中并且除了可能在被强保护的“仅仅在线”数据值中以外将不被保存。
相互ssl还可以被执行以通过要求移动设备602对企业进行认证来提供附加的安全性,并且反之亦然。也可以实施用于对网关服务器606认证的虚拟智能卡。
有限的和完整的kerberos支持两者可以是附加的特征。完整支持特征涉及使用ad密码或受信任客户端证书对ad622执行完整kerberos登录并且获得kerberos服务票证来响应http协商认证挑战的能力。有限的支持特征涉及在agee中的约束委派,其中afee支持调用kerberos协议转换,因此其可响应于http协商认证挑战来获取和使用kerberos服务票证(针对于约束委派)。这种机制在反向网络代理(又称cvpn)模式下,以及在http(而不是https)连接在vpn和微vpn模式下被代理时工作。
另一个特征涉及应用容器锁定和擦除,其可以在检测到越狱或获得管理员权限时自动发生,并且作为来自管理控制台的推送命令而发生,并且甚至在应用610不运行时还可以包括远程擦除功能。
可支持企业应用商店和应用控制器的多站点架构或配置,其允许在出现故障的情况下用户由几个不同位置中的一个来服务。
在一些情况下,受管应用610可以被允许经由api(示例openssl)访问证书和私有密钥。企业的受信任的受管应用610可以被允许利用应用的客户端证书和私有密钥来执行特定的公开密钥操作。诸如当应用行为类似浏览器并且不需要证书访问时,当应用读取对于“我是谁”的证书时,当应用使用证书来构建安全会话令牌时,以及当应用使用私有密钥以用于重要数据(例如,事务日志)的数字签名或用于临时数据加密时,各种使用情况可以被识别并且相应地处理。
企业移动性设备管理特征
图7是另一个说明性的企业移动性管理系统700。为了简单起见,以上关于图5和图6描述的移动性管理系统500和移动性管理系统600的组件中的一些组件已经被省略。图7中描绘的系统700的架构在许多方面与以上参考图5和图6描述的系统500和系统600的架构相似,并可包括上面未提到的其它特征。
在该实例中,企业移动性管理系统700可以包括云计算环境702,其通过通信网络710与端用户726的物理移动设备724(例如,物理终端用户设备)和移动设备管理(mdm)服务提供商712、718中的一个或多个进行交互。通信网络710可以使两台或更多台计算设备能够使用无线lan(wlan)接口和/或信号、手机接口和/或信号、蓝牙接口和/或信号,和/或任何其它通信接口和/或信号进行通信。
云计算环境702可以包括一个或多个基于云的移动设备管理服务提供商服务器704。服务器704可以是计算机、瘦客户端、服务器刀锋、和/或其他的计算设备。基于云的移动设备管理服务提供商服务器704中的至少一个可以包括代表终端用户726的物理移动设备724的伪设备706。云计算环境还可以包括防火墙708或网关,以促进通过mdm服务提供商712、718中的一个或多个以及物理移动设备724中的任何一个与伪设备706的安全通信和对伪设备706的选择性访问。在一些实施方案中,云计算环境702可以是mdm服务提供商712、718中的一个的一部分。在一些实施方案中,mdm服务提供商712、718中的一个可以提供企业前提部署以控制物理移动设备726在一个或多个mdm服务提供商712、718之间的转换。例如,mdm服务提供商712、718可以将注册转移到本地服务器,其然后可以与它们现有的提供商和具有偏好的新的供应商一起工作,配置文件在新的供应商上是活动的同时策略被转移(或者预先这样做以隔绝未来供应商改变)。
根据一个或多个方面,伪设备706可以代表终端用户726的物理移动设备724。具体地,伪设备706可以用作关于物理移动设备724(本文也被称为物理终端用户设备)的代理。另外或可选地,伪设备706可以是物理移动设备724的逻辑表示。正因为如此,伪设备可以利用服务器704的处理器和存储器以分别执行任务和存储信息。在一些实施方案中,伪设备706可以包括计算机程序,其执行与mdm服务提供商712、718进行交互所要求的协议。另外或可选地,在一些实施方案中,伪设备706可以表现类似于物理移动设备724,除了伪设备可以向多个mdm服务提供商进行登记。另外或可选地,在一些实施方案中,伪设备706可以仿真和/或模拟物理移动设备724,使得伪设备706可以对mdm服务提供商712、718表现为实际的物理移动设备724。例如,在仿真和/或模拟物理移动设备724中,代表物理移动设备724的伪设备706可以向mdm服务提供商712和718认证、从mdm服务提供商712和718接收一个或多个命令和/或其他通信、和/或向mdm服务提供商712和718发送一个或多个消息和/或其他通信,犹如伪设备706是物理移动设备724。作为结果,mdm服务提供商712、718可以处理伪设备706或以其他方式与伪设备706进行交互,仿佛它们与实际的物理移动设备724进行交互。因此,以上参考图5和图6描述的与移动设备有关的特征和/或组件可以用伪设备706来实现。
例如,伪设备706可以以其中典型的物理移动设备将向第一mdm服务提供商712进行登记的相同方式向第一mdm服务提供商712进行登记(例如,通过向第一mdm服务提供商712认证,通过从第一mdm服务提供商712请求一个或多个策略和/或配置文件,等等)。以这种方式,伪设备706可以被设置用于与第一mdm服务提供商712一起使用(例如,类似于如何提供传统的物理移动设备以用于与mdm服务提供商一起使用)。例如,在向mdm服务提供商712登记中,伪设备706可以向第一mdm服务提供商712发送登记请求。随后,伪设备706可以从第一mdm服务提供商712接收第一mdm服务提供商712的策略执行配置文件716(例如,证书)。伪设备706然后可以将第一mdm服务提供商712的策略执行配置文件716存储在服务器704的相关联的存储器中。
策略执行配置文件716可以促进伪设备706和第一mdm服务提供商712的识别,并且促进伪设备706和第一mdm服务提供商712之间的安全通信。一旦伪设备706被设置用于与第一mdm服务提供商712一起使用,伪设备706可以访问第一mdm服务提供商712的各种企业资源714和/或以其他方式与第一mdm服务提供商712的各种企业资源714进行交互。代表物理移动设备724的伪设备706可以被配置为从一个或多个mdm服务提供商712、718接收一个或多个命令,从而使mdm服务提供商712、718能够经由伪设备706管理物理移动设备724。
同样地,伪设备706可以以其中典型的物理移动设备将向第二mdm服务提供商718进行登记的相同方式向第二mdm服务提供商718进行登记。具体地,伪设备706可以被设置用于与第二mdm服务提供商718一起使用。更具体地,伪设备706可以向第二mdm服务提供商718发送登记请求。随后,伪设备可以从第二mdm服务提供商718接收第二mdm服务提供商718的策略执行配置文件722(例如,证书)。伪设备706可以将第二mdm服务提供商718的策略执行配置文件722存储在服务器704的相关联的存储器中。第一mdm服务提供商712的策略执行配置文件716和第二mdm服务提供商718的策略执行配置文件722可以同时存储在服务器704的相关联的存储器中的伪设备706处。
策略执行配置文件722可以促进伪设备706和第二mdm服务提供商718的识别,并且促进伪设备706和第二mdm服务提供商718之间的安全通信。一旦伪设备706被设置用于与第二mdm服务提供商718一起使用,伪设备706可以访问第二mdm服务提供商718的各种企业资源720和/或以其他方式与第二mdm服务提供商718的各种企业资源720进行交互。代表物理移动设备724的伪设备706可以被配置为从一个或多个mdm服务提供商712、718中接收一个或多个命令以管理物理移动设备724。
如上所述,伪设备706可以与终端用户726的物理移动设备724进行通信。一旦伪设备706被设置用于与第一mdm服务提供商712一起使用,伪设备706可以将策略执行配置文件716从伪设备706部署(例如,发送)到物理移动设备724。策略执行配置文件716可以促进第一mdm服务提供商712的策略在物理移动设备724处的执行(例如,通过mdm策略执行代理,诸如可以运行在物理移动设备724上且可以被配置为接收且随后执行这种策略的mdm云代理)。
因为物理移动设备724被允许经由伪设备706与第一和第二mdm服务提供商712、718一起工作,所以当物理移动设备724例如从与第一mdm服务提供商712一起工作移动到与第二mdm服务提供商718一起工作时,物理移动设备724不需要解除登记(un-enroll)和/或重新登记。例如,物理移动设备724不需要卸载第一mdm服务提供商712的配置文件和重新登记第二mdm服务提供商的配置文件以访问第二mdm服务提供商718的企业资源。另外,用户并不需要具有多于一个物理移动设备以与mdm服务提供商712、718中的每一个一起使用。
在与物理移动设备724进行通信中,伪设备706可以部署和/或启用对企业资源714的访问,该企业资源714例如包括企业应用、应用数据、和/或如可以被第一mdm服务提供商712的策略执行配置文件716允许的其他信息。伪设备706还可以在与物理移动设备724进行通信时向物理移动设备724发送命令。在一些实例中,伪设备706可以独立地向物理移动设备724发送命令,而无需由第一mdm服务提供商712提示和/或无需接收来自第一mdm服务提供商712的任何命令。在其它实例中,响应于接收来自第一mdm服务提供商712的一个或多个命令,伪设备706可以向物理移动设备724发送命令。在一些实例中,从伪设备706发送至物理移动设备724的命令可以是不同于伪设备706从第一mdm服务提供商712接收的命令的一个或多个命令。例如,在一些实例中,伪设备706可以修改从mdm服务提供商接收的那些命令,并且随后向物理移动设备724发送已修改的命令。一个或多个不同的和/或已修改的命令可以至少部分地基于在伪设备706处从第一mdm服务提供商712接收的命令。伪设备706可以生成一个或多个不同的和/或已修改的命令且可以向物理移动设备724发送那些命令。另外或可选地,伪设备706可以接收来自第一mdm服务提供商712的命令且向物理移动设备724发送所接收的命令。
伪设备706可以向物理移动设备724发送命令以执行与第一mdm服务提供商712相关联的策略。例如,该命令可以使一个或多个先前部署的企业资源714(例如,其可以包括一个或多个企业应用、应用数据、被策略执行配置文件716允许的数据或其他信息)从物理移动设备724中撤回。这可以在以下讨论中被称为“撤回(retraction)”。在使一个或多个先前部署的企业资源714从物理移动设备724中撤回中,命令可以使由与第一mdm服务提供商712有关的物理移动设备724生成的数据从物理移动设备724中移除。在一些实例中,从伪设备706中撤回企业资源和/或其他信息可以包括撤回策略执行配置文件716。
在执行从伪设备706接收的撤回命令中,物理移动设备724可以向伪设备706发送企业资源714、在物理移动设备724处生成的数据、和/或策略执行配置文件716中的一个或多个。随后,物理移动设备724可以执行选择性擦除以移除/删除企业资源714、在物理移动设备724处生成的数据、和/或来自物理移动设备724的策略执行配置文件716中的一个或多个。在这些实例中,个人应用和个人数据(例如,与mdm服务提供商712、718不相关联的数据)在物理移动设备724的选择性擦除期间由物理移动设备724维持。换言之,存储在物理移动设备724上的个人应用和个人数据可能不会在撤回期间被移除和/或在选择性擦除期间被删除。
在一些实施方案中,伪设备706可以向物理移动设备724发送一个或多个命令,其可以使物理移动设备724对企业资源714、在物理移动设备724处生成的数据、和/或策略执行配置文件716中的一个或多个进行本地分区和/或以其他方式进行划分且布置,使得终端用户726不能访问(例如,被阻止访问)企业资源714、在物理移动设备724处生成的数据、和/或策略执行配置文件716中的一个或多个。
在一些实施方案中,伪设备706可以直接响应于来自第一mdm服务提供商712和/或第二mdm服务提供商718的命令(例如,没有物理移动设备724的参与)。具体地,伪设备706可以接收来自一个或多个mdm服务提供商712、718的一个或多个命令。伪设备706可以决定是否从伪设备706向物理移动设备724发送命令。可以基于几个因素做出决定,例如,该因素包括是否需要来自物理移动设备724的未知信息以响应于从一个或多个mdm服务提供商712、718中发送的一个或多个命令;与从一个或多个mdm服务提供商712、718中接收的一个或多个命令相关联的策略是否与伪设备706当前向其所登记的mdm服务提供商712、718中的一个或多个的另一个策略冲突;和/或一个或多个其它因素。响应于没有向物理移动设备724发送一个或多个命令的决定,伪设备706可以向一个或多个mdm服务提供商712、718发送对从一个或多个mdm服务提供商712、718接收的一个或多个命令的响应。例如,如果已经实现从第一mdm服务提供商712接收的一个或多个命令的预期的或期望的结果,而没有向物理移动设备724发送任何命令,那么该响应可以被发送给第一mdm服务提供商712。该响应可以包括已经完成了与从一个或多个mdm服务提供商712、718接收的一个或多个命令相关联的操作的指示。在一些实例中,该响应可以包括没有完成操作的指示或一些其它指示。
在一些实施方案中,物理移动设备724可能不会在没有表示物理移动设备724的伪设备706的参与的情况下与mdm服务提供商712、718中的一个或多个进行通信。在其它实施方案中,物理移动设备724可以在有或没有表示物理移动设备724的伪设备706的参与的情况下与mdm服务提供商712、718中的一个或多个进行通信。
在一些实施方案中,物理移动设备724的用户726可以注册和/或报名参加与云计算环境702相关联的云服务,并且安装关于物理移动设备724上的云服务的配置文件证书。当用户726希望使用第一mdm服务提供商712的第一mdm服务时,伪设备706可以在云计算环境702内被建立且如本文所讨论的被设置用于与第一mdm服务提供商712一起使用。同样地,当用户726希望使用第二mdm服务提供商718的第二mdm服务时,伪设备706可以如本文所讨论的被设置用于与第二mdm服务提供商718一起使用。伪设备706可以从其它mdm服务提供商接收消息且使这种消息进行排队或潜在地应答这种消息(例如,通过将应答发送回各自的mdm服务提供商)。在伪设备706响应于第一mdm服务提供商712而没有物理移动设备724的参与(例如,阻止的消息)的实例中,伪设备706可以向物理移动设备724发送消息的指示,并且作为响应,物理移动设备724可以通知任何阻止的消息的用户726。物理移动设备724可以接收指示物理移动设备724显示消息的用户输入。物理移动设备724然后可以传输指令到伪设备706,以及作为响应,可以接收消息以用于显示。
在一些实施方案中,用户726和与云计算环境702相关联的云服务可以签订合同。用户可以在物理移动设备724处规定云服务被允许在物理移动设备724上执行什么动作。物理移动设备724可以传输这些规定到云计算环境702。例如,用户726可以规定云服务不应该试图对物理移动设备724的本机库执行任何动作。在云服务(和/或伪设备706)对物理移动设备724发出例如代表第一mdm服务提供商712的任何消息之前,云服务(和/或伪设备706)可以解释在合同中指示的合同规定。例如,伪设备可以根据合同规定来操作。
虽然只有第一mdm服务提供商712和第二mdm服务提供商718在图7中示出且在以上被讨论,但是可以有多于两个移动设备管理服务提供商。伪设备706可以与任何附加的mdm服务提供商进行交互和/或以其他方式执行以上关于任何附加的mdm服务提供商描述的相同的功能。
虽然以上讨论的示例涉及经由伪设备706被提供有几个mdm服务提供商712、718的单个物理移动设备724,但是其中提供了另一个(例如,第二)物理移动设备(未示出)的布置是预期的。在这些布置中,第二伪设备可以在云计算环境702中被建立。第二伪设备可以表示第二物理移动设备。第二伪设备可以被设置用于与一个或多个mdm服务提供商712、718一起使用。第二伪设备可以执行与以上讨论的伪设备相似的功能,除了这种操作将与第二物理移动设备而不是以上描述的物理移动设备有关。附加的物理移动设备和对应的伪设备可以类似地在其它布置中被提供。
图8是另一个说明性的企业移动性管理系统800。为了简单起见,以上关于图5和图6描述的移动性管理系统500和移动性管理系统600的组件中的一些组件已经被省略。图8所描绘的系统800的架构在许多方面与以上参考图5和图6描述的系统500和系统600的架构相似,并可包括上面未提到的附加特征。
另外,系统800的架构在很多方面与系统700的架构相似,并且可包括上面未提到的附加特征。具体地,在图8示出的布置中,企业移动性管理系统800可以包括云计算环境802,其通过通信网络810与一个或多个mdm服务提供商812、818和终端用户826的物理移动设备824(例如,物理终端用户设备)进行交互。通信网络810可以使两个或更多个计算设备能够使用wlan接口和/或信号、手机接口和/或信号、蓝牙接口和/或信号和/或任何其它通信接口和/或信号来通信。
云计算环境802可以包括一个或多个基于云的移动设备管理服务提供商服务器804。服务器804可以是计算机、瘦客户端、服务器刀锋、和/或其它计算设备。基于云的移动设备管理服务提供商服务器804中的至少一个可以包括表示终端用户826的物理移动设备824的多个伪设备806、828。云计算环境802还可以包括防火墙808或网关以通过mdm服务提供商812、818中的一个或多个以及物理移动设备824中的任一个来促进与伪设备806、828的安全通信和对伪设备806、828的选择性访问。
如上所述,在服务器804之内,多个伪设备806、828可以在云计算环境802内被建立。伪设备806、828中的每一个可以表示物理移动设备824。表示物理移动设备824的伪设备806、828中的每一个可以被设置用于与mdm服务提供商812、818的mdm服务提供商一起使用。例如,第一伪设备806可以被设置用于与第一mdm服务提供商812一起使用。第二伪设备828可以被设置用于与第二mdm服务提供商818一起使用。第一和第二伪设备806、828可以每一个均包括计算机程序,其实现被要求与它们各自的mdm服务提供商812、818进行交互的协议。
具体地,第一伪设备806和第一mdm服务提供商812可以彼此通信以提供第一伪设备806用于与第一mdm服务提供商812一起使用。第一伪设备806可以通过从第一伪设备806向第一mdm服务提供商812发送第一登记请求来启动设置。作为响应,第一伪设备806可以从第一mdm服务提供商812接收第一策略执行配置文件816,并且可以在第一伪设备806处将第一策略执行配置文件816存储在与第一伪设备806相关联的存储器中。第二伪设备828的用于与第二mdm服务提供商818一起使用的设置可以包括:从第二伪设备828向第二mdm服务提供商818发送第二登记请求;在第二伪设备828处从第二mdm服务提供商818接收第二策略执行配置文件822。第二策略执行配置文件822可以不同于第一策略执行配置文件816。第二伪设备828可以将第二策略执行配置文件822存储在与第二伪设备828相关联的存储器中。
一旦第一伪设备806被设置,第一伪设备806可以被配置为代表物理移动设备824从第一mdm服务提供商812接收一个或多个命令。同样地,一旦第二伪设备828被设置,第二伪设备828可以被配置为代表物理移动设备824从第二mdm服务提供商818接收一个或多个命令。
因此,第一伪设备806可以从第一mdm服务提供商812接收第一命令。作为响应,第一伪设备806可以向物理移动设备824发送第二命令。同样地,第二伪设备可以关于第二mdm服务提供商818以相同的方式接收命令且发送命令。
一旦第一伪设备806从第一mdm服务提供商812接收第一命令,第一伪设备806可以决定是否向物理移动设备824发送第二命令。该决定可以基于一个或多个因素。例如,该决定可以基于第一伪设备806是否具有足够的信息以响应于第一命令。响应于向物理移动设备824发送第二命令的决定,第一伪设备806可以向物理移动设备824发送第二命令。响应于不向物理移动设备824发送第二命令的决定,第一伪设备806可以向第一mdm服务提供商812发送第一命令的响应。可以发送该响应而没有来自物理移动设备824的任何参与。例如,可以发送该响应而没有向物理移动设备824发送命令和从物理移动设备824接收响应。向第一mdm服务提供商812发送的响应可以包括已经完成与第一命令相关联的操作的指示。例如,该指示可以指示在物理移动设备824处执行选择性擦除。
第一伪设备806可以从第一mdm服务提供商812接收企业资源(例如,资源数据814)。在其中第二mdm服务提供商818的策略执行配置文件822当前在物理移动设备824处是活动的(例如,由其使用中)时间段期间或当没有策略执行配置文件当前在物理移动设备824处是活动的时(例如,由其使用中),第一伪设备806可以接收资源数据814。在这种实例中,第一伪设备806可以缓存或以其它方式存储资源数据814,直到第一mdm服务提供商812的策略执行配置文件816在物理移动设备824处变成活动的。当策略执行配置文件816当前在物理移动设备824上是活动的时,第一伪设备806然后可以从第一伪设备806向物理移动设备推送资源数据814。因此,物理移动设备824现在具有对资源数据814的访问权和/或可以以其它方式与资源数据814进行交互。第二伪设备828可以以类似方式同样地执行。例如,当策略执行配置文件816当前在物理移动设备824处是活动的时,第二伪设备828可以接收和缓存来自第二mdm服务提供商818的资源数据820。当策略执行配置文件822当前在物理移动设备824处是活动的时,第二伪设备828然后可以向物理移动设备824推送资源数据820。
在一些实施方案中,第一伪设备806可以从第一mdm服务提供商812接收第一命令。第一伪设备806然后可以在向物理移动设备824发送命令之前修改命令。第一伪设备806可以修改在第一伪设备806处存储的基于命令的设备状态信息。第一命令可以在其中第二mdm服务提供商818的策略执行配置文件822在物理移动设备824上是活动的时间段期间被接收。
在一些实施方案中,第一伪设备806可以向物理移动设备824发送选择性擦除命令。选择性擦除命令可以被配置为使与第一mdm服务提供商812相关联的应用的子集和与应用的子集相关联的数据被删除。选择性擦除命令还可以被配置为使个人应用和与个人应用相关联的数据以及与第一mdm服务提供商812相关联的策略执行配置文件816被维持。例如,选择性擦除命令可以使物理移动设备824在物理移动设备824处删除与第一mdm服务提供商812相关联的任何数据,而没有删除任何个人数据和/或独立于第一mdm服务提供商812的数据。
在一些实施方案中,mdm云代理可以安装在物理移动设备824上。mdm代理可以被配置为监控物理移动设备的设备状态信息且确定在这种设备状态信息中的变化。mdm代理可以被配置为执行mdm服务提供商812、818的策略和/或分别向第一或第二伪设备806、828报告设备状态信息中的变化。
在一些实施方案中,第一伪设备806可以从物理移动设备824接收请求,该请求基于用户输入或物理移动设备806位于第一mdm服务提供商812的第一地理围栏内的指示中的一个发起。作为响应,第一伪设备806可以从第一伪设备806部署(例如,发送企业资源,诸如资源数据、应用数据、应用、和/或策略执行配置文件816)到物理移动设备824。响应于接收基于另一个用户输入或物理移动设备824不再位于第一地理围栏内的指示中的一个发起的另一个请求,第一伪设备806可以从物理移动设备824撤回第一mdm服务提供商812的策略执行配置文件816,和/或资源数据814,诸如,例如应用、应用数据、和/或第一mdm服务提供商812的其它数据。
响应于在第二伪设备828处接收来自物理移动设备824的新的请求,该请求基于新的用户输入或物理移动设备824位于第二mdm服务提供商818的第二地理围栏内的指示中的一个发起,第二伪设备828可以向物理移动设备824部署第二mdm服务提供商818的第二策略执行配置文件822、应用、应用数据、和/或第二mdm服务提供商818的其它数据。
在一些实施方案中,第一伪设备806可以识别在第一mdm服务提供商812的策略和第二mdm服务提供商818的策略之间的冲突。第一伪设备806可以通过应用从云计算环境802的基于知识的系统确定的解决方案来解决冲突。第一伪设备806可以通过向物理移动设备824发送警告来解决冲突。例如,警告可以包括用于解决冲突的一个或多个用户可选择的命令。另外地或可选地,第一伪设备806可以通过向物理移动设备824发送微型擦除(mini-wipe)命令来解决冲突。另外或可选地,微型擦除命令可以被配置为至少使造成冲突的数据的子集被删除。
第二伪设备828关于第二mdm服务提供商818和物理移动设备824可以执行与第一伪设备806相似的功能。此外,第一伪设备806和/或第二伪设备828可以执行与本文描述的其它伪设备相关联的任何功能。因此,第一伪设备806和/或第二伪设备828可以执行以下关于图9-16所讨论的功能中的一个或多个。尽管图9-16的功能从企业移动性管理系统700视角写入,但这种功能也应用到系统800。当将图9-16的功能应用到系统800时,请注意,不是具有被设置用于与第一和第二mdm服务提供商一起使用的伪设备,而是第一伪设备被设置用于与第一mdm服务提供商一起使用并且第二伪设备被设置用于与第二mdm服务提供商一起使用。
在一些实施方案中,第三伪设备和第四伪设备可以在云计算环境802中被建立。第三伪设备和第四伪设备可以每一个表示第二物理移动设备。第三伪设备可以被设置用于与第一mdm服务提供商812一起使用并且第四伪设备可以被设置用于与第二mdm服务提供商818一起使用。这些伪设备可以执行与本文描述的其它伪设备相关联的任何功能。
移动设备管理特征
已经讨论了可用于提供和/或实现本公开的各种方面的计算架构和企业移动性管理架构的几个示例,现在将更详细地讨论许多实施方案。具体地,并如上面所介绍的,本公开的一些方面大体上涉及提供移动设备管理功能。在下面的描述中,将讨论示出移动设备管理功能可如何根据一个或多个实施方案被提供的各种示例。
图9描绘了根据本文所讨论的一个或多个说明性方面示出经由伪设备将一个或多个移动设备管理策略应用到物理终端用户设备的方法的流程图。在一个或多个实施方案中,可通过计算设备(例如,通用计算设备201)来执行图9的方法和/或其一个或多个步骤。在其它实施方案中,图9中示出的方法和/或其一个或多个步骤可以在计算机可执行指令中被体现,该计算机可执行指令存储在诸如非暂时性计算机可读存储器的计算机可读介质中。
如在图9中所见,方法可从步骤905开始,其中伪设备在云计算环境中被建立。例如,在步骤905中,云计算环境(例如,一个或多个服务器、刀锋服务器、瘦客户端、计算机、平板计算机、膝上计算机、或其它类型的计算设备)可以在云的服务器内建立表示物理终端用户设备(例如,移动计算设备、诸如,膝上计算机、平板计算机、智能手机、或其它类型的物理移动设备)的伪设备。
表示物理终端用户设备的伪设备可以向相关联的物理终端用户设备发送一个将要在其上安装的mdm云代理。在一种或多种布置中,mdm云代理可以是应用、服务或进程,其被配置为在物理终端用户设备上运行并且还被配置为收集和/或以其它方式获得关于设备的信息,包括关于物理终端用户设备的当前状态的信息。例如,mdm云代理可被配置为收集和/或维护设备级状态信息,例如,指示在物理终端用户设备上存储和/或运行的操作系统和/或应用的状态信息、指示对物理终端用户设备可用和/或被物理终端用户设备使用的网络连接的状态信息,和/或指示设备被放置和/或被使用(例如,根据地理坐标;根据语义标签,诸如“家”、“工作”、“客户端站点”;等)的当前位置的状态信息。在一些实例中,虽然这些类型的状态信息在此处被列出作为可由mdm云代理收集和/或维护的类型的设备级状态信息的示例,但在其它实例中,另外和/或可选类型的状态信息可由mdm云代理类似地收集和/或维护。
除了收集和维护各种类型的状态信息外,在物理终端用户设备上运行的mdm云代理还可被配置为评估、分析和/或以其它方式监控所收集的各种类型的状态信息。例如,mdm云代理可被配置为定期确定物理终端用户设备的状态信息是否已经改变和/或基于在状态信息中检测的改变执行一个或多个动作。例如,物理终端用户设备的状态信息(本文中也被称为设备级状态信息)可以包括关于什么应用被安装和/或运行在物理终端用户设备上、物理终端用户设备被定位在哪里、物理终端用户设备连接到什么网络的信息,和/或其它设备级考虑。在一些实例中,mdm云代理可向一个或多个其它应用、服务和/或进程提供状态信息。例如,在下面讨论的一些示例中,物理终端用户设备上的mdm云代理和/或一个或多个其它应用、服务和/或进程可分析和/或以其它方式处理由mdm代理在执行移动设备管理策略和/或结合移动设备管理策略执行其它动作中所收集的状态信息。例如,基于可使用由mdm代理收集的设备状态信息评估的不同的环境集,一些移动设备管理策略可限定许可的和/或禁止的功能和/或应用。在这些和/或其它方式中,状态信息可用于执行在各种功能和/或应用上的行为限制。
在一些实施方案中,物理终端用户设备和/或运行在物理终端用户设备上的mdm云代理可以向建立在云计算环境(例如,其可以影响设备的状态)的一个或多个策略管理服务器内的伪设备提供信息,和/或可以接收来自该伪设备的一个或多个命令。例如,向在云计算环境的一个或多个策略管理服务器内进行逻辑分区的伪设备提供信息时,物理终端用户设备和/或在物理终端用户设备上运行的mdm云代理可发送状态信息(例如,其可包括如本文讨论的各种类型的设备状态信息)到伪设备,例如,其可以被配置为分析该信息并将命令和/或其它信息提供回到物理终端用户设备和/或在物理终端用户设备上运行的mdm云代理。另外,在接收来自云计算环境的伪设备的命令时,物理终端用户设备和/或在物理终端用户设备上运行的mdm云代理可接收新的和/或更新的策略和/或其它策略信息、远程分析的和/或以其它方式处理的物理终端用户设备状态信息(例如,伪设备可远程分析和/或以其它方式处理由物理终端用户设备收集的、从物理终端用户设备获得的和/或与物理终端用户设备有关的状态信息,并接着将该经分析的和/或经处理的状态信息提供回到物理终端用户设备),和/或其它信息。
表示物理终端用户设备的伪设备可以在云计算环境的一个或多个策略管理服务器内被建立。伪设备可以在用于与mdm服务提供商一起使用的伪设备的设置期间接收与该mdm服务提供商相关联的mdm代理。因此,伪设备可以将多个mdm代理保持在与伪设备相关联的存储器中。伪设备可以与在物理终端用户设备上运行的mdm云代理进行通信,使得mdm云代理可以执行在物理终端用户设备处的一个或多个不同的mdm代理的功能。mdm云代理可以执行一个或多个mdm代理的功能,同时表现为物理终端用户设备上的单个mdm云代理。例如,运行在物理终端用户设备上的mdm云代理可以与存储在伪设备处的不同的mdm代理交换数据和/或从存储在伪设备处的不同的mdm代理接收命令。因此,mdm云代理可以实现物理终端用户设备处的一个或多个mdm代理的功能,而不必修改物理终端用户设备以包括从mdm服务提供商接收的每一个mdm代理。
在步骤910中,伪设备可以被设置用于与一个或多个mdm服务提供商一起使用。例如,在步骤910中,伪设备可以向每个mdm服务提供商发送或提供登记请求,以及作为响应,可以从每个mdm服务提供商接收策略执行配置文件,其授权对它们各自的企业资源的访问。例如,企业可以在自带设备(byod)方案中要求一些或全部的其员工和/或其他用户在他们各自的移动设备上安装策略执行配置文件以降低企业安全风险,以及在步骤910中可以通过伪设备接收的策略执行配置文件可以通过这样的企业来限定和/或以否则与这样的企业相关联。另外或可选地,当没有由物理终端用户设备使用时,策略执行配置文件可以存储在与伪设备相关联的存储器中。此外,与伪设备相关联的存储器还可以同时存储来自每个mdm服务提供商的策略执行配置文件,用该mdm服务提供商设置伪设备。因为伪设备在云计算环境的一个或多个策略管理服务器内被建立,所以伪设备并不被物理终端用户设备关于多个策略执行配置文件的并行储存和/或其它信息(诸如,例如,应用、应用数据等)的任何物理约束来限制。例如,除了存储第二mdm服务提供商的策略执行配置文件、其相关联的应用和/或应用数据外,伪设备可以存储第一mdm服务提供商的策略执行配置文件、其相关联的应用和/或应用数据。在这样的示例中,,除了第二mdm服务提供商的策略执行配置文件、其相关联的应用和/或应用数据外,物理终端用户设备可具有不充足的存储空间和/或处理能力以维持且同时存储第一mdm服务提供商的策略执行配置文件、其相关联的应用和/或应用数据。另外或可选地,物理终端用户设备可能不能够同时存储两个配置文件,这是因为每个配置文件可能具有要求各自的配置文件是安装在、存储在、或以其它方式维持在物理终端用户设备上的唯一专用的配置文件的规则。另外或可选地,物理终端用户设备可能不能够同时向两个mdm服务提供商进行登记,这是因为物理终端用户设备的操作系统只可以支持单个配置文件。
在步骤915中,一旦伪设备被设置用于与一个或多个mdm服务提供商一起使用,代表物理终端用户设备的伪设备可以被配置为从一个或多个mdm服务提供商接收一个或多个命令。例如,在步骤915中,伪设备可以从第一mdm服务提供商和/或代表第一mdm服务提供商的实体接收第一命令。第一mdm服务提供商和/或代表第一mdm服务提供商的实体可以主动地生成第一命令(例如,没有基于从伪设备接收的数据触发事件),并且将第一命令推送给伪设备。另外或可选地,响应于从伪设备和/或从物理终端用户设备中接收的(例如,提取)物理端用户设备的设备状态信息中的变化,第一mdm服务提供商或实体可以生成第一命令。设备状态信息中的变化例如可以包括在物理终端用户设备处出现的应用中的变化的指示、网络连接中的变化的指示、物理终端用户设备的位置中变化的指示和/或物理终端用户设备处的任何其它变化。例如,在物理终端用户设备处出现的应用中的变化的指示可以包括在物理终端用户设备处出现的应用的列表并且可以包括关于列出的应用中的每一个的相关联的状态信息。例如,状态可以包括应用是否在当前系统中被安装、打开,该应用是否本地或远程地被执行,和/或其它信息。
在一些实例中,第一命令可以被配置为好像第一命令将被发送给物理终端用户设备。例如,当伪设备模拟物理终端用户设备时,mdm服务提供商可能不会意识到第一命令将被发送给伪设备而不是发送给物理终端用户设备。在这种实例中,第一命令可以被配置为根据第一mdm服务提供商的策略来管理物理终端用户设备。
第一命令可以包括管理信息,诸如由mdm云代理应用的一个或多个策略更新。第一命令可以被配置为针对物理终端用户设备的特定用户和/或针对使用物理终端用户设备的任何人的角色(例如,策略可以被应用到具有诸如销售、会计、咨询、法律等的特定角色或位置的用户)。
在一些实施方案中,第一命令可以是请求物理终端用户设备的当前状态信息的查询。在这种情况下,mdm服务提供商可以从伪设备接收物理终端用户设备的设备状态信息。在一些实例中,伪设备可以已经将该查询传输到物理终端用户设备且从物理终端用户设备接收设备状态信息。另外或可选地,伪设备可能不向物理终端用户设备发送查询,并且相反可以向第一mdm服务提供商发送存储在与伪设备相关联的存储器中的设备状态信息。
在一些实施方案中,第一命令可以被配置为使mdm云代理和/或物理终端用户设备执行物理终端用户设备处的一个或多个行为限制。一些策略和/或行为限制可以导致第一命令被配置为执行资源的撤回和/或选择性擦除。例如,第一命令可以是用于撤回第一mdm服务提供商的策略执行配置文件、与第一mdm服务提供商相关联的应用、与这种应用相关联的数据、第一mdm服务提供商的企业资源、在与第一mdm服务提供商相关联的物理终端用户设备处生成的数据中的一个或多个、和/或其它信息的命令。在一些实例中,第一命令可以是选择性擦除命令,其被配置为删除第一mdm服务提供商的策略执行配置文件与第一mdm服务提供商相关联的应用、与这种应用相关联的数据、第一mdm服务提供商的企业资源、在与第一mdm服务提供商相关联的物理终端用户设备处生成的数据中的一个或多个和/或其它信息。在一些实施方案中,选择性擦除保持(例如,并不删除)第一mdm服务提供商的策略执行配置文件、个人应用、和个人数据。
在一些实施方案中,根据一个或多个策略,第一命令可以被配置为授权伪设备和/或物理终端用户设备对一些企业资源和/或服务的访问,同时限制和/或防止对其它企业资源和/或服务的访问。在其它实施方案中,第一命令可以被配置为防止物理终端用户设备向另一个设备发送企业资源或与来自物理终端用户设备的第一mdm服务提供商相关联的其它数据。另外或可选地,第一命令可以被配置为允许物理终端用户设备向伪设备发送数据企业资源或与第一mdm服务提供商相关联的其它数据以供随后的检索(例如,当物理终端用户设备位于第一mdm服务提供商的地理位置内时)。
在一些实施方案中,根据一些策略,第一命令可以被配置为防止由伪设备和/或物理终端用户设备访问(例如,只读)的企业资源的修改。另外,第一命令可以被配置为在伪设备和/或物理终端用户设备处重新配置软件或数据。另外,第一命令可以被配置为使mdm代理和/或物理终端用户设备防止应用被打开或以其它方式被执行,以及如果它当前在物理终端用户设备处正在执行(例如,运行),则可以关闭应用。
在一些实施方案中,第一命令可以通过被配置为选择性启用和/或禁用物理终端用户设备的一个或多个功能(诸如,操作系统的一个或多个功能)、应用、对物理终端用户设备处的本地和/或在一个或多个网络上远程可访问的数据或资源的访问来执行一些策略和/或行为限制。限制对物理终端用户设备本地的一个或多个资源的访问可以包括阻止、限制、和/或以其它方式控制对物理终端用户设备的资源(诸如,例如,照相机功能、短信功能、蓝牙功能、本地应用功能、和/或物理终端用户设备的任何其它功能)的访问。限制对一个或多个网络资源的访问可以包括阻止对某些网站、物理终端用户设备没有被授权访问的企业资源、或任何其它远程定位的资源的访问。
可选地或另外地,在一些实施方案中,第一mdm服务提供商可以知道伪设备。因此,第一mdm服务提供商可以将第一命令配置为指导伪设备如何管理物理终端用户设备。在这样的实施方案中,第一命令可以被配置为管理物理终端用户设备和/或根据第一mdm服务提供商的策略来管理物理终端用户设备的伪设备的管理。具体地,第一命令可以被配置为导致经由伪设备在物理终端用户设备处的策略的执行。例如,第一命令可以被设计成具有与以上讨论的第一命令的任何不同配置相同的结果。
除了从第一mdm服务提供商的企业服务器接收命令外,伪设备可以接收新的和/或更新的策略和/或其它策略信息、远程地分析和/或以其它方式处理设备状态信息(例如,企业服务器可以远程地分析和/或以其它方式处理由物理终端用户设备收集、获得、和/或与物理终端用户设备有关的状态信息,并且然后将这种已分析的和/或处理的状态信息提供回到物理终端用户设备),和/或其它信息。在一些实施方案中,伪设备可以向第一mdm服务提供商转发从物理终端用户设备接收的设备状态信息。在这种实施方案中,第一mdm服务提供商可以分析设备状态信息且使该分析与伪设备相联系。伪设备然后可以将这种已分析的和/或处理的设备状态信息、其它信息和/或策略提供回到物理终端用户设备。另外或可选地,在向物理终端用户设备提供这种已分析的设备状态信息之前,伪设备可以进一步处理从第一mdm服务提供商接收的已分析的设备状态信息。
在一些实施方案中,伪设备可以确定第一命令或在物理终端用户设备处实现第一命令之后的物理终端用户设备的预测结果状态是否将违反或以其它方式创建与伪设备所登记的mdm服务提供商的任何策略的冲突。如果不存在违反或冲突,如下所述,伪设备可以向物理终端用户设备发送命令。如果有违反或冲突,伪设备可以根据在下文中讨论的图16行动。
在步骤920中,伪设备可以向物理终端用户设备发送来自伪设备的一个或多个命令。例如,在步骤920中,伪设备可以向物理终端用户设备发送来自伪设备的第二命令。伪设备可以基于从第一mdm服务提供商接收的第一命令来生成第二命令和/或可以另外与第一mdm服务提供商相关联。例如,响应于接收第一命令,伪设备可以生成且发送第二命令到物理终端用户设备。第二命令可以被配置为执行与第一命令相关联的策略。第二命令可以与从第一mdm服务提供商接收的第一命令不同。在一些实例中,第二命令可以与从第一mdm服务提供商接收的第一命令相同。在这种实施方案中,第二命令不需要在伪设备处被生成并且可以使用所接收的第一命令进行重新传送。
在一些实施方案中,伪设备可以独立地生成第二命令。例如,伪设备可以生成第二命令而没有第一mdm服务提供商的参与且没有接收第一命令。因此,伪设备可以仍然独立地管理且执行第一mdm服务提供商的策略。例如,如果与第一mdm服务提供商的连接丢失,则伪设备可能需要管理且执行第一mdm服务提供商的策略。
第二命令可以相似于本文讨论的第一命令的任何配置来配置。例如,第二命令可以被配置为使mdm云代理和/或物理终端用户设备执行撤回、部署、选择性擦除、限制对企业资源的访问、授权对企业资源的访问、限制对功能的访问、重新配置功能、防止对企业资源的修改、防止企业资源从物理终端用户设备的传输、或本文讨论的命令的任何其它配置。
在从伪设备接收第一和/或第二命令时,mdm云代理和/或物理终端用户设备可以执行第一和/或第二命令,使得与该命令相关联的策略被满足。例如,物理终端用户设备可以执行存储在物理终端用户设备处的数据的选择性擦除。例如,物理终端用户设备可以限制对功能的访问、防止对企业资源的修改、和/或以其它方式实现由第一和/或第二命令专用的任何配置。该命令在物理终端用户设备处的执行可以影响物理终端用户设备的设备状态信息。因此,可以向伪设备提供设备状态信息。
在一些实施方案中,设备状态信息中的变化可以使mdm云代理和/或物理终端用户设备执行管理操作以执行一个或多个mdm服务提供商的策略。例如,基于地理位置的变化,mdm云代理可以限制对第一mdm服务提供商的某些企业资源的访问。
根据例如由mdm云代理执行的策略和命令,物理终端用户设备也可以访问一个或多个mdm服务提供商的企业资源。例如,物理终端用户设备可以访问第一mdm服务提供商的被提供给伪设备的企业资源。另外或可选地,物理终端用户设备可以直接从第一mdm服务提供商访问企业资源而没有伪设备的参与。物理终端用户设备可以存储、编辑、和/或另外根据第一mdm服务提供商的策略与企业资源进行交互。
在一些实施方案中,mdm云代理、物理终端用户设备、和/或伪设备可以基于设备状态信息确定是否已经违反一个或多个mdm服务提供商的一个或多个策略。响应于已经违反策略的确定,物理终端用户设备可以采取纠正行动。物理终端用户设备还可以向伪设备发送违反的报告。伪设备然后可以确定纠正行动且向物理终端用户设备发送产生的命令。在一些实施方案中,伪设备可以发送报告或修改的报告到违反策略的mdm服务提供商。响应于没有违反策略的确定,继续正常的管理操作。
在步骤925中,伪设备可以接收对来自物理终端用户设备的第二命令的响应。例如,在步骤925中,伪设备可以确定该响应是否足以满足从第一mdm服务提供商接收的第一命令。响应于该响应是不足以满足第一命令和/或第二命令(例如,在应用命令之后,物理终端用户设备的期望产生的状态并没有实现)的确定,伪设备可以向物理终端用户设备发送命令,其被配置为纠正物理终端用户设备的状态,使得来自物理终端用户设备的第二响应可以是足以满足第一命令和/或第二命令(例如,在应用命令之后,已经实现物理终端用户设备的期望产生的状态)。
在一些实施方案中,伪设备可以确定物理终端用户设备的状态中的变化是否与伪设备所登记的任何mdm服务的任何其它策略冲突。响应于该响应与另一个策略冲突的确定,伪设备可以根据在下文中讨论的图16动作。
在步骤930中,响应于该响应足以满足第一命令和/或第二命令的确定,伪设备可以向mdm服务提供商中的一个或多个发送来自伪设备的响应。例如,在步骤930中,伪设备可以发送对从物理终端用户设备接收的第二命令的响应到第一mdm服务提供商。该响应可以包括物理终端用户设备的设备状态信息,所以例如第一mdm服务提供商可以验证与第一命令相关联的操作已经由物理终端用户设备适当地完成。例如,响应可以包括与第一mdm服务提供商相关联的数据已经从物理终端用户设备中移除的指示。
在一些实施方案中,伪设备可以基于对从物理终端用户设备接收的第二命令的响应来生成新的响应。新的响应可以足以满足从第一mdm服务提供商接收的第一命令。在一些实例中,响应可以包括与第一命令相关联的操作被完成的指示或与第一命令相关联的一些其它指示。例如,新的响应可以包括与第一mdm服务提供商相关联的数据已经从伪设备被部署到物理终端用户设备的指示,或者可选地,与第一mdm服务提供商相关联的数据已经从物理终端用户设备中被撤回到伪设备的指示。
在一些实施方案中,例如,伪设备可以提供信息到一个或多个mdm服务提供商的企业服务器。例如,在提供信息到mdm服务提供商的企业服务器中,伪设备可以发送从物理终端用户设备接收的状态信息到mdm服务提供商的企业服务器,其例如可以被配置为分析这样的信息且提供命令和/或其它信息回到伪设备,其然后可以中继或生成将向物理终端用户设备提供的命令。
在一些实施方案中,伪设备可以从第二mdm服务提供商接收第三命令。第三命令可以被配置为使在物理终端用户设备处的第二mdm服务提供商的策略的执行。第三命令可以如以上关于第一命令的配置但是关于第二mdm服务提供商而不是第一mdm服务提供商所讨论的来配置。例如,第三命令可以是用于撤回第二mdm服务提供商的策略执行配置文件、与第二mdm服务提供商相关联的应用、与这种应用相关联的数据、第二mdm服务提供商的企业资源、在与第二mdm服务提供商相关联的物理终端用户设备处生成的数据中的一个或多个和/或其它信息。在一些实例中,第三命令可以是选择性擦除命令,其被配置为删除第二mdm服务提供商的策略执行配置文件、与第二mdm服务提供商相关联的应用、与这种应用相关联的数据、第二mdm服务提供商的企业资源、在与第二mdm服务提供商相关联的物理终端用户设备处生成的数据中的一个或多个和/或其它信息。在一些实施方案中,选择性擦除命令保持(例如,并不删除)第二mdm服务提供商的策略执行配置文件。
在一些实施方案中,伪设备可以确定第三命令的策略或在实现第三命令的策略之后的物理终端用户设备的预测的结果状态是否违反或以其它方式与伪设备所登记的mdm服务提供商的任何策略冲突。如果没有违反或冲突,如下所述,伪设备可以向物理终端用户设备发送命令。如果有违反或冲突,伪设备可以根据在下文中讨论的图16行动。
在一些实施方案中,伪设备可以从伪设备发送一个或多个命令到物理终端用户设备。例如,伪设备可以从伪设备发送第四命令到物理终端用户设备。伪设备可以基于从第二mdm服务提供商接收的第三命令来生成第四命令。响应于接收第三命令,伪设备可以生成且发送第四命令到物理终端用户设备。第四命令可以与从第二mdm服务提供商接收的第三命令不同。在一些实例中,第四命令可以与从第二mdm服务提供商接收的第三命令相同。在这种实例中,第四命令不需要在伪设备处被生成并且可以使用所接收的第三命令进行重新传送。
第四命令可以被配置为执行与第三命令相关联的策略。第四命令可以如以上关于第二命令的配置但是关于第二mdm服务提供商而不是第一mdm服务提供商所讨论的来配置。例如,第四命令可以被配置为使mdm云代理和/或物理终端用户设备执行撤回、部署、选择性擦除、限制对企业资源的访问、授权对企业资源的访问、限制对功能的访问、重新配置功能、防止对企业资源的修改、防止企业资源从物理终端用户设备的传输、或本文讨论的命令的任何其它配置。
在一些实施方案中,伪设备可以生成第四命令。例如,伪设备可以独立地生成第四命令且没有第二mdm服务提供商的参与。具体地,伪设备可以生成第四命令而没有从第二mdm服务提供商接收第三命令。
在一些实施方案中,伪设备可以接收对来自物理终端用户设备的第四命令的响应。例如,伪设备可以确定该响应是否足以满足从第二mdm服务提供商接收的第三命令。响应于该响应不足以满足第三命令的确定,伪设备可以向物理终端用户设备发送命令,其被配置为纠正物理终端用户设备的状态,使得来自物理终端用户设备的第二响应可足以满足第三命令。
在一些实施方案中,响应于该响应足以满足第三和/或第四命令的确定,伪设备可以向mdm服务提供商中的一个或多个发送来自伪设备的响应。例如,伪设备可以发送对从物理终端用户设备接收的第四命令的响应到第二mdm服务提供商。在一些实例中,伪设备可以基于对从物理终端用户设备接收的第四命令的响应来生成新的响应。新的响应可足以满足从第二mdm服务提供商接收的第三命令。在一些实例中,响应可以包括与第三命令相关联的操作被完成的指示或与第三命令相关联的一些其它指示。
在一些实施方案中,云计算环境可以在云的服务器内建立表示另一个物理终端用户设备(例如,不同于第一物理终端用户设备的第二物理终端用户设备)的第二伪设备。表示第二物理终端用户设备的第二伪设备可以被设置用于与一个或多个mdm服务提供商一起使用。第二伪设备可以在伪设备处从mdm服务提供商接收第一命令。第二伪设备可以从第二伪设备发送第二命令或如本文讨论的另一个命令到第二物理终端用户设备。第二伪设备可以从物理终端用户设备接收响应。第二伪设备可以发送该响应或修改的响应到如本文讨论的mdm服务提供商。尽管已经讨论了分别表示两个物理终端用户设备的仅两个伪设备,但是多于两个的伪设备和物理终端用户设备是被预期的。
图10描绘了根据本文所讨论的一个或多个说明性方面示出设置伪设备用于与一个或多个移动设备管理服务提供商一起使用的方法的流程图。在一个或多个实施方案中,图10的方法和/或其一个或多个步骤可通过计算设备(例如,通用计算设备201)来执行。在其它实施方案中,图10中示出的方法和/或其一个或多个步骤可以体现在计算机可执行指令中,该计算机可执行指令存储在诸如非暂时性计算机可读存储器的计算机可读介质中。
如在图10中所见,方法可从步骤1005处开始,其中伪设备可以被设置用于与第一mdm服务提供商一起使用。例如,在步骤1005中,可以通过例如执行本文讨论的步骤1010、1015、和1020中的一个或多个来设置伪设备以用于与第一mdm服务提供商一起使用。伪设备可以对第一mdm服务提供商表现为伪设备表示的物理终端用户设备。例如,伪设备可以仿真和/或模拟伪设备表示的物理终端用户设备,并且因此,伪设备可以向第一mdm服务提供商表现为实际的物理终端用户设备。例如,在仿真和/或模拟物理终端用户设备中,代表物理终端用户设备的伪设备可以向第一mdm服务提供商认证、接收来自第一mdm服务提供商的一个或多个命令和/或通信、和/或向第一mdm服务提供商发送一个或多个消息和/或其他通信,就好像伪设备是物理终端用户设备。伪设备可以以与典型的物理移动设备将向第一mdm服务提供商进行登记的相同的方式向第一mdm服务提供商进行登记。在一些实例中,伪设备可以向第一mdm服务提供商表现为不同于物理终端用户设备但与物理终端用户设备相关联的设备。
在步骤1010中,伪设备可以发送第一登记请求到一个或多个mdm服务提供商的第一mdm服务提供商。例如,在步骤1010中,可以从伪设备向第一mdm服务提供商发送第一登记请求。在一些实例中,伪设备可以使另一个设备代表伪设备发送第一登记请求。登记请求可以包括用于设置包括例如安全凭证、身份凭证等必要的任何信息。
作为响应,在步骤1015中,伪设备可以接收与第一mdm服务提供商相关联的第一策略执行配置文件。例如,在步骤1015中,伪设备可以从第一mdm服务提供商接收第一策略执行配置文件。在一些实例中,伪设备可以从代表第一mdm服务提供商的另一个实体接收第一策略执行配置文件。第一策略执行配置文件可以被配置为促进伪设备和/或第一mdm服务提供商的识别。第一策略执行配置文件可以促进伪设备和第一mdm服务提供商之间的安全通信。策略执行配置文件可以被配置为识别第一mdm服务提供商的一个或多个策略,其将要在物理终端用户设备处被执行作为对第一mdm服务提供商的企业资源的访问和/或登记的条件。
在步骤1020中,伪设备可以存储与第一mdm服务提供商相关联的第一策略执行配置文件。例如,在步骤1020中,伪设备可以将第一策略执行配置文件存储在云计算环境的一个或多个服务器的相关联的存储器中。一旦伪设备被设置用于与第一mdm服务提供商一起使用,伪设备可以根据由第一mdm服务提供商提出的策略访问第一mdm服务提供商的企业资源。伪设备可以从第一mdm服务提供商接收命令以管理如上所讨论的物理终端用户设备。例如,这样的命令可以包括如本文讨论的部署、撤回、和/或选择性擦除中的一个。
在步骤1025中,可以通过执行例如本文讨论的步骤1030、1035、和1040中的一个或多个来设置伪设备以用于与第二mdm服务提供商一起使用。伪设备可以对第二mdm服务提供商表现为伪设备表示的物理终端用户设备。例如,伪设备可以模拟伪设备表示的物理终端用户设备。伪设备可以以与典型的移动设备将向第二mdm服务提供商进行登记的相同的方式向第二mdm服务提供商进行登记。在一些实例中,伪设备可以对第二mdm服务提供商表现为不同于物理终端用户设备但与物理终端用户设备相关联的设备。
在步骤1030中,伪设备可以发送第二登记请求到一个或多个mdm服务提供商的第二mdm服务提供商。例如,在步骤1030中,第二登记请求可以从伪设备发出。在一些实例中,伪设备可以使另一个设备代表伪设备发送第二登记请求。登记请求可以包括用于设置包括例如安全凭证、身份凭证等必要的任何信息。
作为响应,在步骤1035中,伪设备可以接收与第二mdm服务提供商相关联的第二策略执行配置文件。例如,在步骤1035中,伪设备可以从第二mdm服务提供商接收第二策略执行配置文件。在一些实例中,伪设备可以从代表第二mdm服务提供商的另一个实体接收第二策略执行配置文件。第二策略执行配置文件可以被配置为促进伪设备和/或第二mdm服务提供商的识别。第二策略执行配置文件可以被配置为促进伪设备和第二mdm服务提供商之间的安全通信。策略执行配置文件可以被配置为识别第二mdm服务提供商的一个或多个策略,其将要在物理终端用户设备处被执行作为对第二mdm服务提供商的企业资源的访问和/或登记的条件。
在步骤1040中,伪设备可以存储与第二mdm服务提供商相关联的第二策略执行配置文件。例如,在步骤1040中,伪设备可以将第二策略执行配置文件存储在云计算环境的一个或多个服务器的相关联的存储器中。一旦伪设备被设置用于与第二服务提供商一起使用,伪设备可以访问第二mdm服务提供商的企业资源。伪设备可以从第二mdm服务提供商接收命令以管理物理终端用户设备。这样的命令可以包括如本文讨论的部署、撤回、和/或选择性擦除中的一个。
在一些实施方案中,与定位在云计算环境的一个或多个服务器处的伪设备相关联的存储器可以同时存储与第一mdm服务提供商相关联的第一策略执行配置文件以及与第二mdm服务提供商相关联的第二策略执行配置文件。在一些实施方案中,物理终端用户设备可不具有足够资源以同时存储和/或实现与第一mdm服务提供商相关联的第一策略执行配置文件以及与第二mdm服务提供商相关联的第二策略执行配置文件。
在一些实施方案中,表示第二物理终端用户设备的第二伪设备可以被设置用于与一个或多个mdm服务提供商一起使用。例如,第二伪设备可以从第二伪设备发送第一登记请求到第一mdm服务提供商,以及作为响应,可以从第一mdm服务提供商接收策略执行配置文件。第二伪设备可以将策略执行配置文件存储在与第二伪设备相关联的存储器中。一旦伪设备被设置用于与第一mdm服务提供商一起使用,第二伪设备可以访问第一mdm服务提供商的企业资源。第二伪设备可以从第二伪设备发送第二登记请求到第二mdm服务提供商,以及作为响应,可以从第二mdm服务提供商接收策略执行配置文件。第二伪设备可以将策略执行配置文件存储在与第二伪设备相关联的存储器中。一旦伪设备被设置用于与第二mdm服务提供商一起使用,第二伪设备可以访问第二mdm服务提供商的企业资源。
在一些实施方案中,多个伪设备可以与相同的用户相关联。伪设备可以在云计算环境内被建立。例如,第一伪设备可以表示与用户相关联的第一物理终端用户设备。第二伪设备可以表示与相同用户相关联的第二物理终端用户设备。第二物理终端用户设备可以不同于第一物理终端用户设备。在这个示例中,第一和第二伪设备可以被设置用于与相同的mdm服务提供商和/或不同的mdm服务提供商一起使用。
图11描绘了根据本文所讨论的一个或多个说明性方面示出响应于来自移动设备管理服务提供商的命令的方法的流程图。在一个或多个实施方案中,图11的方法和/或其一个或多个步骤可通过计算设备(例如,通用计算设备201)来执行。在其它实施方案中,图11中示出的方法和/或其一个或多个步骤可以体现在计算机可执行指令中,该计算机可执行指令存储在诸如非暂时性计算机可读存储器的计算机可读介质中。
如在图11中所见,方法可从步骤1105开始,其中伪设备可以接收一个或多个命令。例如,在步骤1105中,伪设备可以从第一mdm服务提供商接收第一命令。在一些实例中,第一命令可以从与第一mdm服务提供商分开的实体或设备接收,但是可以代表第一mdm服务提供商被发出。
第一命令可以如以上结合图9所讨论的来配置。例如,第一命令可以被配置为使运行在物理终端用户设备的mdm云代理和/或物理终端用户设备执行与企业资源的撤回、企业资源的部署、企业资源的选择性擦除、限制对企业资源的访问、授权对企业资源的访问、限制对功能的访问、重新配置功能、防止对企业资源的修改、防止企业资源从物理终端用户设备的传输、或本文讨论的命令的任何其它配置相关联的操作。
在步骤1110中,伪设备可以确定应该向谁发送命令和/或消息。例如,在步骤1110中,伪设备可以确定是否向物理终端用户设备和/或第一mdm服务提供商发送第二命令。该确定可以基于一个或多个因素。例如,因素可以包括是否需要来自物理终端用户设备的未出现在伪设备处的信息以响应于从一个或多个mdm服务提供商接收的一个或多个命令。例如,因素可以包括与从一个或多个mdm服务提供商接收的一个或多个命令相关联的策略是否与一个或多个mdm服务提供商的另一个策略冲突。
在一些实施方案中,伪设备可以生成且发送查询到物理终端用户设备。该查询可以请求物理终端用户设备的状态信息。作为响应,物理终端用户设备可以确定且发送其状态信息到伪设备。伪设备然后可以确定所接收的物理终端用户设备的状态信息是否匹配关于物理终端用户设备的期望的状态信息。伪设备可以确定期望的状态信息至少部分地基于从第一mdm服务提供商接收的第一命令。如果所接收的状态信息并不匹配期望的状态信息,那么伪设备可以决定发送第二命令到物理终端用户设备以达到期望的状态。如果所接收的状态信息匹配期望的状态信息,那么伪设备可以决定不发送第二命令到物理终端用户设备。因为所接收的状态信息匹配期望的状态信息并且因为可以基于从第一mdm服务提供商接收的第一命令确定期望的状态信息,所以伪设备可以决定不发送第二命令到物理终端用户设备,这是由于与第一命令相关联的期望的状态已经是物理终端用户设备的状态。另外或可选地,在一些实施方案中,查询不需要被发送到物理终端用户设备。例如,物理终端用户设备可以定期和/或当状态变化发生在物理终端用户设备之内时,发送更新的状态信息到伪设备。因此,伪设备可以保持物理终端用户设备的当前和过去的状态信息的记录。因为物理终端用户设备的当前状态信息出现在伪设备处,所以伪设备可以确定物理终端用户设备的状态信息是否匹配期望的状态信息而无需发送查询到物理终端用户设备。
在步骤1115中,响应于发送第二命令到物理终端用户设备的决定,伪设备可以从伪设备发送第二命令到物理终端用户设备。第二命令可以被配置为执行一个或多个mdm服务提供商的策略。第二命令可以如以上结合图9所讨论的来配置。例如,第二命令可以被配置为使运行在物理终端用户设备上的mdm云代理和/或物理终端用户设备执行与企业资源的撤回、企业资源的部署、企业资源的选择性擦除、限制对企业资源的访问、授权对企业资源的访问、限制对功能的访问、重新配置功能、防止对企业资源的修改、防止企业资源从物理终端用户设备的传输、或本文讨论的命令的任何其它配置相关联的操作。
在步骤1120中,伪设备可以从物理终端用户设备接收响应。例如,在步骤1120中,伪设备可以接收与被发送的第二命令相关联的操作被完成的指示。该响应可以包括在与第二命令相关联的操作被完成之前和/或之后的物理终端用户设备的设备状态信息。例如,响应可以包括与一个或多个mdm服务提供商相关联的应用、应用数据、和/或其它数据已经从物理终端用户设备中删除的指示。该响应可以包括个人应用和个人数据已经由物理终端用户设备来保持(例如,未被删除)的指示。可以类似于本文讨论的其它响应来配置该响应。
在一些实施方案中,伪设备可以确定来自物理终端用户设备的响应是否满足从第一mdm服务提供商接收的第一命令(例如,物理终端用户设备的状态匹配期望的状态)。如果伪设备确定响应并不满足该响应,则伪设备可以发送第三命令到物理终端用户设备。第三命令可以被配置为在操作上引起获得第一命令的期望结果。随后,伪设备可以从物理终端用户设备接收另一个响应。
在步骤1125中,伪设备可以发送响应到一个或多个mdm服务提供商。例如,在步骤1125中,伪设备可以发送对第一命令的响应到第一mdm服务提供商。如果伪设备确定该响应足以满足第一命令,那么可以发送该响应。在一些实例中,伪设备可以基于从物理终端用户设备接收的响应来生成修改的响应。修改的响应还可以基于其它因素,诸如,例如,以添加与第一命令相关联的操作被完成的指示。伪设备可以发送修改的响应到第一mdm服务提供商。该响应可以类似于本文讨论的任何响应来配置并且因此,例如可以包括关于第一mdm服务提供商的设备状态信息以分析并且可能对其做出响应。
在步骤1130中,伪设备可能不发送第二命令到物理终端用户设备。例如,在步骤1130中,伪设备可响应于确定不发送第二命令到物理终端用户设备在本地生成对从第一mdm服务提供商发送的第一命令的响应。在一些实例中,伪设备可以从不同于物理终端用户设备的设备或实体接收响应以便被并入到对第一命令的响应中。生成的和/或所接收的对第一命令的响应例如可以包括由伪设备存储的信息或任何其它信息。该响应可以包括与第一命令相关联的操作被完成的指示。例如,该响应可以包括选择性擦除已经在物理终端用户设备处完成的指示。
在步骤1135中,伪设备可以从伪设备发送响应到一个或多个mdm服务提供商。例如,在步骤1135中,伪设备可以从伪设备发送对第一命令的本地生成的响应到第一mdm服务提供商。该响应可以被发送到第一mdm服务提供商而没有发送任何命令(例如,第一命令和/或第二命令)到物理终端用户设备。因此,该响应可以代表物理终端用户设备被发送而没有物理终端用户设备的任何参与。例如,伪设备可以独立于物理终端用户设备的任何操作接收第一命令且发送响应到第一mdm服务提供商。
在一些实施方案中,表示第二物理终端用户设备的第二伪设备可以从mdm服务提供商接收第一命令。第二伪设备可以基于本文讨论的任何因素确定是否向第二物理终端用户设备发送第二命令。响应于确定向第二物理终端用户设备发送第二命令,第二伪设备可以从第二伪设备发送第二命令到第二物理终端用户设备。第二伪设备然后可以从第二物理终端用户设备接收响应。第二伪设备然后可以发送响应或修改的响应到mdm服务提供商。响应于确定不向第二物理终端用户设备发送任何命令,第二伪设备可以生成对第一命令的响应,例如,该第一命令包括与第一命令相关联的操作被完成的指示。伪设备可以发送响应到mdm服务提供商。
图12描绘了根据本文所讨论的一个或多个说明性方面示出将资源数据推送给物理终端用户设备的方法的流程图。在一个或多个实施方案中,图12的方法和/或其一个或多个步骤可通过计算设备(例如,通用计算设备201)来执行。在其它实施方案中,图12中示出的方法和/或其一个或多个步骤可以体现在计算机可执行指令中,该计算机可执行指令存储在诸如非暂时性计算机可读存储器的计算机可读介质中。
如在图12中所见,方法可从步骤1205处开始,其中伪设备可以接收一个或多个企业资源(例如,资源数据)。例如,在步骤1205中,伪设备可以从第一mdm服务提供商接收第一mdm服务提供商的资源数据。资源数据可以包括文档、图表、软件、应用、应用数据、或与第一mdm服务提供商相关联的任何其它数据。可以在其中第二不同的mdm服务提供商的策略执行配置文件是活动的或由物理终端用户设备使用的时间段期间接收资源数据。例如,伪设备可以从第一mdm服务提供商接收应用,其只有当第一mdm服务提供商的策略执行配置文件是活动的或由物理终端用户设备使用时,可以用在物理终端用户设备处。然而,当第一mdm服务提供商的策略执行配置文件是不活动的或没有由物理终端用户设备使用时,该应用可以由伪设备来接收。
同样地,在其中与第二mdm服务提供商(不同于第一mdm服务提供商)相关联的策略执行配置文件在物理终端用户设备上或在其处是活动的时间段期间,伪设备可以从第一mdm服务提供商接收第一命令。例如,当第一mdm服务提供商的策略执行配置文件处于不活动的或由物理终端用户设备使用时和/或当第二mdm服务提供商的策略执行配置文件是活动的或由物理终端用户设备使用时,伪设备可以从第一mdm服务提供商接收第一命令。
在一些实施方案中,在其中没有mdm服务提供商的策略执行配置文件在物理终端用户设备上或在其处是活动的时间段期间,伪设备可以从第一mdm服务提供商接收资源数据和/或第一命令。
在一些实施方案中,资源数据的接收可以响应于由物理终端用户设备发起的对于资源数据的请求。例如,物理终端用户设备可以从物理终端用户设备将关于资源数据的请求直接发送到第一mdm服务提供商,而没有伪设备的参与。在一些实例中,物理终端用户设备可以将对于第一mdm服务提供商的资源数据的请求发送到伪设备。伪设备然后可以发送该请求到第一mdm服务提供商。在一些实例中,在向第一mdm服务提供商发送该请求之前,伪设备可以修改该请求。在一些实施方案中,响应于由伪设备发起且被发送给第一mdm服务提供商的请求,物理终端用户设备可以接收资源数据。
在步骤1210中,伪设备可以确定什么配置文件当前在伪设备上活动。例如,在步骤1210中,伪设备可以做出第一mdm服务提供商的策略执行配置文件当前在物理终端用户设备上是否是活动的确定。在一些实例中,伪设备可以向物理终端用户设备发送命令、查询或请求,其请求物理终端用户设备(和/或安装在物理终端用户设备上的mdm云代理)将物理终端用户设备的当前的设备状态信息发送给伪设备。当前的设备状态信息例如可以包括哪个策略执行配置文件当前在物理终端用户设备上使用的指示、由物理终端用户设备使用的当前企业资源的指示、物理终端用户设备的地理位置、物理终端用户设备是否位于由mdm服务提供商中的一个设置的地理围栏内的指示或任何其它信息。作为响应,物理终端用户设备(和/或安装在物理终端用户设备上的mdm云代理)可以确定物理终端用户设备的当前的设备状态信息且发送当前的状态信息到伪设备。
在一些实施方案中,伪设备可以做出第一mdm服务提供商的策略执行配置文件当前在物理终端用户设备上是否是活动的确定,而没有向物理终端用户设备发送请求。物理终端用户设备(和/或mdm云代理)可以定期地和/或作为之前被发送给伪设备的当前状态信息中的变化的结果发送当前的状态信息。例如,在确定设备状态信息中的变化是否已经被检测中,mdm云代理和/或物理终端用户设备可以例如确定新的应用是否已经被安装在和/或被添加到物理终端用户设备上,应用是否已经从物理终端用户设备中被删除,物理终端用户设备使用的网络连接是否已经改变,物理终端用户设备正在位于其中的地理位置是否已被改变,和/或本文讨论的设备状态信息中的任何其它变化。一旦设备状态信息中的变化已经被检测,mdm云代理和/或物理终端用户设备可以将与该变化相关联的信息发送(例如,推送)给伪设备,使得伪设备可以保持物理终端用户设备的当前和过去的设备状态信息的记录。
在步骤1215中,伪设备可以将资源数据推送给物理终端用户设备。例如,在步骤1215中,响应于确定第一mdm服务提供商的策略执行配置文件当前在物理终端用户设备处是活动的(例如,由物理终端用户设备使用),伪设备可以从伪设备将第一mdm服务提供商的资源数据发送给物理终端用户设备。因此,当策略执行配置文件由物理终端用户设备使用时,物理终端用户设备可以访问和/或接收第一mdm服务提供商的资源数据。
在一些实施方案中,物理终端用户设备可以发起对于第一mdm服务提供商的更多的资源数据的另一个请求(例如,第二请求)。物理终端用户设备可以向伪设备发送第二请求。伪设备然后可以发送对于更多的资源数据的第二请求到第一mdm服务提供商。作为响应,第一mdm服务提供商然后可以发送更多的资源数据到伪设备。当第一mdm服务提供商的策略执行配置文件由物理终端用户设备使用时,伪设备然后可以将这样的资源数据发送到物理终端用户设备。
在一些实施方案中,一旦伪设备已经确定策略执行配置文件在物理终端用户设备处使用,伪设备可以将该确定的指示发送到第一mdm服务提供商。第一mdm服务提供商然后可以将资源数据直接传输到物理终端用户设备(例如,没有伪设备的进一步的参与)。在一些实施方案中,可以将对于资源数据的随后请求从物理终端用户设备直接发送到第一mdm服务提供商(例如,没有伪设备的参与)。
在步骤1220中,伪设备可以将资源数据存储在与伪设备相关联的存储器中。例如,在步骤1220中,响应于确定第一mdm服务提供商的策略执行配置文件当前在物理终端用户设备处是不活动的(例如,没有由物理终端用户设备使用),伪设备可以缓存或以其它方式存储第一mdm服务提供商的资源数据直到第一mdm服务提供商的策略执行配置文件在物理终端用户设备处变成活动的。伪设备可以通过例如如本文所讨论的发送对于物理终端用户设备的当前的状态的请求来再次确定第一mdm服务提供商的策略执行配置文件是否在物理终端用户设备处活动。一旦或当伪设备确定第一mdm服务提供商的策略执行配置文件当前在物理终端用户设备处活动时,伪设备可以将资源数据从与伪设备相关联的缓存推送(例如,自动地发送)给物理终端用户设备。在一些实施方案中,一旦伪设备确定第一mdm服务提供商的策略执行配置文件在物理终端用户设备处活动,伪设备可以允许将待从与伪设备相关联的缓存提取(例如,响应于物理终端用户设备的请求而发送)资源数据到物理终端用户设备。
在一些实施方案中,表示第二物理终端用户设备的第二伪设备可以从第一mdm服务提供商接收例如第一mdm服务提供商的资源数据和/或第一命令。在其中第二mdm服务提供商(不同于第一mdm服务提供商)的策略执行配置文件在第二物理终端用户设备上是活动的时间段期间,可以接收资源数据和/或第一命令。当第一mdm服务提供商的策略执行配置文件当前在第二物理终端用户设备上不活动时,第二伪设备可以将第一mdm服务提供商的资源数据缓存在与第二伪设备相关联的存储器中。当第一mdm服务提供商的策略执行配置文件当前在第二物理终端用户设备上活动时,第二伪设备可以推送第一mdm服务提供商的资源数据。
图13描绘了根据本文所讨论的一个或多个说明性方面示出修改伪设备处的命令的方法的流程图。在一个或多个实施方案中,图13的方法和/或其一个或多个步骤可通过计算设备(例如,通用计算设备201)来执行。在其它实施方案中,图13中示出的方法和/或其一个或多个步骤可以体现在计算机可执行指令中,,该计算机可执行指令存储在诸如非暂时性计算机可读存储器的计算机可读介质中。
如在图13中所见,方法可从步骤1305处开始,其中伪设备可以从一个或多个mdm服务提供商接收一个或多个命令。例如,在步骤1305中,伪设备可以从第一mdm服务提供商接收第一命令。该命令可以是本文讨论的任何命令,其包括例如选择性擦除命令、撤回命令、和/或部署命令。
在步骤1310处,伪设备可以修改一个或多个命令。例如,在步骤1310中,伪设备可以修改所接收的第一命令以产生修改的命令。该修改可以基于一个或多个策略执行配置文件、一个或多个mdm服务提供商的策略、物理终端用户设备的当前状态、和/或任何其它因素。修改的命令可以被配置为一旦命令由物理终端用户设备接收则在物理终端用户设备处执行操作。例如,修改的命令可以被配置为将资源数据从伪设备部署到物理终端用户设备,从物理终端用户设备撤回资源数据到伪设备,执行选择性擦除、与解决冲突相关联的命令,和/或执行本文讨论的任何其它操作。
在步骤1315处,伪设备可以向物理终端用户设备发送一个或多个命令。例如,在步骤1315中,伪设备可以从伪设备发送修改的命令到物理终端用户设备。因此,物理终端用户设备可以执行修改的命令的操作,其可以包括例如删除与一个或多个mdm服务提供商相关联的数据或本文讨论的任何其它操作。执行该操作可以导致由运行在物理终端用户设备上的mdm云代理所监控的设备状态信息中的变化,可以将产生的设备状态变化从物理终端用户设备发送到伪设备,使得伪设备可以继续执行mdm服务提供商的策略。
在一些实施方案中,表示第二物理终端用户设备的第二伪设备可以从mdm服务提供商接收命令。第二伪设备可以修改命令以产生修改的命令。第二伪设备然后可以从第二伪设备发送修改的命令到第二物理终端用户设备。第二物理终端用户设备然后可以执行与该命令相关联的操作且发送设备状态信息中产生的变化到第二伪设备。
在一些实施方案中,在基于一个或多个因素向物理终端用户设备发送修改的命令之前,伪设备可以修改从mdm服务提供商接收的命令。例如,伪设备可以修改命令以便物理终端用户设备可以处理(例如,理解)修改的命令。具体地,从mdm服务提供商接收的命令可以与物理终端用户设备可能不能处理和/或以其它方式理解的协议或标准相关联。伪设备可以修改所接收的命令以便修改的命令可以与物理终端用户设备可以能够处理和/或以其它方式理解的不同协议或标准相关联。
图14描绘了根据本文所讨论的一个或多个说明性方面示出应用选择性擦除命令的方法的流程图。在一个或多个实施方案中,图14的方法和/或其一个或多个步骤可通过计算设备(例如,通用计算设备201)来执行。在其它实施方案中,图14中示出的方法和/或其一个或多个步骤可以体现在计算机可执行指令中,该计算机可执行指令存储在诸如非暂时性计算机可读存储器的计算机可读介质中。
如在图14中所见,方法可从步骤1405处开始,其中物理终端用户设备可以从伪设备接收选择性擦除命令。例如,在步骤1405中,响应于从第一mdm服务提供商接收选择性擦除命令,伪设备可以向物理终端用户设备发送选择性擦除命令。在一些实施方案中,伪设备可以生成选择性擦除命令。选择性擦除命令可以被配置为使企业资源(例如,资源数据)在物理终端用户设备处被删除。例如,选择性擦除命令可以被配置为使与第一mdm服务提供商相关联的应用的子集以及与应用的子集相关联的数据在物理终端用户设备处被删除。选择性擦除命令可以被配置为保持个人信息。例如,选择性擦除命令可以保持(并不删除)个人应用以及与个人应用相关联的数据,以及可选地第一mdm服务提供商的策略执行配置文件。
在步骤1410中,响应于接收选择性擦除命令,物理终端用户设备删除资源数据。例如,在步骤1410中,物理终端用户设备可以删除与第一mdm服务提供商相关联的应用的子集、与应用的子集相关联的数据、由物理终端用户设备使用第一mdm服务提供商的资源数据来生成的数据、和/或与第一mdm服务提供商相关联的其它数据。
在步骤1415中,物理终端用户设备可以保持个人信息。例如,在步骤1415中,物理终端用户设备可以保持个人应用、与个人应用相关联的数据、个人数据、与一个或多个mdm服务提供商相关联的策略执行配置文件、和/或独立于与第一mdm服务提供商的关联的任何其它数据。在这样的实例中,所保持的信息通过物理终端用户设备来删除,并且因此继续由物理终端用户设备来存储。在一些实施方案中,没有删除第一mdm服务提供商的策略执行配置文件。
在一些示例性实施方案中,基于由mdm云代理向伪设备和/或第一mdm服务提供商提供的设备状态信息,设备状态信息中的变化可以由mdm云代理、伪设备、和/或第一mdm服务提供商来检测。mdm云代理、伪设备、和/或第一mdm服务提供商中的一个或多个可以决定选择性地擦除物理终端用户设备。例如,第一mdm服务提供商可以向伪设备发送选择性擦除命令。伪设备然后可以向物理终端用户设备发送选择性擦除命令。在一些实例中,伪设备可以生成且向物理终端用户设备发送选择性擦除命令。响应于接收选择性擦除命令或在基于本地决定上,mdm云代理和/或物理终端用户设备可以擦除与第一mdm服务提供商相关联的资源,同时留下个人数据和/或与第一mdm服务提供商不相关的数据(例如,与另一个mdm服务提供商相关联的数据)。
在一些实施方案中,选择性擦除可以仅擦除或删除由物理终端用户设备使用的企业资源的子集。在一些实施方案中,选择性擦除可以仅删除与在某些时间段之内被访问的第一mdm服务提供商相关联的数据。
在一些实施方案中,第二物理终端用户设备可以从表示第二物理终端用户设备的第二伪设备接收选择性擦除命令。第二物理终端用户设备可以删除资源数据的子集,其包括例如与mdm服务提供商相关联的应用的子集、与应用的子集相关联的数据、和/或与mdm服务提供商相关联的其它数据。第二物理终端用户设备可以保持个人信息,其包括例如个人应用、与个人应用相关联的数据、和/或其它个人数据。第二物理终端用户设备还可以保持mdm服务提供商的策略执行配置文件。
图15描绘了根据本文所讨论的一个或多个说明性方面示出将信息部署到物理终端用户设备且从物理终端用户设备中撤回信息的方法的流程图。在一个或多个实施方案中,图15的方法和/或其一个或多个步骤可通过计算设备(例如,通用计算设备201)来执行。在其它实施方案中,图15中示出的方法和/或其一个或多个步骤可以体现在计算机可执行指令中,该计算机可执行指令存储在诸如非暂时性计算机可读存储器的计算机可读介质中。
如在图15中所见,方法可从步骤1505处开始,其中物理终端用户设备可以发起对于来自一个或多个mdm服务提供商的资源数据的一个或多个请求。例如,在步骤1505中,基于用户输入或当物理终端用户设备位于第一mdm服务提供商的第一地理围栏内时,物理终端用户设备可以发起第一请求。具体地,用户可以在任意时间发起对于一个或多个mdm服务提供商的资源数据的请求。另外或可选地,当物理终端用户设备确定物理终端用户设备位于由第一mdm服务提供商预设置的一个或多个地理围栏内时,物理终端用户设备可以自动地(例如,没有用户的参与)发起对于例如第一mdm服务提供商的资源数据的请求。例如,物理终端用户设备可以包括由运行在物理终端用户设备上的mdm云代理监控的全球定位系统(gps)。当mdm云代理确定物理终端用户设备位于与第一mdm服务提供商的一个或多个建筑物或校园的地理位置相关联的地理围栏之内时,mdm云代理可以生成请求。在一些实施方案中,地理围栏可以与物理终端用户设备的用户的住宅的地理位置相关联。另外或可选地,地理围栏可以与由第一mdm服务提供商限定的任何其它区域相关联。
在步骤1510处,伪设备可以从物理终端用户设备接收一个或多个请求。例如,在步骤1510中,伪设备可以从物理终端用户设备接收第一请求。该请求可以包括基于用户输入来发起请求的指示或物理终端用户设备位于第一mdm服务提供商的第一地理围栏内的请求的指示。
在步骤1515中,伪设备可以部署(例如,发送)第一mdm服务提供商的数据。例如,在步骤1515中,伪设备可以部署第一mdm服务提供商的策略执行配置文件、第一mdm服务提供商的应用数据、如本文结合图12所讨论的存储在与伪设备相关联的缓存或其它存储器中的第一mdm服务提供商的资源数据、和/或与第一mdm服务提供商的相关联的任何其它数据。因此,物理终端用户设备可以利用与第一mdm服务提供商相关联的资源数据和/或与该资源数据进行交互。在一些实施方案中,第一mdm服务提供商可以从伪设备接收请求并且可以向伪设备发送资源数据以用于对物理终端用户设备的部署。
在步骤1520中,物理终端用户设备可以向伪设备发起第二请求。例如,在步骤1520中,基于用户输入或基于当物理终端用户设备不再位于第一mdm服务提供商的第一地理围栏之内时,物理终端用户设备可以发起第二请求。具体地,用户可以在任意时间发起用户不再需要一个或多个mdm服务提供商的资源数据的请求。另外或可选地,物理终端用户设备可以自动地(例如,没有用户的参与)发起请求,当物理终端用户设备确定物理终端用户设备不再位于由第一mdm服务提供商预设置的一个或多个地理围栏之内时,物理终端用户设备可以不再利用第一mdm服务提供商的资源数据。
在步骤1525中,伪设备可以从物理终端用户设备接收第二请求。第二请求可以包括用户不再需要对第一mdm服务提供商的资源数据的访问的指示。第二请求可以包括物理终端用户设备不再位于第一mdm服务提供商的第一地理围栏之内的指示和/或物理终端用户设备可以不再使用或具有对第一mdm服务提供商的资源数据的访问的指示。
在步骤1530中,响应于接收第二请求,伪设备可以撤回一个或多个mdm服务提供商的一个或多个策略执行配置文件和/或一个或多个mdm服务提供商的资源数据。例如,在步骤1530中,伪设备可以从物理终端用户设备撤回例如第一mdm服务提供商的应用、这些应用的应用数据、第一mdm服务提供商的文档、由物理终端用户设备基于第一mdm服务提供商的资源数据生成的数据、和/或与第一mdm服务提供商相关联的任何其它数据。因此,这种上述的资源从物理终端用户设备中被移除且被发送到伪设备。在一些实施方案中,第一mdm服务提供商的策略执行配置文件和/或选择资源数据可以被保持(例如,未被删除)在物理终端用户设备处。
在步骤1535中,物理终端用户设备可以发起对于一个或多个mdm服务提供商的资源数据的第三请求。例如,在步骤1535中,基于用户输入或当物理终端用户设备位于第二mdm服务提供商的第二地理围栏之内时,物理终端用户设备可以发起对于第二mdm服务提供商的资源数据的第三请求。具体地,用户可以在任意时间发起对于一个或多个mdm服务提供商的资源数据的请求。当物理终端用户设备确定物理终端用户设备位于由第二mdm服务提供商预设置的一个或多个地理围栏之内时,物理终端用户设备还可以自动地(例如,没有用户的参与)发起对于例如第二mdm服务提供商的资源数据的请求。例如,地理围栏可以与第二mdm服务提供商的一个或多个建筑物或校园的地理位置相关联。地理围栏可以与物理终端用户设备的用户的住宅的地理位置相关联。地理围栏可以与由第二mdm服务提供商限定的任何其它区域相关联。
在步骤1540中,伪设备可以从物理终端用户设备接收一个或多个请求。例如,在步骤1540中,伪设备可以从物理终端用户设备接收第三请求。该请求可以包括基于用户输入发起请求的指示或物理终端用户设备位于第二mdm服务提供商的第二地理围栏之内的请求的指示。
在步骤1545中,伪设备可以部署(例如,发送)第二mdm服务提供商的数据。例如,在步骤1545中,伪设备可以部署第二mdm服务提供商的策略执行配置文件、第二mdm服务提供商的应用数据、如本文结合图12所讨论的存储在与伪设备相关联的缓存或其它存储器中的第二mdm服务提供商的资源数据、和/或与第二mdm服务提供商相关联的任何其它数据。因此,物理终端用户设备可以利用与第二mdm服务提供商相关联的资源数据和/或与该资源数据进行交互。
在一些实施方案中,基于用户输入或当第二物理终端用户设备位于第一mdm服务提供商的地理围栏之内时,第二物理终端用户设备可以发起第一请求。表示第二物理终端用户设备的第二伪设备可以从第二物理终端用户设备接收第一请求。作为响应,第二伪设备可以部署第一mdm服务提供商的策略执行配置文件和第一mdm服务提供商的资源数据中的一个或多个,该资源数据包括例如第一mdm服务提供商的应用、这些应用的应用数据、和/或与第一mdm服务提供商相关联的其它数据。基于用户输入或当第二物理终端用户设备不再位于第一mdm服务提供商的地理围栏时,第二物理终端用户设备可以发起第二请求。第二伪设备可以从第二物理终端用户设备接收请求。作为响应,第二伪设备可以从第二物理终端用户设备中撤回第一mdm服务提供商的资源数据和策略执行配置文件中的一个或多个(例如,从第二物理终端用户设备中移除资源且将它们发送到第二伪设备)。基于用户输入或当物理终端用户设备位于第二mdm服务提供商的地理围栏之内时,第二物理终端用户设备可以发起第三请求。第二伪设备可以从第二物理终端用户设备接收第二请求。第二伪设备然后可以将第二mdm服务提供商的策略执行配置文件和/或第二mdm服务提供商的资源数据中的一个或多个部署到第二物理终端用户设备,该资源数据包括例如第二mdm服务提供商的应用、这些应用的应用数据、和/或与第二mdm服务提供商相关联的任何其它数据。
图16描绘了根据本文所讨论的一个或多个说明性方面示出解决不同mdm服务提供商的策略之间的冲突的方法的流程图。在一个或多个实施方案中,图16的方法和/或其一个或多个步骤可通过计算设备(例如,通用计算设备201)来执行。在其它实施方案中,图16中示出的方法和/或其一个或多个步骤可以体现在计算机可执行指令中,该计算机可执行指令存储在诸如非暂时性计算机可读存储器的计算机可读介质中。
如在图16中所见,方法可从步骤1605处开始,其中表示物理终端用户设备的伪设备可以识别一个或多个mdm服务提供商的策略中的冲突。例如,在步骤1605中,伪设备可以识别第一mdm服务提供商的一个或多个策略和第二mdm服务提供商的一个或多个策略之间的冲突。在一些实施方案中,伪设备可以识别第一mdm服务提供商的第一策略和第一mdm服务提供商的第二策略之间的冲突。同样地,伪设备可以识别第二mdm服务提供商的第一策略和第二mdm服务提供商的第二策略之间的冲突。
当与第一mdm服务提供商的策略执行配置文件的执行相关联的一个或多个操作和与第二mdm服务提供商的策略执行配置文件的执行相关联的一个或多个操作有冲突时,当从第一mdm服务提供商接收的一个或多个命令和从第二mdm服务提供商接收的一个或多个命令有冲突时,或其任何组合,基于例如由策略执行配置文件执行的不一致操作、从第一mdm服务提供商接收的不一致命令、从第二mdm服务提供商接收的不一致命令,伪设备可以识别策略之间的冲突。
在步骤1610中,伪设备可以解决一个或多个mdm服务提供商的一个或多个策略之间的所识别的冲突。例如,在步骤1610中,伪设备可以通过执行步骤1615、1620、和/或1625中的一个或多个来解决冲突。当冲突被识别时,伪设备可以解决该冲突。在一些实例中,当物理终端用户设备试图获得可发起冲突的企业资源时,伪设备可以解决该冲突。
在步骤1615中,伪设备可以通过应用从基于知识的系统确定的解决方案来解决该冲突。例如,在步骤1615中,伪设备可以应用从云计算环境的基于知识的系统确定的解决方案。基于知识的系统可以包括规则、策略、和/或其它命令的数据库,其可以当这些规则、策略、和/或命令的条件被满足时被应用。数据库可以接收对存储在数据库中的现有规则、策略、和/或命令的更新。数据库可以接收新的规则、策略、和/或命令以解决冲突。
伪设备可以应用(例如,利用)存储在数据库中的规则、策略、和/或命令。例如,一旦伪设备已经识别出冲突,伪设备可以查询或查找与所识别的冲突相关联的规则、策略、和/或命令。作为响应,伪设备可以接收与所识别的冲突相关联的规则、策略、和/或命令。伪设备然后可以通过例如向物理终端用户设备发送一个或多个命令来实现或执行这样的规则、策略、和/或命令。该命令可以被配置为执行例如从数据库接收的规则。另外或可选地,伪设备可以查询mdm服务提供商中的一个或多个。伪设备可以从一个或多个mdm服务提供商接收响应,其包括向物理终端用户设备发送的一个或多个命令。伪设备然后可以向物理终端用户设备发送该命令。响应于接收命令,物理终端用户设备可以向伪设备发送与一个或多个命令相关联的操作被完成的指示。
在步骤1620中,伪设备可以通过将警告发送给物理终端用户设备来解决冲突。例如,在步骤1620中,伪设备可以发送警告到物理终端用户设备。该警告可以包括一个或多个用户可选择的命令以解决冲突。例如,物理终端用户设备可以向用户显示警告。物理终端用户设备可以接收由显示给用户的一个或多个命令的用户在警告中的选择。物理终端用户设备然后可以应用一个或多个选择的命令来解决冲突。在一些实施方案中,基于一个或多个所选择的命令,物理终端用户设备可以发送命令或消息到伪设备和/或mdm服务提供商中的一个或多个。作为响应,物理终端用户设备可以从伪设备和/或一个或多个mdm服务提供商接收一个或多个命令,其中这样的命令可以被配置一旦与命令相关联的操作由物理终端用户设备应用则解决冲突。
在步骤1625中,伪设备可以通过向物理终端用户设备发送微型擦除命令来解决冲突。例如,在步骤1625中,伪设备可以向物理终端用户设备发送微型擦除命令,其中微型擦除命令可以被配置为使导致冲突的数据的至少一个子集被删除。例如,基于所接收的微型擦除命令,物理终端用户设备可以删除应用、与应用相关联的数据、一个或多个mdm服务提供商的资源数据、或引起冲突的任何其它数据。
在一些实施方案中,将被删除的数据可以被发送到伪设备以进行备份或存储在与伪设备相关联的存储器中。当数据可以被推送或被发送到物理终端用户设备而没有重新创建冲突时,伪设备可以向物理终端用户设备发送最初由物理终端用户设备删除的备份数据中的至少一些。
在一些实施方案中,一旦或当物理终端用户设备执行用于解决本文讨论的冲突的选项中的一个(例如,1615、1620、和/或1625的步骤的一个或多个)时,伪设备可以验证所识别的冲突被解决。例如,伪设备可以向物理终端用户设备发送请求且从物理终端用户设备接收有关所识别的冲突的物理终端用户设备的当前设备状态信息。伪设备然后可以基于当前设备状态信息来确定冲突是否被解决。如果冲突没有被解决,则伪设备可以再次执行解决冲突的任何方法,其包括,例如,1615、1620、和1625的步骤的一个或多个。
在一些实施方案中,表示第二物理终端用户设备的第二伪设备可以识别策略之间的冲突。例如,第二伪设备可以识别第一mdm服务提供商的策略和第二mdm服务提供商的策略之间的冲突。第二伪设备可以识别来自相同的mdm服务提供商的冲突策略。第二伪设备可以通过执行以下动作中的一个或多个来解决冲突:第二伪设备可以应用从基于知识的系统确定的解决方案,第二伪设备可以发送包括用户可选择的命令的警告以解决冲突,和/或第二伪设备可以向第二物理终端用户设备发送微型擦除命令以便第二物理终端用户设备可以删除造成该冲突的数据的子集。第二伪设备然后可以验证该冲突已经被解决。
在一些实施方案中,每次只有一个配置文件在物理终端用户设备处是活动的。另外或可选地,多个配置文件可以同时在物理终端用户设备处是活动的。在这样的实例中,图16的方法可以应用到在物理终端用户设备处同时活动的多个配置文件之间产生的冲突。例如,可以关于同时在物理终端用户设备处活动的两个或更多个配置文件来执行用于识别且解决冲突的1605-1625的任何步骤。
在一个或多个实施方案中,可以在云计算环境中建立多个伪设备。在第一组伪设备的伪设备中的每一个表示相同的第一物理终端用户设备。表示第一物理终端用户设备的伪设备中的每一个可以被设置用于与每个mdm服务提供商一起使用。例如,表示第一物理终端用户设备的第一伪设备可以被设置用于与第一mdm服务提供商一起使用。表示第一物理终端用户设备的第二伪设备可以被设置用于与第二mdm服务提供商(不同于第一mdm服务提供商)一起使用。第一伪设备可以被配置为代表第一物理终端用户设备从第一mdm服务提供商接收一个或多个命令。第二伪设备可以被配置为代表第一物理终端用户设备从第二mdm服务提供商接收一个或多个命令。
在一些实施方案中,第一伪设备可以从第一mdm服务提供商接收第一命令。第一伪设备可以向第一物理终端用户设备发送所接收的第一命令或者基于第一命令的不同的第二命令。第一伪设备然后可以从第一物理终端用户设备接收响应。第一伪设备可以发送响应或修改的响应到第一mdm服务提供商。
同样地,在一些实施方案中,第二伪设备可以从第二mdm服务提供商接收第三命令。第二伪设备可以向第一物理终端用户设备发送所接收的第三命令或者基于第三命令的不同的第四命令。第二伪设备然后可以从第一物理终端用户设备接收响应。第二伪设备可以发送响应或修改的响应到第二mdm服务提供商。
在一些实施方案中,第三伪设备和第四伪设备可以在云计算环境中被建立且表示第二物理终端用户设备。表示第二物理终端用户设备的伪设备中的每一个可以被设置用于与每个mdm服务提供商一起使用。例如,表示第二物理终端用户设备的第三伪设备可以被设置用于与第一mdm服务提供商一起使用。表示第二物理终端用户设备的第四伪设备可以被设置用于与第二mdm服务提供商一起使用。第三伪设备可以被配置为代表第二物理终端用户设备从第一mdm服务提供商接收一个或多个命令。第四伪设备可以被配置为代表第二物理终端用户设备从第二mdm服务提供商接收一个或多个命令。第三伪设备和第四伪设备可以如本文所讨论的接收命令、发送命令、接收响应、和/或发送响应。
在一些实施方案中,第一伪设备可以被设置用于与第一mdm服务提供商一起使用。具体地,表示第一物理终端用户设备的第一伪设备可以发送第一登记请求到第一mdm服务提供商。第一伪设备可以从第一mdm服务提供商接收第一mdm服务提供商的策略执行配置文件。第一伪设备然后可以将第一mdm服务提供商的策略执行配置文件存储在与第一伪设备相关联的存储器中。一旦被设置用于与第一mdm服务提供商一起使用,第一伪设备可以访问第一mdm服务提供商的企业资源。第一伪设备还可以从第一mdm服务提供商接收一个或多个命令以管理第一物理终端用户设备。
在一些实施方案中,第二伪设备可以被设置用于与第二mdm服务提供商一起使用。具体地,表示第一物理终端用户设备的第二伪设备可以发送第二登记请求到第二mdm服务提供商。第二伪设备可以从第二mdm服务提供商接收第二mdm服务提供商的策略执行配置文件。第二伪设备然后可以将第二mdm服务提供商的策略执行配置文件存储在与第二伪设备相关联的存储器中。一旦被设置用于与第二mdm服务提供商一起使用,第二伪设备可以访问第二mdm服务提供商的企业资源。第二伪设备可以从第二mdm服务提供商接收命令以管理第一物理终端用户设备。在一些实施方案中,表示第二物理终端用户设备的第三伪设备可以以相似的方式被设置。在一些实施方案中,表示第二物理终端用户设备的第四伪设备可以以相似的方式被设置。
在一些实施方案中,表示第一物理终端用户设备的第一伪设备可以从第一mdm服务提供商接收第一命令。作为响应,第一伪设备可以确定是否向第一物理终端用户设备发送命令(例如,第二命令)。响应于发送第二命令的确定,第一伪设备可以向第一物理终端用户设备发送第二命令。第一伪设备可以从第一物理终端用户设备接收响应。第一伪设备可以发送响应或修改的响应到第一mdm服务提供商。该响应可以包括与第一命令相关联的操作被完成的指示。
如上面所说明的,本公开的各种方面涉及提供移动设备管理功能。然而,在其它实施方案中,本文所讨论的概念可在任何其它类型的计算设备(如,台式计算机、服务器、控制台、机顶盒等)中实现。因此,虽然已经以针对结构特征和/或方法行为的语言描述了本主题,但是应该理解的是,在所附权利要求中定义的主题不必限于以上所述的具体特征或步骤。相反,上述的指定特征和行为被描述为权利要求的某些示例实施。
- 还没有人留言评论。精彩留言会获得点赞!