本申請(qǐng)要求于2014年3月31日提交的題目為“BYOD MANAGEMENT BROKER”的美國(guó)臨時(shí)專利申請(qǐng)?zhí)枮?1/973,083的優(yōu)先權(quán)，出于所有目的通過(guò)引用將所述美國(guó)臨時(shí)專利申請(qǐng)結(jié)合到本文中。

背景技術(shù)：

員工越來(lái)越多地可以使用個(gè)人設(shè)備（例如,移動(dòng)電話、平板、膝上型計(jì)算機(jī)等）用于工作目的，有時(shí)被稱為“帶你自己的設(shè)備”（BYOD）。當(dāng)設(shè)備被用在BYOD環(huán)境中時(shí)，公司可能需要在允許設(shè)備被用于工作之前管理員工的設(shè)備以保護(hù)內(nèi)容和應(yīng)用（app）。當(dāng)設(shè)備由公司管理時(shí)，雖然設(shè)備擁有者是員工，但員工可能失去設(shè)備和隱私的至少一些控制（例如，應(yīng)用和使用可以被報(bào)告給公司的管理服務(wù)器）。在某些情況下，當(dāng)員工的設(shè)備與家庭成員共享時(shí)和/或當(dāng)員工為多個(gè)公司工作時(shí)引入復(fù)雜度。例如，員工和/或設(shè)備可能不得不在多個(gè)公司的管理服務(wù)器中的每個(gè)之間來(lái)回地改變。在一些場(chǎng)景中，增加的復(fù)雜度可能使用戶較少地傾向于在BYOD環(huán)境中使用他們的設(shè)備。

附圖說(shuō)明

在以下詳細(xì)描述和附圖中公開(kāi)了本發(fā)明的各種實(shí)施例。

圖1是圖示了其中移動(dòng)設(shè)備上的管理委托（proxy）代理（agent）（代理器（broker））管理由多個(gè)服務(wù)器在設(shè)備的管理中的參與的移動(dòng)設(shè)備管理系統(tǒng)的實(shí)施例的框圖。

圖2是圖示了其中在移動(dòng)設(shè)備之外的MDM代理器管理由多個(gè)服務(wù)器在設(shè)備的管理中的參與的移動(dòng)設(shè)備管理系統(tǒng)的實(shí)施例的框圖。

圖3是圖示了將MDM代理器配置成管理由多個(gè)服務(wù)器在設(shè)備的管理中的參與的過(guò)程的實(shí)施例的流程圖。

圖4是圖示了在移動(dòng)設(shè)備管理（MDM）系統(tǒng)的實(shí)施例中的被用來(lái)存儲(chǔ)配置和策略信息的數(shù)據(jù)結(jié)構(gòu)的示例的框圖。

圖5是圖示了在權(quán)限（authority）的范圍內(nèi)實(shí)施（enforce）MDM順從動(dòng)作的過(guò)程的實(shí)施例的流程圖。

圖6是圖示了允許在其權(quán)限范圍內(nèi)從移動(dòng)設(shè)備移除數(shù)據(jù)的管理權(quán)限的過(guò)程的實(shí)施例的流程圖。

圖7是圖示了對(duì)請(qǐng)求進(jìn)行響應(yīng)以撤銷先前準(zhǔn)予的MDM權(quán)限的過(guò)程的實(shí)施例的流程圖。

具體實(shí)施方式

本發(fā)明可以以許多方式來(lái)實(shí)現(xiàn)，包括作為過(guò)程；裝置；系統(tǒng)；物質(zhì)的組成；被體現(xiàn)在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上的計(jì)算機(jī)程序產(chǎn)品；和/或處理器，諸如被配置成執(zhí)行被存儲(chǔ)在耦合到處理器的存儲(chǔ)器上的和/或由耦合到處理器的存儲(chǔ)器提供的指令的處理器。在本說(shuō)明書(shū)中，這些實(shí)現(xiàn)或本發(fā)明可以采取的任何其他形式可以被稱為技術(shù)。一般地，可以在本發(fā)明的范圍內(nèi)更改所公開(kāi)的過(guò)程的步驟的順序。除非被另外聲明，被描述為被配置成執(zhí)行任務(wù)的諸如處理器或存儲(chǔ)器之類的部件可以被實(shí)現(xiàn)為被臨時(shí)地配置成在給定時(shí)間執(zhí)行任務(wù)的通用部件或被制造成執(zhí)行任務(wù)的特定部件。如本文中使用的那樣，術(shù)語(yǔ)“處理器”指被配置成處理諸如計(jì)算機(jī)程序指令之類的數(shù)據(jù)的一個(gè)或多個(gè)設(shè)備、電路和/或處理核。

下面提供了對(duì)本發(fā)明的一個(gè)或多個(gè)實(shí)施例的詳細(xì)描述連同圖示本發(fā)明的原理的附圖。結(jié)合這樣的實(shí)施例描述了本發(fā)明，但本發(fā)明不限于任何實(shí)施例。本發(fā)明的范圍僅由權(quán)利要求限制并且本發(fā)明包含許多替代、修改和等同物。在以下描述中闡述了許多特定細(xì)節(jié)以便提供對(duì)本發(fā)明的透徹理解。出于示例的目的提供了這些細(xì)節(jié)并且可以在沒(méi)有這些特定細(xì)節(jié)中的一些或全部的情況下根據(jù)權(quán)利要求實(shí)踐本發(fā)明。出于清楚的目的，尚未詳細(xì)地描述在與本發(fā)明相關(guān)的技術(shù)領(lǐng)域中已知的技術(shù)材料，使得本發(fā)明沒(méi)有被不必要地模糊。

公開(kāi)了允許多個(gè)設(shè)備管理服務(wù)器參與管理諸如電話或平板之類的移動(dòng)設(shè)備的技術(shù)。在一些實(shí)施例中，本文中所公開(kāi)的技術(shù)可以被用來(lái)在設(shè)備級(jí)別處建立管理委托代理，除了（on top of）設(shè)備移動(dòng)設(shè)備管理（MDM）代理之外。設(shè)備上的管理委托代理可以被配置成允許并管理諸如第三方MDM服務(wù)器和/或使能MDM的應(yīng)用服務(wù)器之類的多個(gè)MDM管理實(shí)體在設(shè)備上的應(yīng)用和內(nèi)容的管理中的參與。在一些實(shí)施例中，受信任的基于云的管理委托服務(wù)器或“代理器”可以被用來(lái)代表諸如第三方MDM服務(wù)器和/或使能MDM的應(yīng)用服務(wù)器之類的一個(gè)或多個(gè)管理服務(wù)器來(lái)管理設(shè)備MDM代理。

圖1是圖示了其中移動(dòng)設(shè)備上的管理委托代理（代理器）管理由多個(gè)服務(wù)器在設(shè)備的管理中的參與的移動(dòng)設(shè)備管理系統(tǒng)的實(shí)施例的框圖。在示出的示例中，MDM代理器120，在本文中有時(shí)被稱為管理委托代理或管理代理器，包括在移動(dòng)設(shè)備140上運(yùn)行的軟件代碼，諸如移動(dòng)應(yīng)用。在該示例中，開(kāi)著的設(shè)備（on device）MDM代理器120經(jīng)由設(shè)備上的原生或其他MDM代理110提供MDM控制。在各種實(shí)施例中，設(shè)備MDM代理110被配置成信任MDM代理器120并接受來(lái)自MDM代理器120的指導(dǎo)。在各種實(shí)施例中，MDM代理器120包括被配置成顯示未在圖1中示出的交互式用戶界面的軟件代碼，用以使得設(shè)備140的用戶能夠?qū)DM代理器120配置成允許諸如該示例中的第三方MDM服務(wù)器100和102和/或應(yīng)用服務(wù)器150之類一個(gè)或多個(gè)遠(yuǎn)程MDM實(shí)體參與設(shè)備140的管理。

雖然在本文中描述的各種實(shí)施例中術(shù)語(yǔ)“移動(dòng)設(shè)備管理”或“MDM”可以被用來(lái)指管理委托，諸如在圖1中示出的示例中的MDM代理器120，但本文中公開(kāi)的技術(shù)可以被應(yīng)用在例如管理服務(wù)器的任何管理代理或節(jié)點(diǎn)的背景中。

根據(jù)各種實(shí)施例，設(shè)備管理服務(wù)器100（例如，MDM服務(wù)器）可以與例如企業(yè)、消費(fèi)者和/或其他實(shí)體相關(guān)聯(lián)。例如，多個(gè)公司中的每個(gè)可以具有不同類型的MDM服務(wù)器100。BYOD設(shè)備140（例如，移動(dòng)電話、平板、iPhone、iPad等）可以包括設(shè)備管理代理110（例如，MDM代理）。例如，取決于與設(shè)備140相關(guān)聯(lián)的操作系統(tǒng)（OS），代理110可以被嵌入到OS（例如，iOS、Windows phone），可以是具有設(shè)備管理許可的應(yīng)用（例如，Android），和/或可以以其他方式與設(shè)備140相關(guān)聯(lián)。在一些實(shí)施例中，設(shè)備140可以包括管理委托代理（代理器）120。例如，設(shè)備140可以與多個(gè)MDM服務(wù)器100相關(guān)聯(lián)，并且管理委托代理（代理器）120可以例如從每個(gè)MDM服務(wù)器100接收管理命令并且（例如在認(rèn)證和授權(quán)之后）將管理命令傳遞到設(shè)備管理代理110。可以（例如，在用于隱私和/或其他控制的所要求的過(guò)濾之后）經(jīng)由管理委托代理（代理器）120將信息從設(shè)備管理代理110傳遞到設(shè)備管理服務(wù)器100。管理委托協(xié)議130可以允許設(shè)備管理服務(wù)器100與管理委托代理（代理器）120通信。應(yīng)用服務(wù)器150可以向BYOD設(shè)備140發(fā)送設(shè)備管理命令和/或其他信息。

在各種實(shí)施例中，設(shè)備擁有者（例如，員工）可以將BYOD設(shè)備140上的管理委托代理（代理器）120配置成由多個(gè)設(shè)備管理服務(wù)器100、應(yīng)用服務(wù)器150和/或其他節(jié)點(diǎn)來(lái)管理。管理委托代理（代理器）120可以維護(hù)用于一列受信任的設(shè)備管理服務(wù)器100的配置、授權(quán)設(shè)備管理功能/信息，和/或執(zhí)行其他操作。在各種實(shí)施例中，在注冊(cè)（registration）期間，設(shè)備擁有者可以選擇用于設(shè)備管理服務(wù)器100、應(yīng)用服務(wù)器150和/或其他節(jié)點(diǎn)的允許的許可。許可可以包括例如允許鎖定、不允許擦除、允許密碼策略、允許密碼順從、不允許應(yīng)用詳細(xì)目錄（inventory）和/或其他許可。在各種實(shí)施例中，當(dāng)設(shè)備管理服務(wù)器100要求設(shè)備信息時(shí)，管理委托代理（代理器）120可以過(guò)濾信息并將其發(fā)送到設(shè)備管理服務(wù)器100。在一些情況下，取決于信息公開(kāi)策略，管理委托代理（代理器）120可以報(bào)告經(jīng)過(guò)濾的信息，因此設(shè)備管理服務(wù)器100可以例如決定針對(duì)丟失的信息做什么。在各種實(shí)施例中，應(yīng)用服務(wù)器150可以與管理委托代理（代理器）120交互來(lái)管理BYOD設(shè)備140。

圖2是圖示了其中在移動(dòng)設(shè)備之外的MDM代理器管理由多個(gè)服務(wù)器在設(shè)備的管理中的參與的移動(dòng)設(shè)備管理系統(tǒng)的實(shí)施例的框圖。在示出的示例中，在諸如移動(dòng)設(shè)備140之類的一個(gè)或多個(gè)所管理的移動(dòng)設(shè)備之外的管理節(jié)點(diǎn)處提供的MDM委托（代理器）200或其他管理服務(wù)器管理由多個(gè)服務(wù)器在MDM委托（代理器）200被配置成管理的設(shè)備的管理中的參與。

在各種實(shí)施例中，諸如圖2中的MDM服務(wù)器100和102之類的設(shè)備管理服務(wù)器可以與企業(yè)、消費(fèi)者和/或其他實(shí)體相關(guān)聯(lián)。例如，一個(gè)或多個(gè)公司中的每個(gè)可以具有不同類型的MDM服務(wù)器，例如，MDM服務(wù)器100可以是來(lái)自第一個(gè)第三方MDM提供者的第一類型的MDM服務(wù)器，并且MDM服務(wù)器102可以是來(lái)自不同的第三方MDM提供者的第二類型的MDM服務(wù)器。在示出的示例中，設(shè)備管理代理110（例如，MDM代理）被安裝在BYOD設(shè)備140上。在各種實(shí)施例中，管理代理110的類型可以例如取決于設(shè)備OS。代理110可以例如被嵌入到OS（例如，iOS、Windows phone）、具有設(shè)備管理許可的應(yīng)用（例如，Android），和/或另一類型的管理代理110。

在各種實(shí)施例中，諸如應(yīng)用服務(wù)器150之類的應(yīng)用服務(wù)器可以經(jīng)由MDM委托200向BYOD設(shè)備140發(fā)送設(shè)備管理命令。MDM委托200可以被配置成例如由設(shè)備140的用戶向應(yīng)用服務(wù)器150委派/準(zhǔn)予關(guān)于設(shè)備140的特定范圍的管理權(quán)限和/或特權(quán)。

在一些實(shí)施例中，MDM委托200可以從諸如MDM服務(wù)器100和/或MDM服務(wù)器102之類的設(shè)備管理服務(wù)器接收管理命令。例如，云MDM委托200可以（例如在認(rèn)證和授權(quán)之后）將命令傳遞到設(shè)備管理代理110。云MDM委托200也可以在將設(shè)備信息從設(shè)備管理代理110發(fā)送到設(shè)備管理服務(wù)器100之前執(zhí)行隱私過(guò)濾和/或信息加密。

在各種實(shí)施例中，云業(yè)務(wù)接合器（splicer）210可以包括委托服務(wù)器，其將設(shè)備蜂窩和/或Wi-Fi業(yè)務(wù)連接到因特網(wǎng)。

根據(jù)一些實(shí)施例，業(yè)務(wù)委托215、217可以例如與設(shè)備管理服務(wù)器100（例如，企業(yè)、消費(fèi)者和/或其他服務(wù)器）相關(guān)聯(lián)。例如，多個(gè)公司中的每個(gè)可以具有不同的委托服務(wù)器（例如，不同類型的委托服務(wù)器）。在圖2中示出的示例中，與MDM服務(wù)器100相關(guān)聯(lián)的業(yè)務(wù)委托服務(wù)器215可以將業(yè)務(wù)連接到企業(yè)A的內(nèi)聯(lián)網(wǎng)，而與MDM服務(wù)器102相關(guān)聯(lián)的業(yè)務(wù)委托217可以將業(yè)務(wù)連接到企業(yè)B的內(nèi)聯(lián)網(wǎng)。在一些情況下，MDM服務(wù)器可以包括和/或充當(dāng)用于企業(yè)或其他內(nèi)聯(lián)網(wǎng)的業(yè)務(wù)委托。

在各種實(shí)施例中，云MDM委托200可以管理（220）云業(yè)務(wù)接合器210。管理委托協(xié)議230、232可以允許設(shè)備管理服務(wù)器100、102與云MDM委托200通信。設(shè)備管理協(xié)議235可以促進(jìn)設(shè)備管理代理110和云MDM委托200之間的通信。

在各種實(shí)施例中，設(shè)備擁有者（例如，員工）可以將BYOD設(shè)備140上的設(shè)備管理代理110配置成由云MDM委托200管理。云MDM委托200可以例如維護(hù)用于一列受信任的設(shè)備管理服務(wù)器100、應(yīng)用服務(wù)器150和/或其他節(jié)點(diǎn)的配置。云MDM委托200可以授權(quán)設(shè)備管理功能/信息和/或執(zhí)行其他操作。在各種實(shí)施例中，在注冊(cè)期間，設(shè)備擁有者可以選擇針對(duì)設(shè)備管理服務(wù)器（諸如MDM服務(wù)器100、102）和/或應(yīng)用服務(wù)器（諸如應(yīng)用服務(wù)器150）和/或其他節(jié)點(diǎn)的允許的許可。在設(shè)備管理服務(wù)器100、102要求設(shè)備信息的情況下，云MDM委托200可以過(guò)濾信息并將其發(fā)送到設(shè)備管理服務(wù)器100、102。在各種實(shí)施例中，取決于信息公開(kāi)策略，云MDM委托200可以報(bào)告經(jīng)過(guò)濾的信息，因此設(shè)備管理服務(wù)器100可以決定針對(duì)丟失的信息做什么。

根據(jù)一些實(shí)施例中，設(shè)備擁有者可以將BYOD設(shè)備140配置成使用云業(yè)務(wù)接合器210用于網(wǎng)絡(luò)訪問(wèn)（例如，蜂窩、Wi-Fi和/或其他因特網(wǎng)訪問(wèn)）。在各種實(shí)施例中，云業(yè)務(wù)接合器210可以由云MDM委托200配置。例如，取決于通信的性質(zhì)/內(nèi)容、起源的應(yīng)用等，云MDM委托200可以利用策略將云業(yè)務(wù)接合器210配置成將業(yè)務(wù)接合到一個(gè)或多個(gè)企業(yè)或其他私有域的相應(yīng)的業(yè)務(wù)委托215、217；因特網(wǎng)；和/或其他目的地。在各種實(shí)施例中，云業(yè)務(wù)接合器可以被配置成計(jì)量與訪問(wèn)公司內(nèi)聯(lián)網(wǎng)相關(guān)聯(lián)的數(shù)據(jù)業(yè)務(wù)使用，并且公司可以針對(duì)企業(yè)數(shù)據(jù)使用補(bǔ)償（reimburse）員工，例如用以促進(jìn)員工與公司呆在一起。

根據(jù)各種實(shí)施例，企業(yè)設(shè)備管理服務(wù)器100、應(yīng)用服務(wù)器150和/或其他節(jié)點(diǎn)可以使用例如云MDM委托200提供的應(yīng)用編程界面（API）向BYOD設(shè)備140發(fā)送推送消息傳送。在各種實(shí)施例中，推送消息可以被用來(lái)喚醒BYOD設(shè)備140（例如，用以得到最新設(shè)備狀態(tài)）。例如，可以使用設(shè)備OS推送消息框架（例如，iOS推送通知、Android的谷歌云消息傳送、Windows的Windows推送消息傳送等）將推送消息遞送到設(shè)備。在另一示例中，可以使用消費(fèi)者推送消息傳送（例如，短消息傳送服務(wù)（SMS）文本消息、定制消息傳送遞送機(jī)制等）來(lái)遞送推送消息。

在各種實(shí)施例中，本文中描述的移動(dòng)設(shè)備管理的全部或部分，特別是保持一個(gè)企業(yè)的應(yīng)用相關(guān)的內(nèi)容和活動(dòng)與另一企業(yè)的應(yīng)用相關(guān)的內(nèi)容和活動(dòng)分離和/或就個(gè)人而言保持個(gè)人的應(yīng)用內(nèi)容和活動(dòng)被保留給用戶所要求的管理可以至少部分地通過(guò)使用移動(dòng)操作系統(tǒng)的應(yīng)用級(jí)別管理功能（諸如iOS7管理的應(yīng)用或Android操作系統(tǒng)的“Android for Work”特征）和/或通過(guò)用以單獨(dú)地管理應(yīng)用的在設(shè)備上提供的第三方管理基礎(chǔ)設(shè)施（諸如MobileIron的? AppConnect?技術(shù)）來(lái)提供。例如，MobileIron的? AppConnect?技術(shù)可以被用來(lái)將企業(yè)A的應(yīng)用與可由那些應(yīng)用訪問(wèn)的一個(gè)安全總線和與企業(yè)B的應(yīng)用相關(guān)聯(lián)的第二個(gè)分離的安全總線相關(guān)聯(lián)。在（企業(yè)A或B）應(yīng)用的每個(gè)相應(yīng)的集合內(nèi)的應(yīng)用將具有對(duì)經(jīng)由僅與應(yīng)用的該集合相關(guān)聯(lián)的AppConnect?總線共享的內(nèi)容和信息的安全訪問(wèn)。在一些實(shí)施例中，諸如在圖1中示出的示例中的MDM代理器120或在圖2中的MDM代理器200之類的MDM代理器可以具有關(guān)于移動(dòng)設(shè)備和其MDM架構(gòu)的特權(quán)的級(jí)別以管理和促進(jìn)安全應(yīng)用通信總線的供應(yīng)。

雖然上面結(jié)合圖1和圖2描述的示例涉及提供代表兩個(gè)或更多企業(yè)和/或應(yīng)用服務(wù)器的代理管理，但在一些實(shí)施例中本文中公開(kāi)的技術(shù)可以由設(shè)備擁有者/用戶用來(lái)配置移動(dòng)設(shè)備上的信息、內(nèi)容和/或應(yīng)用的個(gè)人域的類似的管理。例如，基于云的個(gè)人MDM或其他管理服務(wù)可以被提供，并且可以以諸如在圖1和2中示出的示例的中的MDM服務(wù)器100、102之類的MDM服務(wù)器參與移動(dòng)設(shè)備上的其相應(yīng)的內(nèi)容和應(yīng)用的管理的相同方式來(lái)參與設(shè)備上的個(gè)人內(nèi)容的管理。例如，在一些實(shí)施例中，用戶可以使用這樣的服務(wù)來(lái)管理設(shè)備上的個(gè)人內(nèi)容，提供對(duì)MDM和/或其他管理特征的訪問(wèn)，諸如從設(shè)備選擇性擦除（移除）個(gè)人數(shù)據(jù)的能力、提供如在設(shè)備上存儲(chǔ)的或在運(yùn)送中的內(nèi)容的加密的能力等。在一些實(shí)施例中，可以提供多個(gè)個(gè)人/用戶域，例如用以使得擁有者能夠獨(dú)立于諸如配偶、合作者、孩子等的另一用戶的內(nèi)容來(lái)管理他/她的內(nèi)容。

圖3是圖示了將MDM代理器配置成管理由多個(gè)服務(wù)器在設(shè)備的管理中的參與的過(guò)程的實(shí)施例的流程圖。在各種實(shí)施例中，可以通過(guò)和/或關(guān)于被安裝在移動(dòng)設(shè)備上的MDM委托代理/代理器（諸如圖1的MDM委托代理/代理器120）或外部MDM委托/代理器（諸如圖2的MDM代理器200）來(lái)執(zhí)行圖3的過(guò)程。在示出的示例中，接收用以配置MDM代理器的請(qǐng)求（302）。例如，設(shè)備擁有者和/或管理用戶可能已經(jīng)訪問(wèn)基于web的用戶界面或其他管理用戶界面。接收移動(dòng)設(shè)備和一個(gè)或多個(gè)管理權(quán)限（例如，MDM服務(wù)器100、MDM服務(wù)器102、應(yīng)用服務(wù)器150等）的標(biāo)識(shí)（304）。針對(duì)每個(gè)權(quán)限，接收關(guān)于設(shè)備的權(quán)限的相應(yīng)的范圍的指示（例如，一組管理權(quán)利和/或特權(quán)）（306）。例如，管理用戶界面可以使得設(shè)備擁有者能夠針對(duì)由用戶標(biāo)識(shí)的管理權(quán)限中的每個(gè)指示權(quán)限范圍。MDM代理器（例如，MDM代理器120或MDM代理器200）被配置成針對(duì)關(guān)于設(shè)備的被準(zhǔn)予權(quán)限的每個(gè)權(quán)限來(lái)促進(jìn)和實(shí)施由用戶定義的權(quán)限的相應(yīng)范圍（308）。例如，MDM代理器可以被配置成按要求執(zhí)行過(guò)濾以確保管理權(quán)限沒(méi)有接收擁有者尚未準(zhǔn)予該權(quán)限對(duì)其的訪問(wèn)的信息。

圖4是圖示了在移動(dòng)設(shè)備管理（MDM）系統(tǒng)的實(shí)施例中的被用來(lái)存儲(chǔ)配置和策略信息的數(shù)據(jù)結(jié)構(gòu)的示例的框圖。在一些實(shí)施例中，可以提供用戶界面來(lái)使得諸如設(shè)備擁有者之類的用戶能夠定義策略和設(shè)置，諸如在圖4中示出的示例中的那些。

在各種實(shí)施例中，通過(guò)配置例如MDM委托/代理器200的云MDM委托（或設(shè)備級(jí)別MDM委托代理，諸如MDM委托代理120）和諸如業(yè)務(wù)接合器210之類的云業(yè)務(wù)接合器，設(shè)備擁有者可以將管理委派給一個(gè)或多個(gè)企業(yè)MDM服務(wù)器和/或應(yīng)用服務(wù)器。例如，用戶可以委派由用戶選擇的特定管理特征，并且可以指定哪些數(shù)據(jù)可以由哪個(gè)企業(yè)MDM服務(wù)器和/或應(yīng)用服務(wù)器管理。

根據(jù)一些實(shí)施例，企業(yè)設(shè)備管理服務(wù)器和/或應(yīng)用服務(wù)器可以與云MDM委托（或設(shè)備級(jí)別MDM委托代理）交互來(lái)管理設(shè)備和/或得到設(shè)備信息。在各種實(shí)施例中，企業(yè)MDM服務(wù)器和/或應(yīng)用服務(wù)器可以行使對(duì)所管理的設(shè)備上的應(yīng)用和/或數(shù)據(jù)的控制和/或經(jīng)由MDM委托來(lái)獲得來(lái)自設(shè)備和/或關(guān)于設(shè)備的信息，到由設(shè)備的擁有者例如經(jīng)由基于web的用戶界面或其他用戶界面定義的程度。

在圖4中示出的示例中，例如，針對(duì)設(shè)備“1234”，擁有者已經(jīng)授權(quán)分別與“企業(yè)1”和“企業(yè)2”相關(guān)聯(lián)的MDM服務(wù)器關(guān)于與那些企業(yè)的Microsoft Exchange^?服務(wù)器的設(shè)備交互來(lái)定義策略和/或調(diào)整設(shè)備上的設(shè)置。例如，這樣的權(quán)限可以使得企業(yè)中的每個(gè)能夠經(jīng)由MDM委托200在設(shè)備1234上建立經(jīng)受企業(yè)的控制和擁有的企業(yè)特定的電子郵件簡(jiǎn)檔（profile）。每個(gè)企業(yè)然后可以例如通過(guò)經(jīng)由被發(fā)送到MDM委托200的命令/請(qǐng)求移除簡(jiǎn)檔和相關(guān)聯(lián)的內(nèi)容數(shù)據(jù)來(lái)控制其自己的企業(yè)內(nèi)容。在一些實(shí)施例中，MDM委托200將檢查數(shù)據(jù)結(jié)構(gòu)，諸如基于企業(yè)MDM服務(wù)器已經(jīng)準(zhǔn)予其采取關(guān)于與該企業(yè)MDM服務(wù)器相關(guān)聯(lián)的電子郵件簡(jiǎn)檔的順從動(dòng)作的權(quán)限的表400中的相應(yīng)條目確定的圖4的表400，并且將使將導(dǎo)致移除簡(jiǎn)檔和相關(guān)聯(lián)的內(nèi)容的命令中繼或以其他方式轉(zhuǎn)發(fā)到設(shè)備1234，在各種實(shí)施例中不影響與其他實(shí)體和/或擁有者就個(gè)人而言相關(guān)聯(lián)的簡(jiǎn)檔和/或內(nèi)容。

進(jìn)一步參考圖4中示出的示例，相同的兩個(gè)企業(yè)已經(jīng)被準(zhǔn)予關(guān)于被安裝在設(shè)備1234上的應(yīng)用的權(quán)限，但在該示例中用戶（例如，設(shè)備擁有者）已經(jīng)向企業(yè)準(zhǔn)予稍微不同的特權(quán)。具體地，在該示例中，用戶已經(jīng)向“企業(yè)1”準(zhǔn)予安裝應(yīng)用以及移除或獲得僅由該企業(yè)安裝的那些應(yīng)用的詳細(xì)目錄的權(quán)利。相比之下，在該示例中“企業(yè)2”已經(jīng)被準(zhǔn)予安裝、移除或獲得設(shè)備上的所有應(yīng)用的詳細(xì)目錄的權(quán)限。在該示例中，第二企業(yè)可以具有員工提供設(shè)備1234上的應(yīng)用的該較高級(jí)別的權(quán)限的策略或要求，而第一企業(yè)可以僅要求其被給予對(duì)由該企業(yè)安裝的應(yīng)用的控制。在其他示例中，可以存在不同的要求，并且設(shè)備的用戶/擁有者可以以各種級(jí)別的粒度和特異性分配和/或限制權(quán)限。

在一些實(shí)施例中，開(kāi)著的設(shè)備或基于云的MDM代理器，諸如圖1的MDM代理器120或圖2的MDM代理器200，可以促進(jìn)由MDM服務(wù)器和/或應(yīng)用服務(wù)器對(duì)已經(jīng)被準(zhǔn)予給它們的權(quán)限的行使，所述權(quán)限如在圖4中示出的示例中那樣，經(jīng)受由用戶/擁有者指定的限制和資格。

在圖4中示出的示例中，受限的管理權(quán)限已經(jīng)被準(zhǔn)予給“應(yīng)用服務(wù)器1”，例如在圖1中示出的示例中的應(yīng)用服務(wù)器150。在各種實(shí)施例中，受限的MDM功能可以被內(nèi)置于應(yīng)用服務(wù)器側(cè)上的應(yīng)用中，以使得對(duì)設(shè)備的應(yīng)用相關(guān)的控制能夠被行使。例如，MDM模塊或插件可以被提供，或者軟件開(kāi)發(fā)套件（SDK）或其他代碼被提供并包括在應(yīng)用服務(wù)器處運(yùn)行的應(yīng)用代碼中，和/或應(yīng)用開(kāi)發(fā)者可以寫(xiě)代碼來(lái)調(diào)用MDM代理器的應(yīng)用編程界面（API）以使得MDM功能能夠被結(jié)合和/或提供。

在圖4中示出的示例中，“應(yīng)用服務(wù)器1”已經(jīng)被準(zhǔn)予關(guān)于“設(shè)備下鎖”的權(quán)限，但經(jīng)受將應(yīng)用限制到能夠設(shè)置“相機(jī)捕捉鎖定”以防止屏幕捕捉的“過(guò)濾器”。例如，應(yīng)用（例如，Snapchat?）可以希望提供通信的隱私和/或通信的短暫性質(zhì)將不通過(guò)設(shè)備屏幕捕捉而被損害的保證，并且可以要求用戶準(zhǔn)予權(quán)限（諸如在圖4中示出的權(quán)限）作為使用應(yīng)用的條件。在各種實(shí)施例中，應(yīng)用服務(wù)器可以使用權(quán)限的這樣的準(zhǔn)予，例如用以在應(yīng)用服務(wù)器促進(jìn)的連接或會(huì)話的開(kāi)始時(shí)經(jīng)由MDM代理器向設(shè)備發(fā)送命令。

在各種實(shí)施例中，云業(yè)務(wù)接合器可以將設(shè)備數(shù)據(jù)業(yè)務(wù)接合到因特網(wǎng)、企業(yè)后端和/或中繼委托服務(wù)器，這取決于接合器已經(jīng)被如何配置。在一些實(shí)施例中，接合器可以被配置成保護(hù)業(yè)務(wù)（例如，過(guò)濾、加密等）。在圖4中示出的示例中，第一企業(yè)（“企業(yè)1”）已經(jīng)被準(zhǔn)予將設(shè)備1234與其相關(guān)聯(lián)的業(yè)務(wù)接合器配置成接合與企業(yè)1相關(guān)聯(lián)的業(yè)務(wù)的權(quán)限，在該示例中權(quán)限范圍被定義為與“ent1.com”域相關(guān)聯(lián)的業(yè)務(wù)。第二企業(yè)（“企業(yè)2”）已經(jīng)被準(zhǔn)予關(guān)于在被指示的范圍中的業(yè)務(wù)關(guān)聯(lián)的IP地址來(lái)配置業(yè)務(wù)接合器的權(quán)限，其可以對(duì)應(yīng)于企業(yè)的內(nèi)部網(wǎng)絡(luò)，例如，內(nèi)聯(lián)網(wǎng)。

在各種實(shí)施例中，在圖4中示出的權(quán)限的準(zhǔn)予可以使得相應(yīng)的MDM服務(wù)器能夠經(jīng)由與MDM代理器的交互將業(yè)務(wù)接合器配置成將與每個(gè)相應(yīng)的企業(yè)相關(guān)聯(lián)的業(yè)務(wù)接合到與該企業(yè)相關(guān)聯(lián)的委托或其他節(jié)點(diǎn)。例如，參考圖2，MDM服務(wù)器100、102可以經(jīng)由協(xié)議230、232與MDM代理器200交互以使得接合器210被配置成經(jīng)由通信220將每個(gè)企業(yè)的業(yè)務(wù)路由到由該企業(yè)指定的目的地，例如在MDM服務(wù)器100的情況下到委托215或在MDM服務(wù)器102的情況下到委托217。在一些實(shí)施例中，MDM/應(yīng)用服務(wù)器或另一節(jié)點(diǎn)可以充當(dāng)業(yè)務(wù)委托。

圖5是圖示了在權(quán)限范圍內(nèi)實(shí)施MDM順從動(dòng)作的過(guò)程的實(shí)施例的流程圖。在各種實(shí)施例中，圖5的過(guò)程可以由諸如圖1的MDM委托代理/代理器120或圖2的MDM委托/代理器200之類的MDM代理器來(lái)實(shí)現(xiàn)。在示出的示例中，從例如圖1和圖2的MDM服務(wù)器100或102或圖1和圖2的應(yīng)用服務(wù)器150的MDM權(quán)限接收用以關(guān)于所管理的移動(dòng)設(shè)備執(zhí)行管理動(dòng)作的命令（或請(qǐng)求）（502）。確定如與命令/請(qǐng)求相關(guān)的關(guān)于設(shè)備的權(quán)限范圍（504）。例如，可以在諸如圖4的表4之類的數(shù)據(jù)結(jié)構(gòu)中執(zhí)行查找來(lái)確定已經(jīng)向發(fā)送命令/請(qǐng)求的MDM權(quán)限準(zhǔn)予的權(quán)限的相關(guān)范圍。命令/請(qǐng)求被中繼到設(shè)備，如果和/或到由權(quán)限的可適用范圍指示的程度（506）。例如，參考圖4，可以通過(guò)從設(shè)備獲得應(yīng)用詳細(xì)目錄并且過(guò)濾掉未由該企業(yè)安裝的任何應(yīng)用來(lái)處理從與“企業(yè)1”相關(guān)聯(lián)的MDM服務(wù)器接收的應(yīng)用詳細(xì)目錄的請(qǐng)求。類似地，從“應(yīng)用服務(wù)器1”接收的“設(shè)備下鎖”命令可以在被發(fā)送到設(shè)備之前（或在開(kāi)著的設(shè)備MDM代理器的情況下，在將命令發(fā)送到原生或其他MDM代理之前）可以被修改成“相機(jī)捕捉鎖定”命令。

在一些實(shí)施例中，企業(yè)應(yīng)用和數(shù)據(jù)可以保持存儲(chǔ)在設(shè)備上，而設(shè)備或至少企業(yè)應(yīng)用和其上的內(nèi)容由企業(yè)管理。例如當(dāng)用戶不再是受信任的企業(yè)用戶時(shí)，企業(yè)設(shè)備管理系統(tǒng)可以被通知，接收哪些企業(yè)應(yīng)用存在于設(shè)備上的確認(rèn)，以及可以在由企業(yè)和/或其MDM服務(wù)器保持的權(quán)限范圍內(nèi)（例如，從企業(yè)應(yīng)用）移除數(shù)據(jù)。

圖6是圖示了允許在其權(quán)限范圍內(nèi)從移動(dòng)設(shè)備移除數(shù)據(jù)的管理權(quán)限的過(guò)程的實(shí)施例的流程圖。在各種實(shí)施例中，可以由諸如圖1的MDM委托代理/代理器120或圖2的MDM委托/代理器200之類的MDM代理器來(lái)實(shí)現(xiàn)圖6的過(guò)程。在示出的示例中，接收用以“擦除”（即移除）設(shè)備上的特定內(nèi)容和/或用以擦除設(shè)備自身（例如，重置成工廠狀態(tài)或不具有用戶數(shù)據(jù)的其他狀態(tài)）的命令（602）。確定從其接收命令的MDM權(quán)限（例如，MDM服務(wù)器、應(yīng)用服務(wù)器）的權(quán)限范圍（604）。例如，在一些實(shí)施例中，可以通過(guò)在諸如圖4的表4之類的數(shù)據(jù)結(jié)構(gòu)中執(zhí)行查找來(lái)確定用以移除數(shù)據(jù)的權(quán)限范圍。如果命令是完全擦除命令并且發(fā)送者已經(jīng)被準(zhǔn)予發(fā)起這樣的擦除的權(quán)限（606），則完全（設(shè)備）擦除命令被轉(zhuǎn)發(fā)到設(shè)備（608），例如通過(guò)將其從MDM代理器（120、200）發(fā)送到設(shè)備MDM代理（110）。如果命令用于內(nèi)容的選擇性擦除并且發(fā)送者已經(jīng)被準(zhǔn)予發(fā)起數(shù)據(jù)的移除的至少某范圍的授權(quán)（610）（或者，在一些實(shí)施例中，如果發(fā)送者發(fā)送完全的/設(shè)備擦除命令但已經(jīng)僅被準(zhǔn)予選擇性擦除授權(quán)），則該命令被作為用以擦除命令的發(fā)起者已經(jīng)被準(zhǔn)予從設(shè)備移除其的權(quán)限的內(nèi)容的命令中繼（如果需要?jiǎng)t以修改的形式）（612）。例如，參考圖4，來(lái)自“企業(yè)1”的用以移除所有所管理的應(yīng)用的命令可以在MDM代理器處被轉(zhuǎn)化成用以移除由“企業(yè)1”安裝的和/或以其他方式經(jīng)受由“企業(yè)1”的管理的一列特定應(yīng)用的命令。如果確定請(qǐng)求的發(fā)起者尚未被授權(quán)來(lái)從設(shè)備移除甚至部分?jǐn)?shù)據(jù)（610），則請(qǐng)求被拒絕，因?yàn)槌隽税l(fā)起者關(guān)于設(shè)備的權(quán)限（614）。

圖7是圖示了對(duì)請(qǐng)求進(jìn)行響應(yīng)以撤銷先前準(zhǔn)予的MDM權(quán)限的過(guò)程的實(shí)施例的流程圖。在各種實(shí)施例中，可以例如響應(yīng)于由設(shè)備用戶/擁有者撤銷先前準(zhǔn)予的管理權(quán)限的準(zhǔn)予的嘗試，由諸如圖1的MDM委托代理/代理器120或圖2的MDM委托/代理器200之類的MDM代理器執(zhí)行圖7的過(guò)程。在示出的示例中，接收用以撤銷權(quán)限的準(zhǔn)予的指示（702）。例如，設(shè)備用戶/擁有者可以使用基于web的用戶界面或其他管理用戶界面來(lái)嘗試修改先前準(zhǔn)予的權(quán)限，諸如在圖4中示出的那些。在示出的示例中，做出關(guān)于是否存在MDM代理器被配置成在由用戶撤銷管理權(quán)限之前和/或在由用戶撤銷管理權(quán)限的情況下自動(dòng)地執(zhí)行的任何動(dòng)作的確定（704）。例如，在一些實(shí)施例中，MDM代理器可以被配置成例如通過(guò)已經(jīng)向其準(zhǔn)予權(quán)限的MDM權(quán)限和/或通過(guò)設(shè)備的用戶/擁有者來(lái)自動(dòng)地且在沒(méi)有進(jìn)一步的人類交互的情況下移除與MDM權(quán)限相關(guān)聯(lián)的內(nèi)容（706）。如果被這樣配置（706），則可以例如在移除權(quán)限的先前定義的范圍內(nèi)移除與管理權(quán)限被撤銷的MDM權(quán)限（例如，MDM服務(wù)器、應(yīng)用服務(wù)器）相關(guān)聯(lián)的內(nèi)容的（708）。如果未配置和/或授權(quán)MDM代理器移除任何內(nèi)容（706），或者一旦這樣的移除已經(jīng)被完成（706、708），則業(yè)務(wù)接合器（如果被配置成將業(yè)務(wù)接合到企業(yè)）被更新成不再將業(yè)務(wù)接合到該企業(yè)，并且MDM代理器被更新成反映先前準(zhǔn)予的權(quán)限的撤銷（710），例如在諸如圖4的表400之類的數(shù)據(jù)結(jié)構(gòu)中的任何條目可以被標(biāo)記為“撤銷”或刪除。管理權(quán)限已經(jīng)被撤銷的通知被發(fā)送到其權(quán)限已經(jīng)被撤銷的MDM權(quán)限（例如，企業(yè)MDM服務(wù)器、應(yīng)用服務(wù)器）（712）。

在各種實(shí)施例中，本文中公開(kāi)的技術(shù)可以被用來(lái)使得企業(yè)、應(yīng)用開(kāi)發(fā)者/提供者和其他管理權(quán)限能夠在由設(shè)備的擁有者/用戶定義和準(zhǔn)予的權(quán)限范圍內(nèi)被準(zhǔn)予關(guān)于企業(yè)/被存儲(chǔ)在未擁有的或完全經(jīng)受企業(yè)/其他實(shí)體的控制的移動(dòng)設(shè)備上的和/或與所述移動(dòng)設(shè)備相關(guān)聯(lián)的其他內(nèi)容的管理權(quán)限。在各種實(shí)施例中，可以由內(nèi)容擁有者關(guān)于個(gè)人數(shù)據(jù)和使用在不損害設(shè)備的擁有者/用戶的隱私的情況下以及在不損害由其他（諸如其他企業(yè)）擁有的數(shù)據(jù)的安全的情況下行使一定程度的管理權(quán)限。

在各種實(shí)施例中，本文中公開(kāi)的技術(shù)可以被用來(lái)使得企業(yè)A能夠在不能看到超越其已經(jīng)被準(zhǔn)予看到的事物的任何事物的情況下管理其自己的內(nèi)容。類似地，企業(yè)B可以管理其自身的內(nèi)容但不能看到除了其已經(jīng)被準(zhǔn)予看到事物的之外的任何事物。在各種實(shí)施例中，移動(dòng)設(shè)備的終端用戶可以向諸如前述示例中的企業(yè)A和企業(yè)B之類的其他實(shí)體準(zhǔn)予管理權(quán)利，同時(shí)保存終端用戶看到設(shè)備上的所有事物和管理設(shè)備的其余部分（即，如本文中公開(kāi)的沒(méi)有經(jīng)受由用戶向其他做出的準(zhǔn)予的任何事物）的能力。在各種實(shí)施例中，本文中公開(kāi)的技術(shù)可以減輕隱私憂慮，所述隱私憂慮以其他方式可能已經(jīng)使這樣的終端用戶較少傾向于使用他/她的個(gè)人移動(dòng)設(shè)備用于企業(yè)的工作目的，其要求企業(yè)甚至在企業(yè)數(shù)據(jù)駐留在個(gè)人移動(dòng)設(shè)備上時(shí)維持對(duì)企業(yè)數(shù)據(jù)的控制。

盡管出于理解的清楚的目的已經(jīng)相當(dāng)詳細(xì)地描述了前述實(shí)施例，但本發(fā)明未限制于所提供的細(xì)節(jié)。存在實(shí)現(xiàn)本發(fā)明的許多替代方式。所公開(kāi)的實(shí)施例是說(shuō)明性的且不是限制性的。