限制设备上的企业应用和设置的制作方法

限制设备上的企业应用和设置的制作方法
【专利说明】限制设备上的企业应用和设置 WW] 背景
[0002] 背景和相关技术
[0003] 计算机和计算系统已经影响了现代生活的近乎每一个方面。计算机通常设及工 作、休闲、医疗保健、运输、娱乐、家政管理等。
[0004] 此外，计算系统功能还可W通过计算系统经由网络连接互连到其他计算系统的能 力来增强。网络连接可包括，但不仅限于，经由有线或无线W太网的连接，蜂窝式连接，或者 甚至通过串行、并行、USB或其它连接的计算机到计算机的连接。运些连接允许计算系统访 问其他计算系统处的服务，并快速且有效地从其他计算系统接收应用数据。 阳0化]当前网络允许许多新的W及不同类型的设备被联网。近年来IT中的主要趋势之 一是趋向"IT的消费者化"，运是描述消费者技术（从电话到PC)正在如何W所有形式和方 式渗透到各商业组织中的术语。并且不断涌现的设备越来越被雇员而不是雇员所服务的组 织所拥有并为其负责。运在智能设备类别中是最明显的，但是最近也在在工作场所中日益 涌现的平板或其他便携式形状因子中很明显。随着组织拥抱消费者化，IT必须考虑他们可 对用户的设备施加多大的影响，是个人拥有还是企业拥有，W及对该设备的多少管理是"足 够好的"。
[0006] 设备可能会被偷，设备可能主存结果是收集保存的口令或记录键击和其他数据的 特洛伊木马的移动应用。从而，可能期望控制什么数据W及应用能被存储在该设备上。然 而，因为设备可能被用于个人用途，而不仅仅用于企业用途，所W还可能对用户而言在一定 程度上期望有个人数据和应用不在企业控制之下。先前的解决方案要么太着重管理而对用 户的设备进行完全的控制，要么太轻视管理和安全从而允许用户使用其设备对企业资源的 近乎无拘束的访问。
[0007] 此处要求保护的主题不限于解决任何缺点或仅在诸如上述环境运样的环境中操 作的各实施例。相反，提供该背景仅用于例示其中可实现所述一些实施例的一个示例性技 术领域。 阳00引简要概述
[0009] 本文解说的一个实施例包括在设备上安装应用和设置配置的方法。该方法包括接 收用户输入。该用户输入指示用户想要赋予企业的对设备的控制等级。该方法进一步包括 基于由该用户所指示的该控制等级来确定允许在该设备上安装的应用集合。允许在该设备 上安装的应用集合收到该用户指示的控制等级的限制。该方法进一步包括授权在该设备上 安装该应用集合，同时限制在用户选择希望赋予企业对该设备的控制的一不同控制等级的 情况下被授权的其他应用的安装。
[0010] 提供本概述W便W简化形式介绍将在W下详细描述中进一步描述的一些概念。本 概述不旨在标识出所要求保护的主题的关键特征或必要特征，也不旨在用于帮助确定所要 求保护的主题的范围。
[0011] 附加特征和优点将在W下描述中提出，且部分会从描述中显而易见，或者可W通 过实践此处的原理来获悉。本发明的特征和优点可W通过在所附权利要求书中特别指出的 工具和组合来实现和获得。本发明的特征从W下描述和所附权利要求书中将更完全显而易 见，或者可W通过如下文所述实践本发明而获悉。
[0012] 附图简述
[0013] 为了描述可获得W上记载的及其他优点和特征的方式，将参照各具体实施例呈现 W上简述的主题的更具体描述，各具体实施例在附图中解说。理解运些附图仅描述典型的 实施例，因此不应被视为限制本发明的范围，各实施例将通过使用附图W附加的具体性和 细节来描述和解释，附图中：
[0014] 图1解说了包括企业网络和连接到企业网络的设备的环境；
[0015] 图2解说了用于向企业网络认证用户的用户接口；
[0016] 图3解说了用于用户选择用于安装在设备上的企业应用的用户接口；
[0017] 图4解说了用于在设备上安装企业应用的消息流；
[001引图5解说了在设备上安装应用的方法；W及
[0019] 图6解说了在设备上安装应用W及设置配置的方法。
[0020] 详细描述
[0021] 本文描述的实施例包括用于管理设备的功能性，在一些实施例中所述设备可W是 在企业环境中使用的个人拥有的设备。具体而言，设备可一般由用户而不是企业控制，但 是通过对设备的恰适控制仍旧能够在企业环境中使用。具体而言，企业可对该设备的某些 方面施加控制，同时允许用户控制该设备的其他方面而没有企业的干扰或介入。此管理方 法平衡了满足企业的安全性需要同时维持用户对设备的控制并最小化对设备性能的任何 影响。各实施例设及如何在企业上下文中递送用户需要的配置和软件，诸如任何设备上的 应用和数据访问，有足够的IT控制来断言该设备可信，同时避免损害用户在其设备上的隐 私。
[0022] 各实施例可呈现各方面。例如，各实施例可实现登记体验，其中用户可通过构建在 OS中的组件来连接至企业工作环境。替换地或附加地，各实施例可展示足W评估设备的安 全性但不足W控制该设备和侵犯用户隐私的有限细目量的集合。替换地或附加地，各实施 例可展示性能知晓的按需应用分发，其中通知服务被用来发起应用的安装。替换地或附加 地，各实施例可呈现从企业断开，运阻挡所有应用和/或重置从企业获得的设置。
[0023] 企业设备管理
[0024] 随着越来越多的人提供其自己的硬件用于工作，"自带设备"度Y0D)正变得越来越 常见且口专家想要具有他们能支持其跟随运种趋势的客户的信屯、。BYOD的出现没有改变 对IT专家管理、安全和仍旧对组织的网络资产负责的需要。书面策略在实施企业策略方面 通常是无效的。
[00巧]本文所解说的实施例可包括通过递送用户需要的设置和软件（比如任何设备上 的应用和数据访问），有足够的IT控制来断言该设备可信，同时避免对用户在其个人设备 上的隐私的任何损害来管理企业中个人拥有的设备的功能性。要理解，本文描述的概念还 适用于在企业设置中使用的其他类型的设备，诸如用户期望关于选择应用、数据、设置等的 隐私的企业拥有的设备。
[0026] 现在参考图1，解说了设备102。设备102可W是计算设备，诸如蜂窝电话、pda、平 板、膝上型计算机、或用户可选择连接至企业环境网络110的其他设备。一些实施例集成了 构建在该设备的操作系统106中的轻管理组件（代理104)，该组件可与企业网络110中的 管理基础结构108通信W向用户递送业务线化OB)应用（有时被通俗地且在本文中被称为 应用）。
[0027] 管理解决方案具有两个客户端安装的部分：系统管理组件，其在本文中可被称为 代理104;W及用户接口，其可被称为自服务口户（或即SSP112)，该设备用户可使用该用 户接口来浏览和安装对其可用的LOB应用。SSP112可W用多种不同方式实现，诸如设备 102上的应用、在设备102上的用户的浏览器中运行的网页/服务、或其他接口。值得注意， 为设备102的用户安装应用的请求不需要源自设备102本身。在一些实施例中，它可W从 另一机器进行。然而，在所解说的示例中，在客户端处安装的管理解决方案的两部分均可被 设计成操作系统106的在用户体验方面、功率管理/电池寿命、网络知晓（用于计量网络） 和整体功能性方面行为良好的居民。
[0028] 代理104从事客户端设备102上的大部分繁重工作。代理104将客户端设备102 配置成与该组织的管理基础结构108通信；周期性地或通过管理基础结构108的某种触发 来与管理基础结构108同步来检查任何更新的LOB应用并应用由IT对设备102配置的最 新设置策略；W及处置用户想要安装的任何LOB应用的实际下载和安装。最终，如果用户或 管理员选择从管理基础结构108移除设备102,则代理104清除代理104本身的配置并禁用 或安全地擦除用户从SSP112安装的任何LOB应用。
[0029] 下面现在解说关于将客户端102连接到管理基础结构108的附加细节。在一些实 施例中，将客户端设备102连接到管理基础结构108开始于IT管理员指定用户群组，诸如 例如被授权将设备108连接到网络企业110的活动目录（ActiveDirectory)-愈（AD)(可 从华盛顿州雷蒙德市的微软@公司获得）域用户的群组。管理员还具有指定每用户允许的 设备的最大数目或与每用户登记策略有关的其他约束的选项。例如，其他每用户登记策略 考虑可指定：用户仅可在特定网络上、用多因素认证、在给定时间段内等时登记。如图2中 所解说的，授权用户选择用户接口 200的公司应用链接202并提供其企业凭证204。代理 104随后执行服务查找来定位该组织的管