CN103299658A

CN103299658A - 移动应用的管理

Info

Publication number: CN103299658A
Application number: CN2011800653888A
Authority: CN
Inventors: J.W.林德曼; T.E.沃纳
Original assignee: MobileIron Inc
Current assignee: MobileIron Inc
Priority date: 2010-11-19
Filing date: 2011-11-18
Publication date: 2013-09-11
Also published as: US20140162614A1; US8731529B2; EP2641407B1; US8862105B2; EP2641407A4; WO2012068460A2; US8359016B2; WO2012068460A3; US20120129503A1; EP2641407A2; US9374654B2; US20130132941A1; US20150133094A1

Abstract

在特定的实现方式中，移动设备管理***允许网络管理员控制将应用分布和发布给企业网络中的移动设备用户。

Description

移动应用的管理

技术领域

本公开大体涉及移动设备和管理***，并且更特别地，涉及管理用于移动设备的应用。

背景技术

在类似于个人计算机和笔记本计算机的方式中，工商企业越来越依赖于移动和手持设备。的确，移动设备的能力和使用已经超越语音通信和个人信息管理应用达到包括电子邮件、浏览器、即时消息、企业应用和视频应用的各种通信和业务相关的功能。例如，许多移动设备的功能已经扩展到包括蜂窝和无线局域网（WLAN）通信接口，以及虚拟私人网络（VPN）和其他客户端应用。此外，在企业中使用的移动设备还可以包括由该领域雇员或以其他方式所使用的企业应用。

然而，移动和手持设备在企业环境中的部署、管理和配置存在某些挑战。例如大量并不断变化的各种移动设备的类型、功能和能力对配置、准备、故障排除提出了挑战。此外，能够被安装在移动设备上的应用的数量和种类以及移动设备自身的性质对网络管理员提出了关于网络安全、部署和整体管理的挑战。

附图说明

图1图示了根据本公开的实施例的示例性移动设备管理架构。

图2是图示示例***器***架构的示意图。

图3是图示示例性移动设备***架构的示意图。

图4提供了示例性移动设备软件架构。

图5示出了示例性用户门户界面。

图6示出了另一个示例性用户门户界面。

图7示出了图示用于识别可用于移动设备的应用的列表的示例性过程的流程图。

图8、9和10示出了示例性应用管理界面。

图11示出了图示用于应用对移动设备上的应用的安装进行响应的策略的示例性过程的流程图。

图12是用于ActiveSync和类似的客户端的示例性移动设备管理界面。

图13是用于阻止应用在被管理移动设备上启动的示例性管理界面。

具体实施方式

本公开的特定实施例提供了涉及在企业环境中管理和控制托管（host）在移动设备上的应用的部署的方法、装置和***。特别地。

在特定实施例中，移动设备管理***允许网络管理员控制将应用分布和发布给企业网络中的移动设备用户。在一些实现方式中，不管何种***（内部/外部）托管对用于下载的可执行文件的访问，设备管理***都允许网络管理员来配置授权和推荐应用的列表或类别。移动设备管理***还可以监视移动设备上应用的安装并且基于检测到的安装采取策略动作。在一些特定实施例中，移动设备管理***可操作以监视一个或多个移动设备的安全状态并且设置与此类安全状态相关的指示器。当做出关于给定的移动设备的访问控制决策时，诸如电子邮件应用之类的企业网络应用能够访问安全状态信息。

在特定实施例中，每个移动设备包括被配置成与设备管理***和网络链路交互的控制客户端应用（下文称为“控制客户端”）。更特别地，控制客户端应用被配置成经由网络链路从设备管理***接收数据、命令和其他消息以同步移动设备的状态和存储在设备管理数据库的对应的设备对象并且通过网络链路选择性地追踪并上传数据到设备管理***和数据库。在各种实施例中，控制客户端将人-机界面（MMI）数据、文件***命令、和表征移动设备的使用和/或在其上执行的动作的其他数据记入日志。提供日志数据的一些或全部给托管在设备管理服务器上的设备管理应用，其能同步存储在数据库的设备对象和移动设备的设备对象，反之亦然。

图1图示了根据示例性实施例的计算机网络环境100的框图。计算机网络环境100包括设备管理***102和可以经由一个或多个网络链路106各自与设备管理***102通信的多个移动设备104。在各种实施例中，设备管理***102可以实际上包括一个或多个设备管理服务器和设备管理数据库，其一个或多个可以或可以不物理上位于企业的物理边界内。

一个或多个网络链路106可以包含包括有线和无线网络二者的任何合适数量或布置的互连网络。例如，移动设备104通过其进行通信的无线通信网络链路可以利用尤其包括诸如AMPS、CDMA、TDMA、GSM（全球移动通信***）、iDEN、GPRS、EDGE（GSM演进的增强数据速率）、UMTS（通用移动电信***）、WCDMA及其变形的基于蜂窝的通信协议的基于蜂窝的通信设施。在各种实施例中，网络链路106可以进一步包括或可替代地包括诸如WLAN/WiFi、WiMAX、广域网（WAN）和蓝牙之类的各种通信信道和网络。

如图1所示，设备管理***102可以可操作地与企业网络110（其可以包括一个或多个网络链路106或可以是其部分）相连接（或包括在其中）。除了其他服务器和组件外，企业网络110尤其可以进一步包括电子邮件或交换服务器112、企业应用服务器114、内部应用商店服务器122、认证（AAA）服务器116、目录服务器118、虚拟私人网络（VPN）/SSL网关120、防火墙的一个或多个。电子邮件或交换服务器112可以包括交换ActiveSync（EAS）或提供启用ActiveSync的服务器和移动设备之间的联系人、日历、任务、和电子邮件的同步的其他功能。还能够使用其他同步协议。移动设备104可以访问或利用这些企业***或关联的功能的一个或多个。

用于管理***和移动设备的示例性***架构

管理***102可以实际上包括驻留在一个或多个计算机服务器或***（后文称为计算机***）处的一个或多个硬件、固件和软件组件。设备管理***102的软件组件可以在相同的计算机***的一个或多个处。图2图示了示例性计算机***200。设备管理***102可以包括在可以类似于示例性计算机***200的一个或多个计算机***处的软件组件。特定实施例可以作为硬件、软件、或硬件和软件的组合实现设备管理***102的各种功能。作为示例并且不以限制的方式，一个或多个计算机***可以运行特定的逻辑或软件以执行关于设备管理***102的所描述或图示的一个或多个过程的一个或多个步骤。在适当的情况下，计算机***的一个或多个可以是整体式的或分布式的，其跨越多个计算机***或多个数据中心。本公开预期任何合适的计算机***。本文中，在适当的情况下，提到的逻辑可以包含软件，反之亦然。在适当的情况下，提到的软件可以包含一个或多个计算机程序，反之亦然。在适当的情况下，提到的软件可以包含数据、指令、或二者，反之亦然。类似地，在适当的情况下，提到的数据可以包含指令，反之亦然。

一个或多个有形计算机可读介质可以存储或以其他的方式包含实现特定实施例的软件。在适当的情况下，有形计算机可读介质可以是能够携带、通信、含有、保存、维护、传播、保持、存储、发射、传送或以其他方式包含软件的任何有形的介质。在适当的情况下，有形计算机可读介质可以是生物的、化学的、电子的、电磁的、红外的、磁性的、光学的、量子的、或其他合适的介质或两种或更多此类介质的组合。有形计算机可读介质可以包括一个或多个纳米级组件或以其他方式包含纳米级设计或结构。示例性有形、非临时计算机可读介质包括但不限于专用集成电路（ASIC）、光盘（CD）、现场可编程门阵列（FPGA）、软盘、光软盘磁盘、硬盘、全息存储设备、磁带、高速缓存、可编程逻辑设备（PLD）、随机存取存储器（RAM）设备、只读存储器（ROM）设备、半导体存储器设备、和其他合适的计算机可读介质。

在适当的情况下，可以用任何合适的编程语言（其可以是面向过程的或面向对象的）或编程语言的组合来编写实现特定实施例的软件。在适当的情况下，任何合适的类型的一个或多个计算机***（例如单处理器或多处理器计算机***）可以运行实现特定实施例的软件。在适当的情况下，通用或专用计算机***可以执行实现特定实施例的软件。

图2中的组件只是示例并不限制实现特定实施例的任何硬件、软件、嵌入式逻辑组件、或者两种或更多此类组件的组合的使用或功能的范围。计算机***200可以具有任何合适的物理形式，包括但不限于一个或多个集成电路（IC）、印刷电路板（PCB）、移动手持设备（例如移动电话或PDA）、膝上型计算机或笔记本计算机、分布式计算机***、计算网格、或服务器。计算机***200可以包括显示器232、一个或多个输入设备233（其可以例如包括小键盘、键盘、鼠标、指示笔等）、一个或多个输出设备234、一个或多个存储设备235、和各种有形存储介质236。

总线240连接各种各样的子***。本文中，在适当的情况下，提到的总线可以包含提供公共功能的一个或多个数字信号线。总线240可以是包括使用任何各种总线架构的存储总线、***总线、或局部总线的任何多种类型的总线结构。作为示例但不以限制的方式，此类架构包括工业标准架构体系（ISA）总线、增强的ISA（EISA）总线、微通道架构（MCA）总线、视频电子设备标准协会本地总线（VLB）、***部件互连（PCI）总线、快速PCI（PCI - X）总线、和加速图形端口（AGP）总线。

一个或多个处理器201（或一个或多个中央处理单元（CPU））可选择地包括用于指令、数据或计算机地址的临时本地存储的高速缓存存储单元202。一个或多个处理器201耦合到包括存储器203的有形存储设备。存储器203可以包括随机存取存储器（RAM）204和只读存储器（ROM）205。ROM 205可以将数据和指令单向传送到一个或多个处理器201，并且RAM 704可以与一个或多个处理器201进行双向传送数据和指令。ROM 205和RAM 204可以包括如下所述的任何合适的有形计算机可读介质。固定存储器208可选地通过存储控制单元207双向连接到一个或多个处理器201。固定存储器208提供附加的数据存储能力并且还可以包括所述任何合适的有形计算机可读介质。存储器208可以被用于存储操作***209、EXEC 210、数据211、应用程序212等。通常，存储器208是慢于主存储器的次级存储介质（例如，硬盘）。在适当的情况下，存储器208中的信息可以被合并为存储器203中的虚拟存储器。

一个或多个处理器201连接到诸如图形控制221、视频接口222、输入接口223、输出接口224、存储接口225、和存储介质接口226之类的多个接口。这些接口如可以图示地继而连接到适当的设备。通常，输入/输出（I/O）设备可以是视频显示器、轨迹球、鼠标、键盘、麦克风、触摸感应显示器、传感器读卡器、磁带或纸带阅读器、平板电脑、指示笔、语音或手写识别器、生物识别阅读器、另一个计算机***、或其他合适的I/O设备或者两种或更多此类I/O设备的组合。一个或多个处理器201可以通过网络接口220连接到另一个计算机***或电信网络230（其可以包括网络链路106或企业网络110）。根据特定的需要，CPU 201可以用网络接口220在执行本文所描述或图示的一个或多个过程的一个或多个步骤的过程中与网络230通信。此外，本文所述或图示的一个或多个过程的一个或多个步骤可以只在CPU 201处执行。附加地或可替代地，本文所述或图示的一个或多个过程的一个或多个步骤可以在网络230上彼此远离的多个CPU 201处执行。

在特定实施例中，当计算机***200连接到网络230时，计算机***200可以与连接到网络230的其他设备通信，尤其是移动设备104和企业***。来自计算机***200的通信和到其的通信可以通过网络接口220发送。例如，网络接口220可以从网络230接收以一个或多个分组（例如网际协议（IP）分组）的形式的传入通信（例如来自其他设备的请求或响应）并且计算机***200可以在存储器203中存储所述传入通信以用于处理。计算机***200可以类似地在存储器203中存储以一个或多个分组的形式的传出通信（例如对其他设备的请求或响应）并将其从网络接口220传送到网络230。一个或多个处理器201可以访问存储在存储器203中的这些通信分组用于处理。

计算机***200可以提供功能作为一个或多个处理器201运行嵌入在诸如存储器203、存储器208、存储设备235、和/或存储介质236之类的一个或多个有形计算机可读介质中的软件的结果。计算机可读介质可以存储实现特定实施例的软件，并且一个或多个处理器201可以运行该软件。存储器203可以通过诸如网络接口220之类的合适的接口从一个或多个其他计算机可读介质（例如大容量存储设备235、236）中或从一个或多个其他源中读取该软件。该软件可以使一个或多个处理器201执行本文所述或图示的一个或多个过程或者一个或多个过程的一个或多个步骤。执行此类过程或步骤可以包括定义存储在存储器203中的数据结构并按软件所指示的那样修改所述数据结构。附加地或可替代地，计算机***200可以提供功能作为硬接线或以其他方式嵌入在电路中的逻辑的结果，其可以替代软件或与其一起操作以执行本文所述或图示的一个或多个过程或者一个或多个过程的一个或多个步骤。本文中，在适当的情况下，提到的软件可以包含逻辑，反之亦然。此外，在适当的情况下，提到的计算机可读介质可以包含存储用于运行的软件的电路（例如IC）、包含用于运行的逻辑的电路、或二者。本公开包含硬件、软件、或其二者的任何合适的组合。

在特定实施例中，移动设备104是诸如移动或蜂窝电话之类的无线电话。例如，移动设备104可以是智能电话（例如，由在CA的库比蒂诺的Apple公司制造的iPhone、由Research in Motion（RIM）制造的BlackBerry、基于Android操作***的G1、或基于Windows Mobile操作***的Samsung的Blackjack）、平板电脑（例如，由在CA的库比蒂诺的Apple公司制造的iPad）、特性电话、基本蜂窝电话、个人数字助理、或其他多媒体设备。此外，移动设备104可以隶属于诸如例如Sprint PCS、T-Mobile、Verizon、AT&T或其他合适的运营商之类的任何合适的运营商或网络服务提供商或由其支持。

图3示出了根据各种特定实施例的示例性移动设备104的主要组件的示意性表示，其适合于与GSM网络或如上所述的任何其他移动电话网络结合使用，并且其还可以被配置成满足无线应用协议规范（WAP）。移动设备104通常包含可以包括被配置成运行指令以执行与移动设备104相关联的操作的微控制器或一个或多个处理器的控制器304。在各种实施例中，控制器304可以被实现为单芯片、多芯片和/或包括一个或多个集成电路和印刷电路板的其他电组件。控制器304可以可选地包括用于指令、数据或计算机地址的临时本地存储的高速缓存存储单元。例如，控制器304可以使用从存储器检索到的指令来控制移动设备104的组件之间的输入和输出数据的接收和操纵。

带有合适的操作***的控制器304可以操作以运行计算机代码形式的指令并且产生和使用数据。以示例的方式但不以限制的方式，除了其他合适的操作***，操作***尤其可以是基于Windows、基于Mac、或基于Unix或Linux、或基于Symbian。操作***、其他计算机代码（包括下文所述的控制客户端308）和/或数据可以物理上被存储在可操作地耦合到控制器304的存储器块306内。

存储器块306包含一个或多个存储介质并通常提供位置来存储由移动设备104使用的计算机代码（例如，软件和/或固件）和数据。例如，存储器块306可以包含包括只读存储器（ROM）和/或随机存取存储器（RAM）的多个有形计算机可读存储介质。如本领域所熟知的，ROM起单向传递数据和指令到控制器304的作用，并且RAM通常用于以双向方式传递数据和指令。除双向耦合到控制器304的其他合适形式的存储器外，存储器块306还可以包括以例如固态硬盘驱动（HDD）的形式的一个或多个固定存储设备。信息也可以驻留在当需要时装入或安装在移动设备104中的可移动存储介质上。例如，任何许多合适的存储卡可以以临时或永久方式装入移动设备104中。例如，移动设备104还可以包括订户识别模块（SIM）卡328和SIM卡阅读器330。

控制器304通常也耦合到诸如图形控制、视频接口、输入接口、输出接口和存储接口之类的各种接口，并且这些接口继而耦合到适当的设备。控制器304也耦合到允许移动设备104、尤其是控制器304耦合到另一个计算机（例如，设备管理***102）或电信网络（例如，网络链路106或企业网络110）的网络接口305。更特别地，网络接口305通常允许控制器304在执行下文所述的各种方法步骤的过程中从网络链路106接收信息或可能输出信息到网络链路。通信可以经由网络接口305被发送到移动设备104或从其发送。例如，可以在网络接口305处从网络链路106接收诸如来自另一个设备（例如，设备管理***102）的请求或响应之类的以一个或多个分组的形式的传入通信并将其存储在存储器块306中选择的部分中用于处理。也可以在存储器306中选择的部分中存储诸如对另一个设备（例如设备管理***102）的请求或响应之类的同样以一个或多个分组的形式的传出通信并将其在网络接口305处发出到网络链路106。控制器304可以访问存储在存储器306中的这些通信分组以用于处理。

电信号（例如，模拟的）可以由麦克风310产生并被馈送给耳机312。控制器304可以从小键盘314（其可以包括软键盘）接收指令信号并控制显示器316的操作（在替代实施例中，小键盘314可以被实现为在显示器316上显示的虚拟小键盘）。例如，显示器316可以包括液晶显示器（LCD）、发光二极管（LED）、干涉测量调制显示器（IMOD）、或任何其他合适的显示技术。可以通过天线318来发射和接收无线电信号，天线318可以通过无线电接口320被连接到配置成在控制器304的控制下处理信号的编解码器322。因而，用于语音，编解码器322可以从麦克风310接收信号（例如，模拟的），将它们数字化为适合于传输的形式，并将它们馈送给无线电接口320用于通过天线318传输到例如公共陆地移动网络（PLMN）。类似地，接收信号可以被馈送到编解码器322以便产生可以被馈送给耳机312的信号（例如，模拟的）。移动设备104通常还包括振铃器（例如，扬声器）324并且还可以包括发光二极管（LED）326。在特定实施例中，移动设备104可以是具有无线局域网（WLAN）接口、全球微波接入互操作性（WiMAX）接口和/或其他无线或物理接口（例如蓝牙^®和USB）的双模电话。此外，移动设备104可以由可移动电池组332来供电。

移动设备104还可以包括可操作地耦合到控制器304的一个或多个用户输入设备334（除了小键盘314之外）。通常，输入设备334被配置成从外部世界传递数据、命令和响应进入移动设备108。例如，移动设备可以包括操纵杆或定向垫。输入设备334还可以包括一个或多个硬按钮。输入设备可以进一步包括全球定位***模块、加速度计、摄像机等。

显示设备316通常被配置成显示提供移动设备104的用户和在该移动设备上运行的操作***或者一个或多个应用之间易于使用可视界面的图形用户界面（GUI）。通常，GUI用图形图像来呈现程序、文件和操作选项。在操作期间，用户可以选择并激活在显示器316上示出的各种图形图像以便发起与其关联的功能和任务。

在特定实施例中，每个移动设备104包括被配置成经由网络链路106与设备管理***102交互的控制客户端308。控制客户端308通常可以被实现为存储在例如存储器306中的一个或多个软件程序或应用。控制客户端308被配置成经由网络链路106从设备管理***102接收数据、命令、和其他消息以同步移动设备104的状态与存储在设备管理数据库的对应移动设备简档对象并且以选择性地通过网络链路追踪和上传数据到设备管理***用于由设备管理***来记入日志，如下面将详细描述的。已记入日志的数据可以包括存储在移动设备中的特定文件（例如，文档、电子表格、pdf文档、图片等）和以例如活动数据（例如，关于呼叫、消息、和电子邮件的数据）、内容数据（例如，消息或电子邮件体内的文本）、和/或上下文数据（例如，时间戳和位置数据等）形式的特定应用使用数据，如将在下文更详细描述的。在各种实施例中，控制客户端将人-机界面（MMI）数据、文件***命令、和表征移动设备的使用和/或在其上执行的动作的其他数据记入日志。提供日志数据的一些或全部给托管在能够使存储在数据库处的设备对象与移动设备的设备对象同步的设备管理***102上的设备管理应用，反之亦然。

以这种方式，设备管理***102可以给管理员提供每个移动设备104的状态的详细的快照并且促进设备管理操作。特别地，各种实施例经由设备管理***102来实现选择性擦除、加标签、复制、移动、修改、查看、和/或在特定注册移动设备或指定的移动设备组或存储在其中的特定数据的其他选择性动作。

在特定实施例中，设备管理***102被配置成选择性地将来自企业的每个移动设备104的数据记入日志。更特别地，移动设备104可以被配置成选择性地追踪和/或将数据记入日志并且将该数据上传到设备管理***102，所述设备管理***102继而选择性地将该数据记入日志或存储该数据。在特定实施例中，每个移动设备104首先通过在该设备管理***102内为移动设备创建并存储设备对象来向设备管理***102注册。例如，希望使用个人所有的移动设备104的雇员可以向管理表明他或她希望与企业相关服务（例如，电子邮件或访问企业数据库）一起使用个人所有的移动设备104并且需要企业访问。可替代地，例如，在开始就业或收到移动设备升级的情况下，在企业责任计划下收到移动设备104的雇员可以收到企业所有的移动设备104。在特定实施例中，向设备管理***102注册移动设备104包括在设备管理***102内或与其相连的数据库中创建并存储设备对象。设备对象可以被实现为对应于特定移动设备104的数据结构的部分。例如，特定设备对象可以包括唯一地识别对应的移动设备的设备标识符。

图4示出了控制客户端功能可以怎样与移动设备104集成。在特定实施例中，控制客户端功能可以包括控制客户端应用308和被***以监视遍历移动设备104的接口的数据的一个或多个控制点。例如，人-机界面（MMI）控制点406可以被***到人-机界面408的驱动程序栈以将按键数据记入日志。应用/文件***控制点410可以被***以监视应用级别和文件***命令并将其记入日志。此外，栈控制点414可以被***到移动设备104的一个或多个网络协议栈，而端口控制点418可以被***在网络协议栈的不同层。在各种实施例中，控制点的一个或多个可以被实现为安装在移动设备的适当的驱动程序栈的驱动程序。在一些实现方式中，控制点可以模仿高层和/或低层驱动程序的操作并将数据传送到低层或高层本地驱动程序。在一些实施例中，规则集可以定义捕获什么数据。

控制客户端应用308可以存储由控制点在存储在移动设备的存储设备上的一个或多个日志文件中收集的数据。例如，控制客户端应用308可以在文件***日志344中存储文件***命令（例如，打开、保存、删除、复制、重命名等）。此外，控制客户端应用308可以在行为日志452中存储按键数据。更进一步，控制客户端应用308可以在控制日志440中存储与其自己的操作相关的数据。

控制客户端应用308能够提供该数据的一些或全部给可以更新数据库中与移动设备104关联的一个或多个数据对象的设备管理***102。中央设备管理***102能够以这种方式例如维护移动设备104的一个或多个数据存储设备的准确的映像，所述移动设备包括安装在该移动设备上的应用或存储在其上的文件。在各种实施例中，控制客户端应用308可以操作以实时地、在非活动期间（例如，当移动设备被***到充电器时）间歇地、除周期间隔之外或以周期间隔提供该数据。更进一步，可以在移动设备与用户的个人计算机之间的同步操作期间提供数据给设备管理***102。在特定实施例中，由用户的个人计算机托管的同步实用程序可以被配置成发送数据到设备管理***102。此外，控制客户端应用308可以基于规则或策略集工作在一个到多个模式。此外，控制客户端应用308还可以应用确定提供什么数据给设备管理***102、和/或何时发送此类数据的规则集。

在特定实施例中，控制客户端应用308和远程管理服务器102可以建立加密连接。例如，虚拟私人网络（VPN）隧道和加密可以被用于保护连接。在特定实现方式中，移动设备104可以包括基于端口的VPN功能以加密控制客户端应用308和远程管理服务器102之间的连接。更进一步，由于控制客户端应用308与***各种输入/输出设备的协议栈内的控制点结合操作，因此其能够例如通过锁定（防止数据流入或流出）输入/输出设备来控制对此类设备的访问。

在各种实施例中，移动设备104可以包括设备管理和/或数据同步功能。例如，移动设备104可以支持开放移动联盟（OMA）设备管理（DM）协议、和/或OMA数据同步（DS）协议。OMA DM是由为了DM目的的OMA、设备管理工作组和数据同步工作组所规定的协议。一个此类规范是OMA DM版本1.2，将其通过引用合并于此。OMA DM规范被设计用于管理诸如例如移动电话、移动智能电话、PDA、和掌上计算机之类的小型移动设备。设备管理可以支持1）准备（设备的配置（包括第一次使用）、启用和禁用特征）；2）配置（允许对设备的设置和参数的改变）；3）软件升级（提供安装到设备上的新软件和/或错误修正，包括应用和***软件）；以及4）故障管理（例如，报告来自设备的错误、查询设备的状态）。设备管理通常通过服务器（其管理该设备）和客户端（被管理设备）之间的通信而发生。OMA DM被设计为支持并利用任何数量的数据传输例如a）物理上通过有线（例如，USB、RS-232）和无线介质（例如，GSM、CDMA、红外、蓝牙）二者，以及b）通过任何WSP（WAP）、HTTP或OBEX或类似的传输实现的传输层。通信协议通常是请求-响应协议。认证和认证的质询可以被合并以保证服务器和客户端在合适的验证之后通信。可以由OMA DM服务器异步地使用诸如例如WAP Push或SMS之类的任何可用的各种方法来发起通信。一旦在服务器和客户端之间建立通信，就可以交换消息序列以完成给定的设备管理任务。OMA DM提供作为可能发生次序错乱的消息、并且可以由服务器或客户端发起的警报。此类警报可以被用于处理错误、异常终止等。

能够使用OMA DM或另一个合适的协议在移动设备上安装如上讨论的控制客户端功能。例如，不具有控制客户端功能的移动设备能够被准备并配置如下。在预备步骤中，管理员可以创建具有最小配置的移动设备的管理实例。在一些实现方式中，除了设备注册和准备设备管理***102，可以不允许移动设备104访问（或至少完全访问）企业的内部网络。合适的识别信息可以包括设备标识符、用户姓名等。移动设备的用户然后可以使用例如拨号连接，或与WAP浏览器的数据连接被导向连接到设备管理***102。起OMA DM服务器作用的设备管理***102然后可以询问移动设备以了解一个或多个属性（例如，型号、序列号、操作***类型和版本等）并且准备并配置移动设备。当已经配置了移动设备时，设备管理***102可以进一步使用该配置和与移动设备相关的其他信息来完成移动设备上控制代理的安装并将其从隔离区（quarantine）移除。

用户门户和应用商店

用户能够访问设备管理***102的web（网络）门户并且访问关于一个或多个移动设备的信息。在一个实现方式中，设备管理***102包括提供各种页面视图给与移动设备104关联的用户的基于web或HTML/HTTP的界面。每个用户可以与作为包括用户的各种属性的、在一个或多个数据存储库中维护的数据对象的用户简档对象相关联。在一个实现方式中，可以在轻量目录访问协议（LDAP）目录中维护用户简档数据。在一个实现方式中，用户简档对象可以包括诸如完整法律名称、用户名（用于登录访问各种***）、电子邮件地址信息、域组件（dc）、电话号码、办公地点、组织信息（如企业的部门或组标识符、报告结构信息、职位名称等）、认证信息、和移动设备简档信息（或设备简档数据对象的指针）之类的用户识别信息。给定的用户简档数据对象能够包括用于超过一个移动设备104的移动设备简档信息。此类移动设备信息可以包括型号标识符、操作***和版本、移动设备电话号码、序列号、MAC地址、和规格（例如，存储容量、显示器大小等）。此外，组或部门对象可以被配置成定义诸如工程或销售部门（企业范围的或地域性地）之类的企业内的组或部门共同的一个或多个属性。此外，相同的组能够作为子组被链接到其它更大的组名称。用户简档数据对象能够被链接到这些组的一个或多个（直接地或通过继承）。例如销售员可以被链接到是给定的企业的“销售区域”的子组的“西海岸销售团队组”。

如上所述，设备管理***102可以维护或访问用于已经注册的对应的移动设备104的移动设备简档数据对象。移动设备简档信息可以包括移动设备的品牌和型号、安装在移动设备上的操作***的标识符和版本、序列号、和媒体接入控制（MAC）地址（或与移动设备的一个或多个通信接口相关联的其他唯一的标识符）。移动设备简档信息还可以包括从安装在移动设备104上的控制客户端308接收到的日志数据的指针。移动设备简档信息可以进一步包括在移动设备104上维护的文件***的映像，例如移动设备104上存储的所有应用和应用文件。可以使该信息可供用户和网络管理员二者使用以用于各种目的。

图5图示了移动设备管理***102在用户登录后可以提供给用户的示例性图形用户界面500。如果用户通过移动设备访问该门户，则设备管理***102可以一次只提供一个屏幕组件。如果用户使用个人计算机访问该门户，则设备管理***可以在一个屏幕中给用户呈现更多类别的相关信息。设备管理***102可以在登录过程期间识别特定的用户，其中用户提供了姓名和密码。在其他实现方式中，可以结合数字证书、移动设备标识符、或任何其他合适的识别信息来识别用户。在一个实现方式中，设备管理***102可以访问用户简档数据来识别与用户简档数据对象关联的一个或多个移动设备简档数据对象以将用户的移动设备上的各种信息的视图呈现给用户。如果用户与超过一个移动设备相关联，则门户界面500可以包括标签（未示出）以允许用户来查看与用户的移动设备的每一个相关的信息。用户能够从该web门户下载或上传或共享数据。除了访问数据之外，用户还能够执行像锁定移动设备、定位该设备（如果启用了GPS的话）以及在设备丢失的情况下清除数据的一些功能。

如图5所示，门户界面500可以包括列出当前安装在用户的移动设备104上的应用的应用部分502。此外，应用部分502可以包括激活的、给用户提供各种界面控制以管理安装在用户的移动设备104上的应用的管理应用按钮。图6示出了允许用户管理用于移动设备104的应用的应用管理界面600。应用管理界面600包括企业应用商店标签602和我的电话上的应用标签604。当用户选择标签604时，应用管理界面600显示当前安装在用户的移动设备104上的应用的列表。此外应用管理应用还能够被托管在移动设备104自身上。

当用户选择标签602时，来自应用目录的可用应用的列表被呈现给用户。如下更详细描述的，网络管理员可以将应用目录中的应用分组成自定义类别（例如，IT、销售、生产力、公用事业等）。用户可以通过点击类别标签608来查看分组为各种类别的应用。为了将应用安装到移动设备上，用户可以点击用于期望应用的图标并且确认该选择。移动设备管理***102可以响应于输入来调度所选的应用安装到对应的移动设备104上。在一个实现方式中，状态信息（例如，“待安装”）可以显示给用户。移动设备管理***102可以将该应用和安装信息（例如，目标移动设备等）添加到应用安装队列。由移动设备管理***102托管的不同的过程可以使安装在移动设备上的控制客户端308下载并安装所选择的应用。移动设备管理***102可以使用诸如OMA之类的其他的功能和协议以将该应用安装到移动设备104上。

如本文所述，通过应用可以考虑各种因素的一个或多个策略来控制显示给任何给定用户的应用。这些因素可以包括用户的身份、用户的角色或职位名称、用户的组/部门（或子组）、移动设备类型和操作***等。图7提供了用于从特定用户可用的目录返回应用的列表的过程流。在示出的实现方式中，托管在设备管理***102上的过程或功能访问与待应用的一个或多个策略有关的用户和移动设备简档信息（702）。托管在设备管理***102上的过程应用一个或多个策略以过滤来自目录的可用应用的列表（704）并且返回用于在应用管理界面600上显示的可用应用的列表（706）。

被应用于过滤应用目录中的应用的策略能够随主要属性而变化。例如，第一策略集能够过滤应用目录以过滤应用，以使只提供适合于移动设备硬件和/或操作***（包括版本）的应用。例如，如果用户的移动设备包括Symbian(r)操作***，则在该过滤步骤后只保留运行于Symbian操作***上的目录中的应用。其他策略能够基于企业组织信息。例如，一些应用能够基于职位名称、部门、部或被分别配置的特别小组而局限于用户。例如，网络管理员可以限制或发布新开发的、内部应用给企业的西海岸销售团队。网络管理员可以配置的策略允许适当的应用浮现给合适的用户用于安装在它们各自的移动设备上。此外，如下所讨论的，设备管理***102还允许网络管理员将应用安装推送给移动设备104。此外，策略还可以被配置成通过类别来识别应用并配置关于用户或用户组的策略。例如，网络管理员能够允许一个用户或一组用户对有关工作职能（例如，销售或工程）的整个类别的应用的访问。能够基于预定义的数据变量集合和由设备管理***102维护的其他参数来为策略编写脚本。其他策略能够被配置成考虑用户的属性（例如，身份、工作职能、组/部/组织），并且考虑移动设备是个人所有还是企业所有的设备。此外，策略还能够被配置成电话的安全级别（加密对非加密、个人对公司所有等）。例如，策略可能被配置成过滤掉需要具有加密能力的电话和/或公司所有设备的应用，如果与用户关联的应用不满足这些标准的话。作为配置示例，网络管理员可以基于用户身份和设备配置来配置策略，其将敏感应用的发布只限制在给定企业内具有最高信任级别的设备和用户。

网络管理员 - 应用管理功能

图8图示了设备管理***102呈现给网络管理员的应用管理界面800。设备管理***102允许网络管理员执行以下任务的一个或多个：显示应用的统计信息；添加应用到目录；编辑应用目录条目；从目录中移除应用；发布应用；在应用目录中分配或取消分配类别；推送安装（push-install）应用；分发应用；卸载应用；撤销应用许可，以及将应用列入黑名单/白名单。

在特定实施例中，设备管理***102为特定移动设备104指定一个或多个组名称。例如，设备管理***可以将用户界面呈现给IT管理者或管理员使管理者能够为多个移动设备的每一个输入名称信息。设备管理***102然后通过存储或以其他方式将组名称与数据库内的设备对象相关联而结合移动设备指定一个或多个组名称。例如，IT管理者可以指定特定的移动设备104为个人所有或企业（公司）所有。作为另一个示例，IT管理者可以指定移动设备104为向特定企业部门（例如，销售、市场、研发、管理、人力资源、财务等）的雇员注册。作为另一个示例，IT管理者可以指定移动设备104为向特定级别（例如，管理、员工、实习生、新员工等）的雇员注册。然而作为另一个示例，可以基于移动设备104的类型（例如，智能电话对非智能电话）或制造商（例如，blackberry、apple）来指定移动设备104。在一些实施例中，可以基于已经在数据库或其他位置中存储的挖掘信息来指定组名称的一些或全部并且由设备管理***102自动存储。

设备管理***102基于与每个特定的移动设备关联的组名称来确定用于每个移动设备的一个或多个数据日志记录策略。例如，企业管理者或管理员可以规定特定的策略并且将这些策略输入到设备管理***102中。此后，当组名称匹配于特定的移动设备104时，然后设备管理***可以使用由管理者输入的策略来自动地确定用于移动设备104的数据日志记录策略。所述数据日志记录策略管理将来自特定的移动设备的哪些数据记入日志（例如，追踪和/或上传）到设备管理***102。例如，特定的设备对象可以与存储在数据库内的一个或多个数据日志记录策略相关联。设备管理***102基于与每个特定的移动设备关联的数据日志记录策略而选择性地将来自企业的移动设备104的数据记入日志（例如追踪和/或存储）。

在特定实施例中，设备管理***102内或与其相连的数据库存储与移动设备104关联的资源。例如，每个资源可以存储特定的文件、或通常是数据结构、以及对应的元数据。每个移动设备104也存储（例如，在存储器306内）均存储文件或数据结构和对应的元数据的多个资源。在特定实施例中，当控制客户端308确定特定的文件或其他数据结构（后文称为“文件”）已经被重新存储、更新或以其他方式在移动设备104内修改时，控制客户端308创建用于该特定文件的散列（hash）并使移动设备104发送该散列到设备管理***102。在接收到该散列的情况下，设备管理***102确定是否已经在存储于设备管理***102内的资源之一中存储了对应于该散列的特定文件（和移动设备104中的文件）。在特定实施例中，如果设备管理***102确定资源已经存在，则设备管理***102创建到该资源的新资源链接并存储或以其他方式将该新资源链接与对应于移动设备104的设备对象相关联。

设备管理***102包括管理向设备管理***102注册的应用以及在由设备管理***102所管理的移动设备104上检测到的应用的应用目录和追踪功能。由设备管理***102所管理的应用使“目录”列在源列中。在被管理移动设备104上检测到的应用使“外部”列在源列中。应用目录屏幕示出了用于每个应用的下列信息：1）应用名称-用于应用的标识符；2）类别-为应用手动分配的类别；3）平台名称-用于应用的一个或多个平台；4）#电话-其上安装应用的被管理移动设备104的数量；5）源-由设备管理***102管理的应用还是在应用出厂默认设置后安装的外部应用；和6）监视列表-显示安装或卸载是否待处理而未运行的状态。

图9图示了当网络管理员已经选择了应用（此处是Quickpoint，由设备管理***102基于安装在移动设备上的控制客户端308所发送的日志数据而检测到的外部应用）时的应用管理界面900。网络管理员可以点击菜单条目以查看每个类别下的附加信息。例如，下文归纳了可以提供的信息：1）使用-显示关于应用的使用的统计信息（例如，安装有该应用的所有移动设备104的列表）；2）推送安装-显示由于从设备管理***102发起的安装任务而接收到该应用的设备；3）发布-显示已经为其发布（即可从企业应用商店下载，见上文）应用的标记（label）和设备；4）监视列表-显示安装或卸载是否待处理而未运行的状态；5）详情-显示包括在应用目录条目中的应用信息。

应用管理界面800还允许网络管理员添加将由设备管理***102管理的应用。例如，网络管理员可以点击“新添加”按钮802，使设备管理***102呈现如图10所示的新应用界面1000。添加应用到目录使其可安装到被管理移动设备104上或使其可发布在应用商店中。下文归纳了新应用界面的各种输入字段：

名称-用于应用的描述性名称的字段；

版本-用于该应用的版本号；

描述-该应用的用途的解释；

平台-在该字段中，网络管理员选择该应用适用的设备平台（例如，BlackBerry、Symbian、Android、iPhone、Windows Mobile等）。所选择的平台确定如下字段的哪些出现在对话框的剩余部分。在一个实现方式中，该字段包括平台标识符的下拉菜单。

OS和版本-指示该应用兼容的操作***的名称和版本的条目；

上传安装文件-用于应该被下载到所选择的移动设备的安装文件的条目。所选择的文件将被上传并存储在设备管理***102上；

外部应用商店ID-用于像Apple的App Store的外部消费者应用目录，用于与该应用关联的该外部店面中的应用ID的条目；

外部应用链接-到用于驻留在企业外的应用的安装页面的链接（例如，salesforce.com）；

应用标志-用于应该为该应用下载的标志图像的位置的字段；

类别-在该字段中，网络管理员可以选择应用到该应用的一个或多个类别。网络管理员还可以通过点击新添加按钮来在类别列表下创建附加的类别。类别是可以应用于被管理的和外部应用二者的分类。网络管理员分配给应用的类别影响其在用户门户中的显示。如上讨论的Ad，用户能够浏览不同的类别和源以在没有管理员干预的情况下来安装被管理的应用；

推送安装到标记-在该字段中，网络管理员可以选择标记以指定被管理移动设备104的哪些组应该下载并自动安装该应用。标记涉及诸如移动设备平台标识符、操作***和版本、硬件型号等之类的与被管理移动设备或被管理移动设备组关联的标签或类别。也能够通过企业策略来规定标记成员-例如，用于高度安全设备和信任用户的“信任”标记；

搜索设备-在该字段中，网络管理员可以输入电话号码或用户ID以查找网络管理员可以希望在其上安装该应用的被管理移动设备104；

推送安装到设备-在该字段中，网络管理员可以将该应用安装到所选择的被管理移动设备104上；

发布到标记-在该字段中，网络管理员可以选择标记以规定被管理移动设备104的哪些组应该使得该应用在企业应用商店中可用；

搜索设备-在该字段中，网络管理员可以输入电话号码或用户ID以查找管理员可能希望经由企业应用商店使得该应用可供其所用的被管理移动设备104；

发布到设备-在该字段中，网络管理员可以经由企业应用商店使得该应用可供所选择的被管理移动设备104所用。也能够发布应用到标记（即，组）或单独设备。

此外，应用管理界面800还可以允许网络管理员为用户或用户集指定应用为“必需”或“推荐”。在一个实现方式中，移动设备管理***102可以将必需应用推送到对于其来说这是必需应用的用户的移动设备。在此类实现方式中，安装在移动设备104上的控制客户端208可以安装必需应用。在其他实现方式中，可以通知用户一个或多个必需应用已经准备好安装。可以经由电子邮件和/或文本消息进行通知。如果没有检测到应用就是在其检测在一个或多个移动设备104上安装的应用期间安装的，则移动设备管理***102也可以发送另外的提示给用户，如下文所讨论的。更进一步，移动设备104可以包含包括必需应用标签的企业应用商店应用。用户可以导航到该标签以检查应该安装在移动设备104上的新应用或对现有应用的更新。

网络访问控制

如上所讨论的，设备管理***102可以与控制客户端308结合操作以发现安装在被管理移动设备104上的应用，以及与移动设备104有关的其他状态或配置信息。用户可以经由企业应用商店122或独立地通过例如直接在移动设备上访问（经由浏览器或专用客户端）网站或访问企业外部的消费者应用商店（例如，Apple的App Store或Google的Android Market）来将应用安装在它们相应的被管理移动设备104上。控制客户端308可以检测应用安装并发送此类事件的通知给设备管理***102。在其他实现方式中，控制客户端308可以发送日志数据，从该日志数据可以检测到一个或多个被管理移动设备104上的应用安装。在其他实现方式中，控制客户端308可以周期地生成安装在管理移动设备104上的应用的列表并发送该列表给设备管理***102。利用一些移动平台，控制客户端308可以使用由被管理移动设备104的操作***支持的已发布API来获得已安装的应用的列表。设备管理***102可以因此识别哪些应用已经安装在被管理移动设备104上，包括是否已经安装必需应用（及对其的升级）。更一般地，控制客户端308也可以监视与被管理移动设备104的安全简档相关的事件和/或日志数据。例如，控制客户端308能够被配置成报告被管理移动设备104上的订户识别模块（SIM）卡的变化。控制客户端308还可以报告对存储卡或远程主机的大型文件上传、对操作***文件或行为的改变、过量的或异常的网络外漫游、或可以与安全简档相关的其他活动。

控制客户端308和/或设备管理***102还能够被配置成监视或检测各种其他安全或设备状态信息（称为“形势简档（posture profile）”）。例如，控制客户端308能够被配置成以周期的或按需的方式发送状态信息和事件相关数据给设备管理***。设备管理***102可以分析该数据以检测一个或多个设备状态变化。例如，如上所讨论的，控制客户端308可以发送何时安装了新应用的通知，或周期性发送所有已安装或新安装应用的列表。控制客户端308也可以针对诸如设备标识符、操作***类型和版本、SIM卡身份信息之类的各种配置信息查询移动设备104。移动设备管理***102能够把该信息与设备配置信息的数据库作对比以确定是否已经发生例如可能预示安全问题的任何变化（例如SIM卡变化）。设备管理***102还可以分析由控制客户端308提供的数据以确定移动设备104是否已在操作***级别受损，例如已越狱或获取最高权限（root）。在一些实现方式中，控制客户端308能够被配置成周期性尝试执行一个或多个操作或访问在未受损的操作***下将不可访问的特定功能。如果这些操作的一个或多个是不可访问的，则控制客户端308能够通知移动设备管理***102。设备管理***102还可以从设备配置确定诸如加密/数据保护功能之类的特定功能是启用还是禁用，以及是否安装了密钥和数字证书。设备管理***104也可以从设备配置确定移动设备104的诸如最低可接受的密码属性等之类的策略配置是否是最新的。设备管理***102也可以检查日志或事件相关数据以确定移动设备104最近是否保持联系或是否已经在一段时间内没有连接。设备管理***102还可以检查日志或事件相关数据以识别不正常活动，例如行进、数据传输或通话量、访问的网站或潜在的安全问题或升高的安全风险的其他指示。

被管理移动设备104能够被配置成访问由企业托管或代表企业的各种企业网络服务。例如，参考图1，给定的企业可以包括具有交换ActiveSync功能的微软交换服务器112。然而，指出微软交换只是为了说明的目的。能够在企业网络中使用任何企业电子邮件、通信和/或协作服务。其他企业网络服务可以包括诸如虚拟私人网络（VPN）和WiFi接入之类的连接服务。被管理移动设备104还可以直接访问或通过SSL/VPN/防火墙网关120访问应用服务器114。被管理移动设备104还可以托管被配置成访问企业网络110外部的***的应用。移动设备和其他计算***（例如，个人计算机和笔记本计算机）之间的各种差异对网络管理员提出了关于网络安全的挑战。被管理移动设备104的用户例如通常通过直接地或通过远程应用商店访问站点对安装应用（甚至是未授权应用）的能力有更大控制权。此外，移动设备104通过诸如运营商网络之类的企业几乎不能控制的网络路径和信道来通信。因此，网络管理员不可以简单地阻塞提出安全问题的主机所连接到的交换端口或拒绝对特定远程主机的访问。更进一步，移动设备具有恶意应用可以利用以便收集关于用户的数据的诸如蓝牙接口、GPS模块、摄像机和麦克风之类的各种传感器设备。

如本文所讨论的，移动设备管理***102可以分析上文描述的安全相关信息并在可操作以控制对企业网络全部或特定的企业应用的访问的相应移动设备的基于形势的简档中设置一个或多个安全状态指示。基于形势的简档可被一个或多个网络应用经由允许配置灵活的、基于形势的决策的应用编程接口集来访问。例如，移动设备管理***102可以确定并设置安全表中的一个或多个位或者其他参数值，所述安全表指示移动设备104是否具有被列入黑名单的应用、SIM卡是否已经改变、设备是否已越狱或获取最高权限、是否已经检测到过量的漫游、移动设备是否缺少必需应用或不能安装更新的策略、以及上文讨论的其他因素。当制定接纳控制决策时、当移动设备104尝试访问给定服务时，一个或多个网络应用服务能够查询该安全状态表。阻止访问表示结合分析基于形势的简档而可能触发的可能动作之一。其他示例包括锁定移动设备、清除移动设备、和发送用户通知。基于形势的简档可以包括例如是否安装了未授权应用、或配置在给定移动电话上的安全策略是否最新的指示。如本文所述，网络管理员然后可以创建灵活地适用于此类场景的多个策略。例如，如果移动电话的操作***完整性受损，则网络管理员可能希望发起清除动作。如果移动电话的安全配置过期，则网络管理员可能不会觉得这种情况足够严重以发起清除动作。因此，能够配置策略来触发访问控制阻止动作。作为附加的示例，策略能够被配置成如果在移动电话上检测到未授权的应用，则发送警告通知给用户和网络管理员。

在特定的实现方式中，例如，移动设备管理***102可以包括允许网络管理员将应用列入黑名单或以其他方式识别选择应用并配置策略的功能，所述策略被触发以响应在一个或多个被管理移动设备104上检测到它们的安装。图11图示了可以由设备管理***102实现的示例性过程。图11所示的过程可以响应于单独事件而发起或可以以周期的方式反复地应用于存储在队列中的事件集合。如图11所示，设备管理***102可以接收已经在被管理移动设备104上安装了新应用的事件的指示（1102）。可以由发送事件通知给移动设备管理***102的控制客户端308来生成事件。当移动设备管理***102在由控制客户端308提供的应用列表中检测到新应用时，可以由其来生成事件。设备管理***102然后将一个或多个策略应用于该应用安装事件（1104）。设备管理***102能够被配置成应用广泛而多样的策略。在一个实现方式中，至少一个策略可以确定是否已经把新安装的应用放在黑名单上。在其他实现方式中，另一个策略可以被配置成确定新安装的应用是否是公认的或众所周知的应用，或者是未知的应用或潜在的病毒。网络管理员能够配置策略来以各种方式响应应用安装事件。例如，对于未授权但没有造成安全问题的应用的第一集合，移动设备管理***102可以被配置成发送应用未授权（1106）并且因此将不被企业的信息科技（IT）部门所支持的通知或警报给被管理移动设备104的用户。另一个策略能够被配置成使移动设备管理***102发送清除命令给托管在被管理移动设备104上的控制客户端308（1110），其使得整个存储设备被擦除。在其他实现方式中，可以实施部分清除来删除存储在移动设备104中的文件的选定子集。如果检测到已知病毒或其他恶意应用，则能够配置该策略。另一个策略类型能够使得驻留在移动设备104上的控制客户端308锁定移动设备104的输入/输出设备的一个或多个。其他策略能够被配置成将诸如更新的密码策略之类的新策略配置推送到移动设备。

一些策略还能够被配置成阻止访问由企业网络110提供的服务。例如，如上所讨论的，被管理移动设备104为广泛并多样的功能而访问企业网络***（例如，电子邮件服务器、SSL/VPN服务器、和其他应用）。移动设备管理***102能够被配置成将被管理移动设备104的安全状态用信号通知给这些企业服务，其然后可以准许或拒绝对被管理移动设备104的访问。在一个实现方式中，移动设备管理***102可以被配置成设置与移动设备104关联的诸如安全状态表之类的数据对象中的一个或多个安全简档值。这些值能够被提取成诸如接收或准许（是/非）值之类的一个布尔值。企业应用可以被配置成当决定是接受还是拒绝移动设备104的请求或其他消息时，访问该参数值。例如，企业应用服务可以被配置成检查诸如未授权的应用、禁用的加密机制、SIM卡改变、越狱指示器等之类的一个或多个简档值，以便决定是准许还是拒绝移动设备104。在其他实现方式中，移动设备管理***102可以发送黑名单或白名单给各种企业应用。例如，当决定是接受还是拒绝移动设备104的请求或其他消息时，这些列表能够被交换服务器112、SSL/VPN网关120、内部网站、文档或文件***、和/或应用服务器114所查阅。作为进一步示例，web sockets（网络套接字）代理或防火墙能够被配置成查阅安全状态表来确定移动设备的当前安全状态并且过滤不满足必需安全简档的与移动设备104关联的业务。在其他实现方式中，web sockets代理/防火墙能够被配置成许可识别与某些授权应用相对应的端口的业务，而阻止所有其他业务。网络管理员可以以这种方式控制对企业网络服务的访问并维护安全，而同时允许移动设备104与访问企业网络110外部的***或主机的诸如通话功能、和第三方应用之类的应用合作。其他实现方式是可能的。例如，移动设备管理***102可以维护被管理移动设备104的各种属性值。如上所述，当决定接受/拒绝对移动设备104的访问时，能够经由API集来配置给定应用以访问这些属性之一到其组合。

在一些实现方式中，移动设备管理***102可以包括与ActiveSync/交换服务器112交互的组件以提供下述功能：1）使尝试连接到公司电子邮件的所有设备对企业管理员可见；2）允许自动许可/拒绝功能；以及3）提供对于移动设备104的远程清除能力。能够通过直接集成一个或多个代码模块与ActiveSync/交换服务器112来提供该功能。例如，插件（plug-in）或其他代码模块能够被托管在ActiveSync/交换服务器112上。该模块可以被配置成发送访问该服务器的移动设备104上的信息。在其他实现方式中，移动设备管理***102可以被配置成独立模式在ActiveSync/交换服务器112和移动设备104之间的通信路径中作为中介***（例如，诸如代理）。该组件能够被配置成向ActiveSync/交换服务器112查询识别访问该组件的移动设备的信息。在其他实现方式中，代理组件可以被配置成提供移动设备信息给移动设备管理***102。图12图示了列出已检测到的访问ActiveSync/交换服务器112的移动设备的用户界面。网络管理员也可以配置一个或多个ActiveSync策略来规定应用到所选择的移动设备的交换ActiveSync（Exchange ActiveSync，EAS）策略，所述移动设备使用ActiveSync以连接到ActiveSync/交换服务器112。

此外，网络管理员可以使用移动设备管理***102来规定是否经由ActiveSync或通常诸如文本消息传送、电子邮件访问、和浏览器访问之类的来启用各种可用功能。该组件也可以确定访问ActiveSync/交换服务器112的移动设备104是否向移动设备管理服务器102注册。各种策略能够被配置成基于该确定来接受/拒绝访问。例如，一个策略能够阻止到未注册的移动设备104的ActiveSync连接。能够实行另一个策略以针对未注册移动设备来启动注册工作流。

应用的本地控制

在一些实现方式中，除了上文讨论的访问控制机制之外，移动设备管理***102还能够与安装在被管理移动设备104上的控制客户端308结合地操作以阻止应用启动。图13图示了允许网络管理员配置一个或多个策略的示例性应用管理界面1300，所述一个或多个策略阻止所选择的应用启动一个选择被管理移动设备104。下文归纳了由应用管理界面1300提供的字段：

名称（1302）-输入用于策略的描述性名称的字段。这是将被显示以识别该策略的文本；

描述（1304）-输入该策略的用途的解释的字段；

阻止应用启动（1306）-网络管理员可以使用该控制来选择哪些应用应该被列入黑名单-即，阻止启动。在一个实施例中，出现在可用列表中的应用是那些在载入出厂默认配置之后安装的应用；

阻止ROM应用启动（1308）-对于某些Windows Mobile平台（例如WM 6.1），网络管理员可以选择将一个或多个ROM应用加入黑名单。Solitaire.exe是管理员可能希望阻止的ROM应用的示例。网络管理员还能够点击新添加按钮来规定将加入该列表的其他ROM应用；

应用到标记（1310）-网络管理员可以使用该控制将该策略与用于定义诸如“所有iPhone”等之类的移动设备的特别小组的选定标记相关联；

搜索设备（1312）-在该字段中，网络管理员可以输入电话号码或用户ID来查找管理员可能希望将该策略应用到的选定移动设备。搜索结果出现在结果字段1314中，网络管理员可以选择将该策略应用于所述条目。

在网络管理员已经为应用配置黑名单策略并激活该策略后，移动设备管理***102可以部署该策略。在一个实现方式中，基于管理员使用何种方法来识别移动设备（例如，标记、特定电话等），移动设备管理***102识别该策略所应用于的被管理移动设备104。移动设备管理***102然后发送新策略配置给安装在移动设备上的相应的控制客户端308。在一个实现方式中，新策略配置能够是将被阻止启动的应用的更新的黑名单。由于控制客户端308包括在MMI和文件***层的控制点，因此其能够监视启动可执行程序的命令并且阻止识别黑名单应用的命令启动。除上述网络黑名单功能之外还能够使用前述的黑名单策略执行机制，或者使用前述的黑名单策略执行机制来代替上述网络黑名单功能。

本公开包含本领域的普通技术人员可理解的对本文所述的示例性实施例的所有变化、替换、变形、替代、和修改。类似地，在适当的情况下，所附的权利要求包含本领域的普通技术人员可理解的对本文所述的示例性实施例的所有变化、替换、变形、替代、和修改。

Claims

1.一种方法，包括：

响应于对于可用于安装在移动设备上的应用集的请求，针对与用户关联的标识符来访问用户简档和移动设备简档；

基于应用于用户简档和移动设备简档的策略集来过滤应用的目录以选择应用集；以及

响应于请求而返回应用集。

2.如权利要求1所述的方法，进一步包括：

访问用户目录存储库以检索用户简档。

3. 如权利要求1所述的方法，其中所述用户简档包括角色、职位名称或企业组标识符的一个或多个，并且其中策略集中的策略的一个或多个考虑角色、职位名称和企业组标识符的至少一个。

4.如权利要求1所述的方法，进一步包括：

识别应用集中的必需应用；以及

提供必需应用的指示给用户。

5.如权利要求1所述的方法，其中所述移动设备简档包括型号标识符、操作***标识符、序列号、和媒体接入控制（MAC）地址的一个或多个。

6.如权利要求1所述的方法，其中所述标识符是移动设备标识符。

7.如权利要求1所述的方法，其中所述标识符是用户标识符。

8.一种装置，包括：

存储器；

网络接口；

一个或多个处理器；以及

计算机程序代码，所述计算机程序代码存储在非临时存储介质上，其包括可操作以使所述一个或多个处理器进行以下动作的指令：

响应于请求而返回应用集。

9.如权利要求8所述的装置，其中所述计算机程序代码进一步包括可操作以使所述一个或多个处理器进行以下动作的指令：

访问用户目录存储库以检索用户简档。

10.如权利要求8所述的装置，其中所述用户简档包括角色、职位名称或企业组标识符的一个或多个，并且其中策略集中的策略的一个或多个考虑角色、职位名称和企业组标识符的至少一个。

11.如权利要求8所述的装置，其中所述计算机程序代码进一步包括可操作以使所述一个或多个处理器进行以下动作的指令：

识别应用集中的必需应用；以及

提供必需应用的指示给用户。

12.如权利要求8所述的装置，其中所述移动设备简档包括型号标识符、操作***标识符、序列号、和媒体接入控制（MAC）地址的一个或多个。

13.如权利要求8所述的装置，其中所述标识符是移动设备标识符。

14.如权利要求8所述的装置，其中所述标识符是用户标识符。

15.一种非临时存储介质，包括计算机程序代码，所述计算机程序代码包括当其被运行时可操作以使一个或多个处理器进行以下动作的计算机可读指令：

响应于请求而返回应用集。

16.如权利要求15所述的非临时存储介质，其中所述计算机程序代码进一步包括可操作以使所述一个或多个处理器进行以下动作的指令：

访问用户目录存储库以检索用户简档。

17.如权利要求15所述的非临时存储介质，其中所述用户简档包括角色、职位名称或企业组标识符的一个或多个，并且其中策略集中的策略的一个或多个考虑角色、职位名称和企业组标识符的至少一个。

18.如权利要求15所述的非临时存储介质，其中所述计算机程序代码进一步包括可操作以使所述一个或多个处理器进行以下动作的指令：

识别应用集中的必需应用；以及

提供必需应用的指示给用户。

19. 如权利要求15所述的非临时存储介质，其中所述移动设备简档包括型号标识符、操作***标识符、序列号、和媒体接入控制（MAC）地址的一个或多个。

20.如权利要求15所述的非临时存储介质，其中所述标识符是移动设备标识符。