JP2017528811A - 多数のアイデンティティのアプリケーションに対するポリシーの適用 - Google Patents

多数のアイデンティティのアプリケーションに対するポリシーの適用 Download PDF

Info

Publication number
JP2017528811A
JP2017528811A JP2017507818A JP2017507818A JP2017528811A JP 2017528811 A JP2017528811 A JP 2017528811A JP 2017507818 A JP2017507818 A JP 2017507818A JP 2017507818 A JP2017507818 A JP 2017507818A JP 2017528811 A JP2017528811 A JP 2017528811A
Authority
JP
Japan
Prior art keywords
application
policy
computer
state
implemented method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017507818A
Other languages
English (en)
Inventor
フロイド エマソン,ダニエル
フロイド エマソン,ダニエル
クリストファー ドーフマン,ジェレミー
クリストファー ドーフマン,ジェレミー
アダム ジェーコブソン,ネイル
アダム ジェーコブソン,ネイル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Corp
Microsoft Technology Licensing LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp, Microsoft Technology Licensing LLC filed Critical Microsoft Corp
Publication of JP2017528811A publication Critical patent/JP2017528811A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/72Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
    • H04M1/724User interfaces specially adapted for cordless or mobile telephones
    • H04M1/72403User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Human Resources & Organizations (AREA)
  • Strategic Management (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Marketing (AREA)
  • General Business, Economics & Management (AREA)
  • Tourism & Hospitality (AREA)
  • Quality & Reliability (AREA)
  • Operations Research (AREA)
  • Economics (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Human Computer Interaction (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

管理アカウントと関連するアプリケーションの挙動の制御。デバイスは1つ以上のアプリケーションを含む。アプリケーションのうち少なくとも1つは、0以上の管理ユーザアカウントを含む複数のユーザアカウントと共に使用されるように構成される。デバイスはクライアントコンポーネントを含むか、又は通信する。クライアントコンポーネントは、アプリケーションに対し有効なユーザアカウントを識別するように構成される。クライアントコンポーネントはさらに、管理システムからポリシーを受信するように構成され、ポリシーはユーザアカウントを基準としてアプリケーション制御を指定する。クライアントコンポーネントは、さらに、管理システムや有効なユーザアカウントのポリシーに基づいたアプリケーション構成を実施するように構成されている。【選択図】図1

Description

[0001] IT管理者は、長期間にわたりデバイスに管理ポリシーを対象とすることが可能であった。モバイル機器の出現により、産業上の解決策を通じて特定のアプリケーションを含むことを目的としたポリシーが拡大されてきた。例えば、様々なプロバイダによって利用可能な様々なモバイル用のアプリケーション管理策である。加えて、ユーザはますます同一デバイスを仕事、個人的な使用又は多数の会社用に使用している。例えば、コンサルタントや請負業者は、同じデバイスを使用して、異なる企業のリソースにアクセスすることができる。これは、多数のアカウント又はアイデンティティによる使用をサポートするアプリケーションによってもたらされる。例えば、メールアプリケーションは、1つ以上の異なる企業の受信箱と同様に個人の受信箱を含み得る。代替的実施例では、クラウドストレージのアプリケーションは、多数の異なる企業サービスに接続することが可能であり得る。
[0002] しかしながら、問題の1つは、IT管理ポリシーは、デバイス又はアプリケーションに包括的にしか適用されることができない。これは、多数のアイデンティティに使用されるアプリケーションは同一のポリシーにより制約されるという望ましくない副次的な影響がある。この制限により、IT管理者が特定の企業のアイデンティティを管理しようとするためだけであったとしても、すべてのアイデンティティに対し、アプリケーションから機能を削除又は除去できる。現在、IT管理者は、アプリケーション内ですべてのアイデンティティに対し同一のポリシーを有するか、同一のアプリケーションに多数のコピーを配布するか、又は特定のアプリケーションから(個人又はその他のアクセスを不可能にする一方で)企業のアクセスのみを可能にするかを余儀なくさせられ、どのバージョンが使用されるべきかユーザに混乱を生じる結果になる。
[0003] 本明細書において特許請求される主題は、いかなる不利な点をも解決し、又は前述したもののような環境においてのみ動作する実施形態に限定されるものではない。むしろ、この背景技術は、本明細書に記載されるいくつかの実施形態が実行され得る、1つの例示的な技術領域を例示するためにのみ提供されている。
[0004] 本明細書に示される一実施形態では、コンピューティング環境で実行することができる方法を含む。本方法は、管理アカウントと関連するアプリケーションの挙動を制御するための動作を含む。この方法は、アプリケーションの状態を識別することを含む。これはアプリケーションに対し有効な0以上の管理ユーザアカウントを含む、1つ以上のユーザアカウントのセットを識別することを含む。本方法はさらに、アプリケーションの状態に関するポリシーを調べることを含む。ポリシーは、管理ユーザアカウント用に定義された1つ以上の異なるポリシーを備える。それぞれの異なるポリシーは、1つ以上の管理ユーザアカウントに対してアプリケーション構成の制御を定義する。ポリシー及びアプリケーションの状態に基づいて、本方法は、ポリシーに対するアプリケーション構成を制御することを含み、これはポリシーに対して有効なユーザアカウントを含む。この方法は、アプリケーションで有効な1つ以上のユーザアカウントのセットを変更することを含む、変更されたアプリケーションの状態を識別することを含む。本方法はさらに、ポリシー及び変更されたアプリケーションの状態に基づいて、アプリケーション構成の制御を変更することを含む。
[0005] 別の実施形態は、管理アカウントに関連するアプリケーションの挙動を制御するように構成されたコンピューティングデバイスを含む。デバイスは1つ以上のアプリケーションを含む。アプリケーションのうち少なくとも1つは、0以上の管理ユーザアカウントを含む複数のユーザアカウントと共に使用されるように構成される。デバイスはクライアントコンポーネントを含む。クライアントコンポーネントは、アプリケーションに対し有効なユーザアカウントを識別するように構成される。クライアントコンポーネントはさらに、管理システムからポリシーを受信するように構成され、ポリシーはユーザアカウントに基づいてアプリケーションの制御を特定する。クライアントコンポーネントは、さらに、管理システムや有効なユーザアカウントのポリシーに基づいたアプリケーション構成を行うように構成されている。
[0006] 本概要は、発明を実施するための形態において以下にさらに記載された、簡略化した形態における概念の選択を導入するために提供される。本概要は、請求する主題の鍵となる特徴又は本質的な特徴を識別することを意図するものではなく、請求する主題の範囲を決定する上での手助けとして、単独で使用されることを意図していない。
[0007] 追加の特徴及び利点は、以下の説明に記載され、記載から一部は明らかになり、又は本明細書の教示を実行することによって知り得る。本発明の特徴と利点は添付請求項に具体的に記載されている要素及び組み合わせによって実現され、得られ得る。本発明の特徴は、以下の説明及び添付の請求項によりさらに明らかになるか、又は本明細書において以下に記述する発明を実行することにより取得され得る。
[0008] 前述の、及びその他の利点並びに特徴が得られることが可能な手法を記載するために、上記で簡潔に述べた主題のより具体的な記載が、添付の図面に示された特定の実施形態への参照によって示されるであろう。これらの図面は典型的な実施形態のみを示し、したがって範囲を制限すると考えられないという理解のもと、実施形態は、添付図面の使用を通してさらに具体的かつ詳細に記載され説明されるであろう。
[0009]アプリケーション構成が有効なユーザアカウントに基づいて制御される環境を示す。 [0010]管理アカウントに関連するアプリケーションの挙動を制御する方法を示す。
[0011] 本明細書の実施形態は、IT管理者が、ポリシーと、クライアント及び/又は対象のアプリケーションにおける管理アイデンティティのためだけにポリシーを有効にし、行うアプリケーションコンポーネントとを有する特定のアイデンティティを対象にするのを可能にする。このように、ポリシーは管理アイデンティティに適用され、一方、非管理アイデンティティにはポリシーを適用されない。さらに、異なるポリシーは異なる管理アイデンティティに適用されることができる。このように、機能を制限するポリシーは、その他のアイデンティティへの管理性能も保持しつつ、いくつかのアイデンティティに対する機能を保持するために、異なるアイデンティティに必要とされないときには適用されない。したがって、例えば、同一のアプリケーション内では、ユーザは、管理企業のアイデンティティを(雇用されている組織で使用する目的で)使用する場合には、データの切り取り及び貼り付けを制限される可能性があるが、個人用のアイデンティティを(自分の個人的使用のために)使用する場合には制限されないであろう。
[0012] ここで図1を参照すると、一実施例が示されている。図1は、デバイス102を示す。デバイス102は、携帯電話、タブレット又はその他の適切なコンピューティングデバイスであり得る。デバイス102は、通常、ユーザ104が所有する。
[0013] デバイス102は、複数のアプリケーション106を有し得る。各アプリケーションは複数のアカウント108を提供し得る。したがって、例えば、アプリケーション106−1は、個人用アカウントを有する電子メールのアプリケーション及び1つ以上の管理企業(又はその他の組織)のアカウントであり得る。デバイス102が企業アカウントにアクセスするために使用されると、これらのアカウントに関連する企業(又はその他の組織)は、これらのアカウントが使用されている間、デバイス102のアプリケーションに特定の制限をかけることを望み得る。例えば、企業は、企業データが閲覧されるときに、アプリケーション106−1において切り取り/コピー/貼り付け機能ができることを望まない場合がある。しかしながら、ユーザが個人アカウント108−1を使用する場合、切り取り/コピー/貼り付け機能が有効であるか企業は気にかけないか、又は制御するための基準を有さない可能性がある。しかしながら、ユーザ104は、このような機能が有効であることを望み得る。実施形態は異なるポリシーを異なるデバイスの同一ユーザにサポートし得る。例えば、株式トレーダのモバイル機器では、いくつかのアプリケーション機能がロックされ得るが、しかし、取引フロアの株式トレーダのラップトップあるいはタブレット上では、機能はロックされない。
[0014] IT管理者110は、1つ以上のアプリケーション用に、管理システム114で管理ポリシー112を作成する。IT管理者110は、アプリケーションの特定のユーザを対象とするポリシーを作成して、ポリシーをユーザのデバイスに配布させることができる。あるいは又はさらにIT管理者は、ユーザの代わりに特定のドメインを対象とするポリシーを作成することができる。例えば、特定のサイトアドレスのすべてのユーザには、同一のポリシーが適用されるであろう。
[0015] 図1に示すように、管理システム114は、ポリシー112を適切なアプリケーション106−1に配布する。デバイス102のクライアントコンポーネント116はポリシー112を解釈し処理する。
[0016] ユーザ104がアプリケーション106−1を起動すると、ユーザは、明示的に(例えば、資格情報を入力し、アカウントを選択することによって等)、又は暗示的に(例えば、閲覧するコンテンツ、アクセスするファイル、対象とするアカウント等に基づいて)、ユーザ自身を識別する必要がある。アプリケーション106−1は、クライアントコンポーネント116に有効なアイデンティティを通知し、クライアントコンポーネント116はポリシーを実施する。
[0017] アプリケーションのユーザインタフェースが、ポリシーを適切に実施するために変更が必要な場合は、クライアントコンポーネント116はアプリケーション106−1に通知する。例えば、アプリケーションが任意の場所にコンテンツを保存するのをサポートする場合には、クライアントコンポーネントはアプリケーションに、ポリシー112がそのように特定するときには、特定のリストに保存先を限定するか、又は特定の場所をブロックする必要があることを通知する。一つの例示的な実施形態においては、2つの態様が考えられる。第1に、新しいポリシーに基づいてユーザインタフェースを変更する(一例として保存を制限する)ことである。第2に、ソフトウェア開発キット(SDK:Software Development Kit)から呼び出されたアプリケーション内でのコールバックである。実施形態はアプリケーションに、有効なユーザが有効なアカウントを変更するために、アプリケーションに迅速な変更が必要であると通知するであろう。アプリケーションが同時に1つの有効なアカウントのみサポートし、画面上に正しい情報(電子メール、共有ファイル等)を表示するために使用する場合の例を考える。異なるユーザに対応する入力データがある場合には、アプリケーションは又、アプリケーションビューを変更して新しいアカウントに対応する適切な情報を表示する。
[0018] 上述したように、ポリシー管理システムは、ポリシーを、デバイス上の1つ以上のアプリケーション用に特定のユーザのアイデンティティ又はアカウントを対象として配布できる。
[0019] ポリシー管理システムは、デバイス上の1つ以上のアプリケーションで特定のユーザのアイデンティティ又はアカウントに対し動作を呼び出す(例えば、データを消去する)機能を含み得る。
[0020] いくつかの実施形態では、ポリシー管理システムのクライアントコンポーネント116は、デバイス用にSDKを使用して実装され得る。クライアントコンポーネント116は、ポリシーを受信し実施するための様々な特徴を含み得る。例えば、クライアントコンポーネント116は、ポリシー管理システム114と通信をするための機能を含み、アプリケーション内で1つ以上のアイデンティティ又はアカウントを対象とするポリシーを受信し得る。クライアントコンポーネント116は、さらに、アプリケーション(アプリケーション106−1のような)と通信するための機能を含み、アプリケーション内で1つ以上のアイデンティティ又はアカウントを対象とするポリシーを実施する。クライアントコンポーネント116は、アプリケーション内で1つ以上のアイデンティティ又はアカウントのポリシーの状態を管理システム114のリモートコンポーネントに報告する機能を含み得る。
[0021] クライアントコンポーネント116は、クライアントコンポーネント116が適切なポリシーを実施できるように、アプリケーション106−1がクライアントコンポーネント116にアプリケーション内の現在の有効なアイデンティティを通知することが可能な機能を含み得る。クライアントコンポーネント116は、クライアントコンポーネント116が適切なポリシーを実施できるように、アプリケーション106−1がクライアントコンポーネント116にデータ(例えばファイル又はデータバッファ)に対応するアイデンティティを通知する機能を含み得る。クライアントコンポーネント116は、クライアントコンポーネント116がアプリケーション106−1に、アプリケーション106−1の特定のユーザインタフェース要素(例えば、「名前をつけて保存」は切り取り/コピー/貼り付け機能等を対象とする)は、ポリシーに基づいて制限されねばならないと通知することを可能にする機能を含み得る。クライアントコンポーネント116は、クライアントコンポーネント116がアプリケーション106−1に、現在の有効なアカウント及び表示された任意の関連するデータは新しいアカウントに変更されなければならないと通知することを可能にする機能を含み得る。これは、例えば、定義されたスキーマ、プログラムの方法又はその他の適切な手段を使用して通信され得る。
[0022] したがって、一例示的な実施形態は、以下の4つのコンポーネントを含み得る。
[0023] (1)管理アプリケーション(アプリケーション106−1等)−図示された実施例では、これは、ポリシー管理システム(ポリシー管理システム114等)によって管理され、1つ以上のアイデンティティのためにポリシー(ポリシー112等)を受信するアプリケーションである。
[0024] (2)ポリシー管理システムのクライアント/アプリケーションコンポーネント(クライアントコンポーネント116等)−図示された実施例では、これはサービスとアプリケーションとの間の通信を促進して自動的にポリシーを実施するSDKである。一般的に、このSDKは、アプリケーションによって直接実装され得る。いくつかの実施形態では、このSDKは、ワシントン州レドモンドのマイクロソフト社から入手可能なIntune又はConfiguration Managerの特徴を使用して提供され得る。別の実施例においては、サービスはSDKの概念に取って代わる。つまり、アプリケーションは定義されたプロトコルを介してサービスと通信することを意味する。
[0025] (3)ポリシー管理システム(ポリシー管理サービス114等)−図示された実施例では、このポリシー管理システムはITの専門家がポリシーを作り、対象とし、管理アプリケーション内にアイデンティティ又はアカウントを配布するインタフェースである。いくつかの実施形態では、このポリシー管理システムは、ワシントン州レドモンドのマイクロソフト社から入手可能なIntune又はConfiguration Managerを使用して実装され得る。
[0026] (4)通信スキーマ−図示された実施例では、この通信スキーマは、アプリケーションがポリシーと有効なアイデンティティに基づいて実施しなければならないユーザインタフェースの制限を記載した、バージョン化したXMLスキーマ(又はその他のスキーマ)である。
[0027] ここで以下の議論は、行われ得るいくつかの方法及び行われ得る方法の動作を示す。方法の動作は、特定の順序で起こるように、ある順序で記載され、又はフローチャートに示され得るが、特に記載しない限り特定の順序は必要とされず、又は動作が行われる前に完了された別の動作に依存するため必要とされない。
[0028] ここで図2を参照すると、方法200が示されている。方法200は、コンピューティング環境において実行され得る。本方法200は、管理アカウントに関連するアプリケーションの挙動を制御するための動作を含む。アプリケーションの挙動は、例えば、データ使用に対して制御され得る。特に、あるアカウントでは、あるデータ利用の挙動が、下記により詳細に示されるように、制限され得る。
[0029] この方法200は、アプリケーションの状態を識別することを含み、アプリケーションに対し有効な0以上の管理ユーザアカウントを含む、1つ以上のユーザアカウントのセットを識別することを含む(動作202)。例えば、図1に示されているように、アプリケーション106−1は、複数のユーザアカウント108と関連している。これは組織のリソースにアクセスするのに使用されるアカウントのような、いくつかの管理アカウントを含み得る。例えば、アプリケーション106−1は電子メールのアプリケーションであり得る。アカウントのうち1つは、ユーザが契約者である場合、雇用者又はユーザの顧客(又はユーザの雇用者)に企業の電子メールにアクセスするユーザ用のユーザアカウントであり得る。このアカウントは、企業はどのように企業データがアプリケーション106−1によって使用されるかを制御することを望み、又は企業がデバイス102もしくはアプリケーション106−1が特定の予防(パスワード、データ暗号化又はその他の予防)を実装していることを確実にすることを望み得るという点において管理アカウントであり得る。アカウント108のその他のアカウントは、個人アカウント又は管理されないその他のアカウントであり得る。したがって、実施形態はどのアカウントが有効かを識別することを欲し得る。一実施例では、どのアカウントが有効かの判断は、対象とするアカウントを決定することによって行われ得る。例えば、ユーザは、フォルダ、ビュー又は特定のユーザアカウントのデータに焦点を当てるその他のインタフェース要素を選択することが可能であり得る。これは、例えば、データを閲覧、編集可能にし、又はその他の何らかの方法でその他のアカウント用のアプリケーションが使用するか、又は使用可能なその他のデータと本データを区別することを含み得る。あるいは、ユーザは手動でアカウントをアカウント選択ダイアログボックスから選択可能であり得る。アカウントを識別するその他の方法は、追加的に又は代替的に使用され得る。
[0030] 本方法200はさらに、アプリケーションの状態に関するポリシーを調べることを含む(動作204)。ポリシーは、管理ユーザアカウント用に定義された1つ以上の異なるポリシーを含む。それぞれの異なるポリシーは、1つ以上の管理ユーザアカウントに対してアプリケーション構成の制御を定義する。したがって、例えば、図1では、ポリシー112を示している。これらのポリシーは、データがどのように使用されることができるか及び/又は様々なユーザアカウントに対してデータ使用にどのような制限が加えられるべきかを定義し得る。したがって、例えば、アプリケーション構成の制御は、データ使用に対する制御を含み得る。例えば、ポリシーは、切り取り/コピー/貼り付け機能が特定のユーザアカウントに対して無効となるべきであると指定し得る。追加的に又は代替的に、ポリシーはデータがバックアップされることができないように指定し得る。アプリケーション構成の制御は、追加的に又は代替的に、データ共有に関する制御を含み得る。例えば、アプリケーションは、アプリケーションの外部データをその他のアプリケーションと共有可能にすべきではないとポリシーにより指定し得る。アプリケーション構成の制御は、追加的に又は代替的に、暗号化に関する制御を含み得る。例えば、ポリシーは、特定のユーザアカウントのデータは暗号化されるべきであると指定し得る。アプリケーション構成の制御は、追加的又は代替的にアカウントの起動時間のチェックに関する制御を含み得る(アカウントがアプリケーションの起動又はアカウントの変更のためアプリケーション内で有効になるときを意味する)。例えば、ポリシーは、特定のユーザアカウントに対してピン又はパスワードを入力する必要があるか、又はデバイスが特定のポリシー又はヒース制約を遵守する必要があることを示し得る。アプリケーション構成の制御は、追加的に又は代替的に、動作環境に関する制御を含み得る。例えば、ポリシーは、あるアプリケーションが特定のユーザアカウントを有する1つ以上のアプリケーションを使用する際には、デバイス上で動作すべきではないように指定し得る。すなわち、あるアプリケーションは同時に動作すべきではない。データアクセスの別の変形においては、特定のURLへのアクセスは、管理されたブラウザ上の特有のアカウントのホワイトリスト/ブラックリストに基づいて許可されるか、ブロックされる可能性がある。
[0031] アプリケーション構成の制御は、管理権限によって定義されたグラフィカルユーザインタフェースの性能に関する制御を含み得る。例えば、制御は、ユーザアカウントがアプリケーションに使用されているときに、特定のブランド化性能が有効になるように指定し得る。ある色のパレット、テキスト、画像、ロゴ又はその他のグラフィカルユーザインタフェースの性能が指定され得る。
[0032] 方法200はさらに、ポリシー及びアプリケーションの状態に基づいて、ポリシーに対して有効なユーザアカウントを含む、ポリシーに対するデータのアプリケーションの使用を制御することを含む(動作206)。例えば、クライアントコンポーネントは、データ使用、データの共有、暗号化、起動時間のチェック、動作環境等の特定された制御を実施し得る。いくつかの実施形態では、データのアプリケーションの使用を制御することは、アプリケーションのユーザインタフェースを変更することを含み得る。例えば、アプリケーションは、あるユーザアカウントがアプリケーションで有効である場合に、ユーザインタフェースを変更するように指示され、「名前をつけて保存」又は切り取り/コピー/貼り付け機能を無効にし得る。
[0033] 方法200は、データのアプリケーションの使用を制御することは、データの消去、データの更新、有効なアカウントの変更等を含み得る場合に実行され得る。
[0034]方法200はさらに、アプリケーションに有効な1つ以上のユーザアカウントのセットを変更することを含む、変更されたアプリケーションの状態を識別することを含む(動作208)。例えば、異なるユーザアカウントのデータは、アプリケーションを対象としており、又は異なるアカウントがユーザによって選択され得る。
[0035] 方法200はさらに、ポリシー及び変更されたアプリケーションの状態に基づいて、アプリケーション構成の制御を変更することを含む(動作210)。例えば、対象になる個人のユーザアカウント(又は制約が少ない組織アカウント)のため、データのアプリケーションの使用を制御すると、アプリケーションがデータの追加機能を行うのを可能にするように緩和され得る。
[0036] 方法200は、アプリケーションの状態がグローバルなアプリケーションの状態である場合に実行され得る。これは又、キャッシュの状態をも含み得る。あるいは、方法200は、アプリケーションの状態がスレッドの状態である場合に行われ得る。あるいは、方法200は、アプリケーションの状態がプロセス状態である場合に行われ得る。3つの状態は、コードがアプリケーション内で実行できる異なるコンテキストと関連している。これらはアプリケーションが0の、1つの又は多くのプロセスを有し、プロセスが1つ又は多くのスレッドを有することができるように階層になっている。
1.グローバルアプリケーションの状態は、アプリケーション全体に適用される状態である。これは、ユーザがアプリケーションを使用し、特定のスレッド又はプロセス状態がない場合には、実施形態は、アプリケーション内の有効なアカウントにグローバル状態を使用することを意味する。例えば、例示的なアプリケーションが動作していなく、単にコンピュータにインストールされている場合には、関連するいくつかの状態がある(この状態は「有効ユーザなし」又は「権限なし」であり得る)。
2.プロセス状態は、アプリケーションの動作中インスタンス内の適用可能な状態である。これは、ユーザがアプリケーションを使用し、特定のスレッド状態がない場合には、実施形態は、有効なアカウントのプロセス状態を使用することを意味する。以前の実施例を続けるために、インストールされたアプリケーションを起動した場合、ここで、ユーザアカウントで動作し、これはいくつかの状態(例えば、その他の誰もできない編集が可能ないくつかの文書があり得る)が付随する。
3.スレッド状態は、アプリケーションにおいて動作中のプロセス内で適用可能な状態である。これは、ユーザがアプリケーションを使用している場合、一般に、プロセス状態を使用するが、異なる状態でスレッドを動作する結果になり得ることを意味する。例えば、同僚がインストールされたアプリケーションを実行し、非常に大きな文書のアップロードを開始し、文書を閉じ、次に、アプリケーションの動作を継続すると、依然としてバックグラウンドで同僚の大きな文書のアップロードを行うスレッドが存在し得る。一方、アプリケーションでユーザの直接的な使用をサポートする別のスレッドがあり得る。
[0037] 方法200は、1つ以上のユーザアカウントのセットの識別がアプリケーションによって行われ、管理システムのクライアントコンポーネントに伝達される場合に実行され得る。あるいは、方法200は、1つ以上のユーザアカウントのセットの識別がクライアント管理エンティティによって行われる場合に実行され得る。例えば、これはSDK、管理エージェント、プラットフォーム等によって行われ得る。
[0038] 方法200は、1つ以上のアカウントのセットの識別がデータセットの特徴を取得することによって行われる場合に実行され得る。例えば、実施形態は、アプリケーションにアクセスしている間、どのユーザアカウントが使用されるかを識別するためにアプリケーションによって操作されるファイル又はファイルのセグメント、メモリセグメント等を調査し得る。これはアカウント関係を識別するアプリケーションによって行われ得る。あるいは、これは、データセットに対応するアカウントを決定するクライアント管理エンティティ(クライアントコンポーネント116等)によって行われ得る。
[0039] 方法200の実施形態はさらに、アプリケーション及びポリシーのアイデンティティ遵守を報告することを含み得る。例えば、このような遵守は管理システム114に報告され得る。これは、データをデバイス102から消去させる管理システム114を促進することができ、監査のためにIT管理者又はデバイス102上で行われるその他の管理機能に通知する。
[0040] さらに、本方法は、1つ以上のプロセッサ及びコンピュータメモリのようなコンピュータ可読媒体を含むコンピュータシステムによって実行され得る。特に、コンピュータメモリは、1つ以上のプロセッサによって実行されると、実施形態に引用される動作のような、様々な機能が行われるコンピュータで実行可能な命令を記憶し得る。
[0041] 本発明の実施形態は、下記により詳細に記載されるようなコンピュータハードウェアを含む専用又は汎用コンピュータを備えるか利用し得る。本発明の範囲内の実施形態は又、コンピュータで実行可能な命令及び/又はデータ構造を保持又は記憶するための物理的及びその他のコンピュータ可読媒体を含む。このようなコンピュータ可読媒体は、汎用もしくは専用コンピュータシステムによってアクセス可能な任意の入手可能な媒体であり得る。コンピュータで実行可能な命令を記憶するコンピュータ可読媒体は、物理的記憶媒体である。コンピュータで実行可能な命令を保持するコンピュータ可読媒体は、伝送媒体である。したがって、実施例として、限定するものではないが、本発明の実施形態は、物理的コンピュータ可読記憶媒体と、伝送コンピュータ可読媒体の、少なくとも2つの明らかに異なる種類のコンピュータ可読媒体を含むことができる。
[0042] 物理的コンピュータ可読記憶媒体は、RAM、ROM、EEPROM、CD−ROM又はその他の光ディスクストレージ(CD、DVD等)、磁気ディスクストレージ又はその他の磁気ストレージデバイス、ソリッドステートストレージデバイス等を含み、コンピュータで実行可能な命令又はデータ構造の形態で所望のプログラムコード手段を記憶するために使用されることができ、汎用又は専用コンピュータによってアクセスされることができる。
[0043] 「ネットワーク」は、コンピュータシステム及び/又はモジュール及び/又はその他の電子デバイス間の電子データの移送を可能にする、1つ以上のデータリンクとして定義されている。情報が、ネットワーク上もしくは別の通信接続(ハードワイヤード、ワイヤレス又はハードワイヤードとワイヤレスの組み合わせの何れか)でコンピュータに転送又は提供されると、コンピュータは伝送媒体として、接続を適切に閲覧する。伝送媒体はネットワーク及び/又はデータリンクを含むことができる。コンピュータで実行可能な命令又はデータ構造の形態で所望のプログラムコード手段を保持するために使用されることができ、汎用又は専用コンピュータによってアクセスされることができる。上記の組み合わせも、コンピュータ可読媒体の範囲内に含まれる。
[0044] さらに、様々なコンピュータシステムのコンポーネントに到達すると、コンピュータで実行可能な命令又はデータ構造の形態のプログラムコード手段は、伝送コンピュータ可読媒体から物理的コンピュータ可読ストレージ媒体(又は逆も同様)に自動的に転送されることができる。例えば、ネットワーク又はデータリンクを介して受信されたコンピュータで実行可能な命令又はデータ構造は、ネットワークインターフェイスモジュール(例えば、「NIC」)内のRAMにバッファされることができ、そして最終的に、コンピュータシステムRAM及び/又はコンピュータシステムで揮発性の低いコンピュータ可読の物理的ストレージ媒体に転送される。したがって、コンピュータ可読の物理的ストレージ媒体は、伝送媒体も(又は主に)利用するコンピュータシステムコンポーネントに含まれることができる。
[0045] コンピュータで実行可能な命令には、例えば、汎用コンピュータ、専用コンピュータ又は専用の処理デバイスに一定の機能又は一連の機能を行わせる命令及びデータが含まれる。コンピュータで実行可能な命令は、例えば、アセンブリ言語又はさらにはソースコードのようなバイナリ形式の命令、中間形式の命令であり得る。主題は構造上の特徴及び/又は方法論的動作に特有の言語で記載されているが、添付の請求項に定義された主題は、必ずしも記載された特徴又は前述の動作に限定されないことを理解されたい。むしろ、記載された特徴及び動作は、請求項を実装する例示的な形態として開示されている。
[0046] 当業者は、本発明は、パーソナルコンピュータ、デスクトップコンピュータ、ラップトップコンピュータ、メッセージプロセッサ、携帯用デバイス、マルチプロセッサシステム、マイクロプロセッサベース又はプログラム可能なコンシューマエレクトロニクス、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、携帯電話、PDA、ポケットベル、ルータ、スイッチ等を含む、多くの種類のコンピュータシステム構成を備えるネットワークコンピューティング環境において実行され得ることを理解するであろう。本発明は又、ネットワークを介して(ハードワイヤードデータリンク、ワイヤレスデータリンク又はハードワイヤードとワイヤレスデータリンクとの組み合わせの何れかによって)リンクされたローカル及びリモートコンピュータシステムの両方がタスクを行う分散システム環境において実行され得る。分散システム環境においては、プログラムモジュールはローカル及びリモートの両方のメモリストレージデバイスに配置され得る。
[0047] あるいは又はさらに、本明細書で記載された機能は、少なくとも部分的に1つ以上のハードウェアロジックコンポーネントによって行うことができる。例えば、これらに限定されないが、使用可能なハードウェアロジックコンポーネントの例示的な種類は、フィールドプログラマブルゲートアレイ(FPGA)、特定用途向け集積回路(ASIC)、プログラム特定標準製品(ASSP)、システムオンチップ型システム(SOC)、コンプレックスプログラマブルロジックデバイス(CPLD)等を含む。
[0048] 本発明は、その精神又は特徴から逸脱することなくその他の特定の形態で具現化され得る。記載された実施形態は、あらゆる点において、単に例示的であり、限定されないものと認定される。したがって、本発明の範囲は、上述の説明よりもむしろ、添付の特許請求の範囲によって示されている。特許請求の範囲の意味及び特許請求の範囲に相当するすべての変更は、その範囲内であると理解されたい。

Claims (10)

  1. 管理アカウントに関連するアプリケーションの挙動を制御するコンピュータに実装される方法であって、
    前記コンピュータに実装される方法は、前記方法のためにコンピュータで実行可能な命令を実行する1つ以上のプロセッサによって行われ、
    前記コンピュータに実装される方法は、
    前記アプリケーションに有効な0以上の管理ユーザアカウントを含む1つ以上のユーザアカウントのセットを識別することを含む、アプリケーションの状態を識別することと、
    前記アプリケーションの状態に関するポリシーを調べることであって、前記ポリシーは、管理ユーザアカウント用に定義された1つ以上の異なるポリシーを備え、それぞれの異なるポリシーは、1つ以上の管理ユーザアカウントに対してアプリケーション構成の制御を定義することと、
    前記ポリシー及び前記アプリケーションの状態に基づいて、前記ポリシーに対して有効なユーザアカウントを含む、前記ポリシーに対するアプリケーション構成を制御することと、
    前記アプリケーションに有効な1つ以上のユーザアカウントの前記セットの変更を含む、変更されたアプリケーションの状態を識別することと、
    ポリシー及び前記変更されたアプリケーションの状態に基づいて、前記アプリケーション構成の制御を変更することと、
    を含む、方法。
  2. アプリケーション状態は、グローバルアプリケーションの状態である、請求項1に記載のコンピュータに実装される方法。
  3. アプリケーション状態は、スレッド状態である、請求項1に記載のコンピュータに実装される方法。
  4. アプリケーション状態は、プロセス状態である、請求項1に記載のコンピュータに実装される方法。
  5. 1つ以上のユーザアカウントのセットの識別が前記アプリケーションによって行われ、管理システムのクライアントコンポーネントに伝達される、請求項1に記載のコンピュータに実装される方法。
  6. 1つ以上のユーザアカウントのセットの識別がクライアント管理エンティティによって行われる、請求項1に記載のコンピュータに実装される方法。
  7. 前記アプリケーション構成の制御が、データ使用、データ共有、暗号化、アカウントの起動時間のチェック又は動作環境のうち1つ以上を制御することを含む、請求項1に記載のコンピュータに実装される方法。
  8. 前記アプリケーション構成の制御は、管理権限によって定義されたグラフィカルユーザインタフェースの性能を含む、請求項1に記載のコンピュータに実装される方法。
  9. 1つ以上のアカウントのセットの識別がデータセットの特徴を取得することによって行われる、請求項1に記載のコンピュータに実装される方法。
  10. 1つ以上のプロセッサと、
    前記1つ以上のプロセッサによって実行されると、前記1つ以上のプロセッサに、管理アカウントに関連するアプリケーションの挙動を制御するコンピュータに実装される方法を行わせるコンピュータで実行可能な命令を含む1つ以上のコンピュータ可読媒体と、
    を備え、
    前記コンピュータに実装される方法は、
    前記アプリケーションに有効な0以上の管理ユーザアカウントを含む1つ以上のユーザアカウントのセットを識別することを含む、アプリケーションの状態を識別することと、
    前記アプリケーションの状態に関するポリシーを調べることであって、前記ポリシーは、管理ユーザアカウント用に定義された1つ以上の異なるポリシーを備え、それぞれの異なるポリシーは、1つ以上の管理ユーザアカウントに対してアプリケーション構成の制御を定義することと、
    前記ポリシー及び前記アプリケーションの状態に基づいて、前記ポリシーに対して有効なユーザアカウントを含む、前記ポリシーに対するアプリケーション構成を制御することと、
    前記アプリケーションに有効な1つ以上のユーザアカウントの前記セットの変更を含む、変更されたアプリケーションの状態を識別することと、
    ポリシー及び前記変更されたアプリケーションの状態に基づいて、前記アプリケーション構成の制御を変更することと、を含む、
    コンピューティングシステム。
JP2017507818A 2014-09-19 2015-09-17 多数のアイデンティティのアプリケーションに対するポリシーの適用 Pending JP2017528811A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/491,006 US9935978B2 (en) 2014-09-19 2014-09-19 Policy application for multi-identity apps
US14/491,006 2014-09-19
PCT/US2015/050543 WO2016044502A1 (en) 2014-09-19 2015-09-17 Policy application for multi-identity apps

Publications (1)

Publication Number Publication Date
JP2017528811A true JP2017528811A (ja) 2017-09-28

Family

ID=54252378

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017507818A Pending JP2017528811A (ja) 2014-09-19 2015-09-17 多数のアイデンティティのアプリケーションに対するポリシーの適用

Country Status (11)

Country Link
US (1) US9935978B2 (ja)
EP (1) EP3195216A1 (ja)
JP (1) JP2017528811A (ja)
KR (1) KR102393146B1 (ja)
CN (1) CN106716467A (ja)
AU (1) AU2015317684A1 (ja)
BR (1) BR112017003698A2 (ja)
CA (1) CA2959685A1 (ja)
MX (1) MX2017003528A (ja)
RU (1) RU2017108838A (ja)
WO (1) WO2016044502A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11252190B1 (en) * 2015-04-23 2022-02-15 Amazon Technologies, Inc. Limited access policy bypass
US10511632B2 (en) 2017-03-03 2019-12-17 Microsoft Technology Licensing, Llc Incremental security policy development for an enterprise network
US10419488B2 (en) * 2017-03-03 2019-09-17 Microsoft Technology Licensing, Llc Delegating security policy management authority to managed accounts
CN113190882B (zh) * 2021-04-25 2023-10-13 维沃移动通信有限公司 屏蔽控件的方法和装置

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1627759A (zh) * 2003-12-12 2005-06-15 国际商业机器公司 数字管理系统与在此类管理系统中管理访问权限的方法
US20060122955A1 (en) 2004-12-02 2006-06-08 Alex Bethlehem System and method for launching a resource in a network
US9864752B2 (en) * 2005-12-29 2018-01-09 Nextlabs, Inc. Multilayer policy language structure
US8676973B2 (en) 2006-03-07 2014-03-18 Novell Intellectual Property Holdings, Inc. Light-weight multi-user browser
US20080184277A1 (en) * 2007-01-26 2008-07-31 Microsoft Corporation Systems management policy validation, distribution and enactment
US8538376B2 (en) * 2007-12-28 2013-09-17 Apple Inc. Event-based modes for electronic devices
US8499304B2 (en) * 2009-12-15 2013-07-30 At&T Mobility Ii Llc Multiple mode mobile device
US20110252349A1 (en) * 2010-04-07 2011-10-13 Imran Chaudhri Device, Method, and Graphical User Interface for Managing Folders
US8204480B1 (en) * 2010-10-01 2012-06-19 Viasat, Inc. Method and apparatus for secured access
AU2011202837B2 (en) * 2010-12-21 2013-08-22 Lg Electronics Inc. Mobile terminal and method of controlling a mode switching therein
US8881229B2 (en) * 2011-10-11 2014-11-04 Citrix Systems, Inc. Policy-based application management
US9529993B2 (en) 2012-03-02 2016-12-27 International Business Machines Corporation Policy-driven approach to managing privileged/shared identity in an enterprise
US9253209B2 (en) 2012-04-26 2016-02-02 International Business Machines Corporation Policy-based dynamic information flow control on mobile devices
US9405723B2 (en) 2012-05-02 2016-08-02 Kony, Inc. Mobile application management systems and methods thereof
WO2014022755A2 (en) 2012-08-02 2014-02-06 Cellsec Limited Automated multi-level federation and enforcement of information management policies in a device network
US9276963B2 (en) 2012-12-28 2016-03-01 Intel Corporation Policy-based secure containers for multiple enterprise applications
US9661024B2 (en) * 2013-12-12 2017-05-23 Microsoft Technology Licensing, Llc Configuring applications and policies in non-cooperative environments

Also Published As

Publication number Publication date
EP3195216A1 (en) 2017-07-26
US20160088016A1 (en) 2016-03-24
KR102393146B1 (ko) 2022-04-29
CN106716467A (zh) 2017-05-24
US9935978B2 (en) 2018-04-03
AU2015317684A1 (en) 2017-03-09
RU2017108838A (ru) 2018-09-17
CA2959685A1 (en) 2016-03-24
MX2017003528A (es) 2017-06-21
BR112017003698A2 (pt) 2017-11-28
KR20170058987A (ko) 2017-05-29
WO2016044502A1 (en) 2016-03-24

Similar Documents

Publication Publication Date Title
US10848520B2 (en) Managing access to resources
US8656016B1 (en) Managing application execution and data access on a device
JP5480895B2 (ja) コンテンツアクセスに対するワークフローベースの許可
US12393708B2 (en) Systems and methods for dynamically applying information rights management policies to documents
US20090222879A1 (en) Super policy in information protection systems
US10389754B2 (en) Governance policy framework for cloud resources
US10579810B2 (en) Policy protected file access
US10891386B2 (en) Dynamically provisioning virtual machines
US20120246710A1 (en) Dynamic, temporary data access token
US9411963B2 (en) Visual display of risk-identifying metadata for identity management access requests
US9202080B2 (en) Method and system for policy driven data distribution
JP2017528811A (ja) 多数のアイデンティティのアプリケーションに対するポリシーの適用
US10250586B2 (en) Security certification and application categorization for mobile device management
US9104884B2 (en) Implementing role based security in an enterprise content management system
EP2565814B1 (en) Assigning access rights in enterprise digital rights management systems
CN104054088B (zh) 管理跨周界访问
Elwess Bring your own device (BYOD)