JP6101407B2 - 同期及び遠隔データアクセスのためのモバイルデバイス接続制御 - Google Patents

同期及び遠隔データアクセスのためのモバイルデバイス接続制御 Download PDF

Info

Publication number
JP6101407B2
JP6101407B2 JP2016531909A JP2016531909A JP6101407B2 JP 6101407 B2 JP6101407 B2 JP 6101407B2 JP 2016531909 A JP2016531909 A JP 2016531909A JP 2016531909 A JP2016531909 A JP 2016531909A JP 6101407 B2 JP6101407 B2 JP 6101407B2
Authority
JP
Japan
Prior art keywords
computing device
class
unclassified
access
computing devices
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2016531909A
Other languages
English (en)
Other versions
JP2016532957A5 (ja
JP2016532957A (ja
Inventor
ソーベル・ウィリアム・イー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NortonLifeLock Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2016532957A publication Critical patent/JP2016532957A/ja
Publication of JP2016532957A5 publication Critical patent/JP2016532957A5/ja
Application granted granted Critical
Publication of JP6101407B2 publication Critical patent/JP6101407B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/086Access security using security domains

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Information Transfer Between Computers (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本開示は、概して、コンピュータデータの同期及び遠隔アクセスにン関し、より具体的には、デバイス分類に基づいて、モバイルコンピューティングデバイスによって行われる接続を自動的に制御することに関する。
ユーザにとって、ユーザのモバイルコンピューティングデバイス(例えば、電話、タブレット、ラップトップ)を、ユーザのデスクトップコンピュータ及び企業サーバ(例えば、法人、大学、又は他の組織によって管理される仕事用の電子メールサーバ)と同期させることは望ましい。例えば、ユーザは、全く同じ最新の電子メール、連絡先、及びカレンダデータを、ユーザのデスクトップ及びユーザのモバイルデバイスの両方で利用可能にすることを望む。
そのようなデータ同期を提供するための異なる解決策が存在し、それらは、モバイルデバイスの性質及び使用が変化するにつれて、経時的に進化している。Microsoft ActiveSyncは、モバイルデバイスが、Microsoft Exchangeサーバ等の互換性のあるプラットフォームで実行される管理されたサーバを含む、デスクトップコンピュータと同期されることを可能にした、モバイルデータ同期アプリケーションであった。ActiveSyncは、インターネットブックマーク及びファイルとともに、Microsoft Outlook電子メール、カレンダエントリ、連絡先、及びタスクを同期した。ActiveSyncは、多くの現在のモバイルプラットフォームをサポートせず、もはやWindows(登録商標、以下同じ)に含まれていない。
旧ActiveSyncアプリケーションと混同されるべきではないExchange ActiveSync(「EAS」)は、サーバからスマートフォン又は他のモバイルコンピューティングデバイスへの電子メール、連絡先、カレンダ、タスク、及びノートを同期するためのプロトコルである。プロトコルは、XML、並びにExchange ActiveSyncサーバ及びHTTP(又はHTTPS)上で通信するモバイルデバイスに基づく。Microsoft Exchangeサーバは、電子メール、カレンダデータ、及び連絡先をモバイルコンピューティングデバイスと同期するために、Exchange ActiveSyncの使用をサポートする。Exchange ActiveSync自体と混同されるべきではないMicrosoft Exchangeサーバは、グループレベルのメールサービス、カレンダソフトウェア、及び連絡先マネージャを提供する、Microsoftサーバプログラムであることに留意されたい。加えて、Microsoftは、Exchange ActiveSyncの使用を他の当事者に許諾し、Exchange ActiveSyncが、Google Apps for Business、Lotus Domino、及びNovell GroupWise等のいくつかの競合するコラボレーションプラットフォームにおいて実装されることをサポートする。現在、Exchange ActiveSyncは、グループウェアとモバイルデバイスとの間の同期のための事実上の標準であるが、Open Mobile Alliance Data Synchronization and Device Management(以前はSyncMLとして知られていた)及びOpenSync等の他の標準もまた、存在する。
Exchange ActiveSyncは、モバイルデバイス管理及びポリシー制御のためのいくつかのサポートを提供する。例えば、サーバレベルアドミニストレータは、特定のモバイルクライアントをブロックすること、モバイルクライアントがある特性(例えば、最小の長さ、最大の持続期間)を満たすパスワードを有することを必要とすること、ローミングするときに手動の同期を必要とすることなどを行うことができる。更に、Microsoft Exchange及びある第3者ツールは、アドミニストレータが、ホワイト/ブラックリスト上のモバイルクライアントの存在若しくは不在、モバイルクライアントタイプ(例えば、全てのタブレットをブロックする)、及びクライアントオペレーティングシステム(例えば、iOSを実行する全てのデバイスをブロックする)を含む基準に基づいて、ActiveSyncモバイルクライアントを許可又はブロックすることを可能にする。しかしながら、そのようなポリシー制御は、大企業のネットワーク環境に接続する相当数のデバイスを説明及び管理するために、アドミニストレータによる相当量の構成及び継続的な維持を必要とする。アドミニストレータは、接続することができるデバイスを承認すること(全てが許可されているわけではない場合)、及び各ユーザの許可されたデバイスを管理することを担う。
ActiveSync Protectorと呼ばれる1つの第3者製品は、エンドユーザが、単一のモバイルデバイスを自己登録することを許可するモードを有する。このモードでは、初めてユーザがExchange ActiveSyncへの接続を試行するとき、ユーザのモバイルデバイスを自動的に登録することができる。次いで、登録されたデバイスは、登録が取り消されるか若しくは無効化されない限り、又は取り消されるか若しくは無効化されるまで、自動的にアクセスを許可される。同じユーザが、その後、異なるモバイルデバイスでExchange ActiveSyncへの接続を試行する場合、追加のデバイスは、自動的には登録されない。これにより、ユーザの認証情報を取得しているが、ユーザのモバイルデバイスは取得していない攻撃者が、異なるデバイスを使用して企業のインフラストラクチャに接続することが防止される。しかしながら、結果として、正規ユーザは、いかなる追加のモバイルデバイスでのアクセスもデフォルトでブロックされる。代りに、ユーザは、アドミニストレータが例外を作成し、かつユーザが各特定の追加のモバイルデバイスでActiveSyncに接続することができ、このため、バックエンド上のデータにアクセスし、それと同期する前に、それを明示的に許可することを要求することが必要とされる。
1人のユーザにつき単一のモバイルデバイスを許可するこのモデルは、各ユーザが典型的に、1つのモバイルデバイス(即ち、電話)のみを携行していたときには十分であった。しかしながら、ユーザは、今では複数のモバイルデバイス(例えば、スマートフォン及びタブレット)を使用する可能性が高い。更に、より新たなバージョンのMicrosoft Outlookもまた、Exchange ActiveSyncクライアントとしてWindowsコンピュータの同期を可能にする(典型的に、この機能は、ラップトップの場合に使用されるであろう)。単一のユーザが3つの別個のモバイルデバイスを有することも十分あり得る現在の環境において、アドミニストレータは、例外要求に忙殺され、これは、レビュー及び処理に非常に大きな労働力を要する。
これらの問題に対処することが望ましいと考えられる。
集中化された企業レベルデータにアクセスするためのコンピューティングデバイスによる試行が、1つ又は2つ以上のデバイス分類レベルルールに従って管理される。いくつかの実施形態において、問題のコンピューティングデバイスの全てが、モバイルコンピューティングデバイスである。例えば、スマートフォン、タブレット、ラップトップコンピュータ、及びデスクトップコンピュータといった複数のコンピューティングデバイスクラスが定義される。デフォルトクラス定義は、自動的に供給され得る、及び/又はクラス定義は、企業ネットワークのアドミニストレータ等の企業レベルアドミニストレータから受信され得る。複数のコンピューティングデバイスの定義は、名称、モデル番号、タイプ、ID、オペレーティングシステム名、及びオペレーティングシステムバージョン等のコンピューティングデバイスに関する属性に基づいて、特定のクラスに割り当てられる。例えば、企業ネットワーク上のデータをモバイルコンピューティングデバイス上のデータと同期させるための未分類のモバイルコンピューティングデバイスからの要求といった、集中化された企業レベルデータにアクセスするための要求が、未分類のコンピューティングデバイスから受信される。そのような要求は、企業ネットワークにアクセスし、Exchange ActiveSyncを介してデータを同期するための要求の形態であり得るが、そうである必要はない。受信された要求は、要求から読み取られる未分類のコンピューティングデバイスに関する情報を含む。例えば、Exchange ActiveSyncに基づく実施形態において、受信された要求は、未分類のコンピューティングデバイスのインベントリを含む。他の実施形態において、要求は、他の形式の情報、例えば、上で指定される属性(例えば、名称、モデル番号、タイプ、ID、オペレーティングシステム名、及びオペレーティングシステムバージョン)等の未分類のコンピューティングデバイスに関する属性を含む。
未分類のコンピューティングデバイスは、受信された要求から読み取られるコンピューティングデバイスに関する情報に少なくとも部分的に基づいて、定義されたクラスのうちの特定の1つに分類される。未分類のコンピューティングデバイスの定義が特定のクラスに既に割り当てられている場合、未分類のコンピューティングデバイスは、更なる分析を伴わずに、その特定のクラスに分類され得る。そうでない場合、受信された要求から読み取られるコンピューティングデバイスに関する情報は、定義が特定の定義されたクラスに割り当てられている複数のコンピューティングデバイスに関する対応する情報と比較され得る。この比較された情報は、上で指定されるもの等のコンピューティングデバイスに関する属性の形態であり得、異なる重みが、異なる属性に割り当てられ得る。情報の比較に基づいて、複数のコンピューティングデバイスのうちの特定のものは、未分類のコンピューティングデバイスに最も類似するとして判断される。次いで、未分類のコンピューティングデバイスは、最も類似するとして判断されるコンピューティングデバイスの定義が割り当てられている特定のクラスに分類される。コンピューティングデバイスの分類は、保存され、それを使用して、比較プロセスを繰り返すことを必要とせずに、同じ定義を有する不明なコンピューティングデバイスのその後のインスタンスを自動的に分類することができる。
特定の定義されたクラスへのコンピューティングデバイスの分類に応答して、集中化された企業レベルデータにアクセスするための受信された要求は、特定の定義されたクラスのコンピューティングデバイスに対するアクセスポリシーを指定する、1つ又は2つ以上のデバイス分類レベルルールに従って、統制される。そのようなデバイス分類レベルルールは、デフォルトで供給され得る、及び/又は企業レベルアドミニストレータから受信され得る。企業レベルアドミニストレータによるいかなる追加の行為も必要とすることなく、個々のユーザが集中化されたデータにアクセスすることを許容される、各異なるクラスのコンピューティングデバイスの数を制限する分類レベルルールに基づいて、個々のユーザは、複数の特定のクラスの各々の最大で特定の数のコンピューティングデバイスのみを使用して、企業レベルデータに自動的にアクセスすることが各々許可され得る。そのようなルールの一例は、各ユーザが、各定義されたクラスの1つのコンピューティングデバイス(例えば、1つのスマートフォン、1つのタブレット、及び1つのラップトップ)で集中化されたデータにアクセスすることを許容することであろう。このシナリオは、対応するデバイス分類レベルルールに基づいて、個々のユーザが、各特定のクラスの最大で特定の最大数のコンピューティングデバイスのみを各々自己登録することを許可する形態を更にとり得る。次いで、個々のユーザは、企業レベルアドミニストレータによるいかなる追加の行為も必要とすることなく、それらに登録されたコンピューティングデバイスで企業レベルデータに自動的にアクセスすることを許可される。一部の実施形態において、集中化された企業レベルデータにアクセスするための異なるユーザによって行われる受信された要求は、異なるクラスのユーザに対する異なるアクセスポリシーを指定する、異なるデバイス分類レベルルールに従って、統制される。
この発明の概要及び後述の発明を実施するための形態において説明される特徴及び利点は、全てを包含したものではなく、特に、本特許の図面、明細書、及び請求項の見地から、関連分野の当業者には、数多くの追加の特徴及び利点が明らかとなろう。更に、本明細書で使用する言語は読みやすさ及び指導上の目的で主に選択しており、本発明の主題を線引きし又は制限するために選択されていない場合があり、そうした本発明の主題を決定するには特許請求の範囲に頼ることが必要であることに留意すべきである。
一部の実施形態に従う、デバイス接続管理システムが実装され得る例示的なネットワークアーキテクチャのブロック図である。 一部の実施形態に従う、デバイス接続管理システムを実装するために好適なコンピュータシステムのブロック図である。 一部の実施形態に従う、デバイス接続管理システムの動作のブロック図である。 一部の実施形態に従う、デバイス接続管理システムの動作のフローチャートである。
図面は、単に例示目的のため、様々な実施形態を描写する。当業者は、本明細書に説明される原理から逸脱することなく、本明細書に例示される構造及び方法の代替の実施形態を採用し得ることが、以下の考察から容易に認識されるであろう。
図1は、デバイス接続管理システム101が実装され得る例示的なネットワークアーキテクチャ100を例示するブロック図である。例示されるネットワークアーキテクチャ100は、複数のクライアント103A、103B、及び103N、並びに複数のサーバ105A及び105Nを備える。図1において、デバイス接続管理システム101は、サーバ105A上に存在するとして例示される。これは一例にすぎず、様々な実施形態において、このシステム101の様々な機能が、クライアント103、サーバ105上でインスタンス化され得るか、又は複数のクライアント103間及び/若しくはサーバ105間に分散され得ることを理解されたい。
クライアント103及びサーバ105は、図2に例示され、以降で説明されるもの等のコンピュータシステム210を使用して実装することができる。クライアント103及びサーバ105は、図2に関連して以降で説明されるように、ネットワークインターフェース248又はモデム247を介して、ネットワーク107に通信可能に連結される。クライアント103は、例えば、ウェブブラウザ又は他のクライアントソフトウェア(図示せず)を使用して、サーバ105上のアプリケーション及び/又はデータにアクセスすることができる。クライアント103は、ネットワーク107に接続し、アプリケーションを実行することが可能なポータブルコンピュータシステムを備える、デスクトップ/ラップトップコンピュータ、又はモバイルコンピューティングデバイス307の形態であり得る。そのようなモバイルコンピューティングデバイス307は、時にはスマートフォンと称されるが、そのような名称がない多くのモバイル電話もまた、これらの能力を有する。タブレットコンピュータは、モバイルコンピューティングデバイス307の別の例である。
図1には3つのクライアント103及び2つのサーバ105が一例として例示されているが、実際にはもっと多くの(又はもっと少ない)数のクライアント103及び/又はサーバ105を配備することができる。一実施形態において、ネットワーク107は、インターネットの形態である。他の実施形態において、他のネットワーク107又はネットワークベースの環境を使用することができる。
図2は、デバイス接続管理システム101を実装するために好適なコンピュータシステム210のブロック図である。クライアント103及びサーバ105の両方が、そのようなコンピュータシステム210の形態で実装され得る。例示されるように、コンピュータシステム210の1つの構成要素は、バス212である。バス212は、コンピュータシステム210の他の構成要素、例えば、少なくとも1つのプロセッサ214、システムメモリ217(例えば、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、フラッシュメモリ)、入力/出力(I/O)コントローラ218、スピーカ220等の外部オーディオデバイスに通信可能に連結されるオーディオ出力インターフェース222、ディスプレイ画面224等の外部ビデオ出力デバイスに通信可能に連結されるディスプレイアダプタ226、ユニバーサルシリアルバス(USB)レセプタクル228、シリアルポート230、パラレルポート(例示せず)などといった1つ又は2つ以上のインターフェース、キーボード232に通信可能に連結されるキーボードコントローラ233、少なくとも1つのハードディスク244(若しくは他の形態(複数を含む)の磁気媒体)に通信可能に連結される記憶インターフェース234、ファイバチャネル(FC)ネットワーク290と接続するように構成されるホストバスアダプタ(HBA)インターフェースカード235A、SCSIバス239に接続するように構成されるHBAインターフェースカード235B、光ディスク242を受容するように構成される光ディスクドライブ240、例えば、USBレセプタクル228を介してバス212に連結されるマウス246(若しくは他のポインティングデバイス)、例えば、シリアルポート230を介してバス212に連結されるモデム247、並びに、例えば、直接バス212に連結される1つ又は2つ以上の有線及び/又は無線ネットワークインターフェース(複数を含む)248に通信可能に連結する。
他の構成要素(例示せず)は、類似の様態で接続され得る(例えば、ドキュメントスキャナ、デジタルカメラ、プリンタなど)。逆に、図2に例示される構成要素の全てが、存在する必要があるわけではない(例えば、スマートフォン及びタブレットは、典型的に、光ディスクドライブ240、外部キーボード242、又は外部ポインティングデバイス246を有しないが、様々な外部構成要素が、例えば、USBレセプタクル228を介して、モバイルコンピューティングデバイス307に連結され得る)。様々な構成要素は、図2に示されるものとは異なる方法で相互接続することができる。
バス212は、プロセッサ214と、上で記載されるようにROM及び/又はフラッシュメモリ、並びにRAMを含み得るシステムメモリ217との間のデータ通信を可能にする。RAMは、典型的には、オペレーティングシステム及びアプリケーションプログラムがロードされるメインメモリである。ROM及び/又はフラッシュメモリは、他のコードと共に、特定の基本的なハードウェアオペレーションを制御するベーシックインプット・アウトプットシステム(BIOS)を含み得る。アプリケーションプログラムはローカルコンピュータ可読媒体(例えばハードディスク244、光ディスク242)に格納され、システムメモリ217にロードされ、そしてプロセッサ214により実行され得る。アプリケーションプログラムは、例えばネットワークインターフェース248又はモデム247を介して、遠隔の場所(すなわち、遠隔に配置されたコンピュータシステム210)からシステムメモリ217にロードすることもできる。図2において、デバイス接続管理システム101は、システムメモリ217内に存在するとして例示される。デバイス接続管理システム101の仕組みは、図3に関連して以降で更に詳細に説明される。
記憶インターフェース234は、1つ又は2つ以上のハードディスク244(及び/又は他の標準記憶媒体)に連結される。複数のハードディスク244は、コンピュータシステム210の一部であってもよく、又は、物理的に別であってもよく、他のインタフェースシステムを介してアクセスされてもよい。
ネットワークインターフェース248及び/又はモデム247は、例えばインターネットなどのネットワーク107に、直接的又は間接的に、通信可能に連結され得る。そのような連結は、有線又は無線であり得る。
図3は、一部の実施形態に従う、デバイス接続管理システム101の動作を例示する。上で説明されるように、デバイス接続管理システム101の機能は、クライアント103、サーバ105上に存在し得るか、又はデバイス接続管理システム101の機能がネットワーク107上のサービスとして提供される、クラウドベースのコンピューティング環境内を含む、複数のコンピュータシステム210間に分散され得る。デバイス接続管理システム101は、図3において単一のエンティティとして例示されているが、例示されるデバイス接続管理システム101は、所望に応じて単一若しくは複数のモジュールとしてインスタンス化され得る機能の集合体を表すことが理解されるものとする(デバイス接続管理システム101の特定の複数のモジュールのインスタンス化が、図3に例示される)。デバイス接続管理システム101のモジュールは、コンピュータシステム210のプロセッサ214がモジュールを処理し、コンピュータシステム210が関連付けられた機能を実行するように、(例えば、オブジェクトコード若しくは実行可能な画像として)任意のコンピュータシステム210のシステムメモリ217(例えば、RAM、ROM、フラッシュメモリ)内にインスタンス化され得ることが理解されるものとする。本明細書で使用されるとき、「コンピュータシステム」、「コンピュータ」、「クライアント」、「クライアントコンピュータ」、「サーバ」、「サーバコンピュータ」、及び「コンピューティングデバイス」という用語は、説明される機能を実行するように構成及び/又はプログラムされる、1つ又は2つ以上のコンピュータを意味する。更に、デバイス接続管理システム101の機能を実装するためのプログラムコードは、コンピュータ可読記憶媒体上に記憶され得る。この文脈において、磁気又は光学記憶媒体等の任意の形態の有形のコンピュータ可読記憶媒体を使用することができる。本明細書で使用されるとき、「コンピュータ可読記憶媒体」という用語は、内在する物理的な媒体とは別の電気信号を意味しない。
図3に例示されるように、デバイス接続管理システム101は、コンピュータ210(例えば、サーバ105)上で実行され、企業ネットワーク107内の集中化されたデータ301にアクセスするための、異なるタイプの遠隔に位置するコンピューティングデバイス210による試行を管理する。この用語が本明細書において使用されるとき、企業ネットワーク107は、任意のタイプの組織(例えば、法人、大学、政府機関、自治体、市民組織)によって維持されるネットワーク107を意味し、ここでは、専有又は他の私的データ301がその上に記憶され、ネットワーク107へのアクセスは、アドミニストレータ305によって設定されるポリシーに従って制限される。例えば、典型的に、認可されたユーザ(例えば、従業員、学生、メンバなど)のみが、企業ネットワーク107にアクセスすることを許可される。ネットワーク107内の特定のリソース及びデータ301への各特定のユーザのアクセスは、必要に応じて、更に制限され得る。
図3において、Exchange ActiveSync 309及びExchangeサーバ311を伴うサーバ105は、企業ネットワーク107内に存在するとして例示される。これらの構成要素は、例示を明確にするために、単一のサーバ105上に存在するとして例示されるが、実際は、複数の機械にわたってしばしば分散されるであろう。このため、図3に例示される実施形態において、Exchangeサーバ311は、グループウェアプラットフォームとして使用され、Exchange ActiveSync 309は、Exchangeサーバベースのデータ301をモバイルコンピューティングデバイス307と同期させるために使用される。他の実施形態において、以下でより詳細に考察されるように、異なるグループウェアプラットフォーム、データ301のタイプ、同期技術、及び/又はアクセス方法を使用することができる。
デバイス接続管理システム101は、アドミニストレータ305が、モバイルコンピューティングデバイス307のどのクラス317が、Exchange ActiveSync 309を通じて、企業ネットワークに自動的に接続することができるかに関するルール313を設定することを可能にする。例えば、アドミニストレータ305は、各認可されたユーザ(例えば、会社ネットワーク107上にアカウントを有する所与の会社の各従業員)が、ユーザがExchange ActiveSync 309を使用してネットワークに接続し得る、1つのスマートフォン、1つのタブレット、及び1つのラップトップコンピュータを有し得ることを指定する、ルール313を設定し得る。以降で詳細に説明されるように、デバイス接続管理システム101は、デバイス分類レベルルール313を、モバイルコンピューティングデバイス307から受信される同期要求に自動的に適用する。
デバイス分類レベルにおいてアクセスを管理するために、デバイス接続管理システム101のクラス定義モジュール315は、企業ネットワーク107への接続を試行する各モバイルデバイス307が、適切に分類され得るように、複数のデバイスクラス317を定義する。より具体的には、デバイスクラス317は、アクセス及び同期ポリシーを統制するルール313が作成されるべきであるレベルにおいて定義される。クラス定義モジュール315は、典型的な構成(例えば、スマートフォン、タブレット、及びラップトップ)に基づく、デフォルトクラス317を供給することができる。一部の実施形態において、アドミニストレータ305は、非デフォルトクラス317を供給し、例えば、GUI又はコマンドラインを通じて、デフォルトのものを編集及び/又は削除する。クラス317は、所望される特定のルール313ベースのアクセス/同期構成ポリシーに依存して、任意のレベルの粒度であり得る。例えば、非常に高いレベルにおいて、全てのモバイルデバイスは、2つのみのクラス317(例えば、ハンドヘルド及びラップトップ)に分割され得る。中レベルにおいて、3つのクラス317、スマートフォン、タブレット、及びラップトップが使用され得る。より高いレベルの一般クラスのスマートフォンとは対照的に、iPhone、Android電話、Windows電話、及びBlackberry等の異なるタイプのモバイルコンピューティングデバイス307間で更に区別する、より低いレベルのクラス317が定義され得る。より低いレベルの区別を行う別の例は、単一のより高いレベルのラップトップクラス317の代りに、デスクトップ交換グレードノートブック(noteboook)、サブノートブック、ネットブックなど等のポータブルクラムシェルタイプコンピュータの異なる等級に対する別個のクラス317を定義することであろう。クラス定義モジュール315はまた、自動的に(例えば、ウェアラブルコンピューティングデバイス等の新たなタイプのモバイルプラットフォームの展開に基づき)、及びアドミニストレータ305からの入力に応答して(例えば、異なるレベルの粒度において新たなアクセス/同期ルール313を作成したいという要望に基づいて)の両方で、経時的に新たなクラス317を定義することができる。
デバイス接続管理システム101のデバイス定義割り当てモジュール318は、デバイス307の説明又は他の属性に基づいて、特定のモバイルデバイス307の定義を、定義されたクラス317のうちの1つに割り当てる。所与のモバイルデバイス307の定義は、組み合わせてその特定のモバイルデバイス307を識別する、名称、モデル番号、タイプ、ID、OS名、及びOSバージョン等の属性の集合体である。所与のモバイルデバイス309の定義は、その特定のデバイス309のインスタンスから区別されるものとする。例えば、特定のスマートフォンの定義は、不明なデバイスが特定のスマートフォンのインスタンスであると判定するために使用することができる、属性を含む。特定のスマートフォンの実際のインスタンスは、定義を満たす個々のスマートフォンである。
一部の実施形態において、デバイス定義割り当てモジュール318は、これらの既知のデバイス307の個々のインスタンスからアクセス要求を受信する前に、複数の既知のモバイルデバイス307の定義を適切なクラス317に割り当てる。このため、既知のモバイルコンピューティングデバイス307のベースが確立され得、これは、アクセス要求を行う、その後に遭遇した不明なモバイルデバイス307を分類する上で有用であり得る。例えば、デバイス定義割り当てモジュール318は、様々な既知の、一般的に使用されるスマートフォンの定義を、スマートフォンクラス317に割り当て得る。そのような既知のスマートフォンの定義の例は、特定のバージョンのiOSを実行する特定のバージョンのiPhone、特定のバージョンのAndroidを実行する特定のSamsung(及び/又はHTC、Motorolaなど)電話、Windows 8を実行する特定のNokia電話などである。デバイス定義割り当てモジュール318はまた、特定の既知のタブレット(例えば、既知のiPadバージョン、既知のGoogle/Asus Nexusタブレット、特定のLenovo Androidタブレットなど)等の他のタイプの既知のモバイルデバイス307の定義を適切に更に割り当て得る。上で記載されるように、デバイス定義割り当てモジュール318は、モデル、タイプ、ID、名称、OSなど等の特定のデバイス307の属性に基づいて、これらの割り当てを行うことができる。デバイス定義割り当てモジュール318がこれらの割り当てを行うために使用する正確な基準は、実施形態間で異なり得る。クラス317自体の定義と同様に、特定のモバイルデバイス307を定義、割り当て、識別、及び分類するときに使用される粒度のレベルは、可変の設計パラメータである。一部の実施形態において、アドミニストレータ305は、所望に応じて、これらの割り当て及び/又は分類に入力、編集、及び/又は削除することができる。
デバイス接続管理システム101の要求受信モジュール321は、モバイルコンピューティングデバイス307からアクセス要求を受信する。図3に例示される実施形態において、そのような要求は、Exchange ActiveSync 309に接続するための要求の形態であるが、要求は、他の実施形態において、他の特定の形態をとることができる。要求がモバイルコンピューティングデバイス307から受信されるとき、デバイス接続管理システム101の要求読み取りモジュール323は、デバイス307を識別する(及びしたがってその後分類する)ために、要求を読み取る。Exchange ActiveSync 309の場合、アクセス要求は、要求デバイス307に関するインベントリ情報を含む。このため、Exchange ActiveSync 309ベースの環境において、要求読み取りモジュール323は、インベントリを読み取って、モバイルデバイス307を識別する。
デバイス接続管理システム101のデバイス分類モジュール319は、特定の要求しているモバイルデバイス307の定義がクラス317に既に割り当てられているかどうか(即ち、モバイルデバイス307が既知かどうか)を判定する。そうである場合、デバイス分類モジュール319は、要求しているモバイルデバイス307をそれに従って分類する。例えば、ActiveSyncインベントリが、要求しているモバイルデバイス307を、スマートフォンクラス317に既に割り当てられているAndroid 4.1を実行するHTC Oneの特定のモデル番号のインスタンスであるとして識別する場合、デバイス分類モジュール319は、更なる調査を伴うことなく、要求しているモバイルデバイス307をスマートフォンとして分類することができる。
一実施形態において、要求しているモバイルデバイス307が不明である(例えば、特定のデバイスの定義がこれまでにクラス317に割り当てられていない)場合、デバイス分類モジュール319は、最も類似する既知のモバイルデバイス307を見つけ出すために、要求から収集されるモバイルデバイス307に関する情報(例えば、ActiveSyncインベントリ)を、既知のモバイルデバイス307に関する対応する情報と比較する。次いで、デバイス分類モジュール319は、最良の一致のクラス317に従って、要求しているモバイルデバイス307を分類する。例えば、アクセス要求が、iOSバージョン7.0を実行するiPhone 5から受信されると仮定する。この例示的なシナリオにおいて、iOS 6.xを実行するiPhone 5は、スマートフォンであることが既知であるが、iOSバージョン7.0を伴うiPhone 5に対して、定義は存在しない。要求しているモバイルデバイス307に関する情報を既知のデバイス307と比較することによって、デバイス分類モジュール319は、要求している不明なモバイルデバイス307及び既知のiPhone 5 iOS 6.xデバイス307は、両方ともiPhoneであるが、要求しているデバイスは、iOSの後のバージョンを有すると判定し得る。既知のiPhone 5 iOS 6.xを不明なiPhone 5 iOS 7.0に対する最良の一致であると判断するため、デバイス分類モジュール319は、モバイルデバイス307を、クラス317スマートフォン(一致する既知のモバイルデバイス307が属するクラス317)に割り当てるであろう。デバイス分類モジュール319は、スマートフォンとしてのiPhone 5 iOS 7.0の分類を保存し、そのため、更なる調査を伴うことなく、iOS 7.0を実行するiPhone 5sから受信されるその後の要求を、スマートフォンからであるとして認識するであろう。換言すると、一度iPhone 5 iOS 7.0が識別され、クラス317に割り当てられると、それは、既知のモバイルデバイス307となる。
上で説明される分類シナリオは一例にすぎず、異なる実施形態において、分類目的のために、既知のモバイルデバイス307を、不明なモバイルデバイス307に類似するとして判断するために使用される基準は変化することが理解されるものとする。要求から(例えば、ActiveSyncインベントリから)収集されるモバイルデバイス307に関する特定の属性は、何の情報が要求に含まれるか、及び実施形態において所望されるデバイス識別粒度のレベルに依存して、変化し得る。上で記載されるように、これらの属性の例は、モデル、タイプ、ID、名称、OSなど等の情報である。加えて、どの特定の属性を、分類されるべき特定のモバイルデバイス307の定義と関連付けるかは、可変の設計パラメータである。どの属性をこの能力において使用するかは、何の情報がアクセス要求において利用可能か、及びデバイス識別粒度の実施形態の特定のレベルに基づき得る。上の例において、異なるiPhone定義は、名称(「iPhone」)、モデル番号(5)、OS(iOS)、及びOSバージョン番号(6.x、7.0)を含むとして説明される。他の実施形態において、特定のモバイルデバイス307は、より正確なモデル番号情報(例えば、iPhone 5 GSM(登録商標、以下同じ) モデルを識別するA1428、iPhone 5 GSM/CDMAモデルを識別するA1429、及びiPhone 5 CDMA中国モデルを識別するA1442)、並びにより正確なiOSバージョン番号(例えば、6.0、6.0.1、6.0.2、6.1、6.1.1など)等のより大きいレベルの正確性を伴って識別され得る。他の実施形態において、より一般的な、より高いレベルの識別が行われる(例えば、名称「iPhone」を伴う全てのモバイルデバイス307は、モデル番号、OSバージョンなどにかかわらず、同じモバイルデバイス307であるとして定義される)。
不明なモバイルデバイス307に遭遇するとき、分類の基礎となる最も類似する既知のデバイス307を見つけ出すために適用される、特定の一致論理もまた、実施形態間で異なり得る。典型的に、要求から収集される不明なモバイルデバイス307の属性は、モバイルデバイス307を定義、識別、及び分類するために使用される実施形態の特定の属性(例えば、名称、モデル番号、タイプ、ID、OS名、OSバージョンなど)に基づいて、既知のデバイス307の属性と比較される。最良の一致を見つけ出す上で、各既知のデバイス307と価値が等しい不明なデバイス307の属性の数が考慮される。例えば、不明なデバイス307と同じ名称、モデル番号、及びOSを有する既知のモバイルデバイス307は、典型的に、他の全てが等しいならば、同じOSのみを共有する既知のデバイスよりも良好な一致であろう。更に、重みは、異なる属性に割り当てられ得る(例えば、同じ名称を有することが、同じOSを有することよりも良好な一致をより示すと見なされ得る)。所与の属性に適用するための特定の重みは、可変の設計パラメータであり、これは、不明なものを分類する目的のために、最も類似する既知のモバイルデバイス307を判定する計算において、異なる属性の重要性の実施形態の特定のレベルを反映するように設定され得る。
一部の実施形態において、デバイス分類モジュール319は、不明なデバイス307を既知のものと比較することなく、インベントリにおける情報に基づいて、不明なモバイルデバイス307を単純に分類する。例えば、デバイス分類モジュール319は、事前定義された基準に従って、特定の名称又は他の特徴を有する全ての不明なモバイルデバイス307を分類し得る(例えば、名称において「電話」を有するモバイルデバイス307は、スマートフォンとして自動的に分類され得る、など)。一部の実施形態において、デバイス分類モジュール319は、モバイルデバイス307に関する収集された情報が、所望の閾値レベルのデバイス識別信頼性を伴って、実施形態の特定の基準を満たす場合、これを行うのみである(例えば、名称においてiPhoneを有するデバイスはスマートフォンであり、OSがWindows 7であるデバイスはラップトップである、など)。そのような実施形態において、識別が、ActiveSyncインベントリに基づいて、必要なレベルの信頼性を伴って行うことができない場合、デバイス分類モジュール319は、最も類似する既知のデバイス307を見つけ出すように、上で説明される比較機能を実施する。閾値レベルのデバイス識別信頼性に達する特定の基準は、可変の設計パラメータである。他の実施形態において、デバイス分類モジュール319は、既知のモバイルデバイス307との比較が、分類の基礎となる十分に類似する候補をもたらさなかった場合、インベントリ情報に基づいて、不明なモバイルデバイス307の識別を試行するのみである。この場合、デバイス分類モジュール319は、利用可能な情報に基づいて、不明なモバイルデバイス307の分類を行うように試行することができるか、又は代りに、クラス「不明な」であるとしてカテゴリ化することができる。
Exchange ActiveSync 309を介して企業ネットワーク107に接続することを要求するモバイルデバイス307の分類に基づいて、デバイス接続管理システム101のアクセス統制モジュール303は、所与のクラス317のデバイスに対するアクセスポリシーを指定する、少なくとも1つのデバイス分類レベルルール313に従って、アクセス要求を統制する。例えば、一部の実施形態において、アクセス統制モジュール303は、アドミニストレータ305からの例外を要求及び受信することを必要とせずに、ユーザが複数のモバイルコンピューティングデバイス307を自己登録することを許可し、ここでは、自己登録することができるモバイルデバイス307の数及びクラス317が、特定のデバイス分類レベルルール313に従って制限される。例えば、アドミニストレータ305が、各ユーザが、1つのスマートフォン、1つのタブレット、及び1つのラップトップを使用して、Exchange ActiveSync 309を通じて、企業ネットワーク107にアクセスすることができるが、いかなる追加のモバイルデバイス307でのアクセスも認められた例外を必要とするということを指定する、ルール313を定義したと仮定する。このシナリオにおいて、未登録のモバイルデバイス307から受信される各アクセス要求に応答して、アクセス統制モジュール303は、モバイルデバイス307のユーザ及びクラス317を識別する。ユーザは、ログイン試行(即ち、Exchange ActiveSync 309等の同期プラットフォームを介した、Exchangeサーバ311等の企業レベルシステムへのログインの試行)において供給されるユーザ名によって識別されることが理解されるものとする。アクセス統制モジュール303は、Exchange ActiveSync 309によって(及び/又は、一部の実施形態においては、デバイス接続管理システム101自体によって)記憶される登録情報をチェックし、このユーザが、登録された同じクラスの異なるモバイルデバイス307を既に有しているかどうかを判定する。アクセス統制モジュール303は、ユーザが、同じクラス317の登録されたモバイルデバイス307をまだ有していない(例えば、ユーザが、スマートフォンでアクセスを試行しており、登録された異なるスマートフォンをまだ有していない)場合、自己登録を許容する。一方で、アクセス統制モジュール303は、同じクラス317の異なるモバイルデバイス307が、ユーザに対して既に登録されている場合、自己登録をブロックする。デバイス307の自己登録が許容されない場合、ユーザは、アドミニストレータ305からの例外を要求することができる。一度、特定のモバイルデバイス307が、ユーザに対して登録されると、ユーザは、モバイルデバイス307を利用して、Exchange ActiveSync 309に自動的に接続し、Exchangeサーバベースの(又は他のタイプの集中化された企業レベル)データ301を同期させることができる。
上で説明されるシナリオは、Exchange ActiveSync 309を介した自動アクセスを統制するための可能なデバイス分類レベルルール313の一例にすぎないことが理解されるものとする。他の可能な(非包括的な)例は、各ユーザが任意の2つのモバイルデバイス307を自己登録することを許可すること(ただし、それらが異なるクラス317であることを条件とする)、1つのiPhone、1つのAndroid電話、任意の種類の1つのタブレット、及び1つのWindowsラップトップを許可すること、1つのラップトップ、及びラップトップではない1つの追加のモバイルデバイス307を許可することなどである。異なるルール313もまた、ユーザの必要性(例えば、マネージャが非マネージャよりも多くのデバイスを自己登録することができる、Linux(登録商標、以下同じ)部の開発者が複数のLinuxデバイスを自己登録することができる、など)に依存して、ユーザの異なるクラスに対して作成することができる。単純に1人のユーザにつき1つのモバイルデバイス307を許可することとは対照的に、デバイス分類レベルにおいて、アクセスを自動的に統制することによって、アドミニストレータ305が管理する必要がある例外要求の数は、全体として低減され、同時に、アドミニストレータ305には、デバイス分類ベースの粒度のいかなるレベルにおいても、カスタマイズされたアクセスポリシーを作成及び自動的に適用するための柔軟性が提供される。
図3は、デバイス接続管理システム101が、Exchange ActiveSync 309を介して企業ネットワーク107に接続し、Exchangeサーバベースのデータ301を同期するために認可された特定のクラス317のモバイルデバイス307の数を指定する、デバイス分類レベルルール313を適用する、実施形態を例示する。本実施形態は、デバイス接続管理システム101の1つの特定の使用事例にすぎないことが理解されるものとする。上で記載されるように、一部の実施形態において、デバイス接続管理システム101は、Exchangeサーバ311以外のグループウェアプラットフォーム、及び/又はExchange ActiveSync 309以外の同期プロトコルの文脈内で、そのデバイス分類レベルアクセス管理を実施する。更に、一部の実施形態において、この機能は、モバイルデバイス307での企業ネットワーク107レベルにおけるデータ301の同期以外のデータアクセスシナリオにおいて適用される。
異なる実施形態において、デバイス接続管理システム101は、いかなる状況下においても、コンピューティングデバイス210を分類し、デバイス分類レベルルール313を強化して、コンピューティングデバイス210(モバイル、又はそうでなければ、例えば、特定の作り、モデル、オペレーティングシステム、プロセッサなどのデスクトップコンピュータ及びワークステーション)の複数のクラス317からの集中化されたデータ301へのアクセスを統制する。換言すると、デバイス分類に従って、セキュリティ上の理由により、企業レベルデータ301へのアクセスを制限することが望ましい、いかなるシナリオにおいても、アクセスポリシーを指定するルール313を定義することができ、デバイス接続管理システム101は、アクセスを試行するコンピューティングデバイス210を分類し、ルール313を適用することができる。デバイス分類レベルルール313は、実施されている特定のタスク、データ301のタイプ、ユーザの位置などに基づいて、集中化されたデータ301のアクセスが認可される所与の分類のコンピューティングデバイス210の数を制限するように指定することができる。一部のシナリオにおいて、特定のクラス317のデバイスは、アクセスを完全にブロックされる(即ち、数がゼロに制限される)。どのような状況下でどの特定のデバイス分類レベルルール313を定義及び適用するかは、企業レベルアドミニストレータ305が強化したいアクセスポリシーに依存して異なる。一部の実施形態において、デバイス接続管理システム101は、ある事前構成されたデフォルトデバイス分類レベルルール313を供給する。典型的に、企業レベルアドミニストレータ305は、所望に応じてルール313を定義、追加、編集、及び削除して、デバイス接続管理システム101によって自動的に適用されるべきデバイス分類レベルアクセスポリシーを定義することができる。
図4は、一部の実施形態に従う、デバイス接続管理システム101の動作の工程を例示する。クラス定義モジュール315は、コンピューティングデバイス210の複数のクラス317を定義する401。デバイス定義割り当てモジュール318は、特定のコンピューティングデバイス210の定義を、定義されたクラス317のうちの特定のものに割り当てる403。要求受信モジュール321は、未分類のコンピューティングデバイス210からアクセス要求を受信する405。要求読み取りモジュール323は、受信された要求から、未分類のコンピューティングデバイス210に関する情報を読み取る407。デバイス分類モジュール319は、受信された要求から読み取られる、コンピューティングデバイス210に関する情報に少なくとも部分的に基づいて、未分類のコンピューティングデバイス210を分類する409。分類に基づいて、アクセス統制モジュール303は、所与のクラス317のコンピューティングデバイス210に対するアクセスポリシーを指定する、デバイス分類レベルルール313に従って、受信されたアクセス要求を統制する411。
当業者によって理解されるであろうように、本発明は、本発明の趣旨又は本質的な特性から逸脱することなく、他の特定の形態で具現化され得る。同様に、部分、モジュール、エージェント、マネージャ、構成要素、機能、手順、行為、階層、特徴、属性、方法論、データ構造及びその他の態様の具体的な名称及び区分は、必須のものでも重要なものでもなく、本発明又はその特徴を実装するメカニズムは、別の名称、区分、及び/又は形式を有し得る。説明のための前述の記載は、特定の実施形態を参照して説明されている。しかしながら、上述の例示の考察は、包括的であること、又は開示される正確な形態に限定することを意図するものではない。上述の教示を考慮して、多くの修正及び変更が可能である。実施形態は、関連する原理及びその実際的な適用を最適に説明するよう選択及び記述されており、これにより、他の当業者が、想到される特定の使用に好適であり得るような様々な改変を行うか行わないかにかかわらず、様々な実施形態を最適に利用できる。

Claims (15)

  1. 少なくとも1つのデバイス分類レベルルールに従って、集中化された企業レベルデータにアクセスするために、コンピューティングデバイスによって行われる試行を管理するためのコンピュータ実装方法であって、
    コンピュータによって、コンピューティングデバイスの複数のクラスを定義する工程と、
    前記コンピュータによって、特定のコンピューティングデバイスに関する属性に基づいて、複数のコンピューティングデバイスのうちの各前記特定のものの定義を、前記複数の定義されたクラスのうちの特定のものに割り当てる工程と、
    前記コンピュータによって、集中化された企業レベルデータにアクセスするために、未分類のコンピューティングデバイスからの要求を受信する工程であって、前記受信された要求が、前記未分類のコンピューティングデバイスに関する情報を含む、工程と、
    前記コンピュータによって、前記受信された要求から前記未分類のコンピューティングデバイスに関する情報を読み取る工程と、
    前記受信された要求から読み取られる前記コンピューティングデバイスに関する情報に少なくとも部分的に基づいて、前記コンピュータによって、前記未分類のコンピューティングデバイスを、前記複数の定義されたクラスのうちの特定のものに分類する工程と、
    前記コンピューティングデバイスの前記特定の定義されたクラスへの前記分類に応答して、少なくとも1つのデバイス分類レベルルールに従って、前記コンピュータによって、集中化された企業レベルデータにアクセスするための前記受信された要求を統制する工程であって、前記少なくとも1つのデバイス分類レベルルールが、前記特定の定義されたクラスのコンピューティングデバイスに対するアクセスポリシーを指定する、工程と、
    特定のクラスに割り当てられていない前記未分類のコンピューティングデバイスの定義に応答して、前記受信された要求から読み取られる前記コンピューティングデバイスに関する情報を、定義が定義されたクラスに割り当てられている複数のコンピューティングデバイスに関する対応する情報と比較する工程と
    を含み、
    前記受信された要求から読み取られる前記コンピューティングデバイスに関する情報を、定義が定義されたクラスに割り当てられている複数のコンピューティングデバイスに関する対応する情報と比較する工程は、
    複数の属性からの少なくともいくつかの属性を比較することと、
    前記複数の属性の少なくともいくつかに異なる重みを割り当てることであって、属性に割り当てられる重みは、不明なものを分類する目的のために最も類似する既知のモバイルデバイスを判定するときの前記属性の重要性のレベルを反映する、ことと、
    同じ定義を有する不明なコンピューティングデバイスのその後のインスタンスを分類するように、前記コンピューティングデバイスの前記分類を保存することと、
    を含む、方法。
  2. 前記コンピューティングデバイスが、モバイルコンピューティングデバイスを更に備える、請求項1に記載の方法。
  3. 集中化された企業レベルデータにアクセスするための前記未分類のコンピューティングデバイスからの前記要求が、企業ネットワーク上のデータをモバイルコンピューティングデバイス上のデータと同期させるための未分類の前記モバイルコンピューティングデバイスからの要求を更に含む、請求項1に記載の方法。
  4. 前記企業ネットワーク上のデータを前記モバイルコンピューティングデバイス上のデータと同期させるための前記未分類のモバイルコンピューティングデバイスからの前記要求が、前記企業ネットワークにアクセスし、Exchange ActiveSyncを介してデータを同期させるための要求を更に含む、請求項3に記載の方法。
  5. コンピューティングデバイスの前記複数のクラスを定義することが、
    企業レベルアドミニストレータから少なくともいくつかのクラス定義を受信することを更に含む、請求項1に記載の方法。
  6. 特定のコンピューティングデバイスに関する属性に基づいて、複数のコンピューティングデバイスのうちの各前記特定のものの定義を、前記複数の定義されたクラスの特定のものに割り当てることが、
    名称、モデル番号、タイプ、ID、オペレーティングシステム名、及びオペレーティングシステムバージョンからなる属性群からの特定のコンピューティングデバイスに関する少なくともいくつかの属性に基づいて、コンピューティングデバイスの定義を定義されたクラスに割り当てることを更に含む、請求項1に記載の方法。
  7. 前記受信された要求から前記未分類のコンピューティングデバイスに関する情報を読み取ることが、
    前記受信された要求に含まれる前記未分類のコンピューティングデバイスのインベントリを読み取ることを更に含む、請求項1に記載の方法。
  8. 前記受信された要求から前記未分類のコンピューティングデバイスに関する情報を読み取ることが、
    名称、モデル番号、タイプ、ID、オペレーティングシステム名、及びオペレーティングシステムバージョンからなる属性群から、前記受信された要求からの前記未分類のコンピューティングデバイスに関する少なくともいくつかの属性を読み取ることを更に含む、請求項1に記載の方法。
  9. 前記未分類のコンピューティングデバイスを前記複数の定義されたクラスのうちの特定のものに分類することが、
    情報の前記比較に基づいて、前記複数のコンピューティングデバイスのうちの特定のものを、前記未分類のコンピューティングデバイスに最も類似するとして判断することと、
    前記未分類のコンピューティングデバイスを、最も類似するとして判断される前記コンピューティングデバイスの定義が割り当てられている特定のクラスに分類することと
    更に含む、請求項1に記載の方法。
  10. 企業レベルアドミニストレータによるいかなる追加の行為も必要とすることなく、個々のユーザが企業レベルデータにアクセスすることを許容される、複数の特定のクラスの各々のコンピューティングデバイスの数を制限する分類レベルルールに基づいて、個々のユーザが、複数の特定のクラスの各々の最大で特定の数のコンピューティングデバイスのみを使用して、企業レベルデータに各々自動的にアクセスすることを許可することを更に含む、請求項1に記載の方法。
  11. 個々のユーザが各々自己登録することを許容される、複数の特定のクラスの各々のコンピューティングデバイスの数を制限する分類レベルルールに基づいて、個々のユーザが、複数の特定のクラスの各々の最大で特定の数のコンピューティングデバイスのみを使用して、各々自己登録することを許可することと、
    企業レベルアドミニストレータによるいかなる追加の行為も必要とすることなく、個々のユーザが、企業レベルデータに、それらに登録されたコンピューティングデバイスで自動的にアクセスすることを許可することを更に含む、請求項1に記載の方法。
  12. 異なるデバイス分類レベルルールに従って、集中化された企業レベルデータにアクセスするために、異なるユーザによって行われる受信された要求を統制することを更に含み、前記異なるデバイス分類レベルルールが、異なるクラスのユーザに対して異なるアクセスポリシーを指定する、請求項1に記載の方法。
  13. 少なくとも1つのデバイス分類レベルルールに従って、集中化された企業レベルデータにアクセスするために、コンピューティングデバイスによって行われる試行を管理するためのコンピュータシステムであって、
    少なくとも1つのプロセッサと、
    システムメモリと、
    前記システムメモリ内に存在するクラス定義モジュールであって、コンピューティングデバイスの複数のクラスを定義するようにプログラムされている、クラス定義モジュールと、
    前記システムメモリ内に存在するデバイス定義割り当てモジュールであって、複数のコンピューティングデバイスのうちの各特定のものの定義を、前記特定のコンピューティングデバイスに関する属性に基づいて、前記複数の定義されたクラスのうちの特定のものに割り当てるようにプログラムされている、デバイス定義割り当てモジュールと、
    前記システムメモリ内に存在する要求受信モジュールであって、集中化された企業レベルデータにアクセスするための未分類のコンピューティングデバイスからの要求を受信するようにプログラムされており、前記受信された要求が、前記未分類のコンピューティングデバイスに関する情報を含む、要求受信モジュールと、
    前記システムメモリ内に存在する要求読み取りモジュールであって、前記受信された要求からの前記未分類のコンピューティングデバイスに関する情報を読み取るようにプログラムされている、要求読み取りモジュールと、
    前記システムメモリ内に存在するデバイス分類モジュールであって、前記受信された要求から読み取られる前記コンピューティングデバイスに関する情報に少なくとも部分的に基づいて、前記未分類のコンピューティングデバイスを、前記複数の定義されたクラスのうちの特定のものに分類するようにプログラムされている、デバイス分類モジュールと、
    前記システムメモリ内に存在するアクセス統制モジュールであって、前記コンピューティングデバイスの前記特定の定義されたクラスへの前記分類に応答して、少なくとも1つのデバイス分類レベルルールに従って、集中化された企業レベルデータにアクセスするための前記受信された要求を統制するようにプログラムされており、前記少なくとも1つのデバイス分類レベルルールが、前記特定の定義されたクラスのコンピューティングデバイスに対するアクセスポリシーを指定する、アクセス統制モジュールと、
    特定のクラスに割り当てられていない前記未分類のコンピューティングデバイスの定義に応答して、前記受信された要求から読み取られる前記コンピューティングデバイスに関する情報を、定義が定義されたクラスに割り当てられている複数のコンピューティングデバイスに関する対応する情報と比較する情報比較モジュールと
    を備え、
    前記受信された要求から読み取られる前記コンピューティングデバイスに関する情報を、定義が定義されたクラスに割り当てられている複数のコンピューティングデバイスに関する対応する情報と比較することは、
    複数の属性からの少なくともいくつかの属性を比較することと、
    前記複数の属性の少なくともいくつかに異なる重みを割り当てることであって、属性に割り当てられる重みは、不明なものを分類する目的のために最も類似する既知のモバイルデバイスを判定するときの前記属性の重要性のレベルを反映する、ことと、
    同じ定義を有する不明なコンピューティングデバイスのその後のインスタンスを分類するように、前記コンピューティングデバイスの前記分類を保存することと、
    を含む、コンピュータシステム。
  14. コンピューティングデバイスの前記複数のクラスを定義することは、複数のデフォルトクラス定義を供給することを更に含む、請求項1に記載の方法。
  15. 企業レベルアドミニストレータから、アクセスポリシーを指定する少なくとも1つのデバイス分類レベルルールを受信することを更に含む、請求項1に記載の方法。
JP2016531909A 2013-07-31 2014-07-31 同期及び遠隔データアクセスのためのモバイルデバイス接続制御 Expired - Fee Related JP6101407B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/955,420 2013-07-31
US13/955,420 US9210176B2 (en) 2013-07-31 2013-07-31 Mobile device connection control for synchronization and remote data access
PCT/US2014/049234 WO2015017699A2 (en) 2013-07-31 2014-07-31 Mobile device connection control for synchronization and remote data access

Publications (3)

Publication Number Publication Date
JP2016532957A JP2016532957A (ja) 2016-10-20
JP2016532957A5 JP2016532957A5 (ja) 2017-02-09
JP6101407B2 true JP6101407B2 (ja) 2017-03-22

Family

ID=52428935

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016531909A Expired - Fee Related JP6101407B2 (ja) 2013-07-31 2014-07-31 同期及び遠隔データアクセスのためのモバイルデバイス接続制御

Country Status (5)

Country Link
US (1) US9210176B2 (ja)
EP (1) EP3028435A4 (ja)
JP (1) JP6101407B2 (ja)
CN (1) CN105531977B (ja)
WO (1) WO2015017699A2 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11605037B2 (en) 2016-07-20 2023-03-14 Fisher-Rosemount Systems, Inc. Fleet management system for portable maintenance tools
US10270853B2 (en) * 2016-07-22 2019-04-23 Fisher-Rosemount Systems, Inc. Process control communication between a portable field maintenance tool and an asset management system
US10764083B2 (en) 2016-07-25 2020-09-01 Fisher-Rosemount Systems, Inc. Portable field maintenance tool with resistor network for intrinsically safe operation
CN110115015B (zh) * 2016-12-29 2022-04-15 爱维士软件有限责任公司 通过监测其行为检测未知IoT设备的系统和方法
CN109167765A (zh) * 2018-08-17 2019-01-08 国云科技股份有限公司 一种限制云终端注册数量的方法
US10805163B2 (en) * 2018-08-21 2020-10-13 Hewlett Packard Enterprise Development Lp Identifying device types based on behavior attributes
CN109492376B (zh) * 2018-11-07 2021-11-12 浙江齐治科技股份有限公司 设备访问权限的控制方法、装置及堡垒机
US11592811B2 (en) * 2019-10-02 2023-02-28 Honeywell International Inc. Methods and apparatuses for defining authorization rules for peripheral devices based on peripheral device categorization
CN114092043A (zh) * 2021-11-09 2022-02-25 中国建设银行股份有限公司 数据管理平台、方法、设备及计算机可读存储介质

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8074256B2 (en) * 2000-01-07 2011-12-06 Mcafee, Inc. Pdstudio design system and method
US7555497B2 (en) * 2003-08-21 2009-06-30 Microsoft Corporation Systems and methods for separating units of information manageable by a hardware/software interface system from their physical organization
JP4640776B2 (ja) * 2004-12-24 2011-03-02 株式会社エヌ・ティ・ティ・データ 情報システム設定装置、情報システム設定方法及びプログラム
CA2606326A1 (en) * 2005-04-29 2006-11-09 Bharosa Inc. System and method for fraud monitoring, detection, and tiered user authentication
WO2007053848A1 (en) 2005-11-01 2007-05-10 Mobile Armor, Llc Centralized dynamic security control for a mobile device network
US8005879B2 (en) * 2005-11-21 2011-08-23 Sap Ag Service-to-device re-mapping for smart items
US8566960B2 (en) 2007-11-17 2013-10-22 Uniloc Luxembourg S.A. System and method for adjustable licensing of digital products
US8745153B2 (en) * 2009-02-09 2014-06-03 Apple Inc. Intelligent download of application programs
CN101729403A (zh) * 2009-12-10 2010-06-09 上海电机学院 基于属性和规则的访问控制方法
GB2507941B (en) 2010-02-22 2018-10-31 Avaya Inc Secure,policy-based communications security and file sharing across mixed media,mixed-communications modalities and extensible to cloud computing such as soa
US8527549B2 (en) * 2010-02-22 2013-09-03 Sookasa Inc. Cloud based operating and virtual file system
US9119017B2 (en) 2011-03-18 2015-08-25 Zscaler, Inc. Cloud based mobile device security and policy enforcement
US8863298B2 (en) * 2012-01-06 2014-10-14 Mobile Iron, Inc. Secure virtual file management system

Also Published As

Publication number Publication date
CN105531977B (zh) 2018-04-10
JP2016532957A (ja) 2016-10-20
WO2015017699A2 (en) 2015-02-05
CN105531977A (zh) 2016-04-27
EP3028435A4 (en) 2017-04-26
EP3028435A2 (en) 2016-06-08
US20150040179A1 (en) 2015-02-05
WO2015017699A3 (en) 2015-11-12
US9210176B2 (en) 2015-12-08

Similar Documents

Publication Publication Date Title
JP6101407B2 (ja) 同期及び遠隔データアクセスのためのモバイルデバイス接続制御
US10417454B1 (en) Automated secure operating system policy integration
US10454942B2 (en) Managed clone applications
US9825996B2 (en) Rights management services integration with mobile device management
US9246918B2 (en) Secure application leveraging of web filter proxy services
TWI502368B (zh) 雲端計算系統及其電腦實施方法
CA3001282C (en) Log information generation apparatus and recording medium, and log information extraction apparatus and recording medium
US9270777B2 (en) Social media and data sharing controls for data security purposes
US8561142B1 (en) Clustered device access control based on physical and temporal proximity to the user
US20140181801A1 (en) System and method for deploying preconfigured software
CN112805980B (zh) 用于移动设备管理的基于无查询设备配置确定的技术
CN110073335B (zh) 管理应用程序的共存和多个用户设备管理
US11588681B2 (en) Migration of managed devices to utilize management platform features
US11848935B2 (en) Dynamically generating restriction profiles for managed devices
US9565059B1 (en) Systems and methods for dynamically configuring computing system group assignments based on detected events
US11757976B2 (en) Unified application management for heterogeneous application delivery
US8930462B1 (en) Techniques for enforcing data sharing policies on a collaboration platform
US20140215039A1 (en) System and method for managing peer-to-peer information exchanges
US11546358B1 (en) Authorization token confidence system
US11353855B1 (en) Configuring and deploying gateway connectors and workflows for data sources at client networks
US8505100B1 (en) User account level anti-malware exclusions
US20170111394A1 (en) Information management apparatus, information management system, and computer-readable recording medium

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161216

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161216

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20161216

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20170120

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170131

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170224

R150 Certificate of patent or registration of utility model

Ref document number: 6101407

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees