KR20220152222A - 장치의 보안 관리 - Google Patents

장치의 보안 관리 Download PDF

Info

Publication number
KR20220152222A
KR20220152222A KR1020227031156A KR20227031156A KR20220152222A KR 20220152222 A KR20220152222 A KR 20220152222A KR 1020227031156 A KR1020227031156 A KR 1020227031156A KR 20227031156 A KR20227031156 A KR 20227031156A KR 20220152222 A KR20220152222 A KR 20220152222A
Authority
KR
South Korea
Prior art keywords
configuration
template
management server
managed
check
Prior art date
Application number
KR1020227031156A
Other languages
English (en)
Inventor
피터 존 리처즈
션 앤더슨 보울스
하이펭 리
피터 제이 카우프만
샤약 라히리
브라이언 스튜어트 펄먼
벤카타 라구람 팜파나
드루마 기산 파리크
마노지 자인
Original Assignee
마이크로소프트 테크놀로지 라이센싱, 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 테크놀로지 라이센싱, 엘엘씨 filed Critical 마이크로소프트 테크놀로지 라이센싱, 엘엘씨
Publication of KR20220152222A publication Critical patent/KR20220152222A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/084Configuration by using pre-existing information, e.g. using templates or copying from other elements
    • H04L41/0843Configuration by using pre-existing information, e.g. using templates or copying from other elements based on generic templates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/085Retrieval of network configuration; Tracking network configuration history
    • H04L41/0853Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Stored Programmes (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 문서는 다양한 유형의 배치된 장치의 관리를 지원하는 프로세스와 관련된다. 엔터프라이즈 서비스를 이용하는 관리자는 관리 서버에 제공될 수 있는 구성 템플릿을 사용하여 일반 구성 데이터를 제공할 수 있다. 관리 서버는 그 후 장치 특정 구성 설정을 미리 계산하고 구성 템플릿에 기초하여 일어날 수 있는 임의의 충돌을 해결할 수 있다. 구성 템플릿은 또한 비밀 값을 위한 플레이스홀더를 포함할 수 있고, 피관리 장치가 관리 서버에 체크인하면, 적용가능 엔트프라이즈 서비스로부터 비밀 값이 검색되고 구성 템플릿을 적용할 시에 피관리 장치에 제공될 수 있다.

Description

장치의 보안 관리
전 세계에 걸친 조직(organization)에서 정보 기술(IT) 관리자에게 공통적으로 필요한 것은 조직 전체에서 여러 유형의 장치와 네트워크를 관리할 수 있는 편리한 기능이다. 일반적으로, 조직은 해당 조직과 연관된 장치에 특정 규칙이나 요구 사항을 적용하기를 원할 수 있다. 그러나, 조직의 네트워크와 작동하려면 각 장치에 고유한 정보가 필요할 수 있으며, 이 경우 IT 관리자가 프로비저닝 프로세스의 일환으로 각 장치를 수동으로 구성해야 할 수 있다. 또한, 조직에서 사용하는 다양한 장치에는 서로 다른 구성이 필요할 수 있으므로, IT 관리자는 장치를 설정하기 위해 구성 템플릿에 쉽게 의존할 수 없고, 그 결과 장치를 사용 가능한 상태로 구성하는 데 비용과 시간이 추가된다. 이와 같이, 장치를 편리한 방식으로 신속하게 프로비저닝하는 데에는 여전히 어려움이 존재한다.
상세한 설명은 첨부된 도면을 참조하여 설명한다. 도면에서 참조 번호의 맨 왼쪽 숫자(들)는 그 참조 번호가 처음 나타나는 도면을 나타낸다. 설명 및 도면에서 상이한 경우에 유사한 참조 번호를 사용하는 것은 유사하거나 동일한 항목을 나타낼 수 있다.
도 1은 본 개념의 일부 구현에 따른 예시적인 시스템을 도시한 것이다.
도 2는 본 개념의 일부 구현에 따른 예시적인 그래픽 사용자 인터페이스를 도시한 것이다.
도 3은 본 개념의 일부 구현에 따른 예시적인 시스템을 도시한 것이다.
도 4는 본 개념의 일부 구현에 따른 예시적인 프로세스 흐름을 도시한 것이다.
도 5는 본 개념의 일부 구현에 따른 예시적인 방법 또는 기법을 도시한 것이다.
개요
다양한 조직에서, IT 관리자는 일반적으로 조직 전체에 장치를 배치하고, 이러한 장치가 조직의 네트워크를 안전하고 안정적으로 유지하도록 보장할 수 있는 다양한 설정으로 적절하게 구성되도록 하는 임무를 맡는다. 예를 들어, 조직은 조직의 직원에게 발급된 임의의 장치를 차단하여 그 직원이 새 애플리케이션을 설치하거나 장치 설정을 수정할 수 없도록 요구할 수 있다. 또는, 조직은 사용자가 신뢰할 수 있는 특정 애플리케이션만 설치할 수 있도록, 피관리 장치(managed device)에 대한 애플리케이션 설치를 제한할 수 있다. 그러나, 조직에서 배치될 수 있는 다양한 장치로 인해, 조직의 보안 요구 사항을 준수하기 위해 각 장치에 서로 다른 구성 값이 필요할 수 있으므로, 이러한 장치를 관리하기가 어려울 수 있다.
특정 예에서, IT 관리자는 조직의 장치를 프로비저닝하고 보호하는 데 도움이 될 수 있는 일련의 서비스 및 기술을 제공할 수 있는 엔터프라이즈 이동성 관리(EMM) 서비스를 이용할 수 있다. 예를 들어, 조직은 다수의 장치를 배치할 수 있으며, 이들 장치의 전원을 켤 때 또는 장치의 배치 수명 동안 주기적으로 이들 장치는 EMM과 상호작용하여 프로비저닝에 필요한 구성 데이터를 수신할 수 있다. 이러한 구성 데이터는, 예를 들어 보안 정책, 무선 암호, 필요한 애플리케이션 및 다양한 관리자 툴을 포함할 수 있다. EMM을 활용하는 한 조직은 EMM을 활용하는 다른 조직과 요구 사항이 크게 다를 수 있으므로, EMM은 일반적으로 장치 구성에 어느 정도 유연성을 제공할 수 있다. 따라서, EMM은 조직과 연관된 배치된 장치에 적용할 다양한 구성 설정을 정의하는 것을 돕는데 사용될 수 있다.
그러나, EMM을 사용하더라도, IT 관리자는 배치되는 장치의 유형에 따라 여러 가지 다른 구성 프로파일을 제공해야 할 수도 있다. 예를 들어, 직원에게 스마트폰과 랩탑을 배포할 때, 두 장치의 구성 설정이 매우 다를 수 있으며, 이는 IT 관리자가 장치 구성에 사용할 여러 구성 설정 집합을 결정하도록 요구할 수 있다. 따라서, 조직 전체에 다양한 유형의 장치를 배포하는 데 많은 작업이 필요할 수 있다.
또한, 특정 예에서, 조직이 장치들에 대한 운영 체제들 사이에서 마이그레이션할 때와 같이, 조직은 하나의 EMM으로부터 다른 EMM으로 변경할 필요가 있을 수 있다. 각 EMM은 장치를 관리하는 데 서로 다른 방법을 사용하기 때문에, IT 관리자는 흔히 조직에서 사용하는 다양한 장치 유형과 연관된 다양한 구성 프로필을 재정의하여 새로운 EMM 서비스로 다시 시작해야 할 수 있다. 또한, 각 장치는 새로운 EMM 서비스와 함께 작동하려면 포맷되고 다시 프로비저닝되어야 할 수 있다.
따라서, 본 명세서에 개시된 개념은 하나 이상의 EMM과 다양한 배치된 장치 사이에 중개자 역할을 할 수 있는 플랫폼 관리 서버를 제공함으로써 편리한 장치 배치를 가능하게 하는 기술적 솔루션을 제공할 수 있다. EMM 사용자는 플랫폼 관리 서버를 활용하여 모든 장치에 사용될 수 있는 공통 구성 템플릿에 따라 피관리 장치에 다양한 구성 설정 및 리소스를 적용할 수 있다. 구성 템플릿은 EMM을 통해, 보안 설정 및 설치 요구 사항을 비롯하여 장치에 적용할 다양한 구성을 지정할 수 있다. 배치된 장치의 전원을 켤 때, 장치는 플랫폼 관리 서버에 체크인할 수 있는데, 이 서버는 장치가 플랫폼 관리 서버에 의해 관리되어야 하는지 여부와 어떤 특정 EMM이 장치를 관리해야 하는지를 검색하는 데 도움을 줄 수 있는 탐색 서비스(discovery service)를 포함할 수 있다.
장치가 플랫폼 관리 서버에 의해 관리되어야 한다고 결정하면, 플랫폼 관리 서버는 장치와 연관된 EMM에 의해 제공되는 특정 구성 템플릿을 적용할 수 있다. 특정 구현에서, 구성 템플릿은 조직이 플랫폼 관리 서버에서 공유되거나 보이기를 원하지 않을 수 있는 비밀번호 또는 기타 민감한 데이터와 같은 추가 구성 데이터 값을 위한 하나 이상의 플레이스홀더를 포함할 수 있다. 이런 경우, 플랫폼 관리 서버는 EMM에 콜백(call back)을 발행하여 비밀 값을 제공할 수 있으며, 이 값은 EMM에서 암호화될 수 있고 암호화된 상태로 장치에 전달되어, 데이터의 세부 사항은 플랫폼 관리 서버가 알 수 없다. 암호화된 데이터를 수신하면, 장치는 데이터를 해독하고, 장치의 구성 동안 비밀 값을 적용할 수 있다.
플랫폼 관리 서버는 장치의 전원을 켤 때 장치가 체크인하기 전에 구성 템플릿에 의해 지정된 다양한 구성 설정 및 애플리케이션을 추가적으로 미리 계산할 수 있다. 예를 들어, 플랫폼 관리 서버는, 조직에서 사용하는 특정 스마트폰 장치에 대해 조직에서 선호할 수 있는 애플리케이션을 설치하기 전에 스마트폰의 특정 애플리케이션이 제거될 필요가 있다고 미리 계산할 수 있다. 또한, 플랫폼 관리 서버는 IT 관리자에 의해 제공된 템플릿에 잠재적으로 충돌하는 요구 사항이 있는지 여부를 판단하고, 이러한 충돌을 해결하고 EMM을 통해 관리자에게 보고할 수 있다.
여기서 구성 데이터에 대한 임의의 참조는 소프트웨어 애플리케이션, 정책 설정, 암호, 사전 공유 키, 일회용 비밀, 토큰, 고유 식별자, 체크섬 값, 암호화 넌스(nonce), 또는 장치가 네트워크를 사용할 수 있도록 하는 데 사용하기 위해 장치 구성에 사용될 수 있는 기타 유형의 데이터와 같은 장치를 구성하는 데 사용될 수 있는 여러 유형의 데이터를 포함할 수 있음을 이해해야 한다. 이러한 구성 데이터는 플랫폼 관리 서버를 통해 장치에 제공될 수 있는 구성 패킷과 연관될 수 있으며, 여기서 장치는 구성 패킷과 연관된 다양한 설정 및 애플리케이션을 적용할 수 있다.
예시적인 시스템
도 1을 참조하면, 본 명세서에 개시된 기술에 따라 배치된 장치의 보안 관리를 수행하기 위한 예시적인 시스템(100)이 제공된다. 도 1에 도시된 바와 같이, 시스템(100)은, 예컨대 데스크탑 또는 랩탑 장치(104(1)) 또는 휴대용 장치(104(2))를 포함할 수 있는 하나 이상의 피관리 장치(들)(104)의 프로비저닝을 관리하기 위해 사용될 수 있는 플랫폼 관리 서버(102)를 포함할 수 있다. 피관리 장치(104)의 관리는, 하나 이상의 엔터프라이즈 서비스(들)(108)와 상호 작용하여 피관리 장치(104)를 프로비저닝하기 위해 사용될 구성 템플릿을 정의하고 프로비저닝 프로세스의 상태를 모니터링할 수 있는 관리자(106)에 의해 개시될 수 있다. 엔터프라이즈 서비스(108)는 EMM일 수 있으며, 다수의 상이한 유형의 EMM, 예컨대 특정 서비스 제공자에 의해 제공되는 EMM일 수 있는 EMM(108(1))과, 다른 서비스 제공자에 의해 제공되는 EMM일 수 있는 EMM(108(2))를 포함할 수 있다. 예를 들어, 엔터프라이즈 서비스(108)는 이러한 EMM 서비스들 중에서 Microsoft Intune®, AirWatch by VMware®, Mobilelron® 중 어느 하나 또는 이들 전부일 수 있다.
플랫폼 관리 서버(102), 피관리 장치(104), 관리자(106), 및 엔터프라이즈 서비스(108)는 모두 네트워크(110)(예를 들어, 인터넷 또는 인트라넷)를 통해 통신 가능하게 연결될 수 있다. 그러나, 시스템(100)에 도시된 다양한 엔티티가 네트워크(110)에 통신 가능하게 결합될 수 있지만, 모든 엔티티가 반드시 서로 통신할 수 있는 것은 아님을 이해해야 한다. 예를 들어, 일부 구현에서, 관리자(106)는 엔터프라이즈 서비스(108)와만 통신할 수 있고 플랫폼 관리 서버(102)와 직접 통신하는 기능은 없다. 유사하게, 플랫폼 관리 서버(102)가 피관리 장치와의 통신을 담당할 수 있기 때문에, 엔터프라이즈 서비스(108)는 피관리 장치(104)와 직접 통신하는 기능이 없을 수 있다.
플랫폼 관리 서버(102) 및 피관리 장치(104)는 각각 프로세서(112) 및 메모리(114)를 포함할 수 있다. 메모리(114)는 본 명세서에 개시된 프로세스를 수행하기 위해 프로세서(112)에 의해 실행될 수 있는 다양한 소프트웨어 모듈을 포함할 수 있다. 메모리(114)는 자기 또는 솔리드 스테이트 드라이브와 같은 영구 저장 자원과 하나 이상의 랜덤 액세스 메모리 장치와 같은 휘발성 저장부를 모두 포함할 수 있다. 일부 경우에, 메모리(114)와 관련하여 본 명세서에 설명된 모듈은, 영구 저장 장치에 저장되고 랜덤 액세스 메모리(RAM)에 로드되며, 실행을 위해 프로세서에 의해 RAM에서 판독되는 실행 가능한 명령어로서 제공될 수 있다.
플랫폼 관리 서버(102)와 연관된 메모리(114(1))는 피관리 장치(104)를 구성하는 것과 연관된 다양한 관리 작업을 수행하기 위해 프로세서(112)에 의해 실행가능한 소프트웨어 프로그램일 수 있는 관리 모듈(116)을 포함하거나 이에 액세스할 수 있다. 메모리(114(1))는 또한 엔터프라이즈 서비스(108)가 사용할 프로그래밍 인터페이스를 제공하도록 노출될 수 있는 API(118), 및 배치된 장치와 상호작용할 수 있는 탐색 모듈(120) 및 체크인 모듈(122)을 포함할 수 있다.
일 구현에서, 엔터프라이즈 서비스(108)는 조직 내에서 피관리 장치의 시각적 묘사를 표시하기 위한 그래픽 사용자 인터페이스(GUI)를 포함할 수 있는 관리자(106)에 의해 사용 가능한 소프트웨어 애플리케이션을 포함할 수 있고, 플랫폼 관리 서버(102)에 의해 제공되는 장치에 적용될 수 있는 템플릿을 통해 이들 장치를 구성하는 데 사용할 수 있는 다양한 옵션에 대한 정보를 관리자(106)에게 제공할 수 있다. 구체적으로, 엔터프라이즈 서비스(108)의 GUI는 API(118)를 사용하여 프로그래밍 방식의 호를 만들어 관리 모듈(116)과 상호 작용하여 관리 모듈(116)의 구성 능력에 관한 소정의 정보를 가져올 수 있고. 관리 모듈(116)에 의한 처리에 적합한 형태로 수신된 템플릿 데이터를 제공할 수 있다. 이러한 템플릿 데이터는, 예를 들어 플랫폼 관리 서버(102)의 데이터베이스(124)에 저장될 수 있다.
일부 구현에서, 관리 모듈(116)은 장치를 관리하기 위해 플랫폼 관리 서버(102)를 이용하는 특정 EMM에 관계없이 특정 구성 데이터만 템플릿에 지정되도록 허용할 수 있다. 특정 유형의 정보에 대한 API 호만 제공함으로써, 플랫폼 관리 서버(102)는 엔터프라이즈 서비스(108)를 통해 관리자(106)에 의해 적용된 구성 설정이 사전 정의된 템플릿의 범위를 벗어나지 않도록 할 수 있다. 예를 들어, 플랫폼 관리 서버(102)에 의해 활용되는 템플릿은 다양한 데이터 필드의 큰 목록을 포함할 수 있지만, EMM은 템플릿의 템플릿화된 필드를 넘어서는 추가적인 비밀 값을 지정할 수 없다. 이것은 관리 모듈(116)이 시스템 불안정을 초래할 수 있는 알려지지 않은 데이터를 처리하는 방법의 문제에 부딪치지 않고 피관리 장치(104)에 대한 구성 패킷을 적절하게 미리 계산할 수 있음을 보장할 수 있다.
여러 유형의 피관리 장치(104)가 사용할 구성 데이터를 정의하는 능력을 엔터프라이즈 서비스(108)에 제공함에 있어서, 관리 모듈은 장치가 어떤 종류의 장치인지에 관계없이 장치가 체크인되면 궁극적으로 필요한 장치별 구성 단계를 미리 계산할 수 있으므로, 관리 모듈(116)은 구성이 각각의 피관리 장치에 어떻게 적용될 수 있는지에 대한 세부 사항을 추상화할 수 있다. 이와 같이, 관리자(106)는 특정 장치에 대한 데이터의 할당과 함께 장치 구현에 관계없이 구성 템플릿에 의해 지정되는 임의의 관련 데이터를 기입함으로써 엔터프라이즈 서비스(108)를 통해 일반 구성 데이터를 제공할 수 있다. 특정 장치에 대한 템플릿 할당은 관리자(106)가 조직의 다양한 배치된 장치 중에서 특정 장치를 쉽게 지정할 수 있도록 하는 유연한 할당 시스템을 활용할 수 있다. 유연한 할당 시스템은, 예를 들어 마케팅 그룹과 같이 조직 내의 특정 그룹과 연관되는 모든 장치가 대상이 될 수 있는 분류 기능을 제공할 수 있으며, 도 2와 관련하여 아래에서 더 자세히 설명된다.
도 2는 배치된 특정 장치에 구성 템플릿을 할당하기 위해 관리자(106)에게 표시될 수 있는 할당 시스템의 예시적인 그래픽 사용자 인터페이스(GUI)(200)를 도시한 것이다. 도 2는 예시적인 GUI(200)를 보여주는데, 여기서 GUI(200)는 엔터프라이즈 서비스(108)를 통해 관리자(106)에게 제시될 수 있다. 예시적인 GUI(200)는 관리자(106)가 특정 피관리 장치 또는 장치 그룹을 검색하고, 구성 템플릿을 장치에 적용할 수 있게 하는 관리 페이지를 보여준다. GUI(200)는 또한 장치에 대한 템플릿의 적용에 관한 정보를 관리자(106)에게 제공할 수 있다.
특히, GUI(200)는 배치될 수 있는 다양한 피관리 장치를 생성, 검색, 정렬 또는 필터링하기 위해 관리자(106)에 의해 사용될 수 있는 예시적인 사용자 인터페이스를 나타낸다. GUI(200)는 표시될 수 있는 관련 정보를 추출하기 위해 데이터베이스(124)와 상호작용할 수 있고, 관리자(106)로부터 데이터를 수신하면 관리자에 의해 이루어진 변경을 반영하도록 데이터베이스(124)를 업데이트할 수 있다. GUI(200)는 관리자(106)가 새로운 장치 또는 장치의 그룹화를 정의할 수 있도록 하는 새로운 장치 버튼(202)을 포함하는 다양한 메뉴 옵션을 포함할 수 있고, 장치 또는 그룹 데이터는 플랫폼 관리 서버(102)의 데이터베이스(124)에 저장될 수 있다. 일 구현에서, 장치는 장치의 일련 번호 또는 기타 식별 특성을 기반으로 식별될 수 있다. GUI(200)는 데이터베이스(124) 내에 현재 저장된 템플릿의 목록을 표시할 수 있는 템플릿 보기 버튼(204)을 더 포함할 수 있어, 장치와 연관될 수 있는 템플릿의 추가, 삭제 또는 수정을 허용한다.
GUI(200)는 또한 특정 장치를 선택하고 템플릿을 장치에 할당하는 수많은 유연한 방법을 포함할 수 있다. 예를 들어, GUI(200)는 개발자가 특정 장치에 대한 질의를 삽입할 수 있게 하는 검색 필드(206)를 포함할 수 있고, 데이터베이스(124) 내에 알려져 있는 기존 장치가 수신된 질의에 기초하여 검색될 수 있다. 검색 필드(206)는 장치가 이미 존재하는 개별 사용자 또는 그룹과 연관될 수 있는 경우에 특히 유용할 수 있으며, 이에 의해 관리자(106)가 관심 있는 피관리 장치를 비교적 빠르게 식별할 수 있다. GUI(200)는 사용자 필터 필드(208), 그룹 필터 필드(210), 및 유형 필터 필드(212)를 더 포함할 수 있으며, 이는 기존 장치가 특정 사용자의 이름, 관리자(106)와 연관된 조직 내의 그룹 이름과 같은 다양한 입력, 또는 스마트폰 또는 랩탑 장치와 같은 조직 내의 장치 유형에 기초하여 필터링될 수 있게 한다. 이러한 필드는 텍스트 입력 필드, 풀다운 메뉴 등이 될 수 있다.
GUI(200)는 기존 피관리 장치에 대한 여러 행을 포함하는 필드(214)를 더 포함할 수 있으며, 여기서 각 행은 개별 장치 또는 장치 그룹에 대응할 수 있다. 각 장치는 연관된 설명(사용자 및/또는 그룹 이름을 지정할 수 있음), 특정 장치 또는 그룹과 연관된 템플릿(데이터베이스(124)에서 채워질 수 있는 풀다운 메뉴를 통해 수정될 수 있음), 템플릿에 대한 장치의 상태, 및 그룹 내 장치 또는 장치로부터 수신한 마지막 보고서의 기록을 가질 수 있다.
필드(214)에 표시된 다양한 장치 설명은 관리자(106)에 의해 개별적으로 선택될 수 있다. 설명 선택 시, 선택된 장치 또는 선택된 트레이닝 대화와 연관된 특정 대화 흐름을 묘사하는 그룹과 연관된 정보를 표시하는 사용자 인터페이스가 생성될 수 있다. 예를 들어, 조직과 연관된 피관리 네트워크에서 장치의 등록을 수정하기 위한 옵션과 함께, 장치와 연관된 현재 하드웨어를 표시하는 그래픽 사용자 인터페이스가 표시될 수 있다. 행의 정보는 관리자(106)가 다양한 피관리 장치를 구별하고 적용된 템플릿의 관점에서 적절한 상태를 결정하는 것을 돕기 위해 설명되지만, 도 2에 도시된 정보는 제시될 수 있는 정보만 반영하고자 하는 것은 아니며, 장치를 관리하는 데 있어 관리자(106)를 도울 수 있는 임의의 적절한 유형의 정보가 고려된다.
도 1을 다시 참조하면, 예컨대 GUI(200)를 통해 구성 템플릿 및 장치 할당을 수신하면, 관리 모듈(116)은 구성 템플릿 및 임의의 연관된 할당을 데이터베이스(124)에 저장할 수 있고, 구성 템플릿에서 지정되는 설정을 적용하기 위해 피관리 장치(104)에 제공될 수 있는 다양한 설치 파라미터를 미리 계산할 수도 있다. 또한, 특정 구성 데이터의 설치가 장치의 다른 데이터와 충돌을 일으키지 않도록 하는 방식으로 설치 파라미터의 우선 순위를 지정할 수 있다. 예를 들어, 피관리 장치(104)의 체크인 시, 관리 모듈(116)은 장치에 적용될 적절한 템플릿을 결정할 수 있고, 관리 모듈(116)은 구성 템플릿이 관리자(106)로부터 처음 수신되었을 때 장치에 대한 설치 파라미터를 이미 미리 계산했기 때문에, 필요한 파라미터를 찾기 위해 관리 모듈(116)에 의한 즉석 계산을 기다릴 필요 없이, 설치 파라미터가 피관리 장치(104)에 즉시 제공될 수 있다.
탐색 모듈(120)은 피관리 장치(104)와 연관된 초기 탐색 작업을 처리하는 데 사용될 수 있다. 특정 구현에서, 피관리 장치(104)는 최근에 위치 또는 사용자에게 배치될 수 있고, 장치의 전원을 켤 때 장치는 어떤 EMM이 장치의 구성을 인증하고 관리해야 하는지를 결정할 수 있도록 하기 위해 탐색 모듈(120)에 액세스하도록 미리 구성될 수 있다. 탐색 모듈(120)이 피관리 장치가 연관되어야 하는 적절한 EMM을 결정하면, 피관리 장치는 장치의 체크인 시 사용할 인증서를 제공받을 수 있으며, 이는 장치와 함께 사용할 특정 템플릿을 정의하는 것을 도울 수 있다. 체크인을 위한 특정 인증서를 수신하면, 피관리 장치(104)는 체크인 모듈(122)과 상호작용할 수 있으며, 여기서 플랫폼 관리 서버(102)는 장치의 현재 상태를 결정하는 프로세스를 시작할 수 있다.
도 3은 플랫폼 관리 서버(102) 및 다양한 모듈과 연관된 메모리(114(1))를 더 상세히 도시한 것이다. 전술한 바와 같이, 관리 모듈(116)은 구성 템플릿에 지정된 설정을 적용하기 위해 피관리 장치(104)에 제공될 수 있는 다양한 설치 파라미터를 미리 계산할 수 있다. 일 구현에서, 설치 파라미터의 사전 계산은 구성 템플릿에 따라 피관리 장치(104)의 구성의 일부로서 포함될 수 있는 다양한 소프트웨어 인벤토리에 대한 참조를 포함할 수 있는 인벤토리 서비스(302)와 조합하여 수행될 수 있다. 인벤토리 서비스(302)는 특정 장치에 대한 디폴트 구성을 지정하는 레코드를 더 가질 수 있으며, 따라서 관리 모듈(116)은 특정 소프트웨어가 일반적으로 이들 장치에 설치될 수 있는지, 그리고 관리자(106)가 제공한 구성에 따라 장치에서 제거되어야 하는지 여부를 결정하기 위해 이들 레코드를 참조할 수 있다.
예를 들어, 배치된 장치는 일단 장치가 OEM(Original Equipment Manufacturer)으로부터 배송(shipping)되면 특정 웹 브라우저로 자동으로 이미지화될 수 있고, 관리자(106)는 잠재적인 보안 리스크로 인해 웹 브라우저가 제거되기를 원할 수 있다. 이 경우에, 인벤토리 서비스(302)는 OEM으로부터 배송된 장치가 웹 브라우저로 사전 구성되는지 여부를 나타낼 수 있는 레코드를 가질 수 있으며, 따라서 관리 모듈(116)은 웹 브라우저를 제거하는 단계를 포함할 수 있다. 다른 구현에서, 인벤토리 서비스(302)는 특정 피관리 장치와 연관되어야 하는 특정 소프트웨어의 적절한 버전을 결정할 수 있다. 예를 들어, 다양한 피관리 장치에 대해 새로운 운영 체제를 사용할 수 있지만, 관리자(106)는 특정 장치가 호환성을 위해 운영 체제의 이전 버전을 유지하기를 원할 수도 있다. 이와 같이, 인벤토리 서비스(302)는 요청될 경우 장치에 대한 적절한 소프트웨어 버전을 반환할 수 있다.
관리 모듈(116)은 또한 충돌 서비스(304)를 포함할 수 있으며, 이는 피관리 장치의 구성과 연관된 설치 파라미터의 우선순위를 정하는 것을 도울 수 있다. 충돌 서비스(304)는, 특정 구성 데이터의 설치가 장치의 다른 데이터와 충돌을 일으키지 않고 설치 전에 임의의 종속성이 충족되는 것을 보장할 수 있는 방식으로, 특정 소프트웨어의 설치 또는 구성 설정의 적용에 우선순위를 지정할 수 있다. 예를 들어, 특정 소프트웨어 애플리케이션의 설치는 피관리 장치(104)에 존재하는 특정 구성 설정을 요구할 수 있고, 따라서 충돌 서비스(304)는 구성 설정이 소프트웨어의 설치 전에 적용되어야 한다고 결정할 수 있다. 또는, 충돌 서비스(304)는 장치에 대해 수신된 템플릿이 특정 소프트웨어 애플리케이션의 설치를 지정할 수 있다고 결정할 수 있는 반면, 템플릿은 또한 나중에 소프트웨어 애플리케이션이 제거되어야 함을 나타낼 수 있다. 이 경우, 충돌 서비스(304)는 충돌을 해결하고, 충돌 해결에 관한 정보를 제공할 수 있다.
일부 구현에서, 충돌 해결 정보는 보고 서비스(306)에 제공될 수 있으며, 보고 서비스는 피관리 장치(104)의 프로비저닝 상태에 관해 관리자(106)에 대한 정보를 생성할 수 있다. 구체적으로, 보고 서비스(306)는 프로비저닝 프로세스의 각 단계 및 특정 설치 단계의 성공 또는 실패 여부에 대한 상세한 정보를 제공할 수 있다. 보고 서비스(306)는 피관리 장치(104)의 프로비저닝이 완료되면 요약 보고서를 추가로 생성할 수 있고, 요약 보고서는 관리 모듈(116)을 통해 관리자(106)에게 제공될 수 있다.
일부 구현들에서, 탐색 모듈(120)은 탐색 서비스(308) 및 등록 서비스(310)를 포함할 수 있다. 새로운 장치의 체크인 시, 플랫폼 관리 서버(102)는, EMM이 존재할 경우 어떤 EMM이 장치를 관리해야 하는지를 탐색할 수 있다. 따라서, 전술한 바와 같이, 장치의 전원을 켤 때, 장치가 EMM과 연관되어야 하는지 여부 및 등록을 수행할 특정 EMM을 결정할 수 있도록 하기 위해 장치는 탐색 서비스(308)에 액세스하도록 미리 구성될 수 있다. 탐색 서비스(308)는 데이터베이스가 플랫폼 관리 서버(102)에 의해 관리될 장치를 지정하는 정보를 포함하는지 여부를 결정하기 위해 데이터베이스(124)와 상호작용할 수 있다. 또한, 데이터베이스(124)는 장치를 관리할 수 있는 특정 EMM에 관한 데이터를 포함할 수 있다. 장치가 플랫폼 관리 서버(102)에 의해 관리되어야 한다고 결정되고, 피관리 장치가 연관되어야 하는 적절한 EMM을 결정하면, 등록 서비스(310)는 장치의 체크인에 사용될 적절한 인증서를 발행하기 위해 데이터베이스(124)와 상호작용할 수 있는데, 이는 장치와 함께 사용할 특정 템플릿을 정의하는 데 도움이 될 수 있다.
인증서를 수신하면, 피관리 장치(104)는 체크인 모듈(122)을 통해 체크인 프로세스를 수행할 수 있으며, 이는 어떤 구성 데이터가 장치에 대해 현재 로컬이고, 어떤 구성 데이터가 구성 템플릿에 따라 장치에 위치해야 하는지를 결정할 수 있다. 체크인 모듈(122)은 다양한 구성의 피관리 장치의 적절한 구성을 가능하게 할 수 있는 다양한 OS 및/또는 장치 특정 서비스를 포함할 수 있다. 예를 들어, 체크인 모듈(122)은 윈도우즈(Windows) 서비스(312), iOS/macOS 서비스(314), 리눅스(Linux) 서비스(316) 및 안드로이드(Android) 서비스(318)를 포함할 수 있고, 이들 각각은 동작 동안 변환 계층(320)을 활용할 수 있다.
이들 서비스는 운영 체제 구성에 따라 피관리 장치의 적절한 프로비저닝에 필요할 수 있는 특정 설치 파라미터를 포함할 수 있으며, 각 서비스와 연관된 변환 계층(320)은 일반 명령어를 다른 유형의 피관리 장치 및/또는 장치의 운영 체제에 필요할 수 있는 특정 프로비저닝 커맨드로 적절하게 변환할 수 있다. 그러나, 피관리 장치에 있을 수 있는 다른 하드웨어(예를 들어, ARM 기반 명령어 세트, x86 명령어 세트 등)에 대한 서비스와 같이, 추가 서비스가 체크인 모듈(122)의 일부로 활용될 수 있음을 이해해야 한다. 체크인 모듈(122)이 장치의 현재 상태와 구성 템플릿에 명시된 원하는 구성 간의 차이를 결정하면, 구성 패킷이 구성 템플릿 및 구성 템플릿에 의해 정의되는 장치 상태를 얻기 위해 필요할 수 있는 데이터를 포함할 수 있는 피관리 장치에 제공될 수 있다. 체크인 프로세스에 대한 더 자세한 설명은 도 4와 관련하여 아래에서 더 자세히 설명된다.
다시 도 1을 참조하면, 구성 패킷이 피관리 장치(104)로 발행되면, 구성 패킷은 피관리 장치(104)와 연관된 영구 저장 영역(126)에 저장될 수 있다. 영구 저장 영역(126)은 또한, 장치 경험의 프로비저닝에 어려움이 있는 경우 장치에 운영 체제를 새로 설치하기 위한 백업 역할을 할 수 있는 장치의 초기 공장 설정 상태의 이미지를 저장할 수 있다.
오케스트레이터 모듈(128)은 그 다음에 구성 패킷에 제공된 구성 데이터의 언패킹 및 적용을 처리할 수 있다. 일부 구현에서, 구성 패킷은 외부 템플릿에 대한 하나 이상의 참조를 포함할 수 있고, 오케스트레이터 모듈(128)은 외부 템플릿을 다운로드하기 위해 통신을 다시 플랫폼 관리 서버(102)로 조정할 수 있다.
또한, 플랫폼 관리 서버(102)로부터의 구성 패킷에 포함된 명령어에 기초하여, 또는 자체적으로, 오케스트레이터 모듈(128)은 피관리 장치(104)의 현재 구성 상태에 관한 주기적 상태 결정을 추가로 수행할 수 있다. 즉, 구성 패킷이 수신되어 영구 저장 영역(126)에 저장되기 때문에, 오케스트레이터 모듈(128)은 장치의 현재 구성 상태가 구성 템플릿에서 지정된 구성 요건과 매칭되는지 여부를 주기적으로 판정할 수 있다. 따라서, 오케스트레이터 모듈(128)은 피관리 장치(104)가 현재 네트워크(110)에 연결되어 있지 않더라도, 자체적으로 피관리 장치에 대한 주어진 구성을 유지할 수 있다.
장치 체크인의 예시적인 프로세스
도 4는 일 구현에 따라 피관리 장치(104)가 체크인하고 플랫폼 관리 서버(102)로부터 구성 템플릿을 수신하기 위한 예시적인 프로세스(400)를 도시한 것이다. 도 4에 도시된 바와 같이, 피관리 장치(104)는 단계 402에서 플랫폼 관리 서버(102)에 체크인 요청을 발행할 수 있다. 앞서 논의된 바와 같이, 피관리 장치(104)는 처음 장치 전원을 켰을 때 플랫폼 관리 서버(102)에 체크인 요청을 발행하도록 구성될 수 있다. 그러나, 일부 구현에서, 이전에 배치되었을 수 있는 구형 장치는 장치가 플랫폼 관리 서버(102)에 체크인하는 데 필요한 구성 데이터를 포함하지 않을 수 있으며, 대신에 아이덴티티 관리자에게 요청을 발행할 수 있다. 그러한 경우에, 아이덴티티 관리자는 요청을 플랫폼 관리 서버(102)로 다시 보내거나 미래에 플랫폼 관리 서버(102)와 통신하도록 지시하는 업데이트를 장치에 제공하도록 구성될 수 있다.
피관리 장치(104)로부터의 체크인 요청은, 예컨대 장치에 포함된 하드웨어, 운영 체제 버전, 문서/애플리케이션 리스트 및 장치와 연관된 사용자 또는 그룹 아이덴티티를 나타내는 토큰에 대한 정보를 포함하여, 장치의 기존 상태를 자세히 설명하는 장치 정보를 포함할 수 있다. 피관리 장치는 배치 과정에서 여러 번 체크인할 수 있으므로 장치 정보에는 장치에 적용된 템플릿의 버전과, 적용된 템플릿(예컨대, 성공적으로 적용된 템플릿, 오류가 발생한 템플릿 등)의 상태에 대한 정보도 포함될 수 있다. 장치 정보는 오케스트레이터 모듈(128)을 통해 수집될 수 있고 체크인 동안 제공될 수 있다.
체크인 요청에 포함된 장치 정보를 수신하면, 단계(404)에서, 플랫폼 관리 서버(102)는 데이터베이스(124)에 저장된 현재 클라이언트 상태를 업데이트할 수 있다. 적어도 현재 클라이언트 상태에 기초하여, 플랫폼 관리 서버(102)는 추가로 피관리 장치에 대해 특정 작업이 수행될 수 있는지 여부를 판단한다. 예를 들어, 현재 클라이언트 상태가 피관리 장치가 이전에 체크인되지 않았음을 나타내는 경우, 장치 사용자에 대한 일부 소개 메시지를 표시할 수 있는 추가 소개 템플릿이 장치에 제공될 수 있다. 또는, 관리자(106)가 엔터프라이즈 서비스(108)를 통해 특정 장치가 등록 해제되어야 한다고 표시한 경우, 특정 체크인 단계는 건너뛸 수 있다.
또한, 단계(406)에서, 관리 모듈(116)은 장치에 대한 구성 템플릿을 찾기 위해 데이터베이스(124)에 액세스하기 위한 체크인 요청에 포함된 장치 정보를 이용할 수 있다. 예를 들어, 관리 모듈(116)은, 장치와 연관된 특정 사용자 또는 그룹 아이덴티티를 지정하는 장치 정보 내에 포함되고 요청에서 제공된 하드웨어 정보와 결합된 토큰에 액세스할 수 있고, 구성 템플릿이 특정 사용자 및 장치를 대상으로 하는 엔터프라이즈 서비스(108)에 의해 정의되고 저장되었는지 여부를 판단하기 위해 데이터베이스(124)에 액세스할 수 있다. 구성 템플릿이 데이터베이스에 존재한다고 판단되면, 관리 모듈(116)은 템플릿 및 템플릿과 연관된 미리 계산된 설치 파라미터를 추출할 수 있다.
단계(408)에서, 플랫폼 관리 서버(102)는 피관리 장치로부터 체크인 요청이 수신되었음을 관리자(106)에게 알리기 위해 엔터프라이즈 서비스(108)에 통지를 제공할 수 있다. 그러한 통지는 보고 서비스(306)에 의해 생성될 수 있다. 또한, 통지는 또한 요청과 연관된 사용자 및 장치 조합을 나타낼 수 있고, 플랫폼 관리 서버(102)가 피관리 장치에 적용하고자 하는 구성 템플릿을 나타낼 수 있다. 특정 구현에서, 관리자(106)는 장치에 대한 템플릿의 적용을 취소하는 능력을 가질 수도 있고, 또는 이 단계에서 템플릿을 다듬어서 프로비저닝 프로세스를 보완할 수도 있다.
예를 들어, 관리자(106)는 과거에 피관리 장치에 대한 구성 템플릿을 정의했을 수 있고, 피관리 장치에 설치되어야 하는 애플리케이션 세트를 수정하는 중일 수 있다. 이 경우, 관리자(106)는 구성 템플릿을 수정할 수도 있고, 구성 템플릿이 피관리 장치(104)에 적용되도록 허용할 수도 있지만, 이 특정 피관리 장치가 구성 템플릿 업데이트를 필요로 할 수 있음을 통지받을 수 있다.
단계(410)에서, 관리자(106)는 선택적으로 체크인을 확인 응답하고, 예컨대 선택된 구성 템플릿이 피관리 장치(104)에 적용되어서는 안 된다고 표시함으로써, 플랫폼 관리 서버(102)에 통지에 관한 임의의 즉각적인 응답을 플랫폼 관리 서버(102)에 제공할 수 있다. 특정 구현에서, 단계(410)는 선택 사항일 수 있는데, 플랫폼 관리 서버(102)가 엔터프라이즈 서비스(108)로부터 받는 어떠한 응답도 없이 선택된 구성 템플릿을 적용하는 것을 자동으로 진행하도록 기본 설정될 수 있기 때문이다.
단계(412)에서, 관리 모듈(116)은, 예를 들어, 피관리 장치(104)와 연관된 구성 템플릿이 특정 타겟 장치에 적용할 수 없는 특정 구성을 포함할 수 있는지 여부를 판정함으로써 특정 구성 설정을 필터링할 수 있다. 예를 들어, 조직의 마케팅 그룹 내 모든 스마트폰 사용자에 대해 구성 템플릿이 정의될 수 있지만, 스마트폰에서 실행되는 운영 체제는 다를 수 있다. 따라서 구성 템플릿에 지정된 특정 설정은 특정 버전 위의 운영 체제가 있는 스마트폰에만 적용될 수 있다. 이 경우에, 관리 모듈(116)은 장치에 대한 사전 계산된 구성 설정 중 임의의 것이 필터링될 수 있는지 여부를 판단할 수 있다. 이로써, 관리 모듈(116)은 장치의 상태가 시간이 지남에 따라 변경되므로 장치에 적용될 구성을 즉석에서 수정할 수 있다.
다음으로, 단계(414)에서, 관리 모듈(116)은 구성 템플릿에 의해 제공된 임의의 충돌을 해결할 수 있다. 관리 모듈(116)은 엔터프라이즈 서비스(108)에 의해 수신된 구성 템플릿에 기초하여 다양한 구성 설정을 미리 계산할 수 있기 때문에, 관리 모듈(116)은 장치 구성이 장치와 연관된 주 사용자에 기초해야 한다는 것을 알 수 있고, 장치 구성 및 사용자의 특정 구성 사이의 정보 충돌이 해결되도록 보장한다.
구체적으로, 일부 예에서, 피관리 장치(104)는 플랫폼 관리 서버(102)에 체크인 요청을 발행할 수 있지만, 피관리 장치와 연관된 1차 사용자는 장치에 로그인하지 않았을 수 있다. 이 경우, 장치와 연관된 구성은 사용자와 연관된 구성과 잠재적으로 다를 수 있다. 예를 들어, 관리자(106)는 특정 애플리케이션이 제거되어야 함을 나타내는 디폴트 구성 템플릿을 조직과 연관된 모든 랩탑에 발행할 수 있다. 그러나, 관리자(106)는 또한 사용자의 작업 요구사항이 해당 애플리케이션을 포함할 수 있기 때문에 애플리케이션이 설치된 상태를 유지하도록 허용하는 랩탑 중 하나의 사용자에 특정한 구성 템플릿을 제공할 수 있다. 이 경우, 장치의 제1 사용자가 로그인하지 않았기 때문에, 장치는 체크인 요청에서 장치와 연관된 사용자를 보고할 수 없으며, 애플리케이션은 구성 템플릿이 적용될 때 피관리 장치로부터 결국 제거될 수 있다.
대신에, 관리 모듈(116)이 구성 설정을 미리 계산할 수 있기 때문에, 관리 모듈(116)은 주 사용자가 장치에 로그인했는지 여부와 상관없이 주 사용자의 구성이 장치에 적용되어야 한다고 결정할 수 있다. 이로써, 관리 모듈(116)은 장치로부터 제한된 정보를 수신하기 때문에(즉, 사용자 아이덴티티 정보가 체크인 요청에서 제공되지 않는 경우) 장치 상태가 뒤집히는 것을 피할 수 있다.
단계(416)에서, 플랫폼 관리 서버(102)는 단계(414) 동안 발견되었을 수 있는 임의의 충돌을 엔터프라이즈 서비스(108)에 전달하여, 충돌 및 충돌에 대한 잠재적인 해법을 제시할 수 있다. 일부 구현에서, 통지는 잠재적인 해법이 디폴트로 적용될 수 있고, 관리자(106)가 충돌을 해결하기 위해 어떤 조치도 취할 필요가 없다는 것을 나타낼 수 있다. 또는, 단계(418)에서, 관리자(106)는 엔터프라이즈 서비스(108)를 통해 해결 조치를 발행함으로써 충돌을 확인할 수 있다.
단계(420)에서, 관리 모듈(116)은 피관리 장치(104)가 구성 템플릿에 명시된 상태를 달성하기 위해 필요할 수 있는 변경을 계산할 수 있다. 변경 계산은 장치가 초기 체크인 요청에서 보고한 것에 기초할 수 있고, 상태는 데이터베이스(124)에 저장된 구성 템플릿과 비교될 수 있다. 특정 구현에서, 관리 모듈(116)은 단계(412 및 414)에 따라 임의의 적용할 수 없는 구성을 필터링하고 임의의 충돌을 해결했다.
구체적으로, 관리 모듈(116)은 1) 추가할 구성, 2) 제거할 구성, 및 3) 할당되지 않거나 적용될 수 없지만 피관리 장치에서 제거되지 않은 구성의 3가지 가능한 범주 중 하나로 구성을 연관시킬 수 있다. 관리 모듈(116)이 피관리 장치(104)가 구성 템플릿에서 지정되지 않은 특정 구성을 포함하지만 이들 설정이 장치의 임의의 다른 설정과 충돌하거나 간섭하지 않는다고 판단하는 경우 세 번째 범주가 사용될 수 있다. 예를 들어, 피관리 장치(104)는 장치의 주 사용자와 연관된 홈 네트워크에 대한 무선 암호를 포함할 수 있으며, 이는 구성 템플릿에서 제공되지 않을 수 있다. 그러나, 이 무선 패스워드를 제거하는 것은 장치의 사용에 영향을 미칠 수 있으므로, 관리 모듈(116)은 구성 템플릿의 적용 동안 무선 패스워드가 제거되지 않아야 한다고 지정할 수 있다. 또한, 특정 구현에서, 구성이 세 번째 범주(즉, 할당되지 않은/적용할 수 없는 구성)에 속하는 경우, 해당 구성은 향후 장치에 잠재적으로 적용가능하게 될 수 있다. 그러나, 구성이 장치에 유지되기 때문에, 장치는 원하는 구성을 적용하기 위해 플랫폼 관리 서버(102)로부터 새로운 템플릿을 검색할 필요가 없다.
단계(422)에서, 관리 모듈(116)은 구성 템플릿의 플레이스홀더의 존재로 인해 비밀 값을 검색하도록 엔터프라이즈 서비스(108)에 요청을 발행할 수 있다. 전술한 바와 같이, 관리자(106)가 비밀을 유지하고 싶어하는 특정 정보가 있을 수 있으며, 이로써 플랫폼 관리 서버(102)에 제공된 구성 템플릿에서 플레이스홀더를 정의할 수 있다. 따라서, 관리 모듈(116)은 엔터프라이즈 서비스(108)로부터 피관리 장치(104)로 비밀 정보의 전달을 조정할 수 있다.
단계(424)에서, 엔터프라이즈 서비스(108)는 요청된 비밀 값을 플랫폼 관리 서버(102)에 발행할 수 있다. 일부 구현에서, 엔터프라이즈 서비스(108)로부터 발행된 비밀 값은 비밀 값의 기밀성을 보호하기 위해 암호화될 수 있다. 암호화된 비밀 값은 피관리 장치(104)에 제공될 수 있는 구성 템플릿과 함께 패키징하기 위해 플랫폼 관리 서버(102)에 제공될 수 있다. 그 다음에, 암호화된 비밀 값은 구성 템플릿이 적용되면 피관리 장치(104)에 의해 해독될 수 있어, 비밀 값이 플랫폼 관리 서버(102)에게 알려지지 않도록 보호된다.
단계(426)에서, 관리 모듈(116)은 임의의 암호화된 비밀 값을 포함하는 최종 구성 템플릿을 구성 패킷으로서 피관리 장치(104)에 발행하는 것을 조정할 수 있다. 그 다음에, 피관리 장치(104)는 구성 템플릿을 적용하고, 장치의 프로비저닝을 완료하기 위해 임의의 포함된 암호화된 비밀 값을 해독할 수 있다. 관리 모듈(116)은 임의의 필요한 파일 및 문서와 함께 구성 템플릿을 피관리 장치(104)에 직접 보낼 수도 있고, 일부 구현에서는 구성 패킷을 서버에 업로드할 수도 있으며, 구성 패킷이 위치할 수 있는 피관리 장치(104)에 다운로드 링크를 제공할 수 있다.
단계(428)에서, 피관리 장치(104)는 장치의 프로비저닝 동안 발생할 수 있는 임의의 오류를 포함하여 구성 템플릿을 적용하는 것에 기초하여 자신의 현재 상태를 보고할 수 있다. 단계(430)에서, 관리 모듈(116)은 현재 장치 상태를 데이터베이스(124)에 저장할 수 있다.
마지막으로, 단계(432)에서, 관리 모듈(116)은 피관리 장치(104)의 프로비저닝의 결과를 나타내는 요약 보고서를 엔터프라이즈 서비스(108)에 발행하여, 관리자(106)가 임의의 필요한 변경을 하도록 할 수 있다. 보고서는 장치에 적용된 구성, 발견되고 해결된 임의의 충돌, 프로비저닝 중 실패한 구성과 같은 정보를 포함할 수 있다.
도 4에 명시된 단계 외에 대안적 또는 추가적 단계가 제공될 수 있음을 이해해야 한다. 예를 들어, 관리 모듈(116)이 체크인된 장치에 대한 구성 템플릿이 아직 존재하지 않는다고 판정하면, 관련 정보를 제공하기 위해 구성 템플릿에 대한 요청이 엔터프라이즈 서비스(108)에 발행될 수 있다.
예시적인 장치 관리 방법
다음 논의는 전술한 바와 같은 관리 기능을 제공할 수 있는 기능의 개요를 제시한다. 도 5는 본 개념과 일치하는 예시적인 방법(500)을 도시한 것이다. 방법(500)은 단일 장치, 예컨대 플랫폼 관리 서버(102)에 의해 구현될 수도 있고, 하나 이상의 서버, 클라이언트 장치 등에 분산될 수도 있다. 또한, 방법(500)은 관리 모듈(116), 탐색 모듈(120), 체크인 모듈(122), 및/또는 오케스트레이터 모듈(128)과 같은 하나 이상의 모듈에 의해 수행될 수 있다.
처음에, 블록(502)에서, 방법은 구성 템플릿을 수신할 수 있다. 일 구현에서, 관리자(106)는 엔터프라이즈 서버(108)를 이용하여 피관리 장치(104)를 위한 구성 템플릿을 제공할 수 있다. 구성 템플릿은 플랫폼 관리 서버(102)에 의해 수신되고 데이터베이스(124)에 저장될 수 있다. 구성 템플릿은 특정 종류의 배치된 장치와 연관될 수 있으며, 어떤 경우에는 소정의 배치된 장치의 특정 사용자와 연관될 수도 있다.
블록(504)에서, 방법은 적어도 구성 템플릿에 기초하여 장치 구성 설정을 미리 계산할 수 있다. 일 구현에서, 관리 모듈(116)은 구성 템플릿을 분석하여 어떤 일반 구성 설정이 템플릿에 제공되는지를 알아낼 수 있다. 그 다음, 관리 모듈(116)은 타겟 장치에 기초하여 장치-특정 구성 설정을 밝혀낼 수 있고, 일반 구성이 구성 템플릿에 의해 타겟이 되는 장치에 적용 가능한 장치-특정 설정으로 변환되게 할 수 있다. 관리 모듈(116)이 다양한 구성 설정을 미리 계산하면, 이들 설정은 장치가 플랫폼 관리 서버에 일단 체크인하면 액세스할 수 있도록 데이터베이스(124)에 저장될 수 있다.
블록(506)에서, 피관리 장치로부터 체크인 요청이 수신될 수 있다. 예를 들어, 피관리 장치(104)는 배치 위치에서 새롭게 전원이 켜질 수 있고, 초기 부팅 시에 플랫폼 관리 서버(102)에 체크인 요청을 발행하도록 구성될 수 있다.
블록(508)에서, 방법은 피관리 장치(104)와 연관된 엔터프라이즈 서비스를 탐색할 수 있다. 일 구현에서, 플랫폼 관리 서버(102)는 복수의 엔터프라이즈 서비스와 연관될 수 있지만, 플랫폼 관리 서버(102)는 그 피관리 장치(104)가 단일 엔터프라이즈 서비스에 의해 관리됨을 발견할 수 있으며, 따라서 다른 엔터프라이즈 서비스가 피관리 장치와 통신하는 것을 방지할 수 있고, 이는 피관리 장치가 악의적인 엔드포인트에 의해 관리되지 않도록 보장할 수 있다.
블록(510)에서, 방법은 탐색된 엔터프라이즈 서비스와 연관되고 피관리 장치에 대응하는 장치 템플릿을 선택할 수 있다. 일 구현에서, 플랫폼 관리 서버(102)는 적절한 장치 템플릿을 선택할 수 있다. 장치 템플릿은, 예를 들어 데이터베이스(124)에 저장될 수 있고, 관리 모듈(116)은 체크인 요청에서 제공된 장치 정보, 및 장치를 관리하는 엔터프라이즈 서비스에 관한 정보에 기초하여 데이터베이스로부터 관련 장치 템플릿을 추출할 수 있다. 전술한 바와 같이, 일부 구현에서 장치 템플릿은 장치를 구성하는 데 사용될 비밀 값을 지정하는 데 사용할 수 있는 플레이스홀더를 포함할 수 있다. 플랫폼 관리 서버(102)는 비밀 값을 갖고 있지 않으므로, 이들 비밀 값은 피관리 장치와 연관된 엔터프라이즈 서비스에 의해 제공될 수 있다.
이로써, 블록(512)에서, 방법은 엔터프라이즈 서비스로부터 플레이스홀더와 연관된 추가 구성 데이터를 검색할 수 있다. 구체적으로, 플랫폼 관리 서버(102)는 비밀 값을 요구하는 템플릿에 플레이스홀더가 있다고 엔터프라이즈 서비스(108)에 알려줄 수 있다. 엔터프라이즈 서비스(108)는 비밀 값을 암호화하고 암호화된 데이터를 플랫폼 관리 서버(102)에 다시 제공하며 이를 통해 피관리 장치(104)로 전달되도록 할 수 있다. 플랫폼 관리 서버(102)는 암호화된 데이터를 해독할 수 없으므로, 데이터가 플랫폼 관리 서버(102)를 통과하더라도 비밀 값은 여전히 비밀로 유지될 수 있다.
마지막으로, 블록(514)에서, 이 방법은 구성 발행 네트워크 설정을 피관리 장치에 적용할 수 있다. 구체적으로, 관리 모듈(116)은 패킷에서 지정된 구성을 적용하기 위한 명령과 함께 피관리 장치(104)에 전송하기 위한 구성 패킷을 준비할 수 있다. 오케스트레이터 모듈(128)은 비밀 값을 적용하기 위해 엔터프라이즈 서비스(108)에 의해 제공된 암호화된 데이터를 해독하는 것을 포함하여 구성 패킷의 패키징 해제 및 피관리 장치의 적절한 프로비저닝을 조정할 수 있다. 일부 구현에서, 구성 패킷에 설명된 구성은 피관리 장치와 연관되어야 하는 네트워크 설정, 프로비저닝 설정 및/또는 소프트웨어를 포함할 수 있다.
장치 구현
도 1과 관련하여 위에서 언급한 바와 같이, 시스템(100)은 플랫폼 관리 서버(102), 피관리 장치(104), 및 엔터프라이즈 서비스(108)를 포함하는 여러 장치를 포함할 수 있다. 또한 언급된 바와 같이, 모든 장치 구현이 예시될 수 있는 것은 아니며, 다른 장치 구현들이 위 및 아래의 설명으로부터 당업자에게 명백할 것이다.
본 명세서에서 사용되는 "장치", "컴퓨터", "컴퓨팅 장치", "클라이언트 장치", "서버" 및/또는 "서버 장치"라는 용어는 어느 정도의 하드웨어 처리 능력 및/또는 하드웨어 저장/메모리 기능을 갖는 임의의 유형의 장치를 의미할 수 있다. 처리 능력은 기능을 제공하기 위해 컴퓨터 판독가능 명령어를 실행할 수 있는 하나 이상의 하드웨어 프로세서(예컨대, 하드웨어 프로세싱 유닛/코어)에 의해 제공될 수 있다. 컴퓨터 판독 가능 명령어 및/또는 데이터는 영구 저장소 또는 휘발성 메모리에 저장될 수 있다. 본 명세서에서 사용되는 "시스템"이란 용어는 단일 장치, 다중 장치 등을 의미할 수 있다.
메모리(114)는 자신과 연관된 제각기의 장치의 내부 또는 외부에 있는 저장 자원일 수 있다. 메모리(114)는 휘발성 또는 비휘발성 메모리, 하드 드라이브, 플래시 저장 장치, 및/또는 광학 저장 장치(예컨대, CD, DVD 등) 중 하나 이상을 포함할 수 있다. 본 명세서에서 사용되는 바와 같이, "컴퓨터 판독가능 매체"라는 용어는 신호를 포함할 수 있다. 이에 반해 "컴퓨터 판독가능 저장 매체"는 신호를 제외한다. 컴퓨터 판독가능 저장 매체는 "컴퓨터 판독가능 저장 장치"를 포함한다. 컴퓨터 판독가능 저장 장치의 예는 RAM과 같은 휘발성 저장 매체, 및 특히 메모리(114)를 구성할 수 있는 하드 드라이브, 광 디스크 및 플래시 메모리와 같은 비휘발성 저장 매체를 포함한다.
일부 경우에, 장치는 범용 하드웨어 프로세서 및 저장 리소스로 구성된다. 다른 경우에, 장치는 시스템 온 칩(SOC) 유형 디자인을 포함할 수 있다. SOC 설계 구현에서, 장치가 제공하는 기능은 단일 SOC 또는 다중 결합 SOC에 통합될 수 있다. 하나 이상의 연관 프로세서는 메모리, 스토리지 등과 같은 공유 리소스 및/또는 특정 기능을 수행하도록 구성된 하드웨어 블록과 같은 하나 이상의 전용 리소스와 조정하도록 구성될 수 있다. 따라서, 본 명세서에서 사용되는 "프로세서", "하드웨어 프로세서" 또는 "하드웨어 프로세싱 유닛"이란 용어는 중앙 처리 장치(CPU), 그래픽 처리 장치(GPU), 컨트롤러, 마이크로컨트롤러, 프로세서 코어 또는 기존 컴퓨팅 아키텍처와 SOC 설계 모두에서 구현하기에 적합한 다른 유형의 처리 장치를 지칭할 수 있다.
이에 갈음하여 또는 이에 더하여, 본 명세서에 기술된 기능은 적어도 부분적으로 하나 이상의 하드웨어 로직 컴포넌트에 의해 수행될 수 있다. 예를 들어, 제한적인 것은 아니지만, 사용될 수 있는 예시적인 유형의 하드웨어 로직은 FPGA(Field-programmable Gate Array), ASIC(Program-specific Integrated Circuit), ASSP(Program-specific Standard Product), SOC(System-on-a-chip) system), CPLD(Complex Programmable Logic Device) 등을 포함한다.
일부 구성에서, 여기에서 논의된 모듈/코드 중 임의의 것은 소프트웨어, 하드웨어 및/또는 펌웨어로 구현될 수 있다. 어느 경우든, 모듈/코드는 장치의 제조 중에 또는 최종 사용자에게 판매할 장치를 준비하는 중개자에 의해 제공될 수 있다. 다른 경우에, 최종 사용자는, 예컨대 실행 코드를 다운로드하고 해당 장치에 실행 코드를 설치함으로써 나중에 이들 모듈/코드를 설치할 수 있다.
또한 장치는 일반적으로 입력 및/또는 출력 기능을 가질 수 있음에 유의한다. 예를 들어, 컴퓨팅 장치는 키보드, 마우스, 터치패드, 음성 인식, 제스처 인식(예컨대, 입체 또는 비행 시간 카메라 시스템, 적외선 카메라 시스템, RGB 카메라 시스템 또는 사용 가속도계/자이로스코프, 얼굴 인식 등)과 같은 다양한 입력 메커니즘을 가질 수 있다. 장치는 또한 프린터, 모니터 등과 같은 다양한 출력 메커니즘을 가질 수 있다.
또한, 본 명세서에 설명된 장치는 설명된 기술을 구현하기 위해 독립 또는 협력 방식으로 기능할 수 있다는 점에 유의한다. 예를 들어, 본 명세서에 설명된 방법은 단일 컴퓨팅 장치에서 수행될 수 있고/있거나 하나 이상의 네트워크(들)를 통해 통신하는 IoT 장치와 같은 다중 컴퓨팅 장치에 걸쳐 분산될 수 있다. 제한 없이, 그러한 하나 이상의 네트워크(들)는 하나 이상의 근거리 통신망(LAN), 광역 네트워크(WAN), 인터넷 등을 포함할 수 있다.
다양한 예가 위에서 설명되었다. 추가 예는 아래에 설명되어 있다. 일 예는 프로세서와, 명령어를 저장하는 컴퓨터 판독가능 저장 매체를 포함하는 관리 서버를 포함하되, 상기 명령어는 프로세서에 의해 실행될 경우에 관리 서버로 하여금, 피관리 장치와 연관된 구성 템플릿 - 구성 템플릿은 추가적인 구성 데이터에 대한 플레이스홀더(placeholder)를 포함함 - 을 수신하고, 피관리 장치로부터 체크인(check-in) 요청을 수신하며, 적어도 체크인 요청에 기초하여 피관리 장치와 연관된 엔터프라이즈 서비스를 결정하고, 피관리 장치와 연관된 엔터프라이즈 서비스로부터 추가적인 구성 데이터를 요청하고, 추가적인 구성 데이터를 포함하는 구성 템플릿을 피관리 장치에 적용함으로써, 피관리 장치(managed device)를 구성하게 한다.
다른 예는, 관리 서버가 엔터프라이즈 서비스로부터 추가적인 구성 데이터를 수신하는 것을 더 포함하는, 상기 및/또는 하기의 예들 중 어느 하나를 포함할 수 있다.
또 다른 예는, 엔터프라이즈 서비스로부터 수신된 추가적인 구성 데이터가 암호화되는, 상기 및/또는 하기의 예들 중 어느 하나를 포함할 수 있다.
또 다른 예는, 추가적인 구성 데이터가 피관리 장치에 적용될 때 암호해독되는, 상기 및/또는 하기의 예들 중 어느 하나를 포함할 수 있다.
또 다른 예는, 체크인 요청을 수신하기 전에 피관리 장치에 대한 구성 템플릿에 따라 구성 설정을 미리 계산하는 것을 더 포함하는, 상기 및/또는 하기의 예들 중 어느 하나를 포함할 수 있다.
또 다른 예는, 구성 템플릿이 장치 구현에 관계없이 구성 데이터를 포괄적으로 정의하는, 상기 및/또는 하기의 예들 중 어느 하나를 포함할 수 있다.
또 다른 예는, 미리 계산된 구성 설정이 장치 특정 구성 설정을 포함하는, 상기 및/또는 하기의 예들 중 어느 하나를 포함할 수 있다.
또 다른 예는, 체크인 요청이 피관리 장치의 현재 상태를 나타내는, 상기 및/또는 하기의 예들 중 어느 하나를 포함할 수 있다.
또 다른 예는, 피관리 장치의 현재 상태와 구성 템플릿에 의해 정의된 상태 사이의 변화를 계산하는 것을 더 포함하는, 상기 및/또는 하기의 예들 중 어느 하나를 포함할 수 있다.
또 다른 예는, 피관리 장치의 현재 상태가 구성 템플릿에 의해 주기적으로 정의된 상태와 비교되는, 상기 및/또는 하기의 예들 중 어느 하나를 포함할 수 있다.
또 다른 예는, 엔터프라이즈 서비스가 복수의 엔터프라이즈 서비스 중에서 결정되는, 상기 및/또는 하기의 예들 중 어느 하나를 포함할 수 있다.
또 다른 예는, 장치와 관련된 체크인 요청을 수신하는 단계와, 장치와 연관된 엔터프라이즈 서비스를 탐색하는 단계와, 장치에 적용되는 엔터프라이즈 서비스와 연관된 장치 템플릿 - 장치 템플릿은 비밀 값에 대한 플레이스홀더를 포함함 - 을 선택하는 단계와, 엔터프라이즈 서비스로부터 플레이스홀더와 연관된 데이터를 검색하는 단계와, 장치 템플릿과 연관된 구성 데이터를 장치에 적용하는 단계 - 구성 데이터는 비밀 값과 연관된 데이터를 포함함 - 를 포함하는, 방법을 포함한다.
또 다른 예는, 비밀 값과 연관된 데이터가 암호화되는, 상기 및/또는 하기의 예들 중 어느 하나를 포함할 수 있다.
또 다른 예는, 비밀 값과 연관된 데이터가 장치에 의해 암호해독되는, 상기 및/또는 하기의 예들 중 어느 하나를 포함할 수 있다.
또 다른 예는, 체크인 요청이 피관리 장치의 장치 상태를 나타내는, 상기 및/또는 하기의 예들 중 어느 하나를 포함할 수 있다.
또 다른 예는, 방법이 장치의 장치 상태를 장치 템플릿과 주기적으로 비교하는 단계와, 장치 상태가 장치 템플릿과 상이한 경우에 장치 템플릿과 매칭되도록 장치를 업데이트하는 단계를 더 포함하는, 상기 및/또는 하기의 예들 중 어느 하나를 포함할 수 있다.
또 다른 예는, 방법이 장치가 네트워크에 접속될 경우에, 장치 상태를 장치 템플릿과 주기적으로 비교하도록 장치에 지시하는 단계를 더 포함하는, 상기 및/또는 하기의 예들 중 어느 하나를 포함할 수 있다.
또 다른 예는, 장치에 로그인하는 사용자에 관계없이 장치 상태가 장치 템플릿과 주기적으로 비교되는, 상기 및/또는 하기의 예들 중 어느 하나를 포함할 수 있다.
또 다른 예는, 프로세서와, 컴퓨터 판독가능 명령어를 저장하는 메모리를 포함하는 플랫폼 관리 서버를 포함하되, 명령어는 프로세서에 의해 실행될 경우에 플랫폼 관리 서버로 하여금, 장치로부터 체크인 요청을 수신하고, 적어도 상기 체크인 요청 내 데이터에 기초하여, 복수의 엔터프라이즈 서비스 중에서 장치의 구성을 관리하도록 구성되는 엔터프라이즈 서비스를 결정하며, 엔터프라이즈 서비스로부터, 구성 데이터 및 적어도 하나의 플레이스홀더를 포함하는 구성 템플릿을 수신 - 적어도 하나의 플레이스홀더는 템플릿을 장치에 적용할 시에 엔터프라이즈 서비스로부터 검색되는 비밀 값을 나타냄 - 하게 하는, 시스템을 포함한다.
또 다른 예는, 엔터프라이즈 서비스로부터 수신된 구성 데이터가 일반 구성 데이터이고, 플랫폼 관리 서버가 장치에 대응하는 장치 특정 구성 설정을 미리 계산하는, 상기 및/또는 하기의 예들 중 어느 하나를 포함할 수 있다.
CONCLUSION
청구대상은 구조적인 특징 및/또는 방법의 동작에 특유한 언어로 기술되어 있지만, 첨부된 청구항들에 정의된 청구대상은 반드시 전술한 특정한 특징이나 동작으로 제한되지는 않음을 이해해야 한다. 오히려, 전술한 특정한 특징 및 동작은 청구항들을 구현하는 예시적인 형태로서 개시되며, 당업자에 의해 인식될 수 있는 다른 특징 및 동작은 청구범위 내에 있는 것으로 간주되어야 한다.

Claims (15)

  1. 관리 서버로서,
    프로세서와,
    명령어를 저장하는 컴퓨터 판독가능 저장 매체를 포함하되,
    상기 명령어는 상기 프로세서에 의해 실행될 경우에 상기 관리 서버로 하여금 ,
    피관리 장치와 연관된 구성 템플릿 - 상기 구성 템플릿은 추가적인 구성 데이터에 대한 플레이스홀더(placeholder)를 포함함 - 을 수신하고,
    상기 피관리 장치로부터 체크인(check-in) 요청을 수신하며,
    적어도 상기 체크인 요청에 기초하여 상기 피관리 장치와 연관된 엔터프라이즈 서비스를 결정하고,
    상기 피관리 장치와 연관된 상기 엔터프라이즈 서비스로부터 상기 추가적인 구성 데이터를 요청하고,
    상기 추가적인 구성 데이터를 포함하는 상기 구성 템플릿을 상기 피관리 장치에 적용함으로써,
    상기 피관리 장치(managed device)를 구성하게 하는,
    관리 서버.
  2. 제1항에 있어서,
    상기 엔터프라이즈 서비스로부터 상기 추가적인 구성 데이터를 수신하는 것을 더 포함하는,
    관리 서버.
  3. 제2항에 있어서,
    상기 엔터프라이즈 서비스로부터 수신된 상기 추가적인 구성 데이터는 암호화되는,
    관리 서버.
  4. 제3항에 있어서,
    상기 추가적인 구성 데이터는 상기 피관리 장치에 적용될 때 암호해독되는,
    관리 서버.
  5. 제1항에 있어서,
    상기 체크인 요청을 수신하기 전에 상기 피관리 장치에 대한 상기 구성 템플릿에 따라 구성 설정을 미리 계산하는 것을 더 포함하는,
    관리 서버.
  6. 제5항에 있어서,
    상기 구성 템플릿은 장치 구현에 관계없이 구성 데이터를 포괄적으로 정의하는,
    관리 서버.
  7. 제6항에 있어서,
    상기 미리 계산된 구성 설정은 장치 특정 구성 설정을 포함하는,
    관리 서버.
  8. 제1항에 있어서,
    상기 체크인 요청은 상기 피관리 장치의 현재 상태를 나타내는,
    관리 서버.
  9. 제8항에 있어서,
    상기 피관리 장치의 현재 상태와 상기 구성 템플릿에 의해 정의된 상태 사이의 변화를 계산하는 것을 더 포함하는,
    관리 서버.
  10. 제9항에 있어서,
    상기 피관리 장치의 상기 현재 상태는 상기 구성 템플릿에 의해 주기적으로 정의된 상기 상태와 비교되는,
    관리 서버.
  11. 방법으로서,
    장치와 관련된 체크인 요청을 수신하는 단계와,
    상기 장치와 연관된 엔터프라이즈 서비스를 탐색하는 단계와,
    상기 장치에 적용되는 상기 엔터프라이즈 서비스와 연관된 장치 템플릿 - 상기 장치 템플릿은 비밀 값에 대한 플레이스홀더를 포함함 - 을 선택하는 단계와,
    상기 엔터프라이즈 서비스로부터 상기 플레이스홀더와 연관된 데이터를 검색하는 단계와,
    상기 장치 템플릿과 연관된 구성 데이터를 상기 장치에 적용하는 단계 - 상기 구성 데이터는 상기 비밀 값과 연관된 데이터를 포함함 - 를 포함하는,
    방법.
  12. 제11항에 있어서,
    상기 비밀 값과 연관된 상기 데이터는 암호화되고 상기 장치에 의해 암호해독되는,
    방법.
  13. 제11항에 있어서,
    상기 장치의 장치 상태를 상기 장치 템플릿과 주기적으로 비교하는 단계와,
    상기 장치 상태가 상기 장치 템플릿과 상이한 경우에 상기 장치 템플릿과 매칭되도록 상기 장치를 업데이트하는 단계를 더 포함하는,
    방법.
  14. 제13항에 있어서,
    상기 장치가 네트워크에 접속될 경우에, 상기 장치 상태를 상기 장치 템플릿과 주기적으로 비교하도록 상기 장치에게 지시하는 단계를 더 포함하는,
    방법.
  15. 시스템으로서,
    프로세서와, 컴퓨터 판독가능 명령어를 저장하는 메모리를 포함하는 플랫폼 관리 서버를 포함하되,
    상기 명령어는 상기 프로세서에 의해 실행될 경우에 상기 플랫폼 관리 서버로 하여금,
    장치로부터 체크인 요청을 수신하고,
    적어도 상기 체크인 요청 내 데이터에 기초하여, 복수의 엔터프라이즈 서비스 중에서 상기 장치의 구성을 관리하도록 구성되는 엔터프라이즈 서비스를 결정하며,
    상기 엔터프라이즈 서비스로부터, 구성 데이터 및 적어도 하나의 플레이스홀더를 포함하는 구성 템플릿을 수신 - 상기 적어도 하나의 플레이스홀더는 상기 템플릿을 상기 장치에 적용할 시에 상기 엔터프라이즈 서비스로부터 검색되는 비밀 값을 나타냄 - 하게 하는,
    시스템.
KR1020227031156A 2020-03-09 2021-01-21 장치의 보안 관리 KR20220152222A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/813,383 2020-03-09
US16/813,383 US11343148B2 (en) 2020-03-09 2020-03-09 Secure management of devices
PCT/US2021/014258 WO2021183216A1 (en) 2020-03-09 2021-01-21 Secure management of devices

Publications (1)

Publication Number Publication Date
KR20220152222A true KR20220152222A (ko) 2022-11-15

Family

ID=74592816

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020227031156A KR20220152222A (ko) 2020-03-09 2021-01-21 장치의 보안 관리

Country Status (5)

Country Link
US (3) US11343148B2 (ko)
EP (1) EP4118790A1 (ko)
KR (1) KR20220152222A (ko)
CN (1) CN115244906A (ko)
WO (1) WO2021183216A1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6786014B1 (ja) * 2019-07-11 2020-11-18 三菱電機株式会社 通信システム、通信装置及びプログラム
CA3155095A1 (en) * 2021-04-13 2022-10-13 Bank Of Montreal Managing configurations of mobile devices across mobility configuration environments
CN113904934B (zh) * 2021-12-09 2022-04-08 之江实验室 一种基于异构校验的高安全设备配置方法和装置

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7469279B1 (en) * 2003-08-05 2008-12-23 Cisco Technology, Inc. Automatic re-provisioning of network elements to adapt to failures
US8903365B2 (en) * 2006-08-18 2014-12-02 Ca, Inc. Mobile device management
US20080114863A1 (en) * 2006-11-15 2008-05-15 International Business Machines Corporation System and method of configuring network infrastructure using functional building blocks
US8473743B2 (en) * 2010-04-07 2013-06-25 Apple Inc. Mobile device management
EP2625614B1 (en) * 2010-10-04 2019-04-17 Avocent Huntsville, LLC System and method for monitoring and managing data center resources in real time incorporating manageability subsystem
US9641910B2 (en) 2010-10-14 2017-05-02 Telefonaktiebolaget Lm Ericsson (Publ) Compression and decompression techniques for DRM license information delivery
EP2727042B1 (en) * 2011-07-01 2016-04-06 Fiberlink Communications Corporation Rules based actions for mobile device management
US20130167223A1 (en) * 2011-12-27 2013-06-27 Symbol Technologies, Inc. Methods and apparatus for securing a software application on a mobile device
US9300760B2 (en) * 2013-01-28 2016-03-29 Google Inc. Machine-specific instruction set translation
US10924554B2 (en) * 2014-05-05 2021-02-16 Citrix Systems, Inc. Application customization
US9584509B2 (en) 2014-05-07 2017-02-28 Cryptography Research, Inc. Auditing and permission provisioning mechanisms in a distributed secure asset-management infrastructure
US20150333959A1 (en) * 2014-05-14 2015-11-19 Agreeya Mobility, Inc. Method and system for device management
US10700931B2 (en) 2014-08-17 2020-06-30 Microsoft Technology Licensing, Llc Network device configuration framework
US11483405B2 (en) 2015-06-10 2022-10-25 Platform9, Inc. Private cloud as a service
US9668136B2 (en) * 2015-09-25 2017-05-30 Citrix Systems, Inc. Using derived credentials for enrollment with enterprise mobile device management services
CN108701094B (zh) * 2016-02-10 2023-03-21 移动熨斗公司 在基于云的应用中安全地存储和分发敏感数据
GB2579745B (en) * 2016-02-25 2021-02-03 Intel Corp Platform for computing at the mobile edge
US10027491B2 (en) * 2016-03-30 2018-07-17 Airwatch Llc Certificate distribution using derived credentials
US10595202B2 (en) * 2016-05-23 2020-03-17 Citrix Systems, Inc. Dynamic access to hosted applications
US10326657B1 (en) * 2016-09-30 2019-06-18 Juniper Networks, Inc. Multi vendor device support in network management systems
US10901752B2 (en) * 2018-07-20 2021-01-26 Vmware, Inc. Message based discovery and management of applications
US11086700B2 (en) 2018-08-24 2021-08-10 Vmware, Inc. Template driven approach to deploy a multi-segmented application in an SDDC
US10805154B2 (en) * 2018-10-16 2020-10-13 Hartford Fire Insurance Company Secure configuration management system
US10944626B2 (en) * 2019-01-31 2021-03-09 Box, Inc. Enterprise mobility management (EMM) intermediary application
US20210119871A1 (en) * 2019-10-21 2021-04-22 Citrix Systems, Inc. Proxy configuration for multiple networks
US11233876B2 (en) * 2020-01-02 2022-01-25 Vmware, Inc. User profile distribution and deployment systems and methods

Also Published As

Publication number Publication date
US20230396497A1 (en) 2023-12-07
US20220247636A1 (en) 2022-08-04
US11343148B2 (en) 2022-05-24
US11770300B2 (en) 2023-09-26
US20210281481A1 (en) 2021-09-09
CN115244906A (zh) 2022-10-25
EP4118790A1 (en) 2023-01-18
WO2021183216A1 (en) 2021-09-16

Similar Documents

Publication Publication Date Title
US10033604B2 (en) Providing compliance/monitoring service based on content of a service controller
US10592226B2 (en) Provisioning of applications deployed on client devices
US11770300B2 (en) Secure management of devices
US11190407B2 (en) Internet of things device discovery and configuration
US10402181B2 (en) Generating and optimizing deployment configurations for enrolled devices
US11470149B2 (en) State management for device-driven management workflows
CN115203653A (zh) 将用户账户与企业工作空间相关联
US11588681B2 (en) Migration of managed devices to utilize management platform features
US11533223B2 (en) Systems and methods for network management
US11010478B2 (en) Method and system for management of secure boot certificates
US11792270B2 (en) Offline sideloading for enrollment of devices in a mobile device management system
US11093260B2 (en) Device provisioning with manufacturer boot environment
US11108831B2 (en) Machine policy configuration for managed devices
US11601476B2 (en) Gateway action framework
US11757976B2 (en) Unified application management for heterogeneous application delivery
EP2869245A2 (en) Service modeling and execution
US20240129294A1 (en) Automatically generating task-based and limited-privilege user security credentials
US20220382849A1 (en) Credentials management and usage in application modernization