WO2021093855A1

WO2021093855A1 - 一种移动设备管理方法及设备

Info

Publication number: WO2021093855A1
Application number: PCT/CN2020/128697
Authority: WO
Inventors: 陈晓东; 张振起
Original assignee: 华为技术有限公司
Priority date: 2019-11-13
Filing date: 2020-11-13
Publication date: 2021-05-20
Also published as: EP4047967A4; US20220385531A1; CN111093183B; CN111093183A; US11863386B2; EP4047967A1

Abstract

本申请公开了一种移动设备管理方法及设备，涉及电子设备领域，解决了不方便连网的电子设备的管控及设备系统升级无法实现的问题。第一电子设备向第一服务器发送包括至少一个第二电子设备的标识的请求消息，该请求消息用于申请部署MDM服务，MDM服务用于第二电子设备的管控和设备系统升级；第一电子设备接收并安装来自第一服务器的DM服务APP；安装DM服务APP后，第一电子设备能够提供MDM服务；第一电子设备与第二电子设备建立无线P2P连接，或第一电子设备与第二电子设备接入同一局域网；第一电子设备对第二电子设备提供MDM服务，以实现对第二电子设备的管控和设备系统升级。

Description

一种移动设备管理方法及设备

本申请要求于2019年11月13日提交国家知识产权局、申请号为201911108641.8、申请名称为“一种移动设备管理方法及设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及电子设备领域，尤其涉及一种移动设备管理方法及设备。

背景技术

越来越多如手机、平板电脑等移动设备进入企业，即企业员工利用移动设备可访问企业内网资源。但利用移动设备访问企业内网资源会给企业的信息安全造成巨大威胁。由此，移动设备管理(mobile device management，MDM)应运而生。MDM是企业实施移动化战略过程中的一个基础支撑方案，其旨在对大量拥入企业的各种移动设备进行统一的安全管控。如，基于MDM，企业可以实现对移动设备的设备系统升级和设备配置管控。

目前，移动设备管理都是基于C-S(客户端-服务器)的部署方式实现的。即待管控的移动设备需要通过互联网连接MDM服务器。其中，MDM服务器部署在网络侧。MDM服务提供商通过MDM服务器可为企业提供管控设备的相关服务。利用这些服务，企业可实现对移动设备的设备系统升级，以及如包括设备注册、设备联网、设备使用人、设备内容等的集中、批量的管控和部署。另外，MDM服务提供商还提供移动设备侧的代理(agent，或者称为客户端(client))，用于移动设备与MDM服务器的加密通信，使用MDM服务器提供的对应服务完成设备注册，根据接收到的MDM服务器下发的指令调用相应设备管控接口对设备进行管控等。MDM服务提供商还对企业信息技术(information technology，IT)提供管控端口，可基于浏览器完成人、设备、角色的分组策略规划和具体设备的管控和查看。

可以看到的是，基于C-S部署方式实现的移动设备管理，待管控的移动设备必须连网，企业才能实现对其的设备系统升级及管控，这会导致对一些不方便连网的设备的管控及设备系统升级无法实现。

发明内容

本申请实施例提供一种移动设备管理方法及设备，解决了不方便连网的电子设备的管控及设备系统升级无法实现的问题。

为达到上述目的，本申请采用如下技术方案：

第一方面，本申请实施例提供一种移动设备管理方法，该方法可以包括：第一电子设备向第一服务器发送请求消息，该请求消息可以包括至少一个第二电子设备的标识，该请求消息用于申请部署MDM服务，MDM服务用于第二电子设备的管控和设备系统升级；第一电子设备接收来自第一服务器的设备管理(DM)服务应用程序(APP)，并安装该DM服务APP；其中，安装该DM服务APP后，第一电子设备能够提供MDM服务；第一电子设备与第二电子设备建立无线点对点(P2P)连接，或第一电子设备与第二电子设备接入同一局域网；第一电子设备对第二电子设备提供MDM服务，以实现对第二电子设备的管控和设备系统升级。

本申请实施例提供的移动设备管理方法，通过将MDM服务部署在电子设备上，使得企业利用部署有MDM服务的电子设备，无需待管控的电子设备连网，而是在局域网或近场环境下便可实现对待管控电子设备的管控及设备系统升级。解决了不方便连网的电子设备的管控及设备系统升级无法实现的问题。也无需待管控的电子设备各自连接互联网下载相关数据，节约了流量，节省了业务费用。另外，通过将MDM服务部署在电子设备上实现对设备的管控及设备系统升级，也就无需购买MDM服务提供商提供的服务，降低了设备管控成本。在将MDM服务部署在电子设备上后，由于无需该电子设备和待管控的电子设备连接互联网，因此，对于无法使用公网进行系统升级(OTA升级)的企业，采用本实施例提供的方案即可实现设备系统升级及其他管控。

在一种可能的实现方式中，上述请求消息中还可以包括授权登录账号信息，上述至少一个第二电子设备的标识与该授权登录账号信息对应。这样，通过携带的授权登录账号信息便于服务器对请求部署MDM服务的设备的合法性进行验证，确保了企业设备管控的安全，降低了企业数据泄露的风险。

在另一种可能的实现方式中，在上述第一电子设备接收来自第一服务器的DM服务APP，并安装DM服务APP之前，该方法还可以包括：第一电子设备接收来自第一服务器的针对第二电子设备的服务策略；第一电子设备根据针对第二电子设备的服务策略显示设置界面；第一电子设备接收用户在设置界面中，对第二电子设备的管控及功能配置；第一电子设备向第一服务器发送配置信息，配置信息包括用户对第二电子设备进行管控及功能配置后的配置参数。根据接收到的服务策略，电子设备可显示对应设置界面供用户进行相应管控及功能配置。

在另一种可能的实现方式中，在上述第一电子设备安装DM服务APP之前，该方法还可以包括：第一电子设备采用预置的第一服务器的公钥对DM服务APP的签名进行验证，采用第一电子设备的私钥对DM服务APP进行解密。这样，通过对DM服务APP的签名进行验证，并对加密数据进行解密，以获得DM服务APP。可以看到的是，只有第一电子设备(或者说主设备)才可以成功解密和使用DM服务APP，进一步确保了企业设备管控的安全，降低了企业数据泄露的风险。

第二方面，本申请实施例提供一种移动设备管理方法，该方法可以包括：第一服务器接收来自第一电子设备的请求消息，该请求消息包括至少一个第二电子设备的标识，该请求消息用于申请部署MDM服务，该MDM服务用于第二电子设备的管控和设备系统升级；第一服务器根据至少一个第二电子设备的标识访问第二服务器，以获得DM服务APP，该DM服务APP用于第一电子设备提供MDM服务；第一服务器向第一电子设备发送DM服务APP。

本申请实施例提供的移动设备管理方法，通过将MDM服务部署在电子设备上，使得企业利用部署有MDM服务的电子设备，无需待管控的电子设备连网，而是在局域网或近场环境下便可实现对待管控电子设备的管控及设备系统升级。解决了不方便连网的电子设备的管控及设备系统升级无法实现的问题。另外，通过将MDM服务部署在电子设备上实现对设备的管控及设备系统升级，也就无需购买MDM服务提供商提供的服务，降低了设备管控成本。在将MDM服务部署在电子设备上后，由于无需该电子设备和待管控的电子设备连接互联网，因此，对于无法使用公网进行系统升级(OTA升级)的企业，采用本实施例提供的方案即可实现设备系统升级及其他管控。

在一种可能的实现方式中，上述请求消息中还可以包括授权登录账号信息，上述至少一个第二电子设备的标识与该授权登录账号信息对应；该方法还可以包括：第一服务器对授权登录账号信息进行账户校验；上述第一服务器根据至少一个第二电子设备的标识访问第二服务器，以获得管理DM服务应用程序APP，包括：在对授权登录账号信息进行账户校验通过后，第一服务器根据至少一个第二电子设备的标识访问第二服务器，以获得DM服务APP。这样，服务器通过根据请求消息中携带的授权登录账号信息，对请求部署MDM服务的设备的合法性进行验证，确保了企业设备管控的安全，降低了企业数据泄露的风险。

在另一种可能的实现方式中，上述第一服务器根据至少一个第二电子设备的标识访问第二服务器，以获得管理DM服务应用程序APP，可以包括：第一服务器根据至少一个第二电子设备的标识访问第二服务器，以获得针对至少一个第二电子设备的服务策略；第一服务器将针对至少一个第二电子设备的服务策略发送给第一电子设备，用于用户对至少一个第二电子设备进行管控及功能配置；第一服务器接收第一电子设备发送的配置信息，配置信息包括用户对至少一个第二电子设备进行管控及功能配置后的配置参数；第一服务器将配置信息发送给第二服务器，用于第二服务器生成DM服务APP；第一服务器接收来自第二服务器的DM服务APP。这样，服务器通过将对应服务策略返回给电子设备，以便电子设备显示对应设置界面供用户进行相应管控及功能配置。

在另一种可能的实现方式中，上述第一服务器根据至少一个第二电子设备的标识访问第二服务器，以获得针对至少一个第二电子设备的服务策略，可以包括：第一服务器根据至少一个第二电子设备的标识，获取至少一个第二电子设备所属的设备型号；第一服务器根据至少一个第二电子设备所属的设备型号访问第二服务器，以获得针对至少一个第二电子设备的服务策略。

在另一种可能的实现方式中，在上述第一服务器向第一电子设备发送DM服务APP之前，该方法还可以包括：第一服务器采用第一服务器的私钥对DM服务APP进行签名，采用第一电子设备的公钥派生的加密密钥对DM服务APP进行加密。这样，通过对DM服务APP进行签名和加密，使得该DM服务APP只有在第一电子设备(或者说主设备)上才可以被成功解密和使用，进一步确保了企业设备管控的安全，降低了企业数据泄露的风险。

第三方面，本申请实施例提供一种电子设备，该电子设备可以包括：处理器和存储器；处理器和存储器耦合，存储器用于存储计算机程序代码，计算机程序代码包括计算机指令，当计算机指令被电子设备执行时，使得电子设备执行上述第一方面或第一方面的可能的实现方式中任一项所述的移动设备管理方法。

具体的，当计算机指令被电子设备执行时，使得电子设备执行如下操作：向第一服务器发送请求消息，该请求消息可以包括至少一个第二电子设备的标识，该请求消息用于申请部署MDM服务，MDM服务用于第二电子设备的管控和设备系统升级；接收来自第一服务器的DM服务APP，并安装该DM服务APP；其中，安装该DM服务APP后，该电子设备能够提供MDM服务；与第二电子设备建立无线P2P连接，或与第二电子设备接入同一局域网；对第二电子设备提供MDM服务，以实现对第二电子设备的管控和设备系统升级。

在一种可能的实现方式中，上述请求消息中还可以包括授权登录账号信息，上述至少一个第二电子设备的标识与该授权登录账号信息对应。

在另一种可能的实现方式中，当计算机指令被电子设备执行时，使得电子设备还执行如下操作：接收来自第一服务器的针对第二电子设备的服务策略；根据针对第二电子设备的服务策略显示设置界面；接收用户在设置界面中，对第二电子设备的管控及功能配置；向第一服务器发送配置信息，配置信息包括用户对第二电子设备进行管控及功能配置后的配置参数。

在另一种可能的实现方式中，当计算机指令被电子设备执行时，使得电子设备还执行如下操作：采用预置的第一服务器的公钥对DM服务APP的签名进行验证，采用该电子设备的私钥对DM服务APP进行解密。

第四方面，本申请实施例提供一种服务器，该服务器可以包括：处理器和存储器；处理器和存储器耦合，存储器用于存储计算机程序代码，计算机程序代码包括计算机指令，当计算机指令被服务器执行时，使得服务器执行如第二方面或第二方面的可能的实现方式中任一项所述的移动设备管理方法。

具体的，当计算机指令被服务器执行时，使得服务器执行如下操作：接收来自第一电子设备的请求消息，该请求消息包括至少一个第二电子设备的标识，该请求消息用于申请部署MDM服务，该MDM服务用于第二电子设备的管控和设备系统升级；根据至少一个第二电子设备的标识访问第二服务器，以获得DM服务APP，该DM服务APP用于第一电子设备提供MDM服务；向第一电子设备发送DM服务APP。

在一种可能的实现方式中，上述请求消息中还可以包括授权登录账号信息，上述至少一个第二电子设备的标识与该授权登录账号信息对应；当计算机指令被服务器执行时，使得服务器还执行如下操作：对授权登录账号信息进行账户校验；上述根据至少一个第二电子设备的标识访问第二服务器，以获得管理DM服务应用程序APP，包括：在对授权登录账号信息进行账户校验通过后，根据至少一个第二电子设备的标识访问第二服务器，以获得DM服务APP。

在另一种可能的实现方式中，上述根据至少一个第二电子设备的标识访问第二服务器，以获得管理DM服务应用程序APP，可以包括：根据至少一个第二电子设备的标识访问第二服务器，以获得针对至少一个第二电子设备的服务策略；将针对至少一个第二电子设备的服务策略发送给第一电子设备，用于用户对至少一个第二电子设备进行管控及功能配置；接收第一电子设备发送的配置信息，配置信息包括用户对至少一个第二电子设备进行管控及功能配置后的配置参数；将配置信息发送给第二服务器，用于第二服务器生成DM服务APP；接收来自第二服务器的DM服务APP。

在另一种可能的实现方式中，上述根据至少一个第二电子设备的标识访问第二服务器，以获得针对至少一个第二电子设备的服务策略，可以包括：根据至少一个第二电子设备的标识，获取至少一个第二电子设备所属的设备型号；根据至少一个第二电子设备所属的设备型号访问第二服务器，以获得针对至少一个第二电子设备的服务策略。

在另一种可能的实现方式中，当计算机指令被服务器执行时，使得服务器还执行如下操作：采用第一服务器的私钥对DM服务APP进行签名，采用第一电子设备的公钥派生的加密密钥对DM服务APP进行加密。

第五方面，本申请实施例提供一种计算机可读存储介质，包括：计算机软件指令；当计算机软件指令在电子设备中运行时，使得电子设备执行如第一方面或第一方面的可能的实现方式中任一项所述的移动设备管理方法。

第六方面，本申请实施例提供一种计算机程序产品，当计算机程序产品在计算机上运行时，使得计算机执行如第一方面或第一方面的可能的实现方式中任一项所述的移动设备管理方法。

第七方面，本申请实施例提供一种计算机可读存储介质，包括：计算机软件指令；当计算机软件指令在服务器中运行时，使得服务器执行如第二方面或第二方面的可能的实现方式中任一项所述的移动设备管理方法。

第八方面，本申请实施例提供一种计算机程序产品，当计算机程序产品在计算机上运行时，使得计算机执行如第二方面或第二方面的可能的实现方式中任一项所述的移动设备管理方法。

应当理解的是，本申请中对技术特征、技术方案、有益效果或类似语言的描述并不是暗示在任意的单个实施例中可以实现所有的特点和优点。相反，可以理解的是对于特征或有益效果的描述意味着在至少一个实施例中包括特定的技术特征、技术方案或有益效果。因此，本说明书中对于技术特征、技术方案或有益效果的描述并不一定是指相同的实施例。进而，还可以任何适当的方式组合本实施例中所描述的技术特征、技术方案和有益效果。本领域技术人员将会理解，无需特定实施例的一个或多个特定的技术特征、技术方案或有益效果即可实现实施例。在其他实施例中，还可在没有体现所有实施例的特定实施例中识别出额外的技术特征和有益效果。

附图说明

图1为本申请实施例提供的一种移动设备管理系统的组成示意图；

图2为本申请实施例提供的一种电子设备的结构示意图；

图3为本申请实施例提供的一种移动设备管理方法的流程示意图；

图4为本申请实施例提供的一种移动设备管理界面示意图；

图5为本申请实施例提供的另一种移动设备管理界面示意图；

图6为本申请实施例提供的又一种移动设备管理界面示意图。

具体实施方式

以下，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。

在本申请实施例的描述中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

大量如手机，平板电脑等电子设备的涌入，给企业IT管理带来了巨大的挑战。目前，移动设备管理(MDM)都是基于C-S的部署方式实现的。这种部署方式要求待管控的电子设备必须连网，但这会导致不方便连网的电子设备的管控及设备系统升级无法实现。另外，MDM服务提供商一般是按照单设备(即一个待管控电子设备)单月收费。这样，企业在使用该MDM服务提供商提供的服务实现大量移动设备管控时通常需要支付高昂的费用。

本申请实施例提供一种移动设备管理方法，可实现MDM服务在电子设备上的部署。企业利用部署有MDM服务的电子设备，无需待管控的电子设备连网，而是在局域网或近场环境下便可实现对待管控电子设备的管控及设备系统升级。解决了不方便连网的电子设备的管控及设备系统升级无法实现的问题。另外，通过将MDM服务部署在电子设备上实现对设备的管控及设备系统升级，也就无需购买MDM服务提供商提供的服务，降低了设备管控成本。

下面将结合附图对本申请实施例的实施方式进行详细描述。

图1为本申请实施例提供的一种移动设备管理系统的组成示意图。如图1所示，该移动设备管理系统至少可以包括：第一电子设备101，至少一个第二电子设备102，第一服务器103及第二服务器104。

其中，第一电子设备101可以作为主设备(master device)，通过访问第一服务器103，以请求第二服务器104为第一电子设备101部署MDM服务。至少一个第二电子设备102是待管控的设备。

在第一电子设备101申请部署MDM服务成功后，在至少一个第二电子设备102与第一电子设备101处于同一局域网或者建立了无线点对点(peer to peer，P2P)连接的情况下，该第一电子设备101可对这些第二电子设备102提供MDM服务，如可包括管控服务及系统升级服务，以实现对至少一个第二电子设备102的管控及设备系统升级。在本实施例中，第一电子设备101实现的管控可以包括以下至少一种：设备管控(或者称为设备管理)，联网管控(或者称为网络管理)，安全管控(或者称为安全管理)，邮件管控(或者称为邮件管理)，内容管控(或者称为内容管理)，应用管控(或者称为应用管理)等。

上述第一服务器103可以是互联网上设置的一个服务器，为企业内网的电子设备，如上述第一电子设备101提供了可以访问外网的服务接口。该第一服务器103可以是设备厂商提供的，用于提供设备的增值服务。例如生产上述第二电子设备102,或者生产上述第一电子设备101和第二电子设备102的厂商提供该第一服务器103。在本实施例中，该第一服务器103可以称为设备管理门户(DM portal)，或者说设备管理服务门户(DM service portal)。DM portal可以是企业购买的云服务。

上述第二服务器104可以是部署在互联网上用于提供设备管理(device management，DM)服务(service)的服务器。该第二服务器104通过与第一服务器103交互，可为第一电子设备101生成对应的DM服务应用程序(application，APP)，并通过第一服务器103下发给第一电子设备101，以实现在第一电子设备101上MDM 服务的部署。

在一些实施例中，上述至少一个第二电子设备102可以是企业批量购买的供企业员工使用的设备。示例性的，在本申请实施例中，上述第一电子设备101及第二电子设备102可以是手机、平板电脑、桌面型、膝上型、手持计算机、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer，UMPC)、上网本、如智能手表等可穿戴设备，以及蜂窝电话、个人数字助理(personal digital assistant，PDA)、增强现实(augmented reality，AR)\虚拟现实(virtual reality，VR)设备等设备，本申请实施例对第一电子设备101以及第二电子设备102的具体形态不作特殊限制。另外，在一些实施例中，上述第一电子设备101和第二电子设备102可以为相同类型的电子设备，如第一电子设备101和第二电子设备102均为手机。在其他一些实施例中，上述第一电子设备101和第二电子设备102可以为不同类型的电子设备，如第一电子设备101为平板电脑，第二电子设备102为手机(如图1中所示)。

请参考图2，为本申请实施例提供的一种电子设备的结构示意图。上述第一电子设备101和/或第二电子设备102的结构可以如图2所示。

如图2所示，电子设备可以包括处理器110，外部存储器接口120，内部存储器121，通用串行总线(universal serial bus，USB)接口130，充电管理模块140，电源管理模块141，电池142，天线1，天线2，移动通信模块150，无线通信模块160，音频模块170，扬声器170A，受话器170B，麦克风170C，耳机接口170D，传感器模块180，按键190，马达191，指示器192，摄像头193，显示屏194，以及用户标识模块(subscriber identification module，SIM)卡接口195等。

其中，传感器模块180可以包括压力传感器180A，陀螺仪传感器180B，气压传感器180C，磁传感器180D，加速度传感器180E，距离传感器180F，接近光传感器180G，指纹传感器180H，温度传感器180J，触摸传感器180K，环境光传感器180L，骨传导传感器180M等。

可以理解的是，本实施例示意的结构并不构成对电子设备的具体限定。在另一些实施例中，电子设备可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件，软件或软件和硬件的组合实现。

处理器110可以包括一个或多个处理单元，例如：处理器110可以包括应用处理器(application processor，AP)，调制解调处理器，图形处理器(graphics processing unit，GPU)，图像信号处理器(image signal processor，ISP)，控制器，存储器，视频编解码器，数字信号处理器(digital signal processor，DSP)，基带处理器，和/或神经网络处理器(neural-network processing unit，NPU)等。其中，不同的处理单元可以是独立的器件，也可以集成在一个或多个处理器中。

控制器可以是电子设备的神经中枢和指挥中心。控制器可以根据指令操作码和时序信号，产生操作控制信号，完成取指令和执行指令的控制。

处理器110中还可以设置存储器，用于存储指令和数据。在一些实施例中，处理器110中的存储器为高速缓冲存储器。该存储器可以保存处理器110刚用过或循环使用的指令或数据。如果处理器110需要再次使用该指令或数据，可从所述存储器中直接调用。避免了重复存取，减少了处理器110的等待时间，因而提高了系统的效率。

在一些实施例中，处理器110可以包括一个或多个接口。接口可以包括集成电路(inter-integrated circuit，I2C)接口，集成电路内置音频(inter-integrated circuit sound，I2S)接口，脉冲编码调制(pulse code modulation，PCM)接口，通用异步收发传输器(universal asynchronous receiver/transmitter，UART)接口，移动产业处理器接口(mobile industry processor interface，MIPI)，通用输入输出(general-purpose input/output，GPIO)接口，用户标识模块(subscriber identity module，SIM)接口，和/或通用串行总线(universal serial bus，USB)接口等。

充电管理模块140用于从充电器接收充电输入。其中，充电器可以是无线充电器，也可以是有线充电器。在一些有线充电的实施例中，充电管理模块140可以通过USB接口130接收有线充电器的充电输入。在一些无线充电的实施例中，充电管理模块140可以通过电子设备的无线充电线圈接收无线充电输入。充电管理模块140为电池142充电的同时，还可以通过电源管理模块141为电子设备供电。

电源管理模块141用于连接电池142，充电管理模块140与处理器110。电源管理模块141接收电池142和/或充电管理模块140的输入，为处理器110，内部存储器121，外部存储器，显示屏194，摄像头193，和无线通信模块160等供电。电源管理模块141还可以用于监测电池容量，电池循环次数，电池健康状态(漏电，阻抗)等参数。在其他一些实施例中，电源管理模块141也可以设置于处理器110中。在另一些实施例中，电源管理模块141和充电管理模块140也可以设置于同一个器件中。

电子设备的无线通信功能可以通过天线1，天线2，移动通信模块150，无线通信模块160，调制解调处理器以及基带处理器等实现。

天线1和天线2用于发射和接收电磁波信号。电子设备中的每个天线可用于覆盖单个或多个通信频带。不同的天线还可以复用，以提高天线的利用率。例如：可以将天线1复用为无线局域网的分集天线。在另外一些实施例中，天线可以和调谐开关结合使用。

移动通信模块150可以提供应用在电子设备上的包括2G/3G/4G/5G等无线通信的解决方案。移动通信模块150可以包括至少一个滤波器，开关，功率放大器，低噪声放大器(low noise amplifier，LNA)等。移动通信模块150可以由天线1接收电磁波，并对接收的电磁波进行滤波，放大等处理，传送至调制解调处理器进行解调。移动通信模块150还可以对经调制解调处理器调制后的信号放大，经天线1转为电磁波辐射出去。在一些实施例中，移动通信模块150的至少部分功能模块可以被设置于处理器110中。在一些实施例中，移动通信模块150的至少部分功能模块可以与处理器110的至少部分模块被设置在同一个器件中。例如，在一些实施例中，结合图1，对于第一电子设备101，其可通过其包括的移动通信模块150通过访问第一服务器103，以请求第二服务器104为自身部署MDM服务。

调制解调处理器可以包括调制器和解调器。其中，调制器用于将待发送的低频基带信号调制成中高频信号。解调器用于将接收的电磁波信号解调为低频基带信号。随后解调器将解调得到的低频基带信号传送至基带处理器处理。低频基带信号经基带处理器处理后，被传递给应用处理器。应用处理器通过音频设备(不限于扬声器170A，受话器170B等)输出声音信号，或通过显示屏194显示图像或视频。在一些实施例中，调制解调处理器可以是独立的器件。在另一些实施例中，调制解调处理器可以独立于处理器110，与移动通信模块150或其他功能模块设置在同一个器件中。

无线通信模块160可以提供应用在电子设备上的包括无线局域网(wireless local area networks，WLAN)(如无线保真(wireless fidelity，Wi-Fi)网络)，蓝牙(bluetooth，BT)，全球导航卫星系统(global navigation satellite system，GNSS)，调频(frequency modulation，FM)，近距离无线通信技术(near field communication，NFC)，红外技术(infrared，IR)等无线通信的解决方案。无线通信模块160可以是集成至少一个通信处理模块的一个或多个器件。无线通信模块160经由天线2接收电磁波，将电磁波信号调频以及滤波处理，将处理后的信号发送到处理器110。无线通信模块160还可以从处理器110接收待发送的信号，对其进行调频，放大，经天线2转为电磁波辐射出去。例如，在一些实施例中，结合图1，对于第一电子设备101，其可通过其包括的无线通信模块160与第二电子设备102建立无线P2P连接，或者与第二电子设备102接入同一局域网。又例如，在本申请一些实施例中，结合图1，对于第二电子设备102，其可通过其包括的无线通信模块160与第一电子设备101建立无线P2P连接，或者与第一电子设备101接入同一局域网。

在一些实施例中，电子设备的天线1和移动通信模块150耦合，天线2和无线通信模块160耦合，使得电子设备可以通过无线通信技术与网络以及其他设备通信。所述无线通信技术可以包括全球移动通讯系统(global system for mobile communications，GSM)，通用分组无线服务(general packet radio service，GPRS)，码分多址接入(code division multiple access，CDMA)，宽带码分多址(wideband code division multiple access，WCDMA)，时分码分多址(time-division code division multiple access，TD-SCDMA)，长期演进(long term evolution，LTE)，BT，GNSS，WLAN，NFC，FM，和/或IR技术等。所述GNSS可以包括全球卫星定位系统(global positioning system，GPS)，全球导航卫星系统(global navigation satellite system，GLONASS)，北斗卫星导航系统(beidou navigation satellite system，BDS)，准天顶卫星系统(quasi-zenith satellite system，QZSS)和/或星基增强系统(satellite based augmentation systems，SBAS)。

电子设备通过GPU，显示屏194，以及应用处理器等实现显示功能。GPU为图像处理的微处理器，连接显示屏194和应用处理器。GPU用于执行数学和几何计算，用于图形渲染。处理器110可包括一个或多个GPU，其执行程序指令以生成或改变显示信息。

显示屏194用于显示图像，视频等。显示屏194包括显示面板。显示面板可以采用液晶显示屏(liquid crystal display，LCD)，有机发光二极管(organic light-emitting diode，OLED)，有源矩阵有机发光二极体或主动矩阵有机发光二极体(active-matrix organic light emitting diode，AMOLED)，柔性发光二极管(flex light-emitting diode，FLED)，Miniled，MicroLed，Micro-oLed，量子点发光二极管(quantum dot light emitting diodes，QLED)等。在一些实施例中，电子设备可以包括1个或N个显示屏194，N为大于1的正整数。

电子设备可以通过ISP，摄像头193，视频编解码器，GPU，显示屏194以及应用处理器等实现拍摄功能。

ISP用于处理摄像头193反馈的数据。例如，拍照时，打开快门，光线通过镜头被传递到摄像头感光元件上，光信号转换为电信号，摄像头感光元件将所述电信号传递给ISP处理，转化为肉眼可见的图像。ISP还可以对图像的噪点，亮度，肤色进行算法优化。ISP还可以对拍摄场景的曝光，色温等参数优化。在一些实施例中，ISP可以设置在摄像头193中。

摄像头193用于捕获静态图像或视频。物体通过镜头生成光学图像投射到感光元件。感光元件可以是电荷耦合器件(charge coupled device，CCD)或互补金属氧化物半导体(complementary metal-oxide-semiconductor，CMOS)光电晶体管。感光元件把光信号转换成电信号，之后将电信号传递给ISP转换成数字图像信号。ISP将数字图像信号输出到DSP加工处理。DSP将数字图像信号转换成标准的RGB，YUV等格式的图像信号。在一些实施例中，电子设备可以包括1个或N个摄像头193，N为大于1的正整数。

数字信号处理器用于处理数字信号，除了可以处理数字图像信号，还可以处理其他数字信号。例如，当电子设备在频点选择时，数字信号处理器用于对频点能量进行傅里叶变换等。

视频编解码器用于对数字视频压缩或解压缩。电子设备可以支持一种或多种视频编解码器。这样，电子设备可以播放或录制多种编码格式的视频，例如：动态图像专家组(moving picture experts group，MPEG)1，MPEG2，MPEG3，MPEG4等。

NPU为神经网络(neural-network，NN)计算处理器，通过借鉴生物神经网络结构，例如借鉴人脑神经元之间传递模式，对输入信息快速处理，还可以不断的自学习。通过NPU可以实现电子设备的智能认知等应用，例如：图像识别，人脸识别，语音识别，文本理解等。

外部存储器接口120可以用于连接外部存储卡，例如Micro SD卡，实现扩展电子设备的存储能力。外部存储卡通过外部存储器接口120与处理器110通信，实现数据存储功能。例如将音乐，视频等文件保存在外部存储卡中。

内部存储器121可以用于存储计算机可执行程序代码，所述可执行程序代码包括指令。处理器110通过运行存储在内部存储器121的指令，从而执行电子设备的各种功能应用以及数据处理。内部存储器121可以包括存储程序区和存储数据区。其中，存储程序区可存储操作系统，至少一个功能所需的应用程序(比如声音播放功能，图像播放功能等)等。存储数据区可存储电子设备使用过程中所创建的数据(比如音频数据，电话本等)等。此外，内部存储器121可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件，闪存器件，通用闪存存储器(universal flash storage，UFS)等。

电子设备可以通过音频模块170，扬声器170A，受话器170B，麦克风170C，耳机接口170D，以及应用处理器等实现音频功能。例如音乐播放，录音等。

音频模块170用于将数字音频信息转换成模拟音频信号输出，也用于将模拟音频输入转换为数字音频信号。音频模块170还可以用于对音频信号编码和解码。在一些实施例中，音频模块170可以设置于处理器110中，或将音频模块170的部分功能模块设置于处理器110中。

扬声器170A，也称“喇叭”，用于将音频电信号转换为声音信号。电子设备可以通过扬声器170A收听音乐，或收听免提通话。

受话器170B，也称“听筒”，用于将音频电信号转换成声音信号。当电子设备接听电话或语音信息时，可以通过将受话器170B靠近人耳接听语音。

麦克风170C，也称“话筒”，“传声器”，用于将声音信号转换为电信号。当拨打电话或发送语音信息或需要通过语音助手触发电子设备执行某些功能时，用户可以通过人嘴靠近麦克风170C发声，将声音信号输入到麦克风170C。电子设备可以设置至少一个麦克风170C。在另一些实施例中，电子设备可以设置两个麦克风170C，除了采集声音信号，还可以实现降噪功能。在另一些实施例中，电子设备还可以设置三个，四个或更多麦克风170C，实现采集声音信号，降噪，还可以识别声音来源，实现定向录音功能等。

耳机接口170D用于连接有线耳机。耳机接口170D可以是USB接口130，也可以是3.5mm的开放移动电子设备平台(open mobile terminal platform，OMTP)标准接口，美国蜂窝电信工业协会(cellular telecommunications industry association of the USA，CTIA)标准接口。

压力传感器180A用于感受压力信号，可以将压力信号转换成电信号。在一些实施例中，压力传感器180A可以设置于显示屏194。压力传感器180A的种类很多，如电阻式压力传感器，电感式压力传感器，电容式压力传感器等。电容式压力传感器可以是包括至少两个具有导电材料的平行板。当有力作用于压力传感器180A，电极之间的电容改变。电子设备根据电容的变化确定压力的强度。当有触摸操作作用于显示屏194，电子设备根据压力传感器180A检测所述触摸操作强度。电子设备也可以根据压力传感器180A的检测信号计算触摸的位置。在一些实施例中，作用于相同触摸位置，但不同触摸操作强度的触摸操作，可以对应不同的操作指令。例如：当有触摸操作强度小于第一压力阈值的触摸操作作用于短消息应用图标时，执行查看短消息的指令。当有触摸操作强度大于或等于第一压力阈值的触摸操作作用于短消息应用图标时，执行新建短消息的指令。

陀螺仪传感器180B可以用于确定电子设备的运动姿态。在一些实施例中，可以通过陀螺仪传感器180B确定电子设备围绕三个轴(即，x，y和z轴)的角速度。陀螺仪传感器180B可以用于拍摄防抖。示例性的，当按下快门，陀螺仪传感器180B检测电子设备抖动的角度，根据角度计算出镜头模组需要补偿的距离，让镜头通过反向运动抵消电子设备的抖动，实现防抖。陀螺仪传感器180B还可以用于导航，体感游戏场景。

气压传感器180C用于测量气压。在一些实施例中，电子设备通过气压传感器180C测得的气压值计算海拔高度，辅助定位和导航。

磁传感器180D包括霍尔传感器。电子设备可以利用磁传感器180D检测翻盖皮套的开合。在一些实施例中，当电子设备是翻盖机时，电子设备可以根据磁传感器180D检测翻盖的开合。进而根据检测到的皮套的开合状态或翻盖的开合状态，设置翻盖自动解锁等特性。

加速度传感器180E可检测电子设备在各个方向上(一般为三轴)加速度的大小。当电子设备静止时可检测出重力的大小及方向。还可以用于识别电子设备姿态，应用于横竖屏切换，计步器等应用。

距离传感器180F，用于测量距离。电子设备可以通过红外或激光测量距离。在一些实施例中，拍摄场景，电子设备可以利用距离传感器180F测距以实现快速对焦。

接近光传感器180G可以包括例如发光二极管(LED)和光检测器，例如光电二极管。发光二极管可以是红外发光二极管。电子设备通过发光二极管向外发射红外光。电子设备使用光电二极管检测来自附近物体的红外反射光。当检测到充分的反射光时，可以确定电子设备附近有物体。当检测到不充分的反射光时，电子设备可以确定电子设备附近没有物体。电子设备可以利用接近光传感器180G检测用户手持电子设备贴近耳朵通话，以便自动熄灭屏幕达到省电的目的。接近光传感器180G也可用于皮套模式，口袋模式自动解锁与锁屏。

环境光传感器180L用于感知环境光亮度。电子设备可以根据感知的环境光亮度自适应调节显示屏194亮度。环境光传感器180L也可用于拍照时自动调节白平衡。环境光传感器180L还可以与接近光传感器180G配合，检测电子设备是否在口袋里，以防误触。

指纹传感器180H用于采集指纹。电子设备可以利用采集的指纹特性实现指纹解锁，访问应用锁，指纹拍照，指纹接听来电等。

温度传感器180J用于检测温度。在一些实施例中，电子设备利用温度传感器180J检测的温度，执行温度处理策略。例如，当温度传感器180J上报的温度超过阈值，电子设备执行降低位于温度传感器180J附近的处理器的性能，以便降低功耗实施热保护。在另一些实施例中，当温度低于另一阈值时，电子设备对电池142加热，以避免低温导致电子设备异常关机。在其他一些实施例中，当温度低于又一阈值时，电子设备对电池142的输出电压执行升压，以避免低温导致的异常关机。

触摸传感器180K，也称“触控面板”。触摸传感器180K可以设置于显示屏194，由触摸传感器180K与显示屏194组成触摸屏，也称“触控屏”。触摸传感器180K用于检测作用于其上或附近的触摸操作。触摸传感器可以将检测到的触摸操作传递给应用处理器，以确定触摸事件类型。可以通过显示屏194提供与触摸操作相关的视觉输出。在另一些实施例中，触摸传感器180K也可以设置于电子设备的表面，与显示屏194所处的位置不同。

骨传导传感器180M可以获取振动信号。在一些实施例中，骨传导传感器180M可以获取人体声部振动骨块的振动信号。骨传导传感器180M也可以接触人体脉搏，接收血压跳动信号。在一些实施例中，骨传导传感器180M也可以设置于耳机中，结合成骨传导耳机。音频模块170可以基于所述骨传导传感器180M获取的声部振动骨块的振动信号，解析出语音信号，实现语音功能。应用处理器可以基于所述骨传导传感器180M获取的血压跳动信号解析心率信息，实现心率检测功能。

按键190包括开机键，音量键等。按键190可以是机械按键。也可以是触摸式按键。电子设备可以接收按键输入，产生与电子设备的用户设置以及功能控制有关的键信号输入。

马达191可以产生振动提示。马达191可以用于来电振动提示，也可以用于触摸振动反馈。例如，作用于不同应用(例如拍照，音频播放等)的触摸操作，可以对应不同的振动反馈效果。作用于显示屏194不同区域的触摸操作，马达191也可对应不同的振动反馈效果。不同的应用场景(例如：时间提醒，接收信息，闹钟，游戏等)也可以对应不同的振动反馈效果。触摸振动反馈效果还可以支持自定义。

指示器192可以是指示灯，可以用于指示充电状态，电量变化，也可以用于指示消息，未接来电，通知等。

SIM卡接口195用于连接SIM卡。SIM卡可以通过插入SIM卡接口195，或从SIM卡接口195拔出，实现和电子设备的接触和分离。电子设备可以支持1个或N个SIM卡接口，N为大于1的正整数。SIM卡接口195可以支持Nano SIM卡，Micro SIM卡，SIM卡等。同一个SIM卡接口195可以同时插入多张卡。所述多张卡的类型可以相同，也可以不同。SIM卡接口195也可以兼容不同类型的SIM卡。SIM卡接口195也可以兼容外部存储卡。电子设备通过SIM卡和网络交互，实现通话以及数据通信等功能。在一些实施例中，电子设备采用eSIM，即：嵌入式SIM卡。eSIM卡可以嵌在电子设备中，不能和电子设备分离。

以下实施例中的方法均可以在具有上述硬件结构的电子设备中实现。

图3为本申请实施例提供的一种移动设备管理方法的流程示意图。结合图1所示的移动设备管理系统，如图3所示，该方法可以包括：

其中，本申请实施例提供的移动设备管理方法可以分为两个阶段，如称为第一阶段和第二阶段。第一阶段主要实现MDM服务的部署，可以包括以下S301-S309。第二阶段主要实现待管控设备的设备系统升级及管控，可以包括以下S310-S311。

S301、第一电子设备向第一服务器发送请求消息，该请求消息用于申请部署MDM服务。

其中，上述请求消息中可以携带授权登录账号信息和待管控设备列表。待管控设备列表中可以包括至少一个第二电子设备的标识。该第二电子设备可以是待管控的电子设备。该标识可以是待管控的电子设备的移动通信国际识别码(international mobile equipment identity number，IEMI)，也可以是待管控的电子设备的其他标识，如介质访问控制(media access control，MAC)地址等。

在一些实施例中，上述授权登录账号信息和待管控设备列表可以是用户(如企业IT管理员)配置在第一电子设备中的。该第一电子设备是用于对其他移动设备进行管控的设备，如可以称为主设备(master device)。在申请部署MDM服务成功后，第一电子设备可用于对待管控设备列表中包括的标识所对应的设备提供MDM服务，如包括系统升级服务及管控服务。

示例性的，为了方便企业员工的工作，企业可能会批量购买多个移动设备供企业员工使用。为了确保企业员工利用这些移动设备访问企业内网资源时的信息安全性，需要对这些移动设备进行统一的安全管控。在企业购买这些移动设备时，设备厂商(如设备生产厂商或者设备销售厂商)可将授权登录账号信息和与该授权登录账号信息绑定的设备信息列表授予该企业的IT管理员。其中，与授权登录账号信息绑定的设备信息列表中包括企业批量购买的移动设备的标识。利用该授权登录账号信息申请到MDM服务的设备，只能对与该授权登录账号信息绑定的设备信息列表中包含的标识所对应的设备进行管控及设备系统升级。

在企业的IT管理员获得授权登录账号信息和与该授权登录账号信息绑定的设备信息列表后，可根据该设备信息列表获得上述待管控设备列表。该待管控设备列表可以包括设备信息列表中的所有标识，也可以包括设备信息列表中的部分标识。也就是说，IT管理员可以选择对批量购买的移动设备的部分或全部设备进行管控。IT管理员可将授权登录账号信息和待管控设备列表配置到第一电子设备中。其中，第一电子设备可以是企业批量购买的移动设备中的一个(如任意一个或者指定的一个)，第一电子设备也可以不是批量购买的移动设备中的一个，本实施例在此不做具体限制。之后，第一电子设备可向第一服务器发送携带授权登录账号信息和待管控设备列表的请求消息，用于申请部署MDM服务。

例如，以第一电子设备是平板电脑，第二电子设备为手机为例。某企业购买了1000台华为手机供企业员工使用。且在购买时，设备厂商将授权登录账号信息和与该授权登录账号信息绑定的设备信息列表(该设备信息列表包括该1000台华为手机的IEMI)授予该企业的IT管理员。IT管理员将该授权登录账号信息和待管控设备列表配置到平板电脑中。以该待管控设备列表包括上述1000台华为手机的IEMI为例，之后，平板电脑可向第一服务器发送携带该1000台华为手机的IEMI和授权登录账号信息的请求消息，以请求在该平板电脑上部署MDM服务，用于对该1000台华为手机进行管控及设备系统升级。

S302、第一服务器对来自第一电子设备的授权登录账号信息进行账户校验。

第一服务器在接收到来自第一电子设备的请求消息后，可对请求消息中携带的授权登录账号信息进行账户校验。在其他一些实施例中，第一服务器也可以委托其他的服务器，如独立于第一服务器设置的用于进行账户校验的服务器(如可称为账户校验服务器)，对来自第一电子设备的请求消息中的授权登录账号信息进行账户校验。该服务器进行账户校验完成后，可将校验结果返回给第一服务器。

作为一种示例，进行账户校验的服务器，如上述第一服务器或上述账户校验服务器中可以预先存储有能够申请部署MDM服务的有效授权登录账号信息，根据存储的有效授权登录账号信息便可实现对来自第一电子设备的授权登录账号信息的账户校验，以验证申请部署MDM服务的第一电子设备的合法性。如，来自第一电子设备的授权登录账户信息与该服务器中存储的有效授权登录账号信息相同，则账户验证通过，即可确认该申请部署MDM服务的第一电子设备合法。如果来自第一电子设备的授权登录账户信息与该服务器中存储的有效授权登录账号信息不同，则账户验证未通过，即可确认该申请部署MDM服务的第一电子设备不合法。

S303、在账户校验通过后，第一服务器根据待管控设备列表访问第二服务器，以获得针对至少一个第二电子设备的服务策略。

其中，服务策略可包括以下策略中的一种或多种：管控策略，配置策略和升级策略。管控策略可以包括以下至少一种：设备管理策略，网络管理策略，安全管理策略，邮件管理策略，内容管理策略，应用管理策略等。配置策略可以包括如桌面壁纸设置、开机动画设置、铃声设置等策略。

在对第一电子设备的授权登录账号信息进行账户校验通过后，第一服务器可以根据来自第一电子设备的待管控设备列表访问第二服务器，以获得针对该待管控设备列表中的至少一个第二电子设备的服务策略。示例性的，第一服务器可以根据待管控设备列表中包括的至少一个第二电子设备的标识(如IEMI)，获取每个第二电子设备所属的设备型号，以获得待管控设备的型号集合，该待管理设备的型号集合包括至少一个设备型号。第一服务器可根据该待管控设备的型号集合访问第二服务器，以获得基于每个设备型号的服务策略，即获得针对待管控设备列表中的至少一个第二电子设备的服务策略。

例如，结合S301中的示例，在第一服务器对来自平板电脑的授权登录账号信息进行账户校验通过后，第一服务器可以根据待管控设备列表中包括的1000台华为手机的IEMI，获取1000台华为手机中每台华为手机的型号，以获得待管控设备的型号集合。如，该1000台华为手机包括四种设备型号，分别为：HUAWEI Mate 20Pro，HUAWEI Mate 20，HUAWEI Mate 10和HUAWEI nova 4。那么，待管控设备的型号集合即包含四种设备型号，分别为：HUAWEI Mate 20 Pro，HUAWEI Mate 20，HUAWEI Mate 10和HUAWEI nova 4。第一服务器可将该待管控设备的型号集合发送给第二服务器。第二服务器接收到待管控设备的型号集合后，可向第一服务器发送与每个设备型号对应的服务策略。如，第二服务器发送的服务策略包括：与HUAWEI Mate 20 Pro对应的服务策略，与HUAWEI Mate 20对应的服务策略，与HUAWEI Mate 10对应的服务策略，及与HUAWEI nova 4对应的服务策略。第一服务器接收到第二服务器发送的服务策略后，便可获得与每个设备型号对应的服务策略，即获得针对待管控设备列表中1000台华为手机的服务策略。

需要说明的是，第一服务器在访问第二服务器时，还可携带来自第一电子设备的授权登录账号信息，以便第二服务器获知该第一服务器访问的合法性。

S304、第一服务器向第一电子设备发送针对至少一个第二电子设备的服务策略。

在第一服务器获得针对至少一个第二电子设备的服务策略后，可将获得的服务策略发送给第一电子设备，以便第一电子设备根据接收到的服务策略展示对应界面(如称为设置界面)，供IT管理员查看并进行相关设置，以实现对设备的管控及功能配置。

示例性的，继续结合上述S303的示例，第一服务器获得针对待管控设备列表中1000台华为手机的服务策略后，可将获得的服务策略发送给平板电脑。平板电脑接收到相关服务策略后，可根据该服务策略展示对应界面。IT管理员通过平板电脑展示的界面，可对这1000台设备进行相应管控及功能配置。

例如，针对设备型号是HUAWEI Mate 20的设备的服务策略中：升级策略是可由版本A升级到版本B；管控策略包括设备管理策略，网络管理策略，安全管理策略，邮件管理策略，内容管理策略和应用管理策略；配置策略包括设置桌面壁纸，开机动画和铃声。其中，安全管理策略中包括设备型号为HUAWEI Mate 20的设备由版本A升级到版本B后，对某些功能的管控。如对是否禁用恢复出厂设置，是否禁用开发人员选项，是否禁用定位服务，读取被管控设备位置，是否禁用系统升级，是否禁用休眠菜单，是否禁用指纹解锁等的管控。

如图4所示，当IT管理员进入企业办公配置台的界面401后，如果选择1000台华为手机中的设备1，如图4中所示的402，则平板电脑可根据该设备1的设备型号(HUAWEI Mate 20)对应的服务策略，显示针对该设备1的相关设置403，如包括设备管理设置项，网络管理设置项，安全管理设置项404，邮件管理设置项，内容管理设置项和应用管理设置项。IT管理员选择相关设置403中的相应设置项，可实现对该设备1的相应管控。如，以IT管理员想对设备1由版本A升级到版本B后是否可使用定位功能进行管控为例。IT管理员可对相关设置403中的安全管理设置项404进行操作。响应于该操作，如图5所示，平板电脑可显示设备1的安全管理设置界面501。该安全管理设置界面501中包括设备1由版本A升级到版本B后，可管控的功能，包括：是否禁用恢复出厂设置，是否禁用开发人员选项，是否禁用定位服务，读取被管控设备位置，是否禁用系统升级，是否禁用休眠菜单，是否禁用指纹解锁。禁用这些功能的开关按钮可默认处于关闭状态，即设备1由版本A升级到版本B后，默认是可以使用对应功能的，如可使用定位服务。如果IT管理员想禁用此功能，如定位服务，则可对禁用定位服务对应的按钮503进行操作。响应于该操作，可实现对设备1由版本A升级到版本B后，禁用定位服务功能的管控。

平板电脑还可根据该设备1的设备型号(HUAWEI Mate 20)对应的服务策略，显示针对该设备1的其他相关设置。如，平板电脑根据配置策略显示对应的配置界面，如桌面壁纸设置界面、开机动画设置界面、铃声设置界面等。这样，IT管理员在对应的配置界面中可上传对应的桌面壁纸，开机动画，铃声等资源，以为该设备1设置桌面壁纸，开机动画，铃声等。针对不同设备型号的设备，IT管理员设置的桌面壁纸，开机动画，铃声等资源可以相同，也可以不同。

需要说明的是，上述示例是以IT管理员对批量购买的设备单独进行相应管控及功能配置为例进行说明的。在其他一些实施例中，IT管理员还可以对批量购买的设备中的多个设备同时进行相应管控及功能配置。如，IT管理员在进行相关设置(如设置界面可参考图4及图5所示)后，可以选择能够适用该设置的设备型号，如图6所示，IT管理员可在所示界面601中，选中能够适用该设置的设备型号，如HUAWEI Mate 20 Pro。这样，可对具有这些设备型号的设备同时进行相应管控及功能配置。又如，IT管理员在进行相关设置(如设置界面可参考图4及图5所示)后，可以选择能够适用该设置的设备，这样，可对这些被选中的设备同时进行相应管控及功能配置。另外，第一电子设备能够对所管控的所有第二电子设备进行OTA管理，可以根据本企业、特定业务或特定工作岗位的需要，针对所有设备，或者针对特定型号设备，或者针对具体一台或多台第二电子设备设置对应的系统升级策略(或者称为升级策略)。具体的，如第一电子设备接收到针对某设备型号的设备的系统升级策略包括：由版本A升级到版本B，由版本A升级到版本C(版本C是版本B更新后的版本)，及由版本A升级到版本D(版本D是版本C更新后的版本)，可显示相关界面，用于IT管理员对系统的升级版本进行管控，如是否允许该设备型号的设备进行系统升级，又如允许该设备型号的设备升级到的版本。作为一种示例，在该界面中，IT管理员可选择该设备型号的设备可由版本A升级到版本B。作为又一种示例，在该界面中，IT管理员可选择该设备型号的设备不允许进行系统版本升级。第一电子设备根据IT管理的设置可以生成对应的配置信息，并将该配置信息发送给第一服务器。第一服务器根据该配置信息可向第一电子设备返回对应的DM服务APP。在该DM服务APP中，提供给对应的第二电子设备的只有其对应的系统升级信息，例如IT管理员设置某些型号的设备不需要进行升级只需要打个安全补丁即可，则第一电子设备将对应的配置信息发送给第一服务器后，第一服务器返回的DM服务APP中，只发给这些型号的设备对应的安全补丁。这样，第一电子设备能实现对其管控的所有第二电子设备的系统升级的灵活管理，防止第二电子设备要么升级到最新版本要么不升级的局面，减少出现第二电子设备不小心升级到最高版本后发现不合适却无法回退到合适版本的问题。

IT管理员在完成对待管控设备列表中的至少一个第二电子设备，如上述示例中的1000台设备的相应管控及功能配置后，第一电子设备可将IT管理员进行相应管控及功能配置后的相关配置信息发送给第一服务器。

S305、第一服务器接收来自第一电子设备的配置信息。

S306、第一服务器将配置信息发送给第二服务器。

其中，配置信息中包括针对至少一个第二电子设备的管控及功能配置后生成的相关配置参数。如，结合上述S304中的示例，配置信息中包括：设置参数，用于指示设备型号是HUAWEI Mate 20的设备1可由版本A升级到版本B，在由版本A升级到版本B后，禁用定位服务功能。配置信息中还可以包括：为该设备1设置的桌面壁纸，开机动画及铃声。

第一服务器在接收到来自第一电子设备的配置信息后，可以将该配置信息发送给第二服务器。在其他一些实施例中，第一服务器在接收到配置信息后，可由后台工作人员对配置信息中包括的如桌面壁纸，开机动画及铃声等资源进行审核，审核这些资源是否符合政策法规。在审核通过后，由第一服务器发送给第二服务器。

S307、第二服务器根据配置信息生成DM服务APP。

S308、第二服务器将DM服务APP发送给第一服务器。

第二服务器在接收到来自第一服务器的配置信息后，可根据配置信息生成对应第一电子设备的授权登录账号信息的DM服务APP，并将生成的该DM服务APP发送给第一服务器。示例性的，结合S306中的示例，该DM服务APP包括：数据资源，如升级包，又如，为设备1设置的桌面壁纸，开机动画及铃声等。该DM服务APP还包括：针对至少一个第二电子设备的配置，如针对设备1禁用定位服务功能。

在一些实施例中，第一服务器接收到对应第一电子设备的授权登录账号信息的DM服务APP后，可使用预配置的第一服务器的私钥对该DM服务APP进行签名。这样可防止DM服务APP被篡改。对于DM服务APP中的敏感数据，如升级包，第一服务器还可以使用根据第一电子设备的公钥派生的加密密钥进行加密。这样，可以确保该敏感数据智能在第一电子设备上才可以被成功解密及使用。

S309、第一电子设备从第一服务器获取DM服务APP，并安装。

在第一服务器获得对应第一电子设备的授权登录账号信息的DM服务APP后，第一服务器可将该DM服务APP下发给第一电子设备，以便第一电子设备获得对应的DM服务APP，并安装该DM服务APP。

在一些实施例中，如果第一服务器对DM服务APP进行了签名及加密处理，则第一电子设备获得DM服务APP后，可采用预置的第一服务器的公钥对DM服务APP的签名进行验证，还可采用第一电子设备的私钥对DM服务APP中的敏感数据进行解密，以获得解密后的DM服务APP，之后第一电子设备再安装该DM服务APP。

在第一电子设备中DM服务APP安装完成后，第一电子设备中的MDM服务便部署完成。之后，第一电子设备可为待管控设备列表中的至少一个第二电子设备(该第二电子设备中预置有DM客户端APP，用于与第一电子设备进行通信)提供MDM服务，如包括管控服务及系统升级服务，以实现对第二电子设备的管控及设备系统升级。如，包括以下S310-S311。在该过程中，第一电子设备及第二电子设备均不需要连接互联网。

S310、第二电子设备与第一电子设备接入同一局域网，或者第二电子设备与第一电子设备建立无线P2P连接。

S311、第一电子设备对第二电子设备提供MDM服务，以实现对第二电子设备的管控及设备系统升级。

其中，在第二电子设备与第一电子设备接入同一局域网，或者第二电子设备与第一电子建立了无线P2P连接(如Wi-Fi直连，或蓝牙连接，或NFC连接等)后，第一电子设备与第二电子设备之间可以进行相互认证，如该认证可以基于硬件的认证密钥(Attestation Key)来完成。在相互认证成功后，第一电子设备可基于MDM协议对第二电子设备提供MDM服务，以实现对第二电子设备的管控及设备系统升级。

示例性的，在第一电子设备与第二电子设备相互认证通过后，第二电子设备可向第一电子设备发送服务请求。该服务请求中可包括该第二电子设备的标识。第一电子设备接收到该服务请求后，可根据服务请求中的标识，将该设备的升级包，设置的桌面壁纸，开机动画及铃声等资源，以及针对该设备的配置发送给该第二电子设备。第二电子设备接收到对应数据后，可进行系统升级，并且根据配置进行相关设置。如结合上述S308中的示例，设备1向平板电脑发送携带该设备1的IEMI后，可接收来自平板电脑的对应升级包，设置的桌面壁纸，开机动画及铃声等资源，以及针对该设备1的配置。设备1利用接收到的数据，可将设备1的系统由版本A升级到版本B，且在升级到版本B后，设备1的定位服务功能是禁用的。另外，设备1还根据接收到的桌面壁纸，开机动画及铃声等进行对应的设置。这样，平板电脑便实现了对设备1的管控及设备系统升级。在其他一些实施例中，在第一电子设备与第二电子设备相互认证通过后，第一电子设备也可以主动向第二电子设备推送服务。如在第一电子设备与第二电子设备相互认证通过后，第一电子设备主动向第二电子设备发送针对该设备的配置，以及对应的升级包，设置的桌面壁纸，开机动画及铃声等资源。在另外一些实施例中，在第一电子设备与第二电子设备相互认证通过后，第一电子设备也可以在确定第二电子设备需要更新服务，如需要更新设备系统时向该第二电子设备推送服务。

上述示例是以配置允许第二电子设备进行版本升级为例进行说明的。在其他一些实施例中，也可以配置某第二电子设备不允许进行系统版本升级。在该实施例中，如果该第二电子设备的使用人选择对该设备的系统版本进行升级时，该请求则不被允许。在接收到该操作时，该第二电子设备还可以显示提示信息，以提示用户该设备禁止进行系统升级。

本申请另一些实施例还提供一种电子设备(如上述实施例中的第一电子设备)，用于实现上述方法实施例中描述的方法。该电子设备可以包括：处理器和存储器；处理器和存储器耦合，存储器用于存储计算机程序代码，计算机程序代码包括计算机指令，当计算机指令被电子设备执行时，使得电子设备执行上述实施例中的对应步骤。

本申请另一些实施例还提供一种服务器(如上述实施例中的第一服务器或第二服务器)，用于实现上述方法实施例中描述的方法。该服务器可以包括：处理器和存储器；处理器和存储器耦合，存储器用于存储计算机程序代码，计算机程序代码包括计算机指令，当计算机指令被服务器执行时，使得服务器执行上述实施例中的对应步骤。

本申请另一些实施例还提供一种计算机可读存储介质，该计算机可读存储介质可包括计算机软件指令，当该计算机软件指令在电子设备(如上述实施例中的第一电子设备)上运行时，使得该电子设备执行上述实施例中的对应步骤。

本申请另一些实施例还提供一种计算机可读存储介质，该计算机可读存储介质可包括计算机软件指令，当该计算机软件指令在服务器(如上述实施例中的第一服务器或第二服务器)上运行时，使得该服务器执行上述实施例中的对应步骤。

本申请另一些实施例还提供一种计算机程序产品，当该计算机程序产品在计算机上运行时，使得该计算机执行上述实施例中第一电子设备或第一服务器或第二服务器执行的对应步骤。

本申请另一些实施例还提供一种装置，用于实现上述方法实施例中描述的方法，该装置具有实现上述实施例中第一电子设备行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块，例如，发送单元或模块，接收单元或模块，无线连接单元或模块，服务提供单元或模块，显示单元或模块，输入单元或模块，验证单元或模块等。

本申请另一些实施例还提供一种装置，用于实现上述方法实施例中描述的方法，该装置具有实现上述实施例中第一服务器行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块，例如，发送单元或模块，接收单元或模块，验证单元或模块，获取单元或模块，签名加密单元或模块等。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个装置，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是一个物理单元或多个物理单元，即可以位于一个地方，或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种移动设备管理方法，其特征在于，所述方法包括：

第一电子设备向第一服务器发送请求消息，所述请求消息包括至少一个第二电子设备的标识，所述请求消息用于申请部署移动设备管理MDM服务，所述MDM服务用于所述第二电子设备的管控和设备系统升级；

所述第一电子设备接收来自所述第一服务器的设备管理DM服务应用程序APP，并安装所述DM服务APP；其中，安装所述DM服务APP后，所述第一电子设备能够提供所述MDM服务；

所述第一电子设备与所述第二电子设备建立无线点对点P2P连接，或所述第一电子设备与所述第二电子设备接入同一局域网；

所述第一电子设备对所述第二电子设备提供所述MDM服务，以实现对所述第二电子设备的管控和设备系统升级。
根据权利要求1所述的方法，其特征在于，所述请求消息中还包括授权登录账号信息，所述至少一个第二电子设备的标识与所述授权登录账号信息对应。
根据权利要求1或2所述的方法，其特征在于，在所述第一电子设备接收来自所述第一服务器的设备管理DM服务应用程序APP，并安装所述DM服务APP之前，还包括：

所述第一电子设备接收来自所述第一服务器的针对所述第二电子设备的服务策略；

所述第一电子设备根据针对所述第二电子设备的服务策略显示设置界面；

所述第一电子设备接收用户在所述设置界面中，对所述第二电子设备的管控及功能配置；

所述第一电子设备向所述第一服务器发送配置信息，所述配置信息包括用户对所述第二电子设备进行管控及功能配置后的配置参数。
根据权利要求1-3中任一项所述的方法，其特征在于，在所述第一电子设备安装所述DM服务APP之前，所述方法还包括：

所述第一电子设备采用预置的所述第一服务器的公钥对所述DM服务APP的签名进行验证，采用所述第一电子设备的私钥对所述DM服务APP进行解密。
一种移动设备管理方法，其特征在于，所述方法包括：

第一服务器接收来自第一电子设备的请求消息，所述请求消息包括至少一个第二电子设备的标识，所述请求消息用于申请部署移动设备管理MDM服务，所述MDM服务用于所述第二电子设备的管控和设备系统升级；

所述第一服务器根据所述至少一个第二电子设备的标识访问第二服务器，以获得设备管理DM服务应用程序APP，所述DM服务APP用于所述第一电子设备提供所述MDM服务；

所述第一服务器向所述第一电子设备发送所述DM服务APP。
根据权利要求5所述的方法，其特征在于，所述请求消息中还包括授权登录账号信息，所述至少一个第二电子设备的标识与所述授权登录账号信息对应；

所述方法还包括：

所述第一服务器对所述授权登录账号信息进行账户校验；

所述第一服务器根据所述至少一个第二电子设备的标识访问第二服务器，以获得管理DM服务应用程序APP，包括：

在对所述授权登录账号信息进行账户校验通过后，所述第一服务器根据所述至少一个第二电子设备的标识访问所述第二服务器，以获得所述DM服务APP。
根据权利要求5或6所述的方法，其特征在于，所述第一服务器根据所述至少一个第二电子设备的标识访问第二服务器，以获得管理DM服务应用程序APP，包括：

所述第一服务器根据所述至少一个第二电子设备的标识访问第二服务器，以获得针对所述至少一个第二电子设备的服务策略；

所述第一服务器将针对所述至少一个第二电子设备的服务策略发送给所述第一电子设备，用于用户对所述至少一个第二电子设备进行管控及功能配置；

所述第一服务器接收所述第一电子设备发送的配置信息，所述配置信息包括用户对所述至少一个第二电子设备进行管控及功能配置后的配置参数；

所述第一服务器将所述配置信息发送给所述第二服务器，用于所述第二服务器生成所述DM服务APP；

所述第一服务器接收来自所述第二服务器的所述DM服务APP。
根据权利要求7所述的方法，其特征在于，所述第一服务器根据所述至少一个第二电子设备的标识访问第二服务器，以获得针对所述至少一个第二电子设备的服务策略，包括：

所述第一服务器根据所述至少一个第二电子设备的标识，获取所述至少一个第二电子设备所属的设备型号；

所述第一服务器根据所述至少一个第二电子设备所属的设备型号访问所述第二服务器，以获得针对所述至少一个第二电子设备的服务策略。
根据权利要求5-8中任一项所述的方法，其特征在于，在所述第一服务器向所述第一电子设备发送所述DM服务APP之前，所述方法还包括：

所述第一服务器采用所述第一服务器的私钥对所述DM服务APP进行签名，采用所述第一电子设备的公钥派生的加密密钥对所述DM服务APP进行加密。
一种电子设备，其特征在于，所述电子设备包括：处理器和存储器；所述处理器和所述存储器耦合，所述存储器用于存储计算机程序代码，所述计算机程序代码包括计算机指令，当所述计算机指令被所述电子设备执行时，使得所述电子设备执行如权利要求1至4中任一项所述的移动设备管理方法。
一种服务器，其特征在于，所述服务器包括：处理器和存储器；所述处理器和所述存储器耦合，所述存储器用于存储计算机程序代码，所述计算机程序代码包括计算机指令，当所述计算机指令被所述服务器执行时，使得所述服务器执行如权利要求5至9中任一项所述的移动设备管理方法。
一种计算机可读存储介质，其特征在于，包括：计算机软件指令；

当所述计算机软件指令在电子设备中运行时，使得所述电子设备执行如权利要求1至4中任一项所述的移动设备管理方法。
一种计算机程序产品，其特征在于，当所述计算机程序产品在计算机上运行时，使得所述计算机执行如权利要求1至4中任一项所述的移动设备管理方法。