特許第6131381号(P6131381)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > サイトリックス システムズ,インコーポレイテッド

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ サイトリックス システムズ,インコーポレイテッドの特許一覧

<>
  • 特許6131381-管理されたブラウザの提供 図000002
  • 特許6131381-管理されたブラウザの提供 図000003
  • 特許6131381-管理されたブラウザの提供 図000004
  • 特許6131381-管理されたブラウザの提供 図000005
  • 特許6131381-管理されたブラウザの提供 図000006
  • 特許6131381-管理されたブラウザの提供 図000007
  • 特許6131381-管理されたブラウザの提供 図000008
  • 特許6131381-管理されたブラウザの提供 図000009
  • 特許6131381-管理されたブラウザの提供 図000010
  • 特許6131381-管理されたブラウザの提供 図000011
  • 特許6131381-管理されたブラウザの提供 図000012
  • 特許6131381-管理されたブラウザの提供 図000013
  • 特許6131381-管理されたブラウザの提供 図000014
  • 特許6131381-管理されたブラウザの提供 図000015
  • 特許6131381-管理されたブラウザの提供 図000016
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6131381
(24)【登録日】2017年4月21日
(45)【発行日】2017年5月17日
(54)【発明の名称】管理されたブラウザの提供
(51)【国際特許分類】
   G06F 21/12 20130101AFI20170508BHJP
   G06F 21/62 20130101ALI20170508BHJP
【FI】
   G06F21/12 310
   G06F21/62 318
【請求項の数】20
【全頁数】82
(21)【出願番号】特願2016-505457(P2016-505457)
(86)(22)【出願日】2013年10月10日
(65)【公表番号】特表2016-519817(P2016-519817A)
(43)【公表日】2016年7月7日
(86)【国際出願番号】US2013064319
(87)【国際公開番号】WO2014158228
(87)【国際公開日】20141002
【審査請求日】2015年11月25日
(31)【優先権主張番号】61/806,577
(32)【優先日】2013年3月29日
(33)【優先権主張国】US
(31)【優先権主張番号】61/866,229
(32)【優先日】2013年8月15日
(33)【優先権主張国】US
(31)【優先権主張番号】14/040,831
(32)【優先日】2013年9月30日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】397074301
【氏名又は名称】サイトリックス システムズ,インコーポレイテッド
(74)【代理人】
【識別番号】100087701
【弁理士】
【氏名又は名称】稲岡 耕作
(74)【代理人】
【識別番号】100101328
【弁理士】
【氏名又は名称】川崎 実夫
(74)【代理人】
【識別番号】100149766
【弁理士】
【氏名又は名称】京村 順二
(74)【代理人】
【識別番号】100110799
【弁理士】
【氏名又は名称】丸山 温道
(72)【発明者】
【氏名】クレーシー,ワヒード
【審査官】 児玉 崇晶
(56)【参考文献】
【文献】 特開2006−155522(JP,A)
【文献】 特開平11−205380(JP,A)
【文献】 特開2009−080814(JP,A)
【文献】 特開2013−058223(JP,A)
【文献】 米国特許出願公開第2006/0136576(US,A1)
【文献】 米国特許出願公開第2004/0198456(US,A1)
【文献】 米国特許第08347349(US,B1)
【文献】 米国特許出願公開第2012/0311695(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/12
G06F 21/62
(57)【特許請求の範囲】
【請求項1】
コンピューティングデバイスにより、管理されたブラウザをロードするステップであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成され、前記1つ以上のポリシーは前記管理されたブラウザの少なくとも1つの機能を制限するよう構成される、ステップと、
前記コンピューティングデバイスにより、デバイス状態情報を取得するステップと、
得された前記デバイス状態情報に基づいて、前記コンピューティングデバイスが、前記管理されたブラウザの少なくとも1つの管理モードを選択的に無効化するべきかどうかを判定するステップと、
前記管理されたブラウザの前記少なくとも1つの管理モードを選択的に無効化するべきとの判定に応じて、前記コンピューティングデバイスにより、前記少なくとも1つの管理モードが無効化されるようにするステップとを含む方法であって
前記少なくとも1つの管理モードが無効化されるようにするステップは、前記管理されたブラウザに前記少なくとも1つの管理モードとは異なる第2のモードに入らせることを含み、
前記第2のモードは、前記管理されたブラウザが少なくとも1つのデバイスマネージャによっては管理されず、前記1つ以上のポリシーが、前記管理されたブラウザに適用されない非管理モードであり、
前記非管理モードにおいて1つ以上のリソースへのアクセスがブロックされる、方法。
【請求項2】
前記管理されたブラウザは、更新されたデバイス状態情報に基づいて前記非管理モードから前記少なくとも1つの管理モードに遷移して戻るよう構成される、請求項1に記載の方法。
【請求項3】
前記管理モードは、前記管理されたブラウザを通して企業データへのアクセスを提供するよう構成され、前記非管理モードは、前記管理されたブラウザの企業データへのアクセスを制限するよう構成される、請求項1に記載の方法。
【請求項4】
前記デバイス状態情報は、前記コンピューティングデバイス上に存在する1つ以上のアプリケーションを特定する情報を含む、請求項1に記載の方法。
【請求項5】
前記デバイス状態情報は、前記コンピューティングデバイスにより使用される1つ以上のネットワーク接続を特定する情報を含む、請求項1に記載の方法。
【請求項6】
前記デバイス状態情報は、前記コンピューティングデバイスの現在位置を特定する情報を含む、請求項1に記載の方法。
【請求項7】
前記非管理モードにおいて、前記コンピューティングデバイス上にローカルにキャッシュされる特定の情報へのアクセスがブロックされる、請求項1に記載の方法。
【請求項8】
前記非管理モードにおいて、1つ以上の企業リソースから得られた最初にローカルにキャッシュされたデータへのアクセスがブロックされる、請求項1に記載の方法。
【請求項9】
前記ローカルにキャッシュされたデータは、ローカルにキャッシュされた、企業アプリケーションが記憶する情報である、請求項8に記載の方法。
【請求項10】
前記管理モードにおいて、1つ以上のコンテンツ・フィルタが適用され、1つ以上のダウンロードが制限され、および1つ以上のプラグインがブロックされる、請求項1に記載の方法。
【請求項11】
前記管理されたブラウザは、セキュリティ保護されたブラウジングと、少なくとも1つの企業リソースから得られたデータのキャッシングとを提供する、請求項1に記載の方法。
【請求項12】
前記セキュリティ保護されたブラウジングと、少なくとも1つの企業リソースから得られたデータのキャッシングとの提供は、前記少なくとも1つの企業リソースから得られたデータを1つ以上の暗号化されたローカルキャッシュにキャッシングをすることを含む、請求項11に記載の方法。
【請求項13】
前記セキュリティ保護されたブラウジングと、少なくとも1つの企業リソースから得られたデータのキャッシングとの提供は、1つ以上のポリシーの指令に基づいて少なくとも1つの企業リソースから得られるデータへのアクセスを提供することを含む、請求項11に記載の方法。
【請求項14】
なくとも1つのプロセッサと、コンピュータ読取可能命令を記憶するメモリとを備え、
前記コンピュータ読取可能命令は、前記少なくとも1つのプロセッサにより実行されたときに、前記コンピューティングデバイスに、
管理されたブラウザをロードし、ここにおいて前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される前記少なくとも1つの管理モードを提供するよう構成され、前記1つ以上のポリシーは、前記管理されたブラウザの少なくとも1つの機能を制限するよう構成され、
デバイス状態情報を取得し、
前記デバイス状態情報に基づいて、前記管理されたブラウザの少なくとも1つの管理モードを選択的に無効化するかどうかを判定し、および
前記管理されたブラウザの前記少なくとも1つの管理モードを選択的に無効化するべきとの判定に応じて、前記少なくとも1つの管理モードが無効化されるようにする、各命令であり、
前記少なくとも1つの管理モードが無効化されるようにするステップは、前記管理されたブラウザに前記少なくとも1つの管理モードとは異なる第2のモードに入らせることを含
前記第2のモードは、前記管理されたブラウザが少なくとも1つのデバイスマネージャによっては管理されず、前記1つ以上のポリシーが、前記管理されたブラウザに適用されない非管理モードであり、
前記非管理モードにおいて1つ以上のリソースへのアクセスがブロックされる、コンピューティングデバイス。
【請求項15】
前記管理されたブラウザは、更新されたデバイス状態情報に基づいて前記非管理モードから前記少なくとも1つの管理モードに遷移して戻るよう構成される、請求項14に記載のコンピューティングデバイス。
【請求項16】
前記管理モードは、前記管理されたブラウザを通して企業データへのアクセスを提供するよう構成され、前記非管理モードは、前記管理されたブラウザの企業データへのアクセスを制限するよう構成される、請求項14に記載のコンピューティングデバイス。
【請求項17】
前記デバイス状態情報は、前記コンピューティングデバイス上に存在する1つ以上のアプリケーションを特定する情報を含む、請求項14に記載のコンピューティングデバイス。
【請求項18】
前記デバイス状態情報は、前記コンピューティングデバイスにより使用される1つ以上のネットワーク接続を特定する情報を含む、請求項14に記載のコンピューティングデバイス。
【請求項19】
前記デバイス状態情報は、前記コンピューティングデバイスの現在位置を特定する情報を含む、請求項14に記載のコンピューティングデバイス。
【請求項20】
1つ以上の不揮発性コンピュータ読取可能媒体であって、
コンピューティングデバイスによって実行されたときに、前記コンピューティングデバイスに、次の(a)から(d)を実行させる命令を記憶している、コンピュータ読取可能媒体。
(a)管理されたブラウザをロードすることであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成され、前記1つ以上のポリシーは、前記管理されたブラウザの少なくとも1つの機能を制限するよう構成された、前記管理されたブラウザをロードすること、
(b)デバイス状態情報を取得すること、
(c)前記デバイス状態情報に基づいて、前記管理されたブラウザの前記少なくとも1つの管理モードを選択的に無効化するべきかどうかを判定すること、
(d)前記管理されたブラウザの前記少なくとも1つの管理モードを選択的に無効化するべきとの判定に応じて、前記少なくとも1つの管理モードが無効化されるようにすることとを行なわせること
ここにおいて、前記少なくとも1つの管理モードが無効化されるようにするステップ(d)は、前記管理されたブラウザに前記少なくとも1つの管理モードとは異なる第2のモードに入らせることを含み、前記第2のモードは、前記管理されたブラウザが少なくとも1つのデバイスマネージャによっては管理されず、前記1つ以上のポリシーが、前記管理されたブラウザに適用されない非管理モードであり、前記非管理モードにおいて1つ以上のリソースへのアクセスがブロックされる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータのハードウェアおよびソフトウェアに関するものである。特に、本発明の1つ以上の態様は、一般に、管理されたブラウザを提供するためのコンピュータのハードウェアおよびソフトウェアに関する。
【背景技術】
【0002】
企業および組織は、近年ますます、スマートフォン、タブレットコンピュータおよび他のモバイルコンピューティングデバイス等のモバイルデバイスを、自社の従業員および他の関係者に提供し、および/または使用可能にしている。これらのデバイスの人気が高まり続け、増大した数の機能が提供されるにつれて、多くの組織が、これらのデバイスがいかに使用できるか、これらのデバイスがどのようなリソースにアクセスできるか、および、これらのデバイスで実行されるアプリケーションがいかに他のリソースと相互作用できるか、について、一定の管理をしたいと考えるであろう。
【発明の概要】
【発明が解決しようとする課題】
【0003】
本発明の様々な態様は、モバイルデバイスをどのように使用できるか、モバイルデバイスがどのようなリソースにアクセスできるか、および、これらのデバイスで実行されるアプリケーションおよび他のソフトウェアがどのように他のリソースと相互作用できるか、について制御する、より効率的、効果的、機能的、および便利な方法を提供する。
【課題を解決するための手段】
【0004】
下記に詳述される本発明の1つ以上の実施形態において、1つ以上の前述した、および/または他の利点を提供するために、複数の異なる方法で、モバイルデバイス管理機能が展開され、実装され、および/または、使用される。
【0005】
本発明のある実施形態においては、コンピューティングデバイスが、管理されたブラウザをロードする。引き続いて、コンピューティングデバイスが、管理されたブラウザを介して1つ以上の企業リソースへのアクセスの要求を受信する。そして、コンピューティングデバイスは、ブラウザから1つ以上の企業リソースへの管理された少なくとも1つのアプリケーショントンネルを生成する。コンピューティングデバイスはそして、少なくとも1つのアプリケーショントンネルを介して1つ以上の企業リソースから企業データを取得する。
【0006】
ある実施形態においては、コンピューティングデバイスが、管理されたブラウザをロードしてもよい。引き続いて、コンピューティングデバイスは、デバイスクラウドを開始するために少なくとも1つの他のコンピューティングデバイスへの接続を確立してもよい。そして、コンピューティングデバイスは、管理されたブラウザのセッションをデバイスクラウドにわたって拡張してもよい。
【0007】
ある実施形態においては、コンピューティングデバイスが、管理されたブラウザをロードしてもよい。引き続いて、コンピューティングデバイスは、デバイス状態情報(state information)を取得してもよい。そして、コンピューティングデバイスは、デバイス状態情報に基づいて、管理されたブラウザの1つ以上の動作モードを選択的な無効化するべきかどうかを判定してもよい。管理されたブラウザの少なくとも1つの動作モードの選択的無効化の判定に応じて、コンピューティングデバイスは、少なくとも1つの動作モードを無効化してもよい。
【0008】
ある実施形態においては、コンピューティングデバイスが、管理されたブラウザをロードしてもよい。引き続いて、コンピューティングデバイスは、1つ以上のポリシーを受信してもよい。そして、コンピューティングデバイスは、管理されたブラウザに1つ以上のポリシーを適用してもよい。
【0009】
ある実施形態においては、コンピューティングデバイスが、管理されたブラウザをロードしてもよい。引き続いて、コンピューティングデバイスは、管理されたブラウザを介して1つ以上の企業リソースのアクセスへの要求を受信してもよい。そして、コンピューティングデバイスは、要求に基づいて1つ以上の企業リソースから企業データを取得してもよい。コンピューティングデバイスはそして、取得された企業データをセキュリティ保護ドキュメントコンテナ内に記憶してもよい。
【0010】
ある実施形態においては、コンピューティングデバイスが、管理されたブラウザをロードしてもよい。引き続いて、コンピューティングデバイスは、少なくとも1つのユーザアカウントに関するシングルサインオン(SSO)クレデンシャル(credential)を受信してもよい。そして、コンピューティングデバイスは、SSOクレデンシャルに基づいて1つ以上の企業リソースから企業データを取得してもよい。コンピューティングデバイスはそして、取得された企業データへのアクセスを管理されたブラウザを介して提供してもよい。
【0011】
ある実施形態においては、コンピューティングデバイスが、管理されたブラウザをロードしてもよい。引き続いて、コンピューティングデバイスは、管理されたブラウザを介してアプリケーションストアへのアクセスの要求を受信してよい。そして、コンピューティングデバイスは、要求に基づいてアプリケーションストアから企業データを取得してもよい。
【0012】
他の実施形態においては、コンピューティングデバイスが、管理されたブラウザをロードしてもよい。引き続いて、コンピューティングデバイスは、管理されたブラウザを介して1つ以上の企業リソースのアクセスへの要求を受信してもよい。そして、コンピューティングデバイスは、要求に基づいて1つ以上の企業リソースから企業データを取得してもよい。コンピューティングデバイスはそして、1つ以上のポリシーに基づいて取得された企業データを制御してもよい。
【0013】
ある実施形態においては、モバイルコンピューティングデバイスが、アプリケーションストアから少なくとも1つのモバイルデバイス管理ポリシーを受信してもよい。引き続いて、モバイルコンピューティングデバイスに関する状態情報が、モバイルデバイス管理エージェントを介して監視されてもよい。そして、少なくとも1つのモバイルデバイス管理ポリシーが、監視された状態情報に基づいて強制されてもよい。
【0014】
ある実施形態においては、モバイルコンピューティングデバイスが、少なくとも1つのユーザアカウントに関するシングルサインオン(SSO)クレデンシャル(credential)を受信してもよい。引き続いて、モバイルコンピューティングデバイスに関する状態情報が、モバイルデバイス管理エージェントを介して監視されてもよい。そして、少なくとも1つのモバイルデバイス管理ポリシーが、監視された状態情報およびSSOクレデンシャルに基づいて適用されてもよい。
【0015】
これらの特徴は、他の多くの特徴と共に、以下により詳細に検討される。
【0016】
本発明は、実施形態として示され、添付図面には限定されない図面において、同様の参照符号が類似の要素を示す。
【図面の簡単な説明】
【0017】
図1】本発明の1つ以上の実施形態に従って使用されるコンピュータシステムアーキテクチャを示す図である。
図2】本発明の1つ以上の実施形態に従って使用されるリモートアクセスシステムのアーキテクチャを示す図である。
図3】本発明の1つ以上の実施形態に従って使用される企業モビリティ管理システムを示す図である。
図4】本発明の1つ以上の実施形態に従って使用される別の企業モビリティ管理システムを示す図である。
図5】本発明の1つ以上の実施形態に従って、管理されたブラウザから1つ以上の企業リソースへのアプリケーショントンネルを生成する方法を説明するためのフローチャートである。
図6】本発明の1つ以上の実施形態に従って、管理されたブラウザのセッションをデバイスクラウドにわたって拡張する方法を説明するためのフローチャートである。
図7】本発明の1つ以上の実施形態に従って、管理されたブラウザの動作モードを選択的に無効化する方法を説明するためのフローチャートである。
図8】本発明の1つ以上の実施形態に従って、管理されたブラウザに1つ以上のモバイルデバイス管理ポリシーを適用する方法を説明するためのフローチャートである。
図9】本発明の1つ以上の実施形態に従って、管理されたブラウザを介してセキュリティ保護ドキュメントコンテナへのアクセスを提供する方法を説明するためのフローチャートである。
図10】本発明の1つ以上の実施形態に従って、SSOクレデンシャルに基づいて企業データを取得し、管理されたブラウザを介してデータへのアクセスを提供する方法を説明するためのフローチャートである。
図11】本発明の1つ以上の実施形態に従って、管理されたブラウザを介してアプリケーションストアへのアクセスを提供する方法を説明するためのフローチャートである。
図12】本発明の1つ以上の実施形態に従って、管理されたブラウザで企業データを取得および制御する方法を説明するためのフローチャートである。
図13】本発明の1つ以上の実施形態に従って、管理されたブラウザ用の1つ以上のポリシーをアドミニストレーションする方法を説明するためのフローチャートである。
図14】本発明の1つ以上の実施形態に従って、管理されたブラウザを介してアプリケーションストアへのアクセスを提供する別の方法を説明するためのフローチャートである。
図15】本発明の1つ以上の実施形態に従って、管理されたブラウザ内で管理された実行環境を提供する方法を説明するためのフローチャートである。
【発明を実施するための形態】
【0018】
様々な実施形態についての以下の記載において、上で特定した添付図面への参照がなされ、それは本願の一部を形成し、そこでは本発明の様々な態様が実践される様々な実施形態が、実施例として示される。
【0019】
しかし他の実施形態が利用されてもよく、本発明で検討される範囲から逸脱しなければ、構造的および機能的修正がなされてもよい。様々な態様が、他の実施形態の実施を可能とし、実践され、または、様々な異なる方法で実行されることが可能である。
【0020】
さらに、本発明で使用される語法および用語法は、説明目的であって、限定的とみなされるべきではない。むしろ、本発明で使用される句および用語は、最も広い解釈および意味を与えられるべきである。「含む(including)」、「備える(comprising)」およびその変形の使用は、その後に列挙される項目およびその均等物ならびに追加の項目およびその均等物の包含を意味する。
【0021】
上述のように、管理されたブラウザの提供に関する特定の実施形態が、本明細書で検討される。しかしながら、これらの概念のより詳細な検討の前に、本発明の様々な態様の実装および/または別様の提供において使用されてもよいコンピューティングアーキテクチャおよび企業モビリティ管理アーキテクチャのいくつかの実施例が、まず図1図4を参照して検討される。
【0022】
〈コンピューティングアーキテクチャ〉
コンピュータソフトウェア、ハードウェアおよびネットワークが、とりわけ、スタンドアローン、ネットワーク接続、リモートアクセス(別名、リモートデスクトップ)、ヴァーチャル環境、および/または、クラウドベース環境、を含む様々な異なるシステム環境において利用される。
【0023】
図1は、スタンドアローンおよび/またはネットワーク接続環境において本明細書で記述される1つ以上の実施形態を実装するために使用される、システムアーキテクチャおよびデータ処理デバイスの一実施例を示す。
【0024】
様々なネットワークノード103,105,107および109が、インターネット等のワイドエリアネットワーク(WAN)101を介して相互接続されている。プライベートイントラネット、コーポレートネットワーク、ローカルエリアネットワーク(LAN)、メトロポリタンエリアネットワーク(MAN)、無線ネットワーク、パーソナルネットワーク(PAN)等の、他のネットワークが、さらに/あるいは(additionally or alternatively)使用されてもよい。ネットワーク101は、例示目的であって、より少ないまたは追加されたコンピュータネットワークで置換されてもよい。LANは、1つ以上の任意の公知のLANトポロジーを有してもよく、イーサネット(登録商標)等の様々な異なる1つ以上のプロトコルを使用してもよい。デバイス103,105,107,109および他のデバイス(図示せず)は、ツイステトペア線、同軸ケーブル、光ファイバ、無線波または他の通信媒体を介して1つ以上のネットワークに接続されている。
【0025】
本明細書で使用され、図面において示される用語「ネットワーク」は、1つ以上の通信パスを介してリモートストレージデバイスが互いに結合されるシステムだけではなく、ストレージ容量を有するようなシステムに随時、結合されるスタンドアローンデバイスをも指す。その結果、用語「ネットワーク」は、「物理ネットワーク」のみならず、全ての物理ネットワークにわたって存在する、単一エンティティに帰するデータからなる「コンテンツネットワーク」をも含む。
【0026】
コンポーネントは、データサーバ103、ウェブサーバ105およびクライアントコンピュータ107,109を含んでいる。データサーバ103は、本発明の1つ以上の実施形態を実行するためのデータベースおよび制御ソフトウェアについてのアクセス、制御および管理の全てを提供する。データサーバ103は、要求に応じてユーザがデータと相互作用し、データを取得するウェブサーバ105へと、接続されている。あるいは、データサーバ103は、ウェブサーバ自体として作動してもよく、インターネットに直接接続されてもよい。データサーバ103は、直接もしくは間接接続を介して、またはある他のネットワークを介して、ネットワーク101(例えばインターネット)を通じてウェブサーバ105に接続されていてもよい。
【0027】
ユーザは、リモートコンピュータ107,109を使用して、例えばウェブブラウザを使用してデータサーバ103と相互作用し、ウェブサーバ105によりホストされる外部露出した1つ以上のウェブサイトを介してデータサーバ103とやりとりする。クライアントコンピュータ107,109は、データサーバ103と呼応して使用されて、そこに記憶されたデータにアクセスしてもよく、または、他の目的のために使用されてもよい。例えば、この分野で公知のように、インターネットブラウザを使用して、または、コンピュータネットワーク(インターネット等)を介してウェブサーバ105および/またはデータサーバ103と通信するソフトウェアアプリケーションを実行することにより、ユーザはクライアントデバイス107からウェブサーバ105にアクセスしてもよい。
【0028】
サーバおよびアプリケーションは、同一の物理マシン上で組み合わされて、別個のヴァーチャルアドレスまたは論理アドレスを保持してもよく、またそれは別個の物理マシン上に存在してもよい。
【0029】
図1は、ネットワークアーキテクチャの一実施例を示しているにすぎず、当業者であれば、使用される特定のネットワークアーキテクチャおよびデータ処理デバイスが変更されてもよいこと、さらに本明細書で記述されるように、提供する機能に対して二次的であることを理解するであろう。例えば、ウェブサーバ105およびデータサーバ103により提供されるサービスは、単一サーバ上で組み合わされてもよい。
【0030】
各コンポーネント103,105,107,109は、公知のコンピュータ、サーバまたはデータ処理デバイスの任意のタイプであってもよい。データサーバ103は例えば、データサーバ103の全ての動作を制御するプロセッサ111を含んでいる。データサーバ103は、さらにRAM113、ROM115、ネットワークインタフェース117、入力/出力インタフェース119(例えばキーボード、マウス、ディスプレイ、プリンタ等)およびメモリ121を含んでいる。
【0031】
I/O119は、様々なインタフェースユニット、ならびに、データまたはファイルの読み取り、書き込み、表示および/または印刷を行うドライブを含んでいる。メモリ121は、さらにデータ処理デバイス103の全ての動作を制御するためのオペレーティングシステムソフトウェア123、データサーバ103に本発明の態様を実行させるよう命令する制御ロジック125、および、本発明の態様とともに使用されても、されなくてもよい、二次的な、サポートおよび/または他の機能を提供する他のアプリケーションソフトウェア127をさらに記憶していてもよい。
【0032】
制御ロジックは、本明細書ではデータサーバソフトウェア125と称されることがある。データサーバソフトウェアの機能は、制御ロジックにコード化された規則に基づいて自動的に行われた動作もしくは決定であるか、または、システムへの入力を提供するユーザにより手動でなされた動作または決定であるか、および/またはユーザ入力(例えばクエリ、データ更新等)に基づく自動処理の組み合わせであるかである。
【0033】
メモリ121はまた、第1のデータベース129および第2のデータベース131を含む、本発明の1つ以上の実施形態の実行において使用されるデータを記憶している。
【0034】
実施形態によっては、第1のデータベースは、第2のデータベース(例えば、別個のテーブル、レポート等として)を含んでもよい。つまり情報は、システム設計に応じて、単一のデータベースに記憶されることができるし、または、異なる論理、ヴァーチャルまたは物理データベースへと分離されることができる。
【0035】
デバイス105,107,109は、デバイス103に関して記述されたのと同様の、または異なるアーキテクチャを有してもよい。当業者であれば、本明細書で記述されるデータ処理装置103(またはデバイス105,107,109)の機能が、複数のデータ処理デバイスに分散されて、例えば複数のコンピュータにわたって処理負荷を分散させ、地理的位置、ユーザアクセスレベル、サービス品質(QoS)等に基づいてトランザクションを分離してもよいことを理解するであろう。
【0036】
1つ以上の態様が、本発明の1つ以上のコンピュータまたは他のデバイスにより実行される、1つ以上のプログラムモジュール等のコンピュータ使用可能または読取可能なデータおよび/またはコンピュータで実行可能な命令において具体化される。
【0037】
一般的に、プログラムモジュールは、コンピュータまたは他のデバイスにおいてプロセッサにより実行されるときに特定のタスクを実行するか、または、特定の抽出データ型を実装する、ルーチン、プログラム、オブジェクト、コンポーネント、データ構造等を含む。モジュールは、実行のために順次コンパイルされるソースコードプログラミング言語で書かれてもよく、または、(限定されないが)Java(登録商標)scriptまたはActionScriptのようなスクリプト言語で書かれてもよい。
【0038】
コンピュータで実行可能な命令は、不揮発性ストレージデバイスのようなコンピュータ読取可能媒体上に記憶される。ハードディスク、CD−ROM、光学ストレージデバイス、磁気ストレージデバイス、および/または、これらの任意の組み合わせを含む、任意の適切なコンピュータ読取可能ストレージ媒体が利用されてもよい。さらに、本発明のデータまたはイベントを表す様々な伝送(非ストレージ)媒体が、金属線、光ファイバおよび/または無線伝送媒体(例えば、空中および/または空間)等の信号伝導媒体を介して移動する電磁波形式で、ソースとデスティネーションとの間で伝達されてもよい。
【0039】
本発明の様々な態様は、方法、データ処理システムまたはコンピュータプログラム製品として具体化される。すなわち、本発明の様々な機能が、ソフトウェア、ファームウェアおよび/またはハードウェア、または、集積回路、フィールドプログラマブルゲートアレイ(FPGA)等のハードウェア均等物において、全体として、または、部分的に具体化される。特定のデータ構造が、本発明の1つ以上の態様をより効率的に実装するために使用されてもよく、このようなデータ構造は、本発明のコンピュータ実行可能な命令およびコンピュータ使用可能なデータの範囲内であると考えられる。
【0040】
さらに図2を参照すると、本発明の1つ以上の態様が、リモートアクセス環境で実装されている。図2は、本発明の1つ以上の実施形態に従って使用されるコンピューティング環境200においてジェネリックコンピューティングデバイス201を含む、実施例としてのシステムアーキテクチャを示す。
【0041】
ジェネリックコンピューティングデバイス201は、クライアントアクセスデバイスに対してヴァーチャルマシンを提供するよう構成された単一サーバまたは複数サーバのデスクトップ仮想化システム(例えば、リモートアクセスまたはクラウドシステム)において、サーバ206aとして使用されている。ジェネリックコンピューティングデバイス201は、サーバ、ならびに、ランダムアクセスメモリ(RAM)205、リードオンリメモリ(ROM)207、入力/出力(I/O)モジュール209およびメモリ215を含む、その関連コンポーネントの全ての動作を制御するためのプロセッサ203を有している。
【0042】
I/Oモジュール209は、ジェネリックコンピューティングデバイス201のユーザが入力を提供する、マウス、キーボード、タッチスクリーン、スキャナ、光学リーダおよび/またはスタイラス(または他の入力デバイス)を含んでいてもよく、音声出力を提供するスピーカ、ならびに、テキスト、オーディオビジュアル、および/またはグラフィカル出力を提供するビデオディスプレイデバイスのうちの1つ以上を含んでもよい。
【0043】
ソフトウェアは、メモリ215および/または他のストレージ内に記憶され、ジェネリックコンピューティングデバイス201を、本発明の様々な機能を実行するための特別な目的のコンピューティングデバイスへと構成するよう命令をプロセッサ203に提供する。例えば、メモリ215は、オペレーティングシステム217、アプリケーションプログラム219および関連するデータベース221等の、コンピューティングデバイス201により使用されるソフトウェアを記憶している。
【0044】
コンピューティングデバイス201は、ターミナル240(クライアントデバイスとも称される)等の1つ以上のリモートコンピュータへの接続をサポートするネットワーク接続環境で動作する。ターミナル240は、パーソナルコンピュータ、モバイルデバイス、ラップトップコンピュータ、タブレット、またはジェネリックコンピューティングデバイス103または201に対して前記の多数または全ての要素を含むサーバであってもよい。
【0045】
図2に示されたネットワーク接続は、ローカルエリアネットワーク(LAN)225およびワイドエリアネットワーク(WAN)229を含むが、他のネットワークも含んでもよい。LANネットワーキング環境で使用されるとき、コンピューティングデバイス201は、ネットワークインタフェースまたはアダプタ223を通じてLAN225に接続される。WANネットワーキング環境で使用されるとき、コンピューティングデバイス201は、コンピュータネットワーク230(例えば、インターネット)等のWAN229を介した通信を確立するためのモデム227または他のワイドエリアネットワークインタフェースを含む。示されたネットワーク接続は例示であって、コンピュータ間の通信リンクを確立する他の手段が使用されてもよいことが理解されるであろう。
【0046】
コンピューティングデバイス201および/またはターミナル240は、電池、スピーカおよびアンテナ(図示せず)等の様々な他のコンポーネントを含むモバイルターミナル(例えば、携帯電話、スマートフォン、PDA、ノートブック等)であってもよい。
【0047】
本発明の態様は、幾多の他の汎用目的または特別な目的のコンピューティングシステム環境またはコンフィグレーションで動作する。本発明の態様での使用に適しているであろう、他のコンピューティングシステム、環境および/またはコンフィグレーションの実施例には、限定されないが、パーソナルコンピュータ、サーバコンピュータ、ハンドヘルドまたはラップトップデバイス、マルチプロセッサシステム、マイクロプロセッサベースシステム、セットトップボックス、プログラマブルコンシューマエレクトロニクス、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、前記のシステムまたはデバイスの任意のものを含む分散コンピューティング環境、等が含まれる。
【0048】
図2に示すように、1つ以上のクライアントデバイス240は、1つ以上のサーバ206a〜206n(ここでは一般的にサーバ206と称される)と通信する。1つの実施形態において、コンピューティング環境200は、サーバ206とクライアントマシン240との間に設置されるネットワークアプライアンスを含んでいる。ネットワークアプライアンスは、クライアント/サーバ接続を管理してもよく、場合によっては、複数のバックエンドサーバ206間でクライアント接続をロードバランシング(load balance)できる。
【0049】
クライアントマシン240は、実施形態によっては、単一のクライアントマシン240またはクライアントマシン240の単一のグループと称されてもよく、サーバ206は、単一のサーバ206またはサーバ206の単一のグループと称されてもよい。1つの実施形態において、単一のクライアントマシン240は、2以上のサーバ206と通信し、別の実施形態において、単一のサーバ206は、2以上のクライアントマシン240と通信する。さらに別の実施形態において、単一のクライアントマシン240は、単一のサーバ206と通信する。
【0050】
クライアントマシン240は、実施形態によっては、以下の非網羅的用語、すなわち、クライアントマシン、クライアント、クライアントコンピュータ、クライアントデバイス、クライアントコンピューティングデバイス、ローカルマシン、リモートマシン、クライアントノード、エンドポイント、またはエンドポイントノード、の任意の1つとして称される。サーバ206は、実施形態によっては、以下の非網羅的用語、すなわち、サーバ、ローカルマシン、リモートマシン、サーバファームまたはホストコンピューティングデバイス、の任意の1つとして称される。
【0051】
1つの実施形態において、クライアントマシン240は、ヴァーチャルマシンであってもよい。ヴァーチャルマシンは任意のヴァーチャルマシンであってもよく、実施形態によっては、ヴァーチャルマシンは、タイプ1またはタイプ2ハイパーバイザ、例えば、Citrix Systems、IBM、VMwareにより開発されたハイパーバイザまたは任意の他のハイパーバイザにより管理される任意のヴァーチャルマシンであってもよい。ある態様では、バーチャルマシンはハイパーバイザにより管理されてよく、また別の態様では、ヴァーチャルマシンは、サーバ206上で実行するハイパーバイザまたはクライアント240上で実行するハイパーバイザにより管理されてもよい。
【0052】
実施形態によっては、サーバ206または他の遠隔配置されたマシン上で遠隔実行するアプリケーションにより生成されるアプリケーション出力を表示するクライアントデバイス240が含まれる。これらの実施形態において、クライアントデバイス240は、ヴァーチャルマシンクライアントエージェントプログラムまたはアプリケーションを実行して、アプリケーションウィンドウ、ブラウザまたは他の出力ウィンドウにおいて出力を表示する。
【0053】
一実施例では、アプリケーションは、デスクトップであり、一方、他の実施例では、アプリケーションは、デスクトップを生成または提示するアプリケーションである。デスクトップは、ローカルおよび/またはリモートアプリケーションが統合されることができるオペレーティングシステムのインスタンスのためのユーザインタフェースを提供するグラフィカルシェルを含んでいる。アプリケーションは、ここで使用されるように、オペレーティングシステムのインスタンスが(および任意選択的にデスクトップも)ロードされた後に実行されるプログラムである。
【0054】
サーバ206は、実施形態によっては、リモートプレゼンテーションプロトコルまたは他のプログラムを使用して、データをシンクライアントまたはクライアント上で実行するリモートディスプレイアプリケーションに送信し、サーバ206上で実行するアプリケーションにより生成されるディスプレイ出力を提示する。シンクライアントまたはリモートディスプレイプロトコルは、以下のプロトコルの非網羅的リスト、すなわち、フロリダ州フォートローダーデールのCitrix Systems社により開発されたインデペンデントコンピューティングアキテクチャ(ICA)プロトコル、または、ワシントン州レドモンドのMicrosoft社により製造されるリモートデスクトッププロトコル(RDP)のうちの任意の1つであることができる。
【0055】
リモートコンピューティング環境は、2以上のサーバ206a〜206nを含んでもよく、サーバ206a〜206nは、例えばクラウドコンピューティング環境において、サーバファーム206へと論理的に一緒にグループ化される。サーバファーム206は、地理的に分散されるが、論理的に一緒にグループ化されたサーバ206、または、互いに近接して配置されるが、論理的に一緒にグループ化されたサーバ206を含んでもよい。サーバファーム206内の地理的に分散されたサーバ206a〜206nは、実施形態によっては、WAN(ワイド)、MAN(メトロポリタン)またはLAN(ローカル)を使用して通信ができ、異なる地理的領域は、異なる大陸、大陸の異なる領域、異なる国、異なる州、異なる都市、異なるキャンパス、異なる部屋、または前述の地理的位置の任意の組み合わせ、として特徴づけることができる。実施形態によっては、サーバファーム206は単一エンティティとして管理されてもよく、一方、他の実施形態において、サーバファーム206は複数のサーバファームを含むことができる。
【0056】
実施形態によっては、サーバファームは、オペレーティングシステムプラットフォーム(例えば、WINDOWS(登録商標)、UNIX(登録商標)、LINUX(登録商標)、iOS、ANDROID(登録商標)、SYMBIAN等)の実質的に同様のタイプを実行するサーバ206を含んでもよい。他の実施形態においては、サーバファーム206は、オペレーティングシステムプラットフォームの第1のタイプを実行する1つ以上のサーバの第1のグループ、および、オペレーティングシステムプラットフォームの第2のタイプを実行する1つ以上のサーバの第2のグループを含んでもよい。
【0057】
サーバ206は、必要に応じてサーバの任意のタイプ、例えばファイルサーバ、アプリケーションサーバ、ウェブサーバ、プロキシサーバ、アプライアンス、ネットワークアプライアンス、ゲートウェイ、アプリケーションゲートウェイ、ゲートウェイサーバ、仮想化サーバ、デプロイメントサーバ、SSL VPNサーバ、ファイアウォール、ウェブサーバ、アプリケーションサーバまたはマスターアプリケーションサーバとして、アクティブディレクトリを実行するサーバ、または、ファイアウォール機能、アプリケーション機能またはロードバランシング機能を提供するアプリケーションアクセラレーションプログラムを実行するサーバ、として構成されることができる。他のサーバタイプが使用されてもよい。
【0058】
実施形態によっては、クライアントマシン240からの要求を受信し、要求を第2のサーバ206bへ転送し、第2のサーバ206bからの応答でクライアントマシン240により生成された要求に応答する第1のサーバ206aが含まれる。第1のサーバ206aは、クライアントマシン240に利用可能なアプリケーションの列挙、および、アプリケーションの列挙によって特定されたアプリケーションをホストするアプリケーションサーバ206に関するアドレス情報を取得する。第1のサーバ206aは、ウェブインタフェースを使用してクライアントの要求に対する応答を提示し、直接、クライアント240と通信して、特定したアプリケーションへのアクセスをクライアント240に提供できる。1つ以上のクライアント240および/または1つ以上のサーバ206は、ネットワーク230、例えばネットワーク101を介してデータを送信してもよい。
【0059】
図2は、例示されたデスクトップ仮想化システムの高レベルアーキテクチャを示す。図示されているように、デスクトップ仮想化システムは、1つ以上のクライアントアクセスデバイス240にヴァーチャルデスクトップおよび/またはヴァーチャルアプリケーションを提供するよう構成された少なくとも1つの仮想化サーバ206を含む、単一サーバまたは複数サーバシステム、またはクラウドシステムであってもよい。
【0060】
本発明で使用されるように、デスクトップとは、1つ以上のアプリケーションがホストされ、および/または実行されてもよいグラフィカル環境または空間のことを指す。デスクトップは、ローカルおよび/またはリモートアプリケーションが統合されることができるオペレーティングシステムのインスタンスのためのユーザインタフェースを提供するグラフィカルシェルを含んでもよい。
【0061】
アプリケーションは、オペレーティングシステムのインスタンスが(および任意選択的にデスクトップも)ロードされた後に実行するプログラムを含んでいる。オペレーティングシステムの各インスタンスは、物理的(デバイスにつき1つのオペレーティングシステム)であっても、ヴァーチャル(単一デバイス上で実行されるOSの複数のインスタンス)であってもよい。各アプリケーションは、ローカルデバイス上で実行されてもよく、または、遠隔配置された(例えばリモートされた)デバイス上で実行されてもよい。
【0062】
〈企業モビリティ管理アーキテクチャ〉
図3は、企業環境、BYOD環境または他のモバイル環境での使用のための企業モビリティアーキテクチャ300を表す。アーキテクチャは、モバイルデバイス302(例えば、クライアント107,211または別様)のユーザが、企業またはパーソナルリソースにモバイルデバイス302からアクセスすること、および、パーソナルユースのためにモバイルデバイス302を使用すること、の両方を可能にする。
【0063】
ユーザは、ユーザにより購入されたモバイルデバイス302または企業によりユーザに提供されたモバイルデバイス302を使用して、このような企業リソース304または企業サービス308にアクセスする。ユーザは、ビジネスユースのみのために、または、ビジネスユースおよびパーソナルユースのために、モバイルデバイス302を利用してもよい。
【0064】
モバイルデバイスは、iOSオペレーティングシステム、Android(登録商標)オペレーティングシステムおよび/または同様のものを実行する。企業は、モバイルデバイス304を管理するためのポリシーを実装することを選択する。ポリシーは、モバイルデバイスが特定され、安全(secure)にされ、またはセキュリティ検証され、そして、企業リソースへの選択的または完全なアクセスを提供されてもよいように、ファイアウォールまたはゲートウェイを通じて埋め込まれる。ポリシーは、モバイルデバイス管理ポリシー、モバイルアプリケーション管理ポリシー、モバイルデータ管理ポリシー、または、モバイルデバイス、アプリケーションおよびデータ管理ポリシーのある組み合わせであってもよい。モバイルデバイス管理ポリシーのアプリケーションを通じて管理されるモバイルデバイス304は、エンロールドデバイスと称すことがある。
【0065】
モバイルデバイスのオペレーティングシステムは、管理パーティション310および非管理パーティション312に分離されてもよい。管理パーティション310は、実行中のアプリケーションおよび管理パーティションに記憶されたデータをセキュリティ保護するために、それに適用されるポリシーを有している。管理パーティション上で実行中のアプリケーションはセキュリティ保護アプリケーションであってもよい。セキュリティ保護アプリケーションは、電子メールアプリケーション、ウェブ閲覧アプリケーション、サース(SaaS)アクセスアプリケーション、Windows(登録商標)Applicationアクセスアプリケーション等であってもよい。セキュリティ保護アプリケーションは、セキュリティ保護ネイティブアプリケーション314、セキュリティ保護アプリケーションランチャー318により実行されるセキュリティ保護リモートアプリケーション322、セキュリティ保護アプリケーションランチャー318により実行される仮想化アプリケーション326等であってもよい。セキュリティ保護ネイティブアプリケーション314は、セキュリティ保護アプリケーションラッパー320によりラップされてもよい。セキュリティ保護アプリケーションラッパー320は、セキュリティ保護ネイティブアプリケーションがデバイス上で実行されるときにモバイルデバイス302上で実行される、統合されたポリシーを含んでもよい。
【0066】
セキュリティ保護アプリケーションラッパー320は、モバイルデバイス302上で実行されるセキュリティ保護ネイティブアプリケーション314を、セキュリティ保護ネイティブアプリケーション314の実行時に要求されるタスクを完了するためにセキュリティ保護ネイティブアプリケーション314が要求する、企業でホストされるリソースへとポイントするメタデータを含んでもよい。セキュリティ保護アプリケーションランチャー318により実行されるセキュリティ保護リモートアプリケーション322は、セキュリティ保護アプリケーションランチャーアプリケーション318内で実行されてもよい。セキュリティ保護アプリケーションランチャー318により実行される仮想化アプリケーション326は、モバイルデバイス302上で、また企業リソース304等で、リソースを利用してもよい。セキュリティ保護アプリケーションランチャー318により実行される仮想化アプリケーション326によりモバイルデバイス302上で使用されるリソースは、ユーザ相互作用リソース、処理リソース等を含んでいる。
【0067】
ユーザ相互作用リソースは、キーボード入力、マウス入力、カメラ入力、触覚入力、音声入力、映像入力、ジェスチャ入力等を収集して送信するために使用される。処理リソースは、ユーザインタフェースを提示する、企業リソース304から受信されたデータを処理する、等のために使用される。
【0068】
セキュリティ保護アプリケーションランチャー318により実行される仮想化アプリケーション326により企業リソース304で使用されるリソースは、ユーザインタフェース生成リソース、処理リソース等を含んでいる。ユーザインタフェース生成リソースは、ユーザインタフェースをアセンブルする、ユーザインタフェースを修正する、ユーザインタフェースをリフレッシュする、等のために使用される。処理リソースは、情報を生成する、情報を読み出す、情報を更新する、情報を削除する、等のために使用される。例えば、仮想化アプリケーションは、GUIに関するユーザ相互作用を記録し、それらをサーバアプリケーションに通信してもよく、サーバアプリケーションは、サーバ上で動作するアプリケーションへの入力としてユーザ相互作用データを使用するであろう。この構成において、企業はサーバ側のアプリケーションを、アプリケーションに関するデータ、ファイル等とともに維持することを選択してもよい。
【0069】
企業は、モバイルデバイスでの展開のためにそれらをセキュリティ保護することにより、本開示の原理に応じていくつかのアプリケーションを「モビライズ」することを選択してもよい一方で、この構成は、特定のアプリケーションのために選択される。例えば、いくつかのアプリケーションがモバイルデバイスでの使用のためにセキュリティ保護されるかもしれず、他のアプリケーションがモバイルデバイスでの展開のためには用意されないまたは適切ではないかもしれないため、企業は、仮想化技術を通じて、用意されないアプリケーションへのモバイルユーザアクセスを提供することを選択する。
【0070】
別の実施例として、企業は、大規模で複雑なデータセットを伴う大規模で複雑なアプリケーション(例えば、マテリアルリソースプランニングアプリケーション)を有し、モバイルデバイス用にアプリケーションをカスタマイズすることは、非常に困難で、または別様に望ましくないため、企業は、仮想化技術を通じて、アプリケーションへのアクセスを提供することを選択してもよい。
【0071】
さらに別の実施例として、企業は、たとえセキュリティ保護されたモバイル環境であっても企業があまりにもセンシティブであるとみなすかもしれない高度にセキュリティ保護されたデータ(例えば、人的資源データ、顧客データ、エンジニアリングデータ)を維持するアプリケーションを有し、企業は、仮想化技術を使用して、そのようなアプリケーションおよびデータへのモバイルアクセスを許可することを選択する。企業は、サーバ側でより適切に動作するとみなされるアプリケーションへのアクセスを許可するために、モバイルデバイス上で完全にセキュリティ保護および完全に機能的なアプリケーションならびに仮想化アプリケーションの両方を提供することを選択してもよい。
【0072】
本発明の実施形態において、仮想化アプリケーションは、セキュリティ保護されたストレージ位置の1つで、いくつかのデータ、ファイル等を携帯電話上に記憶する。企業は、例えば電話上に記憶された特定の情報を許可し、一方、他の情報を許可しないように選択する。
【0073】
仮想化アプリケーションに関して、本明細書に記述されるように、モバイルデバイスは、GUIを提示するよう設計された仮想化アプリケーションを有してもよく、そして、ユーザ相互作用をGUIで記録してもよい。アプリケーションは、ユーザ相互作用をサーバ側に通信し、アプリケーションでのユーザ相互作用としてサーバ側アプリケーションにより使用されてもよい。これに応じて、サーバ側のアプリケーションは、新たなGUIをモバイルデバイスに送信し戻してもよい。例えば、新たなGUIは、静的ページ、動的ページ、アニメーション等である。
【0074】
管理パーティションで実行中のアプリケーションは、安定化アプリケーションであってもよい。安定化アプリケーションは、デバイスマネージャ324によって管理される。デバイスマネージャ324は、安定化アプリケーションを監視し、問題を検出および修復する技術を利用してもよく、その問題とは、もし前記問題を検出および修復する技術が利用されなければ、不安定化アプリケーションとなってしまうことを指す。
【0075】
セキュリティ保護アプリケーションは、モバイルデバイスの管理パーティション310において、セキュリティ保護データコンテナ328に記憶されたデータにアクセスする。セキュリティ保護データコンテナにおいてセキュリティ保護にされたデータは、セキュリティ保護ラップ化アプリケーション314、セキュリティ保護アプリケーションランチャー318により実行されるアプリケーション、セキュリティ保護アプリケーションランチャー318により実行される仮想化アプリケーション326等によりアクセスされる。
【0076】
セキュリティ保護データコンテナ328に記憶されたデータは、ファイルやデータベース等を含んでいる。セキュリティ保護データコンテナ328に記憶されたデータは、セキュリティ保護アプリケーション332の間で共有され、特定のセキュリティ保護アプリケーション330に制限されるデータ等を含んでいる。セキュリティ保護アプリケーションに制限されるデータは、セキュリティ保護一般データ334および高度セキュリティ保護データ338を含んでいる。
【0077】
セキュリティ保護一般データは、AES128ビット暗号化等の暗号の強力形態を使用し、一方、高度セキュリティ保護データ338は、AES254ビット暗号化等の暗号の超強力形態を使用する。セキュリティ保護データコンテナ328に記憶されたデータは、デバイスマネージャ324からのコマンドの受信時に、デバイスから削除される。セキュリティ保護アプリケーションは、デュアルモードオプション340を有している。デュアルモードオプション340は、非セキュリティ保護モードでセキュリティ保護アプリケーションを実行するオプションを、ユーザに提示する。
【0078】
非セキュリティ保護モードでは、セキュリティ保護アプリケーションは、モバイルデバイス302の非管理パーティション312上の非セキュリティ保護データコンテナ342に記憶されたデータにアクセスしてもよい。非セキュリティ保護データコンテナに記憶されたデータは、パーソナルデータ344である。非セキュリティ保護データコンテナ342に記憶されたデータは、モバイルデバイス302の非管理パーティション312上で実行中の非セキュリティ保護アプリケーション348によりアクセスされる。非セキュリティ保護データコンテナ342に記憶されたデータは、セキュリティ保護データコンテナ328に記憶されたデータが、モバイルデバイス302から削除されるときに、モバイルデバイス302に残存してもよい。
【0079】
企業は、モバイルデバイスから、選択されたまたは全ての、企業により所有、ライセンス化または制御された、データ、ファイルおよび/またはアプリケーション(企業データ)が削除されることを欲してもよく、一方、ユーザにより所有、ライセンス化または制御された、パーソナルデータ、ファイルおよび/またはアプリケーション(パーソナルデータ)を残し、または、別様に保ってもよい。この動作は、選択的ワイプと称すことがある。本開示に記述される態様に従って配置された企業およびパーソナルデータで、企業は、選択的ワイプを実行してもよい。
【0080】
モバイルデバイスは、企業において企業リソース304、企業サービス308に、および公衆インターネット348等に接続される。モバイルデバイスは、ヴァーチャルプライベートネットワーク接続を通じて企業リソース304および企業サービス308に接続する。ヴァーチャルプライベートネットワーク接続は、特定のアプリケーション350、特定のデバイス、モバイルデバイス上の特定のセキュリティ保護エリア等(例えば、352)に特有である。例えば、電話のセキュリティ保護エリアにおける各ラップ済みアプリケーションは、アプリケーション特有のVPNを通じて企業リソースにアクセスしてもよく、これにより、VPNへのアクセスが、アプリケーションに関する属性に基づいて、おそらくはユーザまたはデバイス属性情報に関連付けられて、許可されるであろう。
【0081】
ヴァーチャルプライベートネットワーク接続は、Microsoft Exchangeトラフィック、Microsoft Active Directoryトラフィック、HTTPトラフィック、HTTPSトラフィック、アプリケーション管理トラフィック等を伝送してもよい。ヴァーチャルプライベートネットワーク接続は、SSO認証処理354をサポートおよび有効化してもよい。SSO処理は、ユーザが認証クレデンシャルの単一セットを提供することを許可してもよく、認証クレデンシャルは、認証サービス358により検証される。認証サービス358はそして、各個別企業リソース304への認証クレデンシャルの提供をユーザに要求することなく、ユーザに複数の企業リソース304へのアクセスを許可してもよい。
【0082】
ヴァーチャルプライベートネットワーク接続は、アクセスゲートウェイ360により確立され、管理される。アクセスゲートウェイ360は、企業リソース304のモバイルデバイス302への送達を管理、加速および改善するパフォーマンスを増強させる特徴を含んでいる。アクセスゲートウェイは、モバイルデバイス302から公衆インターネット348へとトラフィックをリルートしてもよく、モバイルデバイス302が、公衆インターネット348上で実行される公衆利用可能非セキュリティ保護アプリケーションへアクセスすることを有効化する。
【0083】
モバイルデバイスは、転送ネットワーク362を介してアクセスゲートウェイに接続されてもよい。転送ネットワーク362は、有線ネットワーク、無線ネットワーク、クラウドネットワーク、ローカルエリアネットワーク、メトロポリタンエリアネットワーク、ワイドエリアネットワーク、公衆ネットワーク、プライベートネットワーク等である。
【0084】
企業リソース304は、電子メールサーバ、ファイル共有サーバ、SaaSアプリケーション、Webアプリケーションサーバ、Windows(登録商標)アプリケーションサーバ等を含んでいる。電子メールサーバは、Exchangeサーバ、Lotus Notesサーバ等を含んでいる。ファイル共有サーバは、SHAREFILEサーバ、他のファイル共有サービス等を含んでいる。SaaSアプリケーションは、Salesforce等を含んでいる。Windows(登録商標)アプリケーションサーバは、ローカルWindows(登録商標)オペレーティングシステム上での実行が意図されるアプリケーションの提供のために構築された任意のアプリケーションサーバ等を含んでいる。
【0085】
企業リソース304は、プレミスベースリソース、クラウドベースリソース等である。企業リソース304は、モバイルデバイス302によって直接、または、アクセスゲートウェイ360を通じてアクセスされる。企業リソース304は、転送ネットワーク362を介してモバイルデバイス302によってアクセスされてもよい。転送ネットワーク362は、有線ネットワーク、無線ネットワーク、クラウドネットワーク、ローカルエリアネットワーク、メトロポリタンエリアネットワーク、ワイドエリアネットワーク、公衆ネットワーク、プライベートネットワーク等であってもよい。
【0086】
企業サービス308は、認証サービス358、脅威検出サービス364、デバイスマネージャサービス324、ファイル共有サービス368、ポリシーマネージャサービス370、ソーシャル統合サービス372、アプリケーションコントローラサービス374等を含んでいる。
【0087】
認証サービス358は、ユーザ認証サービス、デバイス認証サービス、アプリケーション認証サービス、データ認証サービス等を含んでいる。認証サービス358は、証明書を使用してもよい。証明書は、企業リソース304等によりモバイルデバイス302に記憶されてもよい。モバイルデバイス302に記憶された証明書は、モバイルデバイス上の暗号化位置に記憶されてもよく、証明書は、認証時の使用等のためにモバイルデバイス302上に一時的に記憶されてもよい。
【0088】
脅威検出サービス364は、侵入検出サービス、非許諾アクセス試行検出サービス等を含んでいる。非許諾アクセス試行検出サービスは、デバイス、アプリケーション、データ等へのアクセスの非許諾試行を含んでいる。デバイス管理サービス324は、コンフィグレーション、プロビジョニング、セキュリティ、サポート、監視、報告およびデコミッショニングサービスを含んでもよい。ファイル共有サービス368は、ファイル管理サービス、ファイルストレージサービス、ファイルコラボレーションサービス等を含んでいる。ポリシーマネージャサービス370は、デバイスポリシーマネージャサービス、アプリケーションポリシーマネージャサービス、データポリシーマネージャサービス等を含んでいる。
【0089】
ソーシャル統合サービス372は、コンタクト統合サービス、コラボレーションサービス、Facebook,TwitterおよびLinkedIn等のソーシャルネットワークとの統合等を含んでいる。アプリケーションコントローラサービス374は、管理サービス、プロビジョニングサービス、デプロイメントサービス、アサインメントサービス、リボケーションサービス、ラッピングサービス等を含んでいる。
【0090】
企業モビリティ技術アーキテクチャ300は、アプリケーションストア378を含んでもよい。アプリケーションストア378は、非ラップ化アプリケーション380、プリラップ化アプリケーション382等を含んでいる。
【0091】
アプリケーションは、アプリケーションコントローラ374からアプリケーションストア378に集約されてもよい。アプリケーションストア378は、アクセスゲートウェイ360を通じて、または公衆インターネット348を通じて等、モバイルデバイス302によりアクセスされる。アプリケーションストアには、直覚的および使用しやすいユーザインタフェースが提供されてもよい。アプリケーションストア378はソフトウェア開発キット384へのアクセスを提供してもよい。ソフトウェア開発キット384は、本明細書に以前に記述したようにアプリケーションをラップすることによって、ユーザにより選択されたアプリケーションをセキュリティ保護する能力をユーザに提供する。ソフトウェア開発キット384を使用してラップされたアプリケーションはそして、アプリケーションコントローラ374を使用してそれをアプリケーションストア378に集約することにより、モバイルデバイス302に利用可能にされる。
【0092】
企業モビリティ技術アーキテクチャ300は、管理および解析能力を含んでもよい。管理および解析能力は、リソースがどのように使用されるか、リソースがどれくらいの頻度で使用されるか等に関する情報を提供する。リソースは、デバイス、アプリケーション、データ等を含んでもよい。リソースがどのように使用されるかについては、どのデバイスがどのアプリケーションをダウンロードし、どのアプリケーションがどのデータにアクセスするか等を含んでいる。リソースがどれくらいの頻度で使用されるかには、アプリケーションがどれくらいの頻度でダウンロードされたか、データの特定のセットが何回アプリケーションによりアクセスされたか等を含んでいる。
【0093】
図4に、別の企業モビリティ管理システム400を示す。図3に関して上述されたモビリティ管理システム300のコンポーネントのいくつかは、簡明さのために省略されている。図4に示されたシステム400のアーキテクチャは、図3に関して上述されたシステム300のアーキテクチャと多くの点で同様であり、上述されない追加の特徴を含んでいる。
【0094】
この場合、左手側は、エンロールドモバイルデバイス402(クライアント107,212,302等)をクライアントエージェント404とともに表し、これは、右手側上方に示された、Exchange、Sharepoint、PKI Resource、Kerberos ResourceおよびCertificate Issuance Service等の様々な企業リソース408およびサービス409へのアクセスのために、ゲートウェイサーバ406(アクセスゲートウェイおよびアプリケーションコントローラ機能を含む)と相互作用する。
【0095】
特に示してはいないが、モバイルデバイス402は、アプリケーションの選択およびダウンロードのための企業アプリケーションストア(例えば、StoreFront)と相互作用してもよい。クライアントエージェント404は、例えば、リモートリソースおよび/または仮想化リソースで通信を容易にする、クライアントデバイス上で実行するソフトウェアアプリケーションである。ゲートウェイサーバ406は、例えば、企業リソースおよび/またはクラウドリソースへのアクセスを提供するサーバまたは他のリソースである。
【0096】
クライアントエージェント404は、EnterpriseデータセンタでホストされるWindows(登録商標)アプリ/デスクトップ媒介用のUI(ユーザインタフェース)として作動し、Windows(登録商標)アプリ/デスクトップは、HDX/ICAディスプレイリモーティングプロトコルまたは他のリモーティングプロトコルを使用してアクセスされる。クライアントエージェント404は、ネイティブiOSまたはAndroid(登録商標)アプリケーション等の、モバイルデバイス402上のネイティブアプリケーションのインストールおよび管理もサポートする。
【0097】
例えば、上述の図に示された、管理されたアプリケーション410(メール、ブラウザ、ラップ化アプリケーション)は全て、デバイス上でローカルに実行されるネイティブアプリケーションである。クライアントエージェント404およびフロリダ州フォートローダーデールのCitrix Systems社によるMDX(モバイルエクスペリエンステクノロジ)等のアプリケーション管理フレームワーク(他のアプリケーション管理フレームワークも用いられてもよい)は、企業リソース/サービス408への接続性およびSSO等のポリシー駆動管理能力および特徴を提供するために作動する。
【0098】
クライアントエージェント404は、企業への、通常他のゲートウェイサーバコンポーネントへのSSOを伴うアクセスゲートウェイ(AG)への、一次的ユーザ認証を取り扱う。クライアントエージェント404は、モバイルデバイス402上での管理されたアプリケーション410の挙動を制御するために、ゲートウェイサーバ406からポリシーを取得する。本発明で使用されるように、管理されたアプリケーションは、独立に定義されて通信されたポリシーファイルに基づいて制御され、それに従って動作することが可能なアプリケーションである。
【0099】
ネイティブアプリケーション410およびクライアントエージェント404間のセキュリティ保護IPCリンク412は、管理チャネルを表し、これにより、クライアントエージェントが、各アプリケーションを「ラップする」アプリケーション管理フレームワーク414により適用されるポリシーを供給することが可能となる。IPCチャネル412はまた、クライアントエージェント404が、企業リソース408への接続性およびSSOを有効化するクレデンシャルおよび認証情報を供給することを可能とする。最後に、IPCチャネル412は、アプリケーション管理フレームワーク414が、オンラインおよびオフライン認証等のクライアントエージェント404により実装されるユーザインタフェース機能を起動することを可能とする。
【0100】
クライアントエージェント404およびゲートウェイサーバ406間の通信は、本質的に、各ネイティブな管理されたアプリケーション410をラップするアプリケーション管理フレームワーク414からの管理チャネルの拡張である。アプリケーション管理フレームワーク414は、クライアントエージェント404からポリシー情報を要求し、一方、クライアントエージェント404は、ゲートウェイサーバ406からそれを要求する。アプリケーション管理フレームワーク414は、認証を要求し、クライアントエージェント404は、ゲートウェイサーバ406のゲートウェイサービス部分(NetScaler Access Gatewayとしても知られる)にログインする。クライアントエージェント404は、ゲートウェイサーバ406上でサポートサービスも呼び出してもよく、これにより、以下でさらに完全に説明されるように、ローカルデータ貯蔵庫(data vaults;以下「データボルト」、「ボルト」と言うことがある)416のための暗号化鍵を導出するための入力マテリアルを生成しても、または、PKI保護リソースへの直接認証を有効化してもよいクライアント証明書を供給してもよい。
【0101】
より詳細には、アプリケーション管理フレームワーク414は、各管理されたアプリケーション410を「ラップする」。これは、明示的な構築ステップを介して、または、構築後処理ステップを介して組み込まれてもよい。アプリケーション管理フレームワーク414は、アプリケーション410の最初のローンチにおいてクライアントエージェント614と「ペアリング」し、セキュリティ保護IPCチャネルを初期化し、そのアプリケーション用のポリシーを取得する。アプリケーション管理フレームワーク414は、クライアントエージェントのログイン依存性、および、ローカルOSサービスがいかに使用されてよいか、またはそれらがアプリケーション410といかに相互作用してよいかについて制限する制約ポリシーのいくつか等、ローカル適用のポリシーの関連部分を適用(enforce)する。
【0102】
アプリケーション管理フレームワーク414は、認証および内部ネットワークアクセスを容易にするために、セキュリティ保護IPCチャネル412を介してクライアントエージェント404により提供されるサービスを使用する。プライベートおよび共有データボルト416の鍵管理(コンテナ)は、管理されたアプリケーション410およびクライアントエージェント404間の適切な相互作用により管理される。ボルト416は、オンライン認証後にのみ利用可能、または、ポリシーにより許可された場合のオフライン認証後に利用可能にされてもよい。ボルト416の最初の使用は、オンライン認証を要求してもよく、オフラインアクセスは、最大でもオンライン認証が再び要求される前のポリシーリフレッシュ期間に制限されてもよい。
【0103】
内部リソースへのネットワークアクセスは、アクセスゲートウェイ406を通じて個別に管理されたアプリケーション410から直接、生じる。アプリケーション管理フレームワーク414は、各アプリケーション410のためのネットワークアクセスのオーケストレーションを担う。クライアントエージェント404は、オンライン認証に続いて取得される適切な時間制限二次的クレデンシャルの提供により、これらのネットワーク接続を容易にする。リバースウェブプロキシ接続およびエンドトゥエンドVPNスタイルトンネル418等の、ネットワーク接続の複数のモードが使用されてもよい。
【0104】
メールおよびブラウザの管理されたアプリケーション410は、特別な状態を有しており、また任意のラップ化アプリケーションに一般的に利用可能ではないかもしれない能力を使用する。例えば、メールアプリケーションは、完全なADログオンを要求することなく延長された期間、Exchangeへのアクセスを可能とする、特別なバックグラウンドネットワークアクセス機構を使用してもよい。ブラウザアプリケーションは、異なる種類のデータを分離するために複数のプライベートなデータボルトを使用してもよい。
【0105】
このアーキテクチャは、様々な他のセキュリティ特徴の組み込みをサポートする。例えば、ゲートウェイサーバ406(そのゲートウェイサービスも含む)は、場合によっては、ADパスワードを確認する必要がないであろう。ADパスワードが、状況によってはあるユーザ達に対する認証ファクタとして使用されるか否かについては、企業の裁量に任されたままとすることができる。ユーザがオンラインであるかオフラインであるか(すなわち、ネットワークに接続されているか、接続されていないか)によって、異なる認証方法が使用されてもよい。
【0106】
ステップアップ認証は、ゲートウェイサーバ406が、厳密な認証を要求する高度機密データへのアクセスを有することが許可された、管理されたネイティブアプリケーション410を特定し、たとえこれが前回のより弱いレベルのログイン後に再認証がユーザにより要求されることを意味するとしても、これらのアプリケーションへのアクセスが適切な認証の実施後にのみ許可されることを確実にしてもよい特徴である。
【0107】
このソリューションの別のセキュリティ特徴は、モバイルデバイス402上のデータボルト416(コンテナ)の暗号化である。ファイル、データベース、およびコンフィグレーションを含む全てのオンデバイスデータが保護されるよう、ボルト416を暗号化してもよい。オンラインボルトについては、鍵がサーバ(ゲートウェイサーバ406)上に記憶されてもよく、オフラインボルトについては、鍵のローカルコピーがユーザパスワードにより保護されてもよい。データがデバイス402上でローカルにセキュリティ保護コンテナ416内に記憶されたときに、AES256暗号化アルゴリズムの最小値が利用されることが好ましい。
【0108】
他のセキュリティ保護コンテナ特徴も実装されてもよい。例えば、ロギング特徴が含まれてもよく、アプリケーション410内で発生する全てのセキュリティイベントがログされ、バックエンドに報告される。アプリケーション410が改ざんを検出すると関連する暗号化鍵がランダムデータで上書きされ、ユーザデータが破壊されたファイルシステム上になんらヒントを残さない、等のデータ完全削除がサポートされてもよい。スクリーンショット保護は、アプリケーションがスクリーンショットにおいてあらゆるデータの記憶を防止する別の特徴である。例えば、キーウィンドウの隠しプロパティがYESに設定されてもよい。これにより、いかなるコンテンツが現在スクリーン上に表示されていようとも隠され、通常は任意のコンテンツが存在するはずが、ブランクスクリーンショットとなる。
【0109】
任意のデータがアプリケーションコンテナ外に(例えばそれをコピーすることまたは外部アプリケーションにそれを送信することにより)ローカルに伝達されるのを防止することによって等、ローカルデータ伝達が防止されてもよい。キーボードキャッシュ特徴は、センシティブテキスト分野用の自動修正機能を無効化するよう動作してもよい。アプリケーションがサーバSSL証明書を、キーチェーン内にそれを記憶する代わりに、特定的に検証するよう、SSL証明書検証は動作可能であってもよい。デバイス上でデータを暗号化するために使用される鍵が、ユーザにより供給されるパスフレーズを使用して生成される(オフラインアクセスが要求される場合)ように、暗号化鍵生成特徴が使用されてもよい。オフラインアクセスが要求されない場合、それは、ランダムに生成されてサーバ側に記憶された別の鍵とXORされてもよい。鍵導出関数は、その暗号ハッシュを生成するよりもむしろ、ユーザパスワードから生成された鍵がKDF(鍵導出関数、とりわけPBKDF2)を使用するよう動作してもよい。暗号ハッシュは、総あたりのまたは辞書攻撃を受けやすい鍵を作る。
【0110】
さらに、1つ以上の初期化ベクトルが、暗号化方法において使用されてもよい。初期化ベクトルにより、同じ暗号化データの複数のコピーが、リプレーアタックおよび暗号解読攻撃の両方を防止しつつ異なる暗号テキスト出力を生成するであろう。これにより、データを暗号化するのに使用される特定の初期化ベクトルが知られていない場合に、盗まれた暗号化鍵であっても、攻撃者が任意のデータを解読することが防止されるであろう。さらに、認証そして解読が使用されてもよく、ユーザがアプリケーション内で認証された後にのみアプリケーションデータは解読される。別の特徴は、メモリ内のセンシティブデータに関連してもよく、これは、必要時にのみメモリ内に(ディスク内ではなく)保存されてもよい。例えば、ログインクレデンシャルは、ログイン後にメモリからワイプされてもよく、暗号化鍵およびオブジェクティブCのインスタンス変数内の他のデータは、参照されやすいかもしれないので、記憶されない。代わりに、メモリは手動でこれらに割り当てられてもよい。
【0111】
非活動タイムアウトが実装されてもよく、非活動のポリシー定義期間の後に、ユーザセッションが終了する。
【0112】
アプリケーション管理フレームワーク414からのデータ漏れは、他の方法で防止されてもよい。例えば、アプリケーション410がバックグラウンドに置かれるとき、所定(構成可能)期間の後にメモリはクリアされてもよい。バックグラウンド化の際に、フォアグラウンド処理と結びつけるために、アプリケーションの最後に表示されるスクリーンのスナップショットが撮られてもよい。スクリーンショットは、機密データを含むかもしれず、よって、クリアされるべきである。
【0113】
別のセキュリティ特徴は、1つ以上のアプリケーションへのアクセスのためのAD(アクティブディレクトリ)422パスワードの使用を伴わない、OTP(ワンタイムパスワード)420の使用に関する。場合によっては、あるユーザ達は自身のADパスワードを知らない(または知ることが許されない)ため、これらのユーザは、SecurIDのようなハードウェアOTPシステムを使用することによって等、OTP420を使用して認証してもよい(OTPは、EntrustまたはGemalto等の異なるベンダにより提供されてもよい)。場合によっては、ユーザがユーザIDで認証した後に、テキストがOTP420でユーザに送信される。場合によっては、これは、シングルフィールドであるプロンプトで、オンライン使用でのみ実装されてもよい。
【0114】
オフラインパスワードは、オフライン使用が企業ポリシーを介して許可されるそれらのアプリケーション410用のオフライン認証のために実装されてもよい。例えば、企業は、企業アプリケーションストアが、このようにアクセスされることを欲するかもしれない。この場合、クライアントエージェント404は、ユーザにカスタムオフラインパスワードを設定することを要求してもよく、ADパスワードは使用されない。ゲートウェイサーバ406は、標準Windows(登録商標) Serverパスワード複雑化(complexity)要件による記述等の、最小長、文字クラス構成およびパスワードの期限に関するパスワード基準を制御および適用するためのポリシーを提供してもよいが、これらの要件は修正されてもよい。
【0115】
別の特徴は、二次的クレデンシャルとしての特定のアプリケーション410用のクライアント側証明書の有効化に関する(アプリケーション管理フレームワークマイクロVPN特徴を介したPKI保護ウェブリソースへのアクセス目的で)。例えば、企業電子メールアプリケーション等のアプリケーションは、このような証明書を利用してもよい。この場合、ActiveSyncプロトコルを使用する証明書ベース認証がサポートされてもよく、クライアントエージェント404からの証明書が、ゲートウェイサーバ406により取得され、キーチェーンで使用されてもよい。各管理されたアプリケーションは、ゲートウェイサーバ406内で定義されるラベルにより特定される、1つの関連クライアント証明書を有してもよい。
【0116】
ゲートウェイサーバ406は、関連する管理されたアプリケーションが内部PKI保護リソースへの認証を行なうためのクライアント証明書の発行をサポートするために、企業特別目的ウェブサービスと相互作用してもよい。
【0117】
クライアントエージェント404およびアプリケーション管理フレームワーク414は、内部PKI保護ネットワークリソースへの認証のためのクライアント証明書の取得および使用をサポートするために増強されてもよい。セキュリティおよび/または分離要件の様々なレベルに合わせるため等、2つ以上の証明書がサポートされてもよい。証明書は、メールおよびブラウザの管理されたアプリケーションにより、最終的には、任意のラップ化アプリケーションにより、使用されてもよい(それらのアプリケーションが、アプリケーション管理フレームワークがHTTPS要求を媒介することが妥当であるウェブサービススタイル通信パターンを使用するとの条件のもとで)。
【0118】
iOS上のアプリケーション管理フレームワーククライアント証明書サポートは、各使用期間における各管理されたアプリケーション内のiOSキーチェーンへのPKCS 12 BLOB(バイナリラージオブジェクト)のインポートに依拠してもよい。アプリケーション管理フレームワーククライアント証明書サポートは、プライベートインメモリキーストレージを伴うHTTPS実装を使用してもよい。クライアント証明書は、iOSキーチェーン内に決して存在せず、強力に保護された「オンラインのみ」のデータ値内に潜在的に存することを除いて、持続されないであろう。
【0119】
相互SSLもまた、モバイルデバイス402が企業に認証され、そしてその逆の形の認証を要求することにより、さらなるセキュリティを提供するために実装されてもよい。ゲートウェイサーバ406への認証のためのヴァーチャルスマートカードもまた、実装されてもよい。
【0120】
限定および完全Kerberosサポートの両方が、さらなる特徴であってもよい。完全サポート特徴は、ADパスワードまたは信頼済みクライアント証明書を使用してAD422への完全Kerberosログインを行ない、HTTPネゴシエート認証チャレンジに応答するためのKerberosサービスチケットを取得する能力に関する。限定サポート特徴は、AFEEにおける制約付き委任に関し、AFEEは、Kerberosプロトコル遷移の誘発をサポートするため、それは、HTTPネゴシエート認証チャレンジに応じて、(制約付き委任の対象となる)Kerberosサービスチケットを取得および使用できる。この機構は、リバースウェブプロキシ(別名CVPN)モードで、HTTP(HTTPSではない)接続がVPNおよびMicroVPNモードにおいてプロキシされるときに、作動する。
【0121】
別の特徴は、アプリケーションコンテナのロックおよびワイプに関し、これは、ジェイルブレイクまたはルーティング検出時に自動で発生し、アドミニストレーションコンソールからのプッシュコマンドとして発生してもよく、たとえアプリケーション410が実行中でなくともリモートワイプ機能を含んでもよい。
【0122】
企業アプリケーションストアおよびアプリケーションコントローラのマルチサイトアーキテクチャまたはコンフィグレーションがサポートされてもよく、これは、障害時に異なるいくつかの位置の1つからユーザがサービスを受けることを可能にする。
【0123】
場合によっては、管理されたアプリケーション410は、証明書およびプライベート鍵にAPI(例としてOpenSSL)を介してアクセスしてもよい。企業の信頼済みの管理されたアプリケーション410は、アプリケーションのクライアント証明書おおびプライベート鍵で特定の公開鍵動作を行なってもよい。アプリケーションがブラウザのような挙動をして証明書アクセスが要求されない場合、アプリケーションが「自分が誰か」についての証明書を読み出す場合、アプリケーションが証明書を使用してセキュリティ保護セッショントークンを構築する場合、および、アプリケーションが重要データのデジタルサイニング(例えばトランザクションログ)または一時的データ暗号化のためのプライベート鍵を使用する場合等の、様々な使用状況が特定され、それに応じて処理されてもよい。
【0124】
〈管理されたブラウザの特徴〉
本発明の様々な態様の提供および/または実装において使用されるコンピューティングアーキテクチャおよび企業モビリティ管理アーキテクチャについて、以下、多数の実施形態がより詳細に検討される。特に、前記で紹介されたように、開示のいくつかの態様が一般的に管理されたブラウザの提供に関する。下記においては、いかに管理されたブラウザが1つ以上の実施形態に従って提供されてもよいかを例示する様々な例が検討される。
【0125】
図5は、本発明の1つ以上の例示的態様に従って、管理されたブラウザから1つ以上の企業リソースへのアプリケーショントンネルを生成する方法を示すフローチャートである。1つ以上の実施形態では、図5に例示された方法および/または1つ以上のそのステップは、コンピューティングデバイス(例えば、ジェネリックコンピューティングデバイス201)によって実行される。他の実施形態においては、図5に例示された方法および/または1つ以上のそのステップは、不揮発性コンピュータで読取可能なメモリ等のコンピュータ読取可能媒体に記憶されたコンピュータ実行可能命令で具体化される。
【0126】
図5に示されるように、この方法は、管理されたブラウザがロードされるステップ505で始まる。例えば、ステップ505において、コンピューティングデバイス(例えば、ラップトップコンピュータ、タブレットコンピュータ、スマートフォンまたは他のタイプのモバイルデバイス等のモバイルコンピューティングデバイス)は、管理されたブラウザをロードする(例えば、管理されたブラウザを開くおよび/または別様にその実行を開始することによって)。
【0127】
1つ以上の実施形態において、管理されたブラウザは、1つ以上の企業セキュリティ特徴を提供するよう構成されたウェブブラウザであってもよい(例えば、モバイルデバイス管理特徴、モバイルアプリケーション管理特徴、ポリシー取得および強制特徴等)。さらに/あるいは、管理されたブラウザは、ブラウザ内で実行されるよう構成されるモバイルデバイスアプリケーションでの使用のために様々な企業セキュリティ特徴を拡張してもよい。例えば、企業は、一部または全部のその従業員および/または他のユーザに、企業セキュリティリスク低減のため自身のデバイスの持込(bring−your−own−device:BYOD)スキームにおいて自身の各モバイルデバイス上に管理されたブラウザをインストールして使用することを要求してもよい。さらに、管理されたブラウザは、例えば、モバイルデバイスユーザが企業イントラネットおよび/または他の企業リソースにヴァーチャルプライベートネットワーク(VPN)への接続なしでアクセスすることを可能とするために使用されることができる。例えば、管理されたブラウザは、企業イントラネットおよび/または他の企業リソースへのこのようなアクセスを可能とする下記に詳述されるようなもの等の、アプリケーショントンネリング機能を実装しおよび/または提供してもよい。
【0128】
1つ以上の実施形態において、管理されたブラウザは、さらに/あるいは、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成されてもよい。例えば、企業リソースからデータを取得するよう構成されることに加えて(例えば、企業ネットワークに接続された、および/または別様にその一部であるサーバまたはデータベース)、管理されたブラウザは、取得されたデータを安全(secure)にキャッシュするようさらに構成されてもよい(例えば、1つ以上のローカルキャッシュにおいて、1つ以上の暗号化プロトコルを用いて暗号化されてもよい)。さらに/あるいは、管理されたブラウザは、取得されたデータのセキュリティ保護ブラウジングを提供するようさらに構成されてもよい(例えば、1つ以上の認証クレデンシャルの検証に基づいて、1つ以上のモバイルデバイス管理ならびに/あるいはモバイルアプリケーション管理ポリシーの遵守および/または強制に基づいて等、取得されたデータへのアクセスを制御および提供することによって)。
【0129】
1つ以上の実施形態において、管理されたブラウザは、管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成されてもよい。1つ以上のポリシーは、例えば、管理されたブラウザの1つ以上の機能を制限するよう構成されてもよい。例えば、1つ以上のポリシーは、管理されたブラウザを使用してアクセスされることができる情報のタイプ、管理されたブラウザを使用してアクセスされることができるリソース(例えば、企業リソース、ネットワークリソース等)、管理されたブラウザを使用して情報にアクセスすることができるユーザ、情報の特定のタイプにアクセスするために管理されたブラウザが使用されることができる時間、情報の特定のタイプにアクセスするために管理されたブラウザが使用されることができる位置、を選択的に制限してもよく、および/または、他のものが、他の制限を課してもよい。配置によっては、1つ以上のポリシーのうちの少なくとも1つのポリシーは、下記において検討されるように、管理されたブラウザのアプリケーショントンネリング機能を限定および/または別様に制限してもよい。さらに/あるいは、管理されたブラウザは、管理されたブラウザが、1つ以上のポリシーによって課されるかもしれない制限なしで動作してもよいよう、1つ以上のポリシー(これは例えば、管理モードにおいてブラウザに適用されてもよい)が管理されたブラウザに適用されないかもしれない少なくとも1つの非管理モードを提供するよう構成されてもよい。
【0130】
ステップ510において、管理されたブラウザを介して1つ以上の企業リソースのアクセスへの要求が受信される。例えば、ステップ510において、コンピューティングデバイスは、管理されたブラウザを介して1つ以上の企業リソースのアクセスへの要求を受信してもよい。このような要求は、例えば、管理されたブラウザを介してコンピューティングデバイスにより受信されたユーザ入力に基づいておよび/または対応してもよい(例えば、管理されたブラウザを使用したネットワークリソースへのリンクのユーザ選択および/または別様のアクセス要求に基づいて)。
【0131】
ステップ515において、少なくとも1つのアプリケーショントンネルが、管理されたブラウザから1つ以上の企業リソースへと生成される。例えば、ステップ515において、コンピューティングデバイスは、例えば、管理されたブラウザが企業サーバおよび/または他の企業リソースから企業データにセキュリティ保護された状態でアクセスしてそれを取得できるようにしてもよい、企業サーバおよび/または他の企業リソースへの1つ以上のVPNスタイルトンネルを生成および/または別様に確立してもよい。1つ以上の配置において、アプリケーショントンネリングは、1つのネットワークプロトコル(例えば、送達プロトコル)が異なるネットワークプロトコルを包含する技術を含んでもよい。アプリケーショントンネリングの使用によって、非信頼ネットワークを通じてセキュリティ保護パスが提供されてもよい。
【0132】
実施形態によっては、少なくとも1つのアプリケーショントンネルを生成することは、管理されたブラウザから第1の企業リソースへの第1のアプリケーショントンネルを生成することと、管理されたブラウザから第1の企業リソースとは異なる第2の企業リソースへの第2のアプリケーショントンネルを生成することとを含んでもよい。例えば、1つ以上のアプリケーショントンネルの生成において(例えば、ステップ515において)、コンピューティングデバイスは、管理されたブラウザによりアクセスされてもよい各企業リソースについての異なる個別のアプリケーショントンネルを生成してもよい。例によっては、第1の企業リソースは、第1のセキュリティレベルを有してもよく、第2の企業リソースは、第1のセキュリティレベルとは異なる第2のセキュリティレベルを有してもよい。例えば、第2の企業リソースは、第1の企業リソースよりも高度のセキュリティレベルを有してもよく、さらなる認証クレデンシャルおよび/またはよりセキュリティ保護されたアクセスプロトコルおよび/または暗号化方法が、第2の企業リソースのアクセスに必要とされてもよい(例えば、第1の企業リソースのアクセスと比較して)。
【0133】
実施形態によっては、少なくとも1つのアプリケーショントンネルが、管理されたブラウザに適用されてもよい1つ以上のポリシーに基づいて生成されてもよい(例えば、ステップ515において)。例えば、少なくとも1つのアプリケーショントンネルの生成において、管理されたブラウザおよび/または管理されたブラウザを実行中のコンピューティングデバイスは、管理されたブラウザに適用されてもよい、および/または、アプリケーショントンネルを生成ならびに/あるいは使用する管理されたブラウザの能力を選択的に限定および/または別様に制限してもよい、1つ以上のポリシーに従って、少なくとも1つのアプリケーショントンネルを生成してもよい。例えば、1つ以上のポリシーのうちの少なくとも1つのポリシーは、アプリケーショントンネルを使用してアクセスされることができる情報のタイプ、アプリケーショントンネルを使用してアクセスされることができるリソース、アプリケーショントンネルを使用して情報にアクセスすることができるユーザ、管理されたブラウザがアプリケーショントンネルを生成することができる時間、管理されたブラウザがアプリケーショントンネルを生成することができる位置、を選択的に制限してもよく、および/または、他のものが、他の制限を課してもよい。
【0134】
ステップ520において、1つ以上の企業リソースからの企業データは、少なくとも1つのアプリケーショントンネルを介して取得されてもよい。例えば、ステップ520において、コンピューティングデバイスは、1つ以上の企業リソースから企業データを、ステップ515において生成されたアプリケーショントンネルを介して取得してもよい。企業データの取得に加えて、コンピューティングデバイスは、管理されたブラウザを介して取得された企業データへのアクセスも提供してもよい(例えば、取得された企業データのいくつかまたは全てを管理されたブラウザに表示されるようにすることによって)。
【0135】
実施形態によっては、1つ以上のポリシーが、管理されたブラウザに適用されてもよい。さらに、1つ以上のポリシーは、管理されたブラウザの少なくとも1つの機能を制限するよう構成されてもよい。例えば、1つ以上のポリシーは、管理されたブラウザの特定の機能が選択的に無効化されるべき特定の状況を定義してもよく、コンピューティングデバイスが、(例えば、下記において検討されるように、デバイス状態情報に基づいて)これらの状況を検出および/または別様に特定し、引き続いて1つ以上のポリシーに従って機能を無効化してもよい。例によってはポリシーにより限定されてもよい管理されたブラウザの機能のいくつかの実施例には、カットアンドペースト機能、インスタントメッセージング機能、およびビデオチャット機能が含まれる。これらの機能は、例によっては限定されてもよい機能の実施例としてここに列挙されるが、他の機能が同様に他の例において限定されてもよい。
【0136】
実施形態によっては、1つ以上のポリシーが、管理されたブラウザに適用されてもよく、1つ以上のポリシーのうちの少なくとも1つのポリシーが、取得された企業データの使用を制限するよう構成されてもよい。例えば、1つ以上のポリシーが、企業データ(例えば、ステップ520においてコンピューティングデバイスおよび/または管理されたブラウザによりアプリケーショントンネルを介して取得された企業データ)が特定の方法でのみ使用されることができる特定の状況を定義してもよく、コンピューティングデバイスが、(例えば、下記において検討されるように、デバイス状態情報に基づいて)これらの状況を検出および/または別様に特定し、引き続いて1つ以上のポリシーに従ってデータが使用されることができる方法を制限および/または別様に制御してもよい。例えば、1つ以上のポリシーのうちの少なくとも1つのポリシーが、取得された企業データが(例えば管理されたブラウザから別のアプリケーションへと)コピーアンドペーストされることができる状況を制限するよう構成されてもよい。別の例として、1つ以上のポリシーのうちの少なくとも1つのポリシーが、取得された企業データが(例えば、管理されたブラウザによりおよび/またはコンピューティングデバイスにより)セーブまたはプリントされることができる状況を制限するよう構成されてもよい。
【0137】
実施形態によっては、1つ以上のポリシーのうちの少なくとも1つのポリシーは、デバイス状態情報に依存してもよい。例えば、(例えば、1つ以上のポリシーにより課されるような)管理されたブラウザの機能の制限および/または(さらに/あるいは、1つ以上のポリシーにより課されるような)企業データが管理されたブラウザにより使用されてもよい方法の制限は、コンピューティングデバイスの現在状態を示す状態情報に依存してもよい。このような状態情報は、例えば、コンピューティングデバイス上で(例えば、バックグラウンドアプリケーション、サービスまたは処理として)実行されるよう構成され、例えば(前記において検討された)クライアントエージェント404の1つ以上の態様を組み込んでもよいモバイルリソース管理(MRM)エージェントにより収集および/または監視されてもよい。
【0138】
MRMエージェントは、例えば、モバイルデバイス管理(MDM)機能、モバイルアプリケーション管理(MAM)機能および/または他の機能を提供してもおよび/または提供するよう構成されてもよい。例えば、MRMエージェントは、デバイスに記憶されたおよび/またはデバイスで実行中のオペレーティングシステムおよび/またはアプリケーションを示す状態情報、デバイスに利用可能なおよび/またはデバイスで使用中のネットワーク接続を示す状態情報、および/または、デバイスが位置するおよび/または使用されている現在位置を示す状態情報(例えば、地理座標について、「家庭」または「仕事」等のセマンティックラベルについて)等の、デバイスレベル状態情報を収集および/または監視するよう構成されてもよい。
【0139】
これらのタイプの状態情報は、例によっては(例えば、MRMエージェントにより、コンピューティングデバイス上の1つ以上の他のアプリケーションまたはサービスまたは処理により等)収集および/または監視されてもよい状態情報のタイプの実施例としてここで列挙されるが、さらなるおよび/または代替的な状態情報のタイプが同様に他の例において収集および/または監視されてもよい。さらに、この状態情報のいずれかおよび/または全てが、管理されたブラウザ上への、前記において検討されたポリシー等のポリシーの適用および/または強制において使用されてもよい(例えば、コンピューティングデバイスによりおよび/または管理されたブラウザにより)。
【0140】
図6は、本発明で検討される1つ以上の例示的態様に従って、管理されたブラウザのセッションをデバイスクラウドにわたって拡張する方法を示すフローチャートである。1つ以上の実施形態において、図6に示す方法および/またはその1つ以上のステップは、コンピューティングデバイス(例えば、ジェネリックコンピューティングデバイス201)により実行される。他の実施形態において、図6に示す方法および/またはその1つ以上のステップは、不揮発性コンピュータ読取可能メモリ等のコンピュータ読取可能媒体に記憶されたコンピュータ実行可能命令に具体化されてもよい。
【0141】
図6に見られるように、方法は、管理されたブラウザがロードされるステップ605で開始される。例えば、ステップ605において、コンピューティングデバイス(例えば、ラップトップコンピュータ、タブレットコンピュータ、スマートフォンまたは他のタイプのモバイルデバイス等のモバイルコンピューティングデバイス)は、ステップ505(前記において検討された)においてこのような管理されたブラウザがロードされる方法と同様に、管理されたブラウザをロードしてもよい。
【0142】
管理されたブラウザは、例えば、管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成されてもよく、1つ以上のポリシーは、例えば、前記において検討されたように、管理されたブラウザの1つ以上の機能を制限するよう構成されてもよい。さらに、管理されたブラウザは、実施形態によっては、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成されてもよい。
【0143】
ステップ610において、デバイスクラウドを開始するために、少なくとも1つの他のコンピューティングデバイスへの接続が確立されてもよい。例えば、ステップ610において、コンピューティングデバイスは、デバイスクラウドを開始するために、1つ以上の他のコンピューティングデバイスへのネットワーク接続を確立してもよい。1つ以上の配置において、デバイスクラウドは、例えば、単一機能またはタスクを実行するために2つ以上のコンピューティングデバイスを互いに組み合わせて使用されることを可能としてもよい。典型的な例において、デバイスは同じユーザに使用されてもよく、および/または、両方が互いの近く(例えば、互いの所定距離内)および/またはユーザの近く(例えば、ユーザの所定距離内)に位置していてもよい。
【0144】
例によっては、デバイスクラウドは、ユーザのデバイスの1つによりサポートされてはいないが、ユーザのデバイスの別の1つによりサポートされている機能を提供してもよい。例えば、ラップトップコンピュータのユーザが、別の人とのビデオカンファレンスを行ないたいと考えるが、ラップトップコンピュータがカメラを含んでいない場合がある。しかしながら、ユーザがカメラを含むスマートフォン(または他のコンピューティングデバイス)をも有する場合、デバイスクラウドは2つのデバイスにより提供される機能を動的にリンクするために使用されてもよく、それによって、それらはビデオカンファレンスを提供するために使用されてもよい。特に、この実施例において、デバイスクラウドは、ユーザのスマートフォンがビデオカンファレンス用のビデオ入力装置として使用され(これは例えば、管理されたブラウザ内で実行されてもよいビデオカンファレンシングプラグイン、アプレット、ウェブアプリケーション等により容易化されてもよい)、一方、ユーザのラップトップコンピュータがビデオカンファレンスを行なうのに必要とされる他の機能(例えば、他の人のデバイスへの接続の確立、テキストベースチャット機能の提供等)を実行するために使用されることができるよう、確立される。この実施例は、実施形態によってはデバイスクラウドが1つ以上のデバイスの機能を拡張するために使用されてもよいいくつかの方法を例示するが、このようなデバイスクラウドは、他の実施形態において様々なデバイスの追加のおよび/または代替的な機能を拡張するために他の方法で使用されてもよい。
【0145】
ステップ615において、管理されたブラウザのセッションが、デバイスクラウドにわたって拡張される。例えば、ステップ615において、コンピューティングデバイスは、管理されたブラウザのセッション(例えば、コンピューティングデバイスのユーザが相互作用中の管理されたブラウザの現在のセッション)をデバイスクラウド(例えば、ステップ610において生成されたデバイスクラウド)にわたって拡張してもよい。1つ以上の配置において、デバイスクラウドにわたる管理されたブラウザのセッションの拡張は、少なくとも1つの他の管理されたブラウザが少なくとも1つの他のコンピューティングデバイス上にロードされるようにすることと、少なくとも1つの他の管理されたブラウザでセッションデータを共有することとを含んでもよい。例えば、デバイスクラウドにわたる管理されたブラウザのセッションの拡張において、コンピューティングデバイスは最初に、管理されたブラウザのインスタンスがデバイスクラウドに参加中の他のデバイス上にロードされるようにしてもよい。引き続いて、コンピューティングデバイスは、デバイスクラウドに参加中の他のデバイス上で実行中の管理されたブラウザのインスタンスとセッションデータを共有してもよい。
【0146】
このようなセッションデータの共有において、コンピューティングデバイスは、例えば、企業データおよび/または非企業データを含んでもよい、コンピューティングデバイス上の管理されたブラウザにより現在使用中のおよび/または表示中の情報のいくつかまたは全てを送信してもよい。さらに/あるいは、デバイスクラウドに参加中の他のデバイス上で実行中の管理されたブラウザのインスタンスとのセッションデータの共有において、コンピューティングデバイスは、引き続いてコンピューティングデバイス上の管理されたブラウザにより表示および/または別様に使用されてもよい情報を受信してもよい。
【0147】
実施形態によっては、1つ以上のポリシーが、管理されたブラウザに適用されてもよく、1つ以上のポリシーが、管理されたブラウザの少なくとも1つの機能を制限するよう構成されてもよい。例えば、コンピューティングデバイスおよび/またはコンピューティングデバイス上で実行中の(MRMエージェント等の)ソフトウェアは、管理されたブラウザの機能を制限するよう構成された1つ以上のポリシーを管理されたブラウザに適用してもよい。
【0148】
実施形態によっては、1つ以上のポリシーが、管理されたブラウザに適用されてもよく、1つ以上のポリシーが、デバイスクラウドを制限するよう構成されてもよい。例えば、コンピューティングデバイスおよび/またはコンピューティングデバイス上で実行中の(MRMエージェント等の)ソフトウェアは、例によっては、デバイスクラウド(例えば、ステップ610において生成されたデバイスクラウド)の様々な態様を制限するよう構成された1つ以上のポリシーを管理されたブラウザに適用してもよい。
【0149】
1つ以上のポリシーがデバイスクラウドを制限するよう構成される例によっては、1つ以上のポリシーのうちの少なくとも1つのポリシーは、少なくとも1つの他のコンピューティングデバイスに少なくとも1つの役割を割り当てるよう構成されてもよい。例えば、1つ以上のポリシーがデバイスクラウドを制限するよう構成される例において、コンピューティングデバイスおよび/またはコンピューティングデバイス上で実行中のソフトウェアは、デバイスクラウドに参加中の他のコンピューティングデバイスにデバイスクラウド内の特定の役割を割り当てるよう構成された少なくとも1つのポリシーを定義、適用および/または強制してもよい。例えば、ビデオカンファレンスを必要とする前記の実施例では、モバイルデバイス管理ポリシーは、ビデオキャプチャの役割をデバイスクラウドに必要とされるスマートフォンに割り当ててもよく、モバイルデバイス管理ポリシーは、接続維持の役割をデバイスクラウドに必要とされるラップトップコンピュータに割り当ててもよい。
【0150】
実施形態によっては、少なくとも1つの他のコンピューティングデバイスへの接続は、管理されたブラウザに適用されてもよい1つ以上のポリシーのうちの少なくとも1つのポリシーに基づいて確立されてもよい。例えば、少なくとも1つの他のコンピューティングデバイスへの接続の確立において、管理されたブラウザおよび/または管理されたブラウザを実行中のコンピューティングデバイスは、管理されたブラウザに適用されてもよい1つ以上のポリシーに従って、少なくとも1つの他のコンピューティングデバイスに接続および/または少なくとも1つの他のコンピューティングデバイスとデータ交換してもよい。例えば、1つ以上のポリシーは、デバイスクラウドを開始する管理されたブラウザの能力が選択的に有効化、選択的に無効化および/または別様に制限されてもよい特定の状況を定義してもよい。例えば、1つ以上のポリシーのうちの少なくとも1つのポリシーは、他のコンピューティングデバイスと交換されることができる情報のタイプ、他のコンピューティングデバイスと交換される情報にアクセスすることができるユーザ、管理されたブラウザが他のコンピューティングデバイスと情報を交換することができる時間、管理されたブラウザが他のコンピューティングデバイスと情報を交換することができる位置、を選択的に制限してもよく、および/または、他のものが、他の制限を課してもよい。これらの制限のいずれかおよび/または全てが、コンピューティングデバイスが少なくとも1つの他のコンピューティングデバイスへの接続を確立することができる状況を制限してもよく、および/または、デバイスクラウドが開始されることができる状況を別様に制限してもよい。
【0151】
実施形態によっては、少なくとも1つの他のコンピューティングデバイスへの接続の確立は、少なくとも1つの他のコンピューティングデバイスに関する状態情報を評価し、評価された状態情報に基づいて少なくとも1つのコンピューティングデバイスがデバイスクラウドに参加することを許可するかを判断することを含んでもよい。例えば、少なくとも1つの他のコンピューティングデバイスへの接続の確立において(例えば、ステップ610において)、コンピューティングデバイスは、少なくとも1つの他のコンピューティングデバイスに関する状態情報を取得および/または評価してもよい。
【0152】
このような状態情報は、例えば、少なくとも1つの他のコンピューティングデバイス上でインストールおよび/または実行されているアプリケーション、少なくとも1つの他のコンピューティングデバイスが接続されているネットワーク、少なくとも1つの他のコンピューティングデバイスの位置および/または他の考慮事項等の、少なくとも1つの他のコンピューティングデバイスの現在のデバイス状態の様々な態様を記述してもよい。
【0153】
引き続いて、コンピューティングデバイスは、この状態情報の評価に基づいて、少なくとも1つの他のコンピューティングデバイスのデバイスクラウドへの参加を許可するかどうかを判定してもよい。このような判定は、例えば、1つ以上のポリシーに基づいてもよい。例えば、1つ以上のポリシーは、少なくとも1つの他のコンピューティングデバイスに関する状態情報が、デバイスが特定の位置に位置しているかいないか、デバイス上でインストールされたおよび/または実行中の特定のアプリケーションを有しているかいないか、1つ以上の特定のネットワークに接続されているかいないか、および/または同様のものを示す場合に、少なくとも1つの他のコンピューティングデバイスがデバイスクラウドに参加することをコンピューティングデバイスが許可してもよいことを指示してもよい。
【0154】
図7は、本発明で検討される1つ以上の例示的態様に従って、管理されたブラウザの動作モードを選択的に無効化する方法を示すフローチャートである。1つ以上の実施形態において、図7に示す方法および/またはその1つ以上のステップは、コンピューティングデバイス(例えば、ジェネリックコンピューティングデバイス201)により実行される。他の実施形態において、図7に示す方法および/またはその1つ以上のステップは、不揮発性コンピュータ読取可能メモリ等のコンピュータ読取可能媒体に記憶されたコンピュータ実行可能命令に具体化されてもよい。
【0155】
図7に見られるように、この方法は、管理されたブラウザがロードされるステップ705で開始する。例えば、ステップ705において、コンピューティングデバイス(例えば、ラップトップコンピュータ、タブレットコンピュータ、スマートフォンまたは他のタイプのモバイルデバイス等のモバイルコンピューティングデバイス)は、ステップ505(前記において検討された)においてこのような管理されたブラウザがロードされる方法と同様に、管理されたブラウザをロードしてもよい。管理されたブラウザは、例えば、管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成されてもよく、1つ以上のポリシーは、例えば、前記において検討されたように、管理されたブラウザの1つ以上の機能を制限するよう構成されてもよい。さらに、管理されたブラウザは、実施形態によっては、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成されてもよい。
【0156】
1つ以上の配置において、管理されたブラウザは、管理モードおよび非管理モードを有するデュアルモードアプリケーションであってもよい。さらに、管理されたブラウザの管理モードは、企業データへのアクセスを提供するよう構成されてもよく、管理されたブラウザの非管理モードは、企業データへのアクセスを制限するよう構成されてもよい。例えば、管理モードにおいて、管理されたブラウザは、特定のコンテンツフィルタを適用、特定のダウンロードを制限、および/または、特定のプラグインをブロックしてもよく、一方、非管理モードにおいて、管理されたブラウザは、このようなフィルタを適用せず、このようなダウンロードを制限せず、および/または、このようなプラグインをブロックせずともよい。例によっては、コンピューティングデバイスおよび/またはコンピューティングデバイス上で実行中の他のソフトウェア(例えば、MRMエージェント)は、下記において検討されるように、(例えば、管理されたブラウザの管理モードが、コンピューティングデバイスによりおよび/またはコンピューティングデバイス上で実行中の他の適切なソフトウェアにより再有効化されるまで)管理されたブラウザが非管理モードにおいてのみ実行および/または実行継続されることができるよう、管理されたブラウザの管理モードを選択的に無効化してもよい。
【0157】
ステップ710において、デバイス状態情報が取得される。例えば、ステップ710において、コンピューティングデバイスは、コンピューティングデバイスの現在状態を示す状態情報を取得してもよい。例によっては、このような状態情報は、前記の例において検討されたMRMエージェント等の、コンピューティングデバイス上で実行中のMRMエージェントにより取得されてもよい。
【0158】
実施形態によっては、デバイス状態情報は、コンピューティングデバイス上に存在する1つ以上のアプリケーションを特定する情報を含んでもよい。例えば、デバイス状態情報の取得において(例えば、ステップ710において)、コンピューティングデバイスおよび/またはコンピューティングデバイス上で実行中のMRMエージェントは、どのようなアプリケーションがコンピューティングデバイス上に記憶され、インストールされ、コンピューティングデバイス上で以前に実行され、および/または、コンピューティングデバイス上で現在実行されているかを判定するために、1つ以上のストレージデバイス(これは例えば、コンピューティングデバイスに接続および/または別様にアクセス可能にされてもよい)および/またはインストールログ(これは例えば、コンピューティングデバイスにより維持されてもよい)を検査してもよい。
【0159】
実施形態によっては、デバイス状態情報は、コンピューティングデバイスにより使用される1つ以上のネットワーク接続を特定する情報を含んでもよい。例えば、デバイス状態情報の取得において(例えば、ステップ710において)、コンピューティングデバイスおよび/またはコンピューティングデバイス上で実行中のMRMエージェントは、どのようなネットワークがコンピューティングデバイスにアクセス可能および/またはその範囲内か、どのようなネットワークにコンピューティングデバイスが以前に接続されていたか、および/または、どのようなネットワークにコンピューティングデバイスが現在接続されているかを判定するために、1つ以上のネットワークインタフェースおよび/または他のネットワークデバイス(これは例えば、コンピューティングデバイスに接続および/または別様に使用可能にされてもよい)および/または1つ以上の接続ログ(これは例えば、コンピューティングデバイスにより維持されてもよい)を検査してもよい。
【0160】
実施形態によっては、デバイス状態情報は、コンピューティングデバイスの現在位置を特定する情報を含んでもよい。例えば、デバイス状態情報の取得において(例えば、ステップ710において)、コンピューティングデバイスおよび/またはコンピューティングデバイス上で実行中のMRMエージェントは、コンピューティングデバイスの現在位置を、判定および/または1つ以上の他のコンポーネント(例えば、GPS受信機、他の処理コンポーネント等)および/またはデバイスに判定させてもよい。例によっては、位置情報は、コンピューティングデバイスの現在位置を示す地理座標を含んでもよい。例によっては、位置情報は、1つ以上のユーザ特有のランドマークに関するコンピューティングデバイスの現在位置を示すセマンティックラベル(例えば、「家庭」または「仕事」)を含んでもよい。この位置のいずれかおよび/または全ては、例えば、1つ以上の位置ベースモバイルデバイス管理ポリシーの適用および/または強制において、コンピューティングデバイスおよび/またはコンピューティングデバイス上で実行中のMRMエージェントにより使用されてもよい。
【0161】
ステップ715において、デバイス状態情報に基づいて、管理されたブラウザの1つ以上の動作モードを選択的に無効化するべきかどうかを判定する。例えば、ステップ715において、コンピューティングデバイスは、ステップ710において取得されたデバイス状態情報に基づいて、管理されたブラウザの1つ以上の動作モードを選択的に無効化するべきかどうかを判定してもよい。前記において検討されたように、管理されたブラウザは、例によっては、管理モードおよび非管理モードを有するデュアルモードアプリケーションであってもよい。
【0162】
このように、例によっては、コンピューティングデバイスは、ステップ715において、ステップ710において取得されたデバイス状態情報に基づいて管理されたブラウザの管理モードを選択的に無効化するべきかどうかを判定してもよい。例えば、コンピューティングデバイスは、コンピューティングデバイス上に存在する1つ以上のアプリケーションを特定する情報、コンピューティングデバイスにより使用される1つ以上のネットワーク接続を特定する情報および/またはコンピューティングデバイスの現在位置を特定する情報に基づいて、管理されたブラウザの管理モードを選択的に無効化するべきかどうかを判定してもよい。例によっては、コンピューティングデバイスは、さらに/あるいは、管理されたブラウザのモード(例えば、管理されたブラウザの管理モード)を選択的に無効化するべきかどうかの判定において、デバイス状態情報と組み合わせて1つ以上のポリシーを評価してもよい。
【0163】
ステップ715において、管理されたブラウザの1つ以上の動作モードが無効化されないと判定されると、方法は終了する。さらに/あるいは、(例えば、更新されたデバイス状態情報を取得および/または再評価して、管理されたブラウザの1つ以上の動作モードを選択的に無効化するべきかどうかを判定するために)ステップ710および715が周期的に繰り返されるように、方法はループ内で継続してもよい。
【0164】
一方、ステップ715において、管理されたブラウザの少なくとも1つの動作モードが選択的に無効化されるべきであると判定されると、ステップ720において、管理されたブラウザの少なくとも1つの動作モードが無効化される。例えば、ステップ720において、コンピューティングデバイスは、管理されたブラウザの少なくとも1つの動作モード(例えば、ステップ715で無効化されるべきであると判定されたモード)を無効化してもよく、および/または、管理されたブラウザの少なくとも1つの動作モードが無効化されるようにしてもよい。管理されたブラウザが管理モードおよび非管理モードを有するデュアルモードアプリケーションである例においては、管理されたブラウザは、例えば、ステップ720においてコンピューティングデバイスにより無効化されてもよい(および/またはコンピューティングデバイスにより無効化されるようにされてもよい)。
【0165】
実施形態によっては、少なくとも1つの管理モードが無効化されるようにすることは、管理されたブラウザに少なくとも1つの管理モードとは異なる第2のモードに入らせることを含んでもよい。例えば、管理されたブラウザの管理モードの管理モードを無効化することおよび/または別様に管理されたブラウザの管理モードが無効化されるようにすることにおいて(例えば、ステップ720において)、コンピューティングデバイスは、管理されたブラウザが以前動作していた管理モードとは異なる第2のモードに、管理されたブラウザを入らせてもよい。例によっては、第2のモードは、管理されたブラウザが以前動作していた管理モードとは単に異なる別の管理モードであってもよい(例えば、異なるポリシーが管理されたブラウザに適用されたので)。すなわち、第2のモードは、例によっては、1つ以上のポリシーのうちの第2のセットが管理されたブラウザに適用され、1つ以上のポリシーのうちの第2のセットは、少なくとも1つの管理モードにおいて管理されたブラウザに適用される1つ以上のポリシーとは異なる少なくとも1つのポリシーを含む、管理モードであってもよい。
【0166】
他の例においては、第2のモード(これには例えば、少なくとも1つの管理モードが無効化された後に、管理されたブラウザが入ってもよい)は、管理されたブラウザがもはや少なくとも1つのデバイスマネージャにより管理されない非管理モードであってもよい。例えば、管理されたブラウザの管理モードを無効化することおよび/または別様に無効化されるようにすることにおいて(例えば、ステップ720において)、コンピューティングデバイスは、管理されたブラウザが少なくとも1つのデバイスマネージャにより管理されない前記において検討された非管理モード等の、非管理モードに管理されたブラウザを入らせてもよい。このようなデバイスマネージャは、例えば、デバイス上で実行中であり、1つ以上のポリシーを管理されたブラウザおよび/またはデバイスの他のアプリケーション、サービスおよび/または機能に適用および/または強制するよう構成されたモバイルリソース管理エージェントであってもよい。
【0167】
実施形態によっては、1つ以上のリソースへのアクセスは、非管理モードにおいてブロックされてもよい。例えば、非管理モードに入った後、管理されたブラウザおよび/またはコンピューティングデバイスは、特定の企業リソース等の特定のリソースへのアクセスをブロックしてもよい。このようなブロックは、例えば、管理されたブラウザを使用して別様にアクセスされるかもしれない企業情報のセキュリティを確保するために、ポリシー強制、監視および/または他のセキュリティ特徴が適用されないおよび/または利用可能ではない非管理モードで管理されたブラウザが動作する間、管理されたブラウザのユーザが企業リソースおよび/または他の特定のリソースにアクセスするのを防止してもよい。
【0168】
リモート企業リソースに遠隔記憶された情報へのアクセスのブロックに加えて、管理されたブラウザおよび/またはコンピューティングデバイスはまた、非管理モードにおいて、デバイスにローカルにキャッシュされてもよい特定の情報へのアクセスをブロックしてもよい。例えば、非管理モードの間、このようなブロッキングは、管理されたブラウザが、ローカルにキャッシュされた企業アプリケーションストア情報および/または他のローカルにキャッシュされた企業情報等の、本来的には企業リソースから取得された、ローカルにキャッシュされたデータにアクセスすることを防止してもよい。
【0169】
実施形態によっては、管理されたブラウザは、更新されたデバイス状態情報に基づいて非管理モードから少なくとも1つの管理モードに遷移して戻るよう構成されてもよい。例えば、非管理モードに入った後、管理されたブラウザおよび/またはコンピューティングデバイスは、管理されたブラウザが管理モード(そこでは例えば、1つ以上のポリシーが管理されたブラウザに適用され、管理されたブラウザはデバイスマネージャ等に管理されてもよい)に再び入ることができるかどうかを判定するために、現在のデバイス状態情報を監視および周期的に再評価するように構成されてもよい。
【0170】
例えば、管理されたブラウザおよび/またはコンピューティングデバイスが、例えば状態情報に基づいて、特定の状況が満たされたと判定した場合、コンピューティングデバイスは、管理されたブラウザに管理モードへと切り替わって戻させてもよい。例によっては、管理されたブラウザが管理モードに再び入ることができるかどうかの判定において、コンピューティングデバイスおよび/または管理されたブラウザは、例えばまず、管理されたブラウザを非管理モードに切り替えるべきかの判定において評価された1つ以上のポリシーを含んでもよい、1つ以上のポリシーに鑑みて現在のデバイス状態情報を評価してもよい。
【0171】
図8は、本発明の1つ以上の態様に従って、1つ以上のモバイルデバイス管理ポリシーを管理されたブラウザに適用する方法を示すフローチャートである。1つ以上の実施形態において、図8に例示する方法および/またはその1つ以上のステップは、コンピューティングデバイス(例えば、ジェネリックコンピューティングデバイス201)により実行されてもよい。他の実施形態において、図8に示す方法および/またはその1つ以上のステップは、不揮発性コンピュータ読取可能メモリ等のコンピュータ読取可能媒体に記憶されたコンピュータ実行可能命令に具体化されてもよい。
【0172】
図8に見られるように、この方法は、管理されたブラウザがロードされるステップ805で開始する。例えば、ステップ805において、コンピューティングデバイス(例えば、ラップトップコンピュータ、タブレットコンピュータ、スマートフォンまたは他のタイプのモバイルデバイス等のモバイルコンピューティングデバイス)は、ステップ505(前記において検討された)においてこのような管理されたブラウザがロードされる方法と同様に、管理されたブラウザをロードしてもよい。管理されたブラウザは、例えば、管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成されてもよく、1つ以上のポリシーは、例えば、前記において検討されたように、管理されたブラウザの1つ以上の機能を制限するよう構成されてもよい。さらに、管理されたブラウザは、実施形態によっては、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成されてもよい。
【0173】
ステップ810において、1つ以上のポリシーが受信されてもよい。例えば、ステップ810において、コンピューティングデバイスは1つ以上のポリシーを受信してもよい。1つ以上のポリシーは、例えば、デバイス状態情報(state information)(例えば、コンピューティングデバイスおよび/またはコンピューティングデバイス上で実行中のMRMエージェントにより取得および/または監視されたデバイス状態情報)を使用して評価されてもよい状況の異なるセットに基づいて、許可された、禁止されたおよび/または制限された機能を定義するモバイルデバイス管理ポリシーであってもよい。このように、ポリシーは、管理されたブラウザの様々な機能を含む様々な機能へのデバイス状態ベースの挙動制限の強制において使用されてもよい。
【0174】
実施形態によっては、1つ以上のポリシーは、ポリシーサーバから受信されてもよい。例えば、ポリシーの受信において、コンピューティングデバイスは、ステップ810において、ポリシーサーバに接続されおよび/またはポリシーサーバからいくつかのポリシーを受信してもよい。ポリシーサーバは、例えば、企業ネットワークインフラストラクチャの一部であってもよく、(例えば、ステップ810においてコンピューティングデバイスにより)受信されたポリシーに従って管理されたブラウザによりアクセスされてもよい1つ以上の企業リソースに接続されおよび/または含まれてもよい。
【0175】
ステップ815において、1つ以上のポリシーは、管理されたブラウザに適用される。例えば、ステップ815において、コンピューティングデバイスは、(例えば、コンピューティングデバイスおよび/またはコンピューティングデバイス上で実行中のMRMエージェントにより取得および/または監視されたデバイス状態情報に基づいて)管理されたブラウザの特定の機能が選択的に有効化および/または無効化されてもよいよう、(例えば、ステップ810において受信されたような)1つ以上のポリシーを管理されたブラウザに適用してもよい。
【0176】
実施形態によっては、1つ以上のポリシーは、コンピューティングデバイスのユーザに関するアイデンティティ情報に基づいて管理されたブラウザに適用されてもよい。例えば、管理されたブラウザへの1つ以上のポリシーの適用において(例えば、ステップ815において)、コンピューティングデバイスは、コンピューティングデバイスの現在のユーザに関するアイデンティティ情報を要求および/または取得してもよい。このようなアイデンティティ情報は、例えば、ユーザに自身のログイン情報および/または他の認証クレデンシャルの提供を促すよう構成された1つ以上の認証プロンプトを介して取得されてもよい。アイデンティティ情報に基づいた管理されたブラウザへのポリシー適用により、管理されたブラウザおよび/またはコンピューティングデバイスの現在のユーザについて(例えば、管理されたブラウザに適用中の1つ以上のポリシーにより)選択的に有効化、無効化および/または制限された特定の機能は、ユーザのアイデンティティに鑑みて、特定の現在のユーザに対してより調整されてもよい。
【0177】
実施形態によっては、1つ以上のポリシーは、コンピューティングデバイスのユーザに関する役割情報(role information)に基づいて管理されたブラウザに適用されてもよい。例えば、管理されたブラウザへの1つ以上のポリシーの適用において(例えば、ステップ815において)、コンピューティングデバイスは、コンピューティングデバイスの現在のユーザに関するアイデンティティ情報および/または役割情報を要求および/または取得してもよい。役割情報は、例えば、(例えば、販売、技術、法務、会計、役員等の)企業内の現在のユーザの役割を特定してもよい。例によっては、コンピューティングデバイスは、例えば、コンピューティングデバイスの現在のユーザについてのアイデンティティ情報に基づいてコンピューティングデバイスの現在のユーザについての役割情報を判定してもよい(例えば、アイデンティティ情報を使用して1つ以上のデータベース、ディレクトリおよび/または企業リソース内のユーザについての役割情報にアクセスおよび/またはルックアップすることによって)。役割情報に基づいた管理されたブラウザへのポリシー適用により、管理されたブラウザおよび/またはコンピューティングデバイスの現在のユーザについて(例えば、管理されたブラウザに適用中の1つ以上のポリシーにより)選択的に有効化、無効化および/または制限された特定の機能は、企業内のユーザの役割に鑑みて、特定の現在のユーザの必要性および/またはアクセスレベルに対してより調整されてもよい。
【0178】
例えば、病院等のヘルスケア企業のコンテキストにおける役割情報に基づいた管理されたブラウザへの1つ以上のポリシーの適用において、コンピューティングデバイスは、(例えば、コンピューティングデバイスの現在のユーザについてのアイデンティティ情報を取得および/または解析することにより)コンピューティングデバイスの現在のユーザが医者または看護師であるかどうかを判定する。コンピューティングデバイスがコンピューティングデバイスの現在のユーザが医者であると判定した場合、コンピューティングデバイスは、管理されたブラウザにポリシーの第1のセットを適用してもよく、またコンピューティングデバイスがコンピューティングデバイスの現在のユーザが看護師であると判定した場合には、コンピューティングデバイスは、管理されたブラウザにポリシーの第1のセットとは異なるポリシーの第2のセットを適用してもよい。特に、ポリシーの第2のセットは、例えば、ヘルスケア企業内の看護師の役割と医者の役割との違いに基づいて、ポリシーの第1のセットとは異なって、管理されたブラウザの追加のおよび/または代替的な機能を、選択的に有効化、無効化および/または制限してもよい。例えば、管理されたブラウザに適用されるポリシーの結果として、医者は例えば、コンピューティングデバイス上の管理されたブラウザを使用して、看護師がアクセスすることができないかもしれない特定のリソースにアクセスすることができるようにしてもよい。
【0179】
別の実施例として、法律事務所等のリーガル企業のコンテキストにおける役割情報に基づいた管理されたブラウザへの1つ以上のポリシーの適用において、コンピューティングデバイスは、コンピューティングデバイスの現在のユーザが、法律事務所が取り扱う特定の事件および/または他の事項からスクリーニングされたプロフェッショナルグループ内の弁護士または他のプロフェッショナルであるかどうかを判定してもよい。コンピューティングデバイスがコンピューティングデバイスの現在のユーザがスクリーニングされたプロフェッショナルグループ内のものであると判定した場合、コンピューティングデバイスは、管理されたブラウザにポリシーの第1のセットを適用してもよい。コンピューティングデバイスがコンピューティングデバイスの現在のユーザがスクリーニングされたプロフェッショナルグループ内のものではないと判定した場合、コンピューティングデバイスは、管理されたブラウザにポリシーの第1のセットとは異なるポリシーの第2のセットを適用してもよい。
【0180】
特に、ポリシーの第2のセットは、例えば、リーガル企業内の特定のプロフェッショナルの役割の違いに基づいて、ポリシーの第1のセットとは異なって、管理されたブラウザの追加のおよび/または代替的な機能を、選択的に有効化、無効化および/または制限してもよい。例えば、管理されたブラウザに適用されるポリシーの結果として、特定の弁護士は、コンピューティングデバイス上の管理されたブラウザを使用して、法律事務所内の他の弁護士がアクセスすることができないかもしれない特定のリソースにアクセスすることができるようにしてもよい。
【0181】
実施形態によっては、管理されたブラウザへの1つ以上のポリシーの適用は、管理されたブラウザを介してアクセス可能な1つ以上の企業リソースへのアクセスを制御することを含んでもよい。例えば、管理されたブラウザへの1つ以上のポリシーの適用において(例えば、ステップ815において)、コンピューティングデバイスは、管理されたブラウザを使用してアクセス可能な企業リソースへのアクセスを制御してもよい。特に、1つ以上のポリシーのうちの少なくとも1つのポリシーは、例えば、特定のデータベース、サーバおよび/または他の企業リソース(これは例えば、企業インフラストラクチャの全部および/またはその一部に接続されてもよい)等の、特定の企業リソースへのアクセスを選択的に有効化、無効化および/または制限してもよい。さらに/あるいは、このようなポリシーは、例えば、コンピューティングデバイスの現在の状態に基づいて特定の企業リソースへのアクセスが制御されてもよいよう、デバイス状態情報(これは例えば、コンピューティングデバイス上に存在する1つ以上のアプリケーションを特定する情報、コンピューティングデバイスにより使用される1つ以上のネットワーク接続を特定する情報および/またはコンピューティングデバイスの現在位置を特定する情報を含んでもよい)に依存してもよい。
【0182】
実施形態によっては、管理されたブラウザへの1つ以上のポリシーの適用は、管理されたブラウザを介して1つ以上の企業リソースから取得された情報の使用を制御することを含んでもよい。例えば、管理されたブラウザへの1つ以上のポリシーの適用において(例えば、ステップ815において)、コンピューティングデバイスは、管理されたブラウザを使用して企業リソースから取得された情報等の、企業リソースから取得された情報がいかに使用されることができるか(例えば、管理されたブラウザによっておよび/またはコンピューティングデバイス上の他のアプリケーション、サービスならびに/あるいは処理によって)を制御してもよい。
【0183】
特に、1つ以上のポリシーのうちの少なくとも1つのポリシーは、例えば、企業リソースから取得された情報をセーブする能力、企業リソースから取得された情報をプリントする能力、企業リソースから取得された情報をカット、コピーならびに/あるいはペーストする能力、企業リソースから取得された情報をエディットする能力および/または企業リソースから取得された情報に相互作用および/またはそれを使用する他の能力を、選択的に許可、禁止および/または別様に制限してもよい。さらに/あるいは、このようなポリシーは、例えば、コンピューティングデバイスの現在の状態に基づいて企業リソースから取得された特定の情報の使用が制御されてもよいよう、デバイス状態情報(これは例えば、コンピューティングデバイス上に存在する1つ以上のアプリケーションを特定する情報、コンピューティングデバイスにより使用される1つ以上のネットワーク接続を特定する情報および/またはコンピューティングデバイスの現在位置を特定する情報を含んでもよい)に依存してもよい。
【0184】
図9は、本発明で検討される1つ以上の例示的態様に従って、管理されたブラウザを介してセキュリティ保護ドキュメントコンテナへのアクセスを提供する方法を示すフローチャートである。1つ以上の実施形態において、図9に示す方法および/またはその1つ以上のステップは、コンピューティングデバイス(例えば、ジェネリックコンピューティングデバイス201)により実行されてもよい。他の実施形態において、図9に示す方法および/またはその1つ以上のステップは、不揮発性コンピュータ読取可能メモリ等のコンピュータ読取可能媒体に記憶されたコンピュータ実行可能命令に具体化されてもよい。
【0185】
図9に見られるように、方法は、管理されたブラウザがロードされるステップ905で開始される。例えば、ステップ905において、コンピューティングデバイス(例えば、ラップトップコンピュータ、タブレットコンピュータ、スマートフォンまたは他のタイプのモバイルデバイス等のモバイルコンピューティングデバイス)は、ステップ505(前記において検討された)においてこのような管理されたブラウザがロードされる方法と同様に、管理されたブラウザをロードしてもよい。管理されたブラウザは、例えば、管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成されてもよく、1つ以上のポリシーは、例えば、前記において検討されたように、管理されたブラウザの1つ以上の機能を制限するよう構成されてもよい。さらに、管理されたブラウザは、実施形態によっては、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成されてもよい。
【0186】
ステップ910において、管理されたブラウザを介した1つ以上の企業リソースのアクセスへの要求が受信されてもよい。例えば、ステップ910において、コンピューティングデバイスは、管理されたブラウザを介した1つ以上の企業リソースのアクセスへの要求を受信してもよい。このような要求は、例えば、管理されたブラウザを介してコンピューティングデバイスにより受信されたユーザ入力に基づいておよび/または対応してもよい(例えば、管理されたブラウザを使用したネットワークリソースへのユーザのリンク選択および/または別様のアクセス要求に基づいて)。
【0187】
ステップ915において、1つ以上の企業リソースからの企業データは、要求に基づいて取得される。例えば、ステップ915において、コンピューティングデバイスは、ステップ910において受信された要求に基づいて1つ以上の企業リソースに接続し、1つ以上の企業リソースから情報を要求し、引き続いて、情報を受信および/または別様に取得してもよい。
【0188】
ステップ920において、取得された企業データは、セキュリティ保護ドキュメントコンテナに記憶される。例えば、ステップ920において、コンピューティングデバイスは、ステップ915において取得された企業データをセキュリティ保護ドキュメントコンテナに記憶してもよい。1つ以上の配置において、セキュリティ保護ドキュメントコンテナは、1つ以上の企業リソースからコンピューティングデバイスにより受信される企業データをセキュリティ保護された状態で記憶するよう構成されるコンピューティングデバイス上のデータリポジトリであってもよい。さらに/あるいは、1つ以上のモバイルデバイス管理ポリシーは、セキュリティ保護ドキュメントコンテナへのアクセスが制限、修正および/または別様に制御されるべき特定の状況を定義してもよく、コンピューティングデバイスおよび/またはコンピューティングデバイス上で実行中のMRMエージェントは、デバイス状態情報に基づいてこれらの状況を検出してもよく、引き続いてポリシーに従ってセキュリティ保護ドキュメントコンテナへのアクセスを制限、修正および/または別様に制御してもよい。他の例において、セキュリティ保護ドキュメントコンテナの他の態様(例えば、セキュリティ保護ドキュメントコンテナへのアクセス以外)は、1つ以上のモバイルデバイス管理ポリシーにより同様に制御されてもよい。
【0189】
ステップ925において、セキュリティ保護ドキュメントコンテナへのアクセスは、管理されたブラウザを介して提供される。例えば、ステップ925において、コンピューティングデバイスは、セキュリティ保護ドキュメントコンテナへのアクセスを管理されたブラウザを介して提供してもよい。セキュリティ保護ドキュメントコンテナへのアクセスの管理されたブラウザを介した提供において、コンピューティングデバイスは、例えば、セキュリティ保護ドキュメントコンテナに記憶された企業データおよび/または他の情報が閲覧され、エディットされおよび/または別様にアクセスされることを許可するよう構成された1つ以上のユーザインタフェースを、管理されたブラウザに表示および/または別様に提示させてもよい。例えば、ステップ925において、コンピューティングデバイスは、コンピューティングデバイスのユーザが、セキュリティ保護ドキュメントコンテナに記憶された情報をブラウズ、セキュリティ保護ドキュメントコンテナに記憶された特定のファイルおよび/または他の情報を閲覧、セキュリティ保護ドキュメントコンテナに記憶された情報をエディット、セキュリティ保護ドキュメントコンテナに記憶された情報を削除、および/または、セキュリティ保護ドキュメントコンテナに記憶された情報に別様に相互作用ならびに/あるいはアクセスすることを許可する1つ以上のユーザインタフェースを、管理されたブラウザに表示および/または別様に提示させてもよい。
【0190】
ステップ930において、データは、セキュリティ保護ドキュメントコンテナから選択的にワイプ(wipe)される。例えば、ステップ930において、コンピューティングデバイスは、セキュリティ保護ドキュメントコンテナから情報を選択的にワイプおよび/または別様に削除してもよい。1つ以上の配置において、コンピューティングデバイスは、デバイス状態情報、1つ以上のポリシー、および/または他のファクターおよび/またはコンピューティングデバイスならびに/あるいはコンピューティングデバイス上で実行中のMRMエージェントにより評価および/または検出されてもよい状況に基づいてセキュリティ保護ドキュメントコンテナからデータを選択的にワイプしてもよい。
【0191】
例によっては、コンピューティングデバイスは、セキュリティ保護ドキュメントコンテナに記憶されてもよい他の企業データを含む他のデータ等の他のデータを残しつつ、ステップ915において取得された企業データ等のいくつかのデータをセキュリティ保護ドキュメントコンテナからワイプしてもよい。他の例において、コンピューティングデバイスは、他のデータ(例えば、異なる期間に受信および/または記憶されたデータ)を残しつつ、特定の期間(例えば、直近4時間以内)に受信および/または記憶されたデータをセキュリティ保護ドキュメントコンテナからワイプしてもよい。さらに他の例において、コンピューティングデバイスは、他のデータ(例えば、管理されたブラウザの他のアプリケーションおよび/または他のセッションに関するデータ)を残しつつ、管理されたブラウザおよび/または管理されたブラウザの特定のセッションに関連して受信および/または記憶されたデータをセキュリティ保護ドキュメントコンテナからワイプしてもよい。
【0192】
実施形態によっては、セキュリティ保護ドキュメントコンテナからのデータの選択的ワイプは、要求に基づいて1つ以上の企業リソースから取得された企業データを削除することを含んでもよい。例えば、セキュリティ保護ドキュメントコンテナからのデータの選択的ワイプにおいて(例えば、ステップ930において)、コンピューティングデバイスは、ステップ915において企業リソースから取得された企業データを削除してもよい。この企業データの削除において、コンピューティングデバイスは、例えば、セキュリティ保護ドキュメントコンテナに記憶されてもよい他のデータ(これは例えば、他のブラウジングセッションの間に取得されてもよく、他のアプリケーション等に関連してもよい)を残しつつおよび/または別様に保存しつつ、企業データが取得された特定のブラウジングセッションの間に取得された企業データ、ならびに、このブラウジングセッションの間に取得された任意の他の情報を削除してもよい。
【0193】
実施形態によっては、管理されたブラウザが閉じられたときに、データがセキュリティ保護ドキュメントコンテナから選択的にワイプされてもよい。例えば、コンピューティングデバイスは、例によっては、管理されたブラウザが閉じられたこと(例えば、コンピューティングデバイスのユーザが管理されたブラウザを閉じたとき、コンピューティングデバイスのユーザが管理されたブラウザのタブを閉じたおよび/または管理されたブラウザの特定のセッションを別様に閉じたとき、コンピューティングデバイス上で実行中のMRMエージェント等のコンピューティングデバイス上の別のアプリケーション、サービスまたは処理により管理されたブラウザが閉じられたおよび/または閉じるようにされたとき等)に応じておよび/または別様に基づいてデータをセキュリティ保護ドキュメントコンテナから選択的にワイプしてもよい。
【0194】
実施形態によっては、データは、1つ以上のポリシーに基づいてセキュリティ保護ドキュメントコンテナから選択的にワイプされてもよい。例えば、コンピューティングデバイスは、例によっては、1つ以上のモバイルデバイス管理ポリシーに基づいてデータをセキュリティ保護ドキュメントコンテナから選択的にワイプしてもよい。例えば、1つ以上のモバイルデバイス管理ポリシーは、特定のタイプのデータがセキュリティ保護ドキュメントコンテナから選択的にワイプされるべき特定の状況を定義してもよく、コンピューティングデバイスおよび/またはコンピューティングデバイス上で実行中のMRMエージェントは、デバイス状態情報に基づいてこれらの状況を検出し、引き続いてポリシーに従ってセキュリティ保護ドキュメントコンテナからデータをワイプしてもよい。
【0195】
例えば、デバイス状態情報(これは例えば、コンピューティングデバイス上に存在する1つ以上のアプリケーションを特定する情報、コンピューティングデバイスにより使用される1つ以上のネットワーク接続を特定する情報および/またはコンピューティングデバイスの現在位置を特定する情報を含んでもよい)に基づいて、コンピューティングデバイスおよび/またはコンピューティングデバイス上で実行中のMRMエージェントは、(例えば、ステップ915において)管理されたブラウザを使用して1つ以上の企業リソースから取得され、引き続いて(例えば、ステップ920において)セキュリティ保護ドキュメントコンテナに記憶された企業データをセキュリティ保護ドキュメントコンテナから選択的にワイプしてもよい。
【0196】
実施形態によっては、データは、管理されたブラウザが管理モードで開かれるときに管理されたブラウザに適用される1つ以上のポリシーに基づいてセキュリティ保護ドキュメントコンテナから選択的にワイプされてもよい。例えば、コンピューティングデバイスは、例によっては、管理モードにおいて管理されたブラウザに適用される1つ以上のポリシーに基づいてセキュリティ保護ドキュメントコンテナからデータを選択的にワイプしてもよく、少なくとも1つのこのようなポリシーは、特定のデータ(これは例えば、管理されたブラウザを使用して取得されていてもよい)がセキュリティ保護ドキュメントコンテナから選択的に削除されるべき特定の状況を定義してもよい。さらに、これらの特定の状況は、コンピューティングデバイスおよび/またはコンピューティングデバイス上で実行中のMRMエージェントにより、前記において検討された例でのようにデバイス状態情報に基づいて検出されてもよい。
【0197】
図10は、本発明で検討される1つ以上の例示的態様に従って、SSOクレデンシャルに基づいて企業データを取得し、管理されたブラウザを介してデータへのアクセスを提供する方法を示すフローチャートである。1つ以上の実施形態において、図10に示す方法および/またはその1つ以上のステップは、コンピューティングデバイス(例えば、ジェネリックコンピューティングデバイス201)により実行されてもよい。他の実施形態において、図10に示す方法および/またはその1つ以上のステップは、不揮発性コンピュータ読取可能メモリ等のコンピュータ読取可能媒体に記憶されたコンピュータ実行可能命令に具体化されてもよい。
【0198】
図10に見られるように、この方法は、管理されたブラウザがロードされるステップ1005で開始する。例えば、ステップ1005において、コンピューティングデバイス(例えば、ラップトップコンピュータ、タブレットコンピュータ、スマートフォンまたは他のタイプのモバイルデバイス等のモバイルコンピューティングデバイス)は、ステップ505(前記において検討された)においてこのような管理されたブラウザがロードされる方法と同様に、管理されたブラウザをロードしてもよい。管理されたブラウザは、例えば、管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成されてもよく、1つ以上のポリシーは、例えば、前記において検討されたように、管理されたブラウザの1つ以上の機能を制限するよう構成されてもよい。さらに、管理されたブラウザは、実施形態によっては、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成されてもよい。
【0199】
ステップ1010において、少なくとも1つのユーザアカウントに関するSSOクレデンシャルが受信される。例えば、ステップ1010において、コンピューティングデバイスは、SSOクレデンシャルを受信してもよく、SSOクレデンシャルは、コンピューティングデバイスの特定のユーザおよび/または特定のユーザアカウント(これは例えば、コンピューティングデバイスおよび/または企業リソースならびに/あるいは他のネットワークリソース等の他のリソースに対するアクセスおよび/または使用において利用されてもよい)にリンクおよび/または別様に関連づけられてもよい。1つ以上の配置において、SSOクレデンシャルは、少なくとも2つの異なる企業リソース(様々な企業ウェブサイト、データベース、サーバ、他のリソース等)でのアクセスにおいて使用されるよう構成される認証クレデンシャルであってもよい。
【0200】
さらに/あるいは、SSOクレデンシャルは、ユーザが、コンピューティングデバイス上のユーザアカウントにログインする、コンピューティングデバイス上のアプリケーションにログインする、コンピューティングデバイスを介してアクセス中のウェブサイトにログインする、コンピューティングデバイス上に存在する認証プロンプトと相互作用する、および/または、他の方法のときに、受信されてもよい。例によっては、SSOクレデンシャルは、例えば、1つ以上の企業リソースおよび/または他のリソースのアクセスへの要求または試行、または管理されたブラウザを使用する情報と関連して、管理されたブラウザを介して受信されてもよい。
【0201】
ステップ1015において、1つ以上の企業リソースからの企業データは、SSOクレデンシャルに基づいて取得される。例えば、ステップ1015において、コンピューティングデバイスは、ステップ1010において受信されたSSOクレデンシャルを使用して、1つ以上の企業リソースへの接続、要求および引き続いて1つ以上の企業リソースから情報を受信および/または別様に取得してもよい。例によっては、SSOクレデンシャルは、例えば、企業リソースでの認証、企業リソースからの権利制御情報の要求および/または企業リソースからの企業データの別様の受信において使用されてもよい。例えば、1つ以上の企業リソースからの企業データの取得において、コンピューティングデバイスは、特定の企業リソースへの接続を開始してもよく、これは管理されたブラウザに認証情報を提供するようチャレンジしてもよい。チャレンジに応じて、管理されたブラウザは、企業リソースで認証するおよび/または企業リソースから情報を取得するためにSSOクレデンシャル(例えば、ステップ1010において受信されたような)を企業リソースに提供してもよい。
【0202】
ステップ1020において、取得された企業データへのアクセスは、管理されたブラウザを介して提供されてもよい。例えば、ステップ1020において、コンピューティングデバイスは、管理されたブラウザを介してステップ1015において取得された企業データへのアクセスを提供してもよい。管理されたブラウザを介して取得された企業データへのアクセスの提供において、コンピューティングデバイスは、例えば、企業データが閲覧され、エディットされおよび/または別様にアクセスされることを許可するよう構成された1つ以上のユーザインタフェースを、管理されたブラウザに表示および/または別様に提示させてもよい。例えば、ステップ920において、コンピューティングデバイスは、コンピューティングデバイスのユーザが、取得された企業データをブラウズ、エディット、削除、および/または、取得された企業データに別様に相互作用および/またはアクセスすることを許可する1つ以上のユーザインタフェースを、管理されたブラウザに表示および/または別様に提示させてもよい。
【0203】
実施形態によっては、SSOクレデンシャルに基づいた1つ以上の企業リソースからの企業データの取得において、コンピューティングデバイスおよび/またはコンピューティングデバイス上で実行中の管理されたブラウザは、1つ以上のポリシーおよび/またはデバイス状態情報に依存して、ユーザを巻き込むことなくSSOクレデンシャルを使用して、1つ以上の認証チャレンジ(これは例えば、1つ以上の企業リソースにより提示されてもよい)に応答してもよい。例えば、このような認証チャレンジは、1つ以上のポリシーおよび/またはデバイス状態情報に基づいてSSOクレデンシャルを使用して、管理されたブラウザおよび/またはコンピューティングデバイスにより自動的にアドレスされてもよい。さらに、このように自動的にアドレスされてもよい特定の認証チャレンジおよび/または認証チャレンジのタイプは、1つ以上のポリシーおよび/またはデバイスの現在のコンテキスト(これは例えば、前記において検討された実施例でのように、デバイス状態情報により示されてもよい)に依存して変更してもよい。
【0204】
このように、1つ以上の実施形態において、SSOクレデンシャルに基づいた1つ以上の企業リソースからの企業データの取得(例えば、ステップ1015において)は、1つ以上の企業リソースのうちの少なくとも1つの企業リソースから認証チャレンジを受信することと、1つ以上のポリシーのうちの少なくとも1つのポリシーに基づいて、認証チャレンジに応じて少なくとも1つの企業リソースへとSSOクレデンシャルを提供すべきかどうかを判定することと、認証チャレンジに応じた少なくとも1つの企業リソースへのSSOクレデンシャルの提供の判定に基づいて、SSOクレデンシャルを少なくとも1つの企業リソースへと提供することとを含んでもよい。例えば、SSOクレデンシャルを使用した1つ以上の企業リソースからの企業データの取得(例えば、ステップ1015において)において、コンピューティングデバイスおよび/またはコンピューティングデバイス上で実行中の管理されたブラウザは、(例えば、管理されたブラウザがアクセスを試行している)企業リソースから認証チャレンジを受信してもよい。このような認証チャレンジは通常、例えば、対応するリソースにアクセスするために1つ以上の認証クレデンシャルを提供することをユーザに要求する。
【0205】
認証チャレンジの受信後、コンピューティングデバイスおよび/またはコンピューティングデバイス上で実行中の管理されたブラウザは、1つ以上のポリシーに基づいて、認証チャレンジに応答するために企業リソースへのSSOクレデンシャルの提供を行なうべきかどうかを判定してもよい。例えば、コンピューティングデバイスおよび/または管理されたブラウザは、SSOクレデンシャルを使用して管理されたブラウザがこのような認証チャレンジに自動的に応答することができる特定の状況を定義する1つ以上のポリシー上で、このような決定を行なってもよい。さらに、コンピューティングデバイスおよび/または管理されたブラウザは、このようなデバイス状態情報が前記において検討された例で評価されてもよい方法と同様に、デバイス状態情報に基づいてこれらの状況を評価してもよい。
【0206】
コンピューティングデバイスおよび/または管理されたブラウザが、1つ以上のポリシーおよび/またはデバイス状態情報に鑑みて、認証チャレンジに応答するために企業リソースにSSOクレデンシャルが提供されることができると判定すると、コンピューティングデバイスおよび/または管理されたブラウザは、SSOクレデンシャルを企業リソースに提供してもよい。例えば、コンピューティングデバイスおよび/または管理されたブラウザは、認証チャレンジに自動的に応答するためにSSOクレデンシャル(これは例えば、ステップ1010において受信されていてもよい)を企業リソースに送信してもよく、一方、コンピューティングデバイスおよび/または管理されたブラウザが、企業リソースからのおよび/または企業リソースにより記憶された情報にアクセスできるようにしてもよい。
【0207】
さらに、コンピューティングデバイスおよび/または管理されたブラウザは、ユーザを巻き込むことなくこのようにSSOクレデンシャルを送信してもよい。例えば、コンピューティングデバイスおよび/または管理されたブラウザは、ユーザに任意の認証クレデンシャルの提供を促すことなく、ならびに/もしくは、ユーザにSSOクレデンシャルが企業リソースに提供中であることを通知することさえなく、SSOクレデンシャルを送信してもよい。あるいは、コンピューティングデバイスおよび/または管理されたブラウザが、1つ以上のポリシーおよび/またはデバイス状態情報に鑑みて、認証チャレンジに応答するために企業リソースにSSOクレデンシャルが提供されることができないと判定すると、コンピューティングデバイスおよび/または管理されたブラウザはそして、ユーザに1つ以上の認証クレデンシャル(これは例えば、そして認証チャレンジに応じてコンピューティングデバイスおよび/または管理されたブラウザにより使用されてもよい)の提供を促してもよい。このように、1つ以上の実施形態において、認証チャレンジへの応答で少なくとも1つの企業リソースへとSSOクレデンシャルが提供されないとの判定に基づいて、コンピューティングデバイスおよび/またはコンピューティングデバイス上で実行中の管理されたブラウザは、コンピューティングデバイスのユーザから少なくとも1つの認証クレデンシャルを受信するよう構成された認証プロンプトを生成してもよい。
【0208】
実施形態によっては、管理されたブラウザを介して取得された企業データへのアクセスの提供は、SSOクレデンシャルに基づいて1つ以上のポリシーを強制することを含んでもよい。例えば、SSOクレデンシャルに基づいて取得された企業データへのアクセスの提供および/またはポリシーの強制において、コンピューティングデバイスは、(例えば、SSOクレデンシャルに基づいてポリシーサーバおよび/または他の企業リソースから1つ以上のポリシーをダウンロード、受信、および/または別様に取得することにより)SSOクレデンシャルに基づいて1つ以上のポリシーを取得し、(例えば、SSOクレデンシャルに関してもよいアイデンティティ情報に鑑みてコンピューティングデバイスの現在のユーザに適用可能および/または適切なポリシーを選択的にアクティブ化、非アクティブ化および/または強制することにより)SSOクレデンシャルに基づいて適用可能なポリシーを選択し、および/または、(例えば、SSOクレデンシャル、1つ以上のポリシーおよび/またはデバイス状態情報に鑑みてユーザのアイデンティティおよび/または役割に適用可能ならびに/もしくは適切な管理されたブラウザ上の挙動制限を強制することにより)ポリシーに従って管理されたブラウザ上に1つ以上の挙動制限を課してもよい。
【0209】
SSOクレデンシャルに基づいて1つ以上のポリシーが強制される実施形態によっては、1つ以上のポリシーは、管理されたブラウザの1つ以上の機能を制限するよう構成されてもよい。例えば、1つ以上のポリシーは、管理されたブラウザの特定の機能が特定のユーザについて選択的に無効化されるべき特定の状況を定義してもよく、コンピューティングデバイスは、(例えば、デバイス状態情報に基づいて)これらの状況を検出および/または別様に特定してもよく、引き続いて1つ以上のポリシーに従っておよびステップ1010にて受信されたSSOクレデンシャルに基づいて機能を無効化してもよい。前記において検討されたように、例えばポリシーにより制限されてもよい管理されたブラウザの機能の実施例によっては、カットアンドペースト機能、インスタントメッセージング機能、およびビデオチャット機能が含まれる。さらに、これらの機能は、例によっては限定されてもよい機能の実施例としてここに列挙されるが、他の機能が同様に他の例において限定されてもよい。
【0210】
SSOクレデンシャルに基づいて1つ以上のポリシーが強制される実施形態によっては、1つ以上のポリシーが、取得された企業データへのアクセスを制限するよう構成されてもよい。例えば、1つ以上のポリシーは、企業データ(例えば、ステップ1015において取得された企業データ)が特定の方法でのみアクセスおよび/または使用されることができる特定の状況を定義してもよく、コンピューティングデバイスは、(例えば、デバイス状態情報に基づいて)これらの状況を検出および/または別様に特定してもよく、引き続いてデータが1つ以上のポリシーに従っておよびステップ1010にて受信されたSSOクレデンシャルに基づいてアクセスおよび/または使用されることができる方法を制限および/または別様に制御してもよい。例えば、1つ以上のポリシーのうちの少なくとも1つのポリシーが、(例えば、管理されたブラウザから別のアプリケーションへと)取得された企業データがコピーアンドペーストされることができる状況を制限するよう構成されてもよい。別の実施例として、1つ以上のポリシーのうちの少なくとも1つのポリシーが、(例えば、管理されたブラウザによりおよび/またはコンピューティングデバイスにより)取得された企業データがセーブまたはプリントされることができる状況を制限するよう構成されてもよい。
【0211】
SSOクレデンシャルに基づいて1つ以上のポリシーが強制される実施形態によっては、1つ以上のポリシーのうちの少なくとも1つのポリシーの強制は、デバイス状態情報に依存してもよい。例えば、(例えば、1つ以上のポリシーにより課されるような)管理されたブラウザの機能上の制限および/または(例えば、さらに/あるいは1つ以上のポリシーにより課されるような)企業データが管理されたブラウザによりアクセスおよび/または使用されてもよい方法上の制限は、コンピューティングデバイスの現在の状態を示す状態情報に依存してもよい。このような状態情報は、例えば、前記において検討された実施例のように、コンピューティングデバイス上で実行するよう構成されたMRMエージェント(例えば、バックグラウンドアプリケーション、サービスまたは処理として)により収集および/または監視されてもよい。例えば、MRMエージェントは、デバイス上で記憶および/または実行中のオペレーティングシステムおよび/またはアプリケーションを示す状態情報、デバイスにより利用可能および/または使用中のネットワーク接続を示す状態情報、および/または、デバイスが位置するおよび/または使用中の現在位置を示す状態情報等のデバイスレベル状態情報を収集および/または監視するよう構成されてもよい。さらに、この状態情報のいずれかおよび/または全てが、SSOクレデンシャル(これは例えば、前記において検討されたように、ステップ1010において受信されてもよい)と組み合わせて、前記において検討されたポリシー等の、ポリシーの管理されたブラウザ上への適用および/または強制において(例えば、コンピューティングデバイスによりおよび/または管理されたブラウザにより)使用されてもよい。
【0212】
図11は、本発明で検討される1つ以上の例示的態様に従って、管理されたブラウザを介してアプリケーションストアへのアクセスを提供する方法を示すフローチャートである。1つ以上の実施形態において、図11に示す方法および/またはその1つ以上のステップは、コンピューティングデバイス(例えば、ジェネリックコンピューティングデバイス201)により実行されてもよい。他の実施形態において、図11に示す方法および/またはその1つ以上のステップは、不揮発性コンピュータ読取可能メモリ等のコンピュータ読取可能媒体に記憶されたコンピュータ実行可能命令に具体化されてもよい。
【0213】
図11に見られるように、この方法は、管理されたブラウザがロードされるステップ1105で開始する。例えば、ステップ1105において、コンピューティングデバイス(例えば、ラップトップコンピュータ、タブレットコンピュータ、スマートフォンまたは他のタイプのモバイルデバイス等のモバイルコンピューティングデバイス)は、ステップ505(前記において検討された)においてこのような管理されたブラウザがロードされる方法と同様に、管理されたブラウザをロードしてもよい。管理されたブラウザは、例えば、管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成されてもよく、1つ以上のポリシーは、例えば、前記において検討されたように、管理されたブラウザの1つ以上の機能を制限するよう構成されてもよい。さらに、管理されたブラウザは、実施形態によっては、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成されてもよい。
【0214】
ステップ1110において、管理されたブラウザを介したアプリケーションストアのアクセスへの要求が受信される。例えば、ステップ1110において、コンピューティングデバイスは、管理されたブラウザを介してアプリケーションストアにアクセスするための要求を受信してもよい。このような要求は、例えば、管理されたブラウザを介してコンピューティングデバイスにより受信されるユーザ入力に基づいてもおよび/または対応してもよい(例えば、管理されたブラウザを使用したアプリケーションストアへのリンクのユーザ選択および/または別様のアクセス要求に基づいて)。例えば、管理されたブラウザは、アイコンまたはツールバーの選択時に管理されたブラウザ内にアプリケーションストアが表示されるよう構成されてもよいアイコンまたはツールバーを含んでもよい。さらに/あるいは、管理されたブラウザに適用される特定のポリシーは、コンテキスト(例えば、ブラウザの状態および/またはデバイス上で実行中であってもよい様々な他のプログラム)、ユーザアカウント情報および/またはユーザ役割情報等の1つ以上のファクターに基づいて動的にブラウザを正しいアプリケーションストアにダイレクトしてもよい。
【0215】
1つ以上の配置において、アプリケーションストア(例えば、ステップ1110においてアクセスが要求される)は、企業アプリケーションを1つ以上のモバイルコンピューティングデバイスに提供するよう構成される企業アプリケーションストアであってもよい。企業アプリケーションを様々なデバイスに提供するよう構成されることに加えて、企業アプリケーションストアはまた、1つ以上のモバイルデバイス管理ポリシーおよび/またはポリシー更新を様々なデバイスに提供するよう構成されてもよい。例えば、アプリケーションストアは、1つ以上のモバイルコンピューティングデバイスおよび/または他のユーザデバイスによりダウンロードされることができ、引き続いてこのようなユーザデバイス上でネイティブに実行されることができる1つ以上のアプリケーションを提供するよう構成されてもよい。
【0216】
アプリケーションストアはまた、1つ以上のウェブアプリケーションおよび/または1つ以上のヴァーチャル化アプリケーションへのアクセスに使用されることができる情報を提供してもよい。例えば、アプリケーションストアは、このようなウェブアプリケーションまたはヴァーチャル化アプリケーションを実行中および/または提供するよう別様に構成されたサーバの位置決定および/またはそれへの接続を行なうために、管理されたブラウザによって使用されることができるポインタおよび/または位置情報を提供してもよい。例によっては、ポインタおよび/または位置情報はまた、ウェブアプリケーションまたはヴァーチャル化アプリケーションを実行するためにコンピューティングデバイス上の異なるアプリケーションへと管理されたブラウザにより渡されてもよい。
【0217】
ステップ1115において、アプリケーションストアからの企業データは、要求に基づいて取得される。例えば、ステップ1115において、コンピューティングデバイスは、ステップ1110において受信された要求に基づいて、アプリケーションストアに接続、要求、引き続いてアプリケーションストアから情報を受信および/または別様に取得してもよい。
【0218】
ステップ1120において、取得された企業データの少なくとも一部は、管理されたブラウザを介して提示される。例えば、ステップ1120において、コンピューティングデバイスは、管理されたブラウザを介して、ステップ1115においてアプリケーションストアから取得された企業データの少なくとも一部を提示してもよい。管理されたブラウザを介した企業データの提示において、コンピューティングデバイスは、例えば、アプリケーションストアから取得された企業データが閲覧され、相互作用されおよび/または別様にアクセスされることを許可するよう構成された1つ以上のユーザインタフェースを、管理されたブラウザに表示および/または別様に提示させてもよい。例えば、ステップ1120において、コンピューティングデバイスは、ユーザが、アプリケーションストアにおいて利用可能なアプリケーションおよび/または他のコンテンツを閲覧し、このようなアプリケーションおよび/または他のコンテンツを選択および/またはダウンロードし、および/または別様にアプリケーションストアデータと相互作用することを許可する1つ以上のユーザインタフェースを、管理されたブラウザに表示および/または別様に提示させてもよい。
【0219】
実施形態によっては、取得された企業データの少なくとも一部の提示は、管理されたブラウザを介してアプリケーションダウンロードインタフェースが提供されるようにすることを含んでもよい。例えば、アプリケーションストアから取得された企業データの少なくとも一部の提示において、コンピューティングデバイスは、管理されたブラウザを表示してもよく、および/または管理されたブラウザにアプリケーションダウンロードインタフェースを表示ならびに/あるいは別様に提示させてもよい。アプリケーションダウンロードインタフェースは、例えば、アプリケーションストアを介したダウンロードに利用可能であってもよい、および/または、利用可能なアプリケーションをダウンロードするために選択可能な1つ以上のリンクならびに/もしくは他の制御を含んでもよい、1つ以上のアプリケーションについての情報を含んでもよい。
【0220】
実施形態によっては、取得された企業データの少なくとも一部の提示は、アプリケーションストアから少なくとも1つのアプリケーションへのアクセスを提供することを含んでもよく、少なくとも1つのアプリケーションは管理されたブラウザを介してのみアクセス可能である。例えば、アプリケーションストアから取得された企業データの少なくとも一部の提示において、コンピューティングデバイスは、アプリケーションストアが管理されたブラウザで(例えば、従来のおよび/または管理されていないブラウザではなく)アクセスされるときのみ、(アクセス、ダウンロード等に)利用可能であるアプリケーションストア内のアプリケーションへのアクセスを提供してもよい。例によっては、特定のアプリケーション(これは例えば、アプリケーションストアにて利用可能および/またはアプリケーションストアから取得されていてもよい)に関する特定のタイプの情報は、ユーザデバイスが管理されたブラウザを介してアプリケーションストアにアクセス中であるときのみユーザデバイスに提供されるかもしれない。例えば、企業テンプレート、特定のデータセット、共同者レビュー、アプリケーションが使用されている特定のプロジェクトについての情報、アプリケーションをダウンロードしている他のユーザおよび/または従業員の列挙、および/または、特定のアプリケーションに関する他のタイプの情報へのアクセスが、管理されたブラウザを介してのみ提供されてもよい。この情報は、例えば、企業に特有であると考えられ、従って、情報へのアクセスは、管理されたブラウザの使用を通じて制限されてもよい。
【0221】
実施形態によっては、取得された企業データの少なくとも一部の提示は、少なくとも1つのアプリケーションのヴァーチャル化セッションが、管理されたブラウザを介して提供されるようにすることを含んでもよい。例えば、アプリケーションストアから取得された企業データの少なくとも一部の提示において、コンピューティングデバイスは、アプリケーションのヴァーチャル化セッションが管理されたブラウザを介して提供されるようにしてもよい。例えば、コンピューティングデバイスは、管理されたブラウザがアプリケーションの1つ以上のヴァーチャル化ユーザインタフェースを表示および/または別様に提供するようにしてもよく、これはアプリケーションストアならびに/もしくは1つ以上の企業リソースから取得および/またはアプリケーションストアならびに/もしくは1つ以上の企業リソースにより遠隔実行されてもよい。
【0222】
実施形態によっては、管理されたブラウザは、デバイス状態情報を監視およびデバイス状態情報に基づいて1つ以上のポリシーを強制するようにさらに構成されてもよい。例えば、アプリケーションストアから取得された企業データを提示するよう構成されることに加えて、管理されたブラウザは、デバイス状態情報を監視し、1つ以上のポリシーを強制するようさらに構成されてもよい(例えば、管理されたブラウザ自身上でおよび/またはデバイス上で実行中であってもよい1つ以上の他のアプリケーション上で)。例えば、管理されたブラウザは、管理されたブラウザがコンピューティングデバイス上で、企業リソースにセキュリティ保護された状態でアクセスできるブラウザとしてだけでなく、デバイス状態情報を監視し、状態情報に基づいてデバイスの様々なアプリケーションおよび/または他の機能にポリシーを強制することができるモバイルリソース管理エージェントとしても動作してもよいよう、前記において検討されたMRMエージェントのように動作するおよび/またはそれと同様の機能を提供するよう構成されてもよい。
【0223】
図12は、本発明で検討される1つ以上の例示的態様に従って、管理されたブラウザで企業データを取得および制御する方法を示すフローチャートである。1つ以上の実施形態において、図12に示す方法および/またはその1つ以上のステップは、コンピューティングデバイス(例えば、ジェネリックコンピューティングデバイス201)により実行される。他の実施形態において、図12に示す方法および/またはその1つ以上のステップは、不揮発性コンピュータ読取可能メモリ等のコンピュータ読取可能媒体に記憶されたコンピュータ実行可能命令に具体化されてもよい。
【0224】
図12に見られるように、この方法は、管理されたブラウザがロードされるステップ1205で開始される。例えば、ステップ1205において、コンピューティングデバイス(例えば、ラップトップコンピュータ、タブレットコンピュータ、スマートフォンまたは他のタイプのモバイルデバイス等のモバイルコンピューティングデバイス)は、ステップ505(前記において検討された)においてこのような管理されたブラウザがロードされる方法と同様に、管理されたブラウザをロードしてもよい。管理されたブラウザは、例えば、管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成されてもよく、1つ以上のポリシーは、例えば、前記において検討されたように、管理されたブラウザの1つ以上の機能を制限するよう構成されてもよい。さらに、管理されたブラウザは、実施形態によっては、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成されてもよい。
【0225】
ステップ1210において、管理されたブラウザを介した1つ以上の企業リソースのアクセスへの要求が受信されてもよい。例えば、ステップ1210において、コンピューティングデバイスは、管理されたブラウザを介した1つ以上の企業リソースのアクセスへの要求を受信してもよい。このような要求は、例えば、管理されたブラウザを介してコンピューティングデバイスにより受信されたユーザ入力に基づいておよび/または対応してもよい(例えば、管理されたブラウザを使用したネットワークリソースへのリンクのユーザ選択および/または別様のアクセス要求に基づいて)。
【0226】
ステップ1215において、1つ以上の企業リソースからの企業データは、要求に基づいて取得されてもよい。例えば、ステップ1215において、コンピューティングデバイスは、ステップ1210において受信された要求に基づいて、1つ以上の企業リソースに接続、要求、および引き続いて、1つ以上の企業リソースから情報を受信および/または別様に取得してもよい。
【0227】
ステップ1220において、取得された企業データは、1つ以上のポリシーに基づいて制御されてもよい。例えば、ステップ1220において、コンピューティングデバイスは、1つ以上のモバイルデバイス管理ポリシーを使用して、ステップ1215において取得された企業データを制御してもよい。1つ以上のモバイルデバイス管理ポリシーは、例えば、特定の機能(例えば、管理されたブラウザの特定の機能、取得された企業データを必要とする特定の機能等)が、許可、禁止および/または別様に制限されてもよい特定の状況を定義してもよい。さらに/あるいは、コンピューティングデバイスは、デバイス状態情報に基づいてこれらの状況を評価し、引き続いて1つ以上のポリシーに従って企業データを制御するよう構成されてもよい。例によっては、取得された企業データは、管理モードにおいて管理されたブラウザに適用されてもよいポリシーの同じセット(例えば、ポリシーの第1のセット)を使用して制御されてもよい。他の例において、取得された企業データは、管理モードにおいて管理されたブラウザに適用されるのとは異なるポリシーのセット(例えば、ポリシーの第1のセットとは異なるポリシーの第2のセット)を使用して制御されてもよい。
【0228】
実施形態によっては、(例えば、ステップ1220において)企業データの制御において使用されるポリシーは、ヘルスケア、金融、法務、技術等の1つ以上の特定の産業に特有であってもおよび/またはグループ化されてもよい。このようにポリシーをグループ化および/または別様に実装することにより、産業特有のポリシーの団結したグループが、産業特有のブラウザを生成するために管理されたブラウザに適用されてもよい。例えば、ヘルスケア関連ポリシーの団結したグループが、例えば、規制および/またはプライバシー事項を満たすためにポリシーが特定の機能をブロックするよう動作してもよい「ヘルスケアブラウザ」を生成するために管理されたブラウザに適用されてもよい。
【0229】
実施形態によっては、企業データの制御において(例えばステップ1220において)使用されるポリシーは、ロギング機能および/または他の監視機能が選択的に適用および/または実行されるのを許可するおよび/または生じさせる1つ以上のポリシーを含んでもよい。このようなロギング機能および/または他の監視機能は、管理されたブラウザにおよび/またはコンピューティングデバイス上で実行中の1つ以上の他のアプリケーションおよび/またはサービスに適用されてもよい。例えば、1つ以上のポリシーは、特定の期間、特定の位置で、および/またはデバイスの現在のコンテキストに基づいて、ネットワークトラフィックを監視および/または選択的にフィルタリングしてもよい。さらに/あるいは、1つ以上のポリシーは、ユーザの役割情報、パフォーマンス情報(これは例えば、デバイスパフォーマンスおよび/またはネットワークパフォーマンスを含んでもよい)および/または1つ以上の他のファクターに基づいて、ネットワークトラフィックを監視および/または選択的にフィルタリングしてもよい。
【0230】
実施形態によっては、取得された企業データの制御は、少なくとも1つのポリシーをコンピューティングデバイス上の少なくとも1つの他のアプリケーションに適用するよう構成されたモバイルリソース管理(MRM)エージェント等の、モバイルリソース管理(MRM)エージェントで管理されたブラウザを制御することを含んでもよい。例えば、(例えば、管理されたブラウザ上にポリシーを適用および/または強制することにより)管理されたブラウザを制御するよう構成されることに加えて、コンピューティングデバイス上で実行中であってもよいMRMエージェントは、様々なモバイルデバイス管理ポリシーをコンピューティングデバイス上で記憶されたおよび/または実行中の他のアプリケーションへと適用するようさらに構成されてもよい。このようなMRMエージェントは、例えば、クライアントエージェント404(前記において検討された)の1つ以上の態様を組み込んでもよい。
【0231】
実施形態によっては、1つ以上のポリシーのうちの少なくとも1つのポリシーは、デバイス状態情報に基づいて管理されたブラウザの1つ以上の機能を選択的に無効化するよう構成されてもよい。例によってはこのようなポリシーにより選択的に無効化されてもよい管理されたブラウザの機能のいくつかの実施例は、カットアンドペースト機能、インスタントメッセージング機能およびビデオチャット機能を含む。これらの機能は、例によっては選択的に無効化されてもよい機能の実施例としてここで列挙されるが、他の機能も同様に他の例において無効化されてもよい。さらに、1つ以上のポリシーの評価において使用されてもよいデバイス状態情報は、前記において検討された例でのように、コンピューティングデバイス上に存在する1つ以上のアプリケーションを特定する情報、コンピューティングデバイスにより使用される1つ以上のネットワーク接続を特定する情報および/またはコンピューティングデバイスの現在位置を特定する情報を含んでもよい。
【0232】
実施形態によっては、1つ以上のポリシーに基づいた取得された企業データの制御は、取得された企業データへのアクセスを制御することを含んでもよい。さらに、取得された企業データへのアクセスの制御は、例によっては、取得された企業データの使用を制御することを含んでもよい。
【0233】
例えば、1つ以上のポリシーが、企業データ(例えば、ステップ1215において管理されたブラウザを使用して取得された企業データ)が特定の方法でのみアクセスおよび/または使用されることができる特定の状況を定義してもよく、コンピューティングデバイスが、(例えば、デバイス状態情報に基づいて)これらの状況を検出および/または別様に特定し、引き続いて1つ以上のポリシーに従ってデータがアクセスおよび/または使用されることができる方法を制限および/または別様に制御してもよい。例えば、1つ以上のポリシーのうちの少なくとも1つのポリシーが、取得された企業データが(例えば、管理されたブラウザから別のアプリケーションへと)コピーアンドペーストされることができる状況を制限するよう構成されてもよい。別の例として、1つ以上のポリシーのうちの少なくとも1つのポリシーが、取得された企業データが(例えば、管理されたブラウザによりおよび/またはコンピューティングデバイスにより)セーブまたはプリントされることができる状況を制限するよう構成されてもよい。
【0234】
実施形態によっては、管理されたブラウザは、ポリシー管理サーバからMRMエージェントについての1つ以上のポリシー更新を受信するよう構成されてもよい。例えば、管理されたブラウザは、例によっては、1つ以上のポリシー更新(これは例えば、管理されたブラウザ、他のアプリケーションおよび/またはコンピューティングデバイスの他の態様に適用されるべき新たなおよび/または更新されたポリシーを含んでもよい)を受信してもよい。このようなポリシー更新は、例えば、ポリシー管理サーバから受信されてもよく、このようなポリシー更新の受信後に、管理されたブラウザは、ポリシー更新およびその関連情報をMRMエージェント(これは例えば、適宜新たなおよび/または更新されたポリシーを受信および適用してもよい)に提供してもよい。
【0235】
実施形態によっては、取得された企業データの制御は、管理されたブラウザが非管理モードで動作中のときに取得された企業データへのアクセスを選択的にブロックすることを含んでもよい。例えば、1つ以上の企業リソースからの企業データの取得後に(例えば、ステップ1215において)、管理されたブラウザおよび/または管理されたブラウザを実行中のコンピューティングデバイスは、管理されたブラウザが(例えば、前記の実施例において検討したように、1つ以上のポリシーがブラウザに適用されないかもしれない)非管理モードで動作中のときに取得された企業データへのアクセスを選択的にブロックしてもよい。すなわち、管理されたブラウザおよび/または管理されたブラウザを実行中のコンピューティングデバイスは、コンピューティングデバイスのユーザが、管理されたブラウザが管理モードで実行中の間のみ、管理されたブラウザで取得された企業データにアクセスすることが可能であって、管理されたブラウザが管理モードで実行されていない間(例えば、管理されたブラウザが非管理モードで実行中のとき)は、管理されたブラウザを介して取得された企業データにアクセスすることが防止されてもよいよう構成されてもよい。
【0236】
図13は、本発明で検討される1つ以上の例示的態様に従って、管理されたブラウザについて1つ以上のポリシーをアドミニストレーションする方法を示すフローチャートである。
【0237】
1つ以上の実施形態において、図13に示す方法および/またはその1つ以上のステップは、コンピューティングデバイス(例えば、ジェネリックコンピューティングデバイス201)により実行されてもよい。他の実施形態において、図13に示す方法および/またはその1つ以上のステップは、不揮発性コンピュータ読取可能メモリ等のコンピュータ読取可能媒体に記憶されたコンピュータ実行可能命令に具体化されてもよい。
【0238】
図13に見られるように、この方法は、1つ以上のユーザコンピューティングデバイス上の管理されたブラウザに適用されるべき少なくとも1つのポリシーが受信されるステップ1305で開始する。例えば、このようなポリシーは、サーバコンピューティングデバイス(これは例えば、ジェネリックコンピューティングデバイス201の1つ以上の態様を組み込んでもよく、および/または、企業組織および/またはその様々なユーザについてのポリシー管理機能を提供するよう構成されてもよい)により受信されてもよい。さらに、ポリシーは、様々なユーザコンピューティングデバイス上の管理されたブラウザに適用されるべき1つ以上の新たなおよび/または更新されたポリシーを定義していてもよいアドミニストラティブユーザからおよび/またはこのようなユーザにより操作されているコンピューティングデバイスからサーバコンピューティングデバイスにより受信されてもよい。前記において検討された実施例でのように、管理されたブラウザは、例えば、管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成されてもよく、1つ以上のポリシーは、管理されたブラウザの1つ以上の機能を制限するよう構成されてもよい。さらに、管理されたブラウザは、実施形態によっては、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成されてもよい。
【0239】
ステップ1310において、少なくとも1つのポリシー更新は、少なくとも1つのポリシーに基づいて1つ以上のユーザコンピューティングデバイスのうちの少なくとも1つのユーザコンピューティングデバイスに提供される。例えば、ステップ1315において、サーバコンピューティングデバイスは、ステップ1305において受信されたポリシーに基づいてポリシー更新をユーザコンピューティングデバイスに提供してもよい。ユーザコンピューティングデバイスへのポリシー更新の提供において、サーバコンピューティングデバイスは、例えば、ユーザコンピューティングデバイスに接続し、ステップ1305においてサーバコンピューティングデバイスにより受信されていてもよい新たなおよび/または更新されたポリシーについての情報を、ユーザコンピューティングデバイスにプッシュおよび/または別様に送信してもよい。
【0240】
1つ以上の配置において、少なくとも1つのポリシー更新は、少なくとも1つのユーザコンピューティングデバイスに、少なくとも1つの受信されたポリシーを少なくとも1つのユーザコンピューティングデバイス上の管理されたブラウザに適用させるよう構成されてもよい。例えば、ポリシー更新(これは例えば、ステップ1310においてサーバコンピューティングデバイスによりユーザコンピューティングデバイスに提供されてもよい)は、ユーザコンピューティングデバイスに、ユーザコンピューティングデバイス上の管理されたブラウザにポリシー(これは例えば、ステップ1305においてサーバコンピューティングデバイスにより受信されてもよい)を適用させるよう構成されてもよい。このような管理されたブラウザは、例えば、サーバコンピューティングデバイスから(例えば、ステップ1310において)ポリシー更新を受信するユーザコンピューティングデバイス上において、実行され、記憶されおよび/または別様に存在してもよい。
【0241】
配置によっては、ポリシー(これは例えば、サーバコンピューティングデバイスによりステップ1305において受信され、引き続いてステップ1310においてポリシー更新を介してユーザコンピューティングデバイスに提供および受信されてもよい)は、管理されたブラウザ上におよび/または管理されたブラウザを実行中のユーザコンピューティングデバイス上に強制されてもよい1つ以上の特定の規則を定義してもよい。このような規則は、例えば、デバイス状態情報(これは例えば、どのような他のアプリケーションが実行中か、ユーザコンピューティングデバイス上にインストールされているか、および/または別様に存在するか、ユーザコンピューティングデバイスがどこに位置するか、ユーザコンピューティングデバイスがどのようなネットワークに接続されているか等についての情報を含んでもよい)に関して定義および/またはデバイス状態情報に基づいて評価されてもよい特定の状況において強制されてもよい。
【0242】
実施形態によっては、少なくとも1つの受信されたポリシーは、1つ以上のコンテンツフィルタリング規則を含んでもよい。例えば、例によっては、サーバコンピューティングデバイスによりステップ1305において受信されたポリシーは、1つ以上のコンテンツフィルタリング規則を含んでもよい。このようなコンテンツフィルタリング規則は、例えば、特定の企業リソースを含んでもよい特定のネットワークリソースにアクセスする管理されたブラウザの能力を制御してもよい。例えば、コンテンツフィルタリング規則は、デバイス状態情報(これは例えば、前記において検討されたように、どのような他のアプリケーションが実行中か、ユーザコンピューティングデバイス上にインストールされているか、および/または別様に存在するか、ユーザコンピューティングデバイスがどこに位置するか、ユーザコンピューティングデバイスがどのようなネットワークに接続されているか等についての情報を含んでもよい)および/または他の特定の基準に基づいて管理されたブラウザによるコンテンツの特定のタイプへのアクセスを選択的にブロックおよび/または選択的に許可してもよい。
【0243】
実施形態によっては、少なくとも1つの受信されたポリシーは、1つ以上のキャッシング規則を含んでもよい。例えば、例によっては、サーバコンピューティングデバイスによりステップ1305において受信されたポリシーは、1つ以上のコンテンツキャッシング規則を含んでもよい。このようなコンテンツキャッシング規則は、例えば、1つ以上の企業リソースから受信された特定のタイプのコンテンツ、他のネットワークリソースから受信された特定のタイプのコンテンツ(例えば、ウェブコンテンツ、クッキー等)および/または他のタイプの情報を含んでもよい特定のタイプのコンテンツをキャッシュする管理されたブラウザの能力を制御してもよい。例えば、コンテンツキャッシング規則は、デバイス状態情報(これは例えば、前記において検討されたように、どのような他のアプリケーションが実行中か、ユーザコンピューティングデバイス上にインストールされているか、および/または別様に存在するか、ユーザコンピューティングデバイスがどこに位置するか、ユーザコンピューティングデバイスがどのようなネットワークに接続されているか等についての情報を含んでもよい)および/または他の特定の基準に基づいて、管理されたブラウザにより特定のタイプのコンテンツのキャッシングを選択的にブロックおよび/または選択的に許可してもよい。
【0244】
実施形態によっては、少なくとも1つの受信されたポリシーは、1つ以上のプラグイン規則を含んでもよい。例えば、例によっては、サーバコンピューティングデバイスによりステップ1305において受信されたポリシーは、1つ以上のプラグイン管理規則を含んでもよい。このようなプラグイン管理規則は、例えば、特定のプラグイン(これは例えば、様々なタイプのアプリケーション、エクステンション、アプレット、スクリプトおよび/または他のタイプのプラグインを含んでもよい)のアクセス、実行および/または別様の使用を行なう管理されたブラウザの能力を制御してもよい。例えば、プラグイン管理規則は、デバイス状態情報(これは例えば、前記において検討されたように、どのような他のアプリケーションが実行中か、ユーザコンピューティングデバイス上にインストールされているか、および/または別様に存在するか、ユーザコンピューティングデバイスがどこに位置するか、ユーザコンピューティングデバイスがどのようなネットワークに接続されているか等についての情報を含んでもよい)および/または他の特定の基準に基づいて、管理されたブラウザによる1つ以上の特定のプラグインのアクセス、実行ならびに/あるいは別様の使用を選択的に防止および/または選択的に有効化してもよい。
【0245】
実施形態によっては、少なくとも1つの受信されたポリシーは、1つ以上のクレデンシャル管理規則を含んでもよい。例えば、サーバコンピューティングデバイスによりステップ1305において受信されたポリシーは、1つ以上のクレデンシャル管理規則を含んでもよい。このようなクレデンシャル管理規則は、例えば、特定のクレデンシャルを使用する管理されたブラウザの能力を制御してもよく、特定のクレデンシャルは、例えば、1つ以上のリソースへのアクセス時の1つ以上のSSOクレデンシャルを含んでもよい。例えば、クレデンシャル管理規則は、デバイス状態情報(これは例えば、前記において検討されたように、どのような他のアプリケーションが実行中か、ユーザコンピューティングデバイス上にインストールされているか、および/または、別様に存在するか、ユーザコンピューティングデバイスがどこに位置するか、ユーザコンピューティングデバイスがどのようなネットワークに接続されているか等についての情報を含んでもよい)および/または他の特定の基準に基づいて、管理されたブラウザによる1つ以上の特定のクレデンシャルのアクセスおよび/または使用を選択的に防止および/または有効化してもよい。
【0246】
実施形態によっては、少なくとも1つの受信されたポリシーは、デバイス状態情報に基づいて少なくとも1つのユーザコンピューティングデバイスにより強制されるよう構成されてもよい。例えば、例によっては、サーバコンピューティングデバイスによりステップ1305において受信されたポリシーは、ユーザコンピューティングデバイスに関するデバイス状態情報に基づいてユーザコンピューティングデバイスにより強制されるよう構成されてもよい。このようなポリシーは、例えば、ユーザコンピューティングデバイスに関する状態情報に基づいて、1つ以上の特定の機能が実行され、および/または、1つ以上の他の特定の機能が実行されるのを防止されるようにしてもよい。
【0247】
前記において検討したように、このようなデバイス状態情報は、例えば、どのような他のアプリケーション(例えば、管理されたブラウザ以外で)が実行中か、ユーザコンピューティングデバイス上にインストールされているか、および/または別様に存在するかについての情報、ユーザコンピューティングデバイスがどこに位置するかについての情報、ユーザコンピューティングデバイスがどのようなネットワークに接続されているかについての情報および/または他の情報を含んでもよい。
【0248】
実施形態によっては、少なくとも1つの受信されたポリシーは、1つ以上の基準に基づいて管理されたブラウザに非管理モードに切り替わらせるよう構成される1つ以上の規則を含んでもよい。例えば、例によっては、サーバコンピューティングデバイスによりステップ1305において受信されたポリシーは、1つ以上の基準に基づいてユーザコンピューティングデバイス上の管理されたブラウザに管理モードから非管理モードに切り替わらせるよう構成される1つ以上の規則を含んでもよい。1つ以上の基準は、例えば、ユーザコンピューティングデバイスに関するデバイス状態情報に基づいておよび/またはこれを含んでもよい。前記において検討されたように、このような状態情報は、例えば、どのような他のアプリケーション(例えば、管理されたブラウザ以外で)が実行中か、ユーザコンピューティングデバイス上にインストールされているか、および/または別様に存在するかについての情報、ユーザコンピューティングデバイスがどこに位置するかについての情報、ユーザコンピューティングデバイスがどのようなネットワークに接続されているかについての情報および/または他の情報を含んでもよい。
【0249】
図14は、本発明で検討される1つ以上の例示的態様に従って、管理されたブラウザを介してアプリケーションストアへのアクセスを提供する別の方法を示すフローチャートである。1つ以上の実施形態において、図14に示す方法および/またはその1つ以上のステップは、コンピューティングデバイス(例えば、ジェネリックコンピューティングデバイス201)により実行されてもよい。他の実施形態において、図14に示す方法および/またはその1つ以上のステップは、不揮発性コンピュータ読取可能メモリ等のコンピュータ読取可能媒体に記憶されたコンピュータ実行可能命令に具体化されてもよい。
【0250】
図14に見られるように、この方法は、アプリケーションストアの第1の部分にアクセスするために、アプリケーションストアにおいて、ユーザコンピューティングデバイス上の管理されたブラウザからの要求が受信されるステップ1405で開始する。例えば、ステップ1405において、コンピューティングデバイスは、アプリケーションストアを提供し、および/または、企業アプリケーションストアを提供するよう構成されたサーバコンピューティングデバイス等のように、アプリケーションストアとして構成されてもよく、特定のアプリケーションおよび/または特定のタイプのアプリケーションに関するアプリケーションストアの部分等の、アプリケーションストアの特定の部分にアクセスするために、ユーザコンピューティングデバイス上の管理されたブラウザからの要求を受信してもよい。
【0251】
ステップ1410において、アプリケーションストアにより、管理されたブラウザが、管理されたブラウザに1つ以上のポリシーが適用される管理モードで動作中かどうかが判定され、1つ以上のポリシーは、管理されたブラウザの少なくとも1つの機能を制限するよう構成されている。例えば、ステップ1410において、コンピューティングデバイスは、ユーザコンピューティングデバイス上で実行中の管理されたブラウザが管理モードで実行中かどうかを判定してもよい。例えば、ユーザコンピューティングデバイス上の管理されたブラウザは、例えば、1つ以上のポリシーが管理されたブラウザに適用される、前記の例において検討された、管理されたブラウザの管理モードと同様の、管理モードを提供および/または有してもよい。さらに、アプリケーションストアは、管理されたブラウザでその現在の動作モードを判定するために情報(これは例えば、ユーザコンピューティングデバイスに関するデバイス状態情報を含んでもよい)をインタロゲートおよび/または別様に交換することにより、管理されたブラウザが管理モードで動作中かどうかを判定してもよい。
【0252】
ステップ1410において、管理されたブラウザが管理モードで動作中であると判定されると、ステップ1415において、アプリケーションストアは、管理されたブラウザがアプリケーションストアの第1の部分にアクセスするのを許可する。例えば、ステップ1415において、コンピューティングデバイスは、管理されたブラウザにアプリケーションストアの第1の部分へのアクセスを提供してもよい(これは例えば、管理されたブラウザに、特定のアプリケーションおよび/または特定のタイプのアプリケーションに関する情報等の、アプリケーションの第1の部分に関する情報を提供することを含んでもよい)。このように、ユーザコンピューティングデバイス上の管理されたブラウザは、管理モードで実行中の間、この実施例におけるアプリケーションストアの第1の部分等のアプリケーションストアの特定の部分にアクセスすることができ、下記に示されるように、管理モードで実行中でない場合(例えば、ブラウザが非管理モードで実行中のとき)は、管理されたブラウザは、アプリケーションストアの特定の部分にアクセスすることができないかもしれない。
【0253】
このように、ステップ1410において、管理されたブラウザが管理モードで動作中ではないと判定されると、ステップ1420において、アプリケーションストアは、管理されたブラウザがアプリケーションストアの第1の部分にアクセスするのを防止する。例えば、ステップ1420において、コンピューティングデバイスは、管理されたブラウザ(および/または管理されたブラウザを実行中のユーザコンピューティングデバイス)がアプリケーションストアの第1の部分にアクセスするおよび/または別様にそこから情報を取得することを防止および/またはブロックしてもよい。
【0254】
さらに/あるいは、ステップ1425において、アプリケーションストアは、管理されたブラウザにアプリケーションストアの第1の部分とは異なるアプリケーションストアの第2の部分へのアクセスを提供してもよい。例えば、(例えば、ステップ1410において)管理されたブラウザが管理モードで動作中ではないとの判定後に、アプリケーションストアは、ステップ1425において、管理されたブラウザに(例えば、管理されたブラウザおよび/または管理されたブラウザのユーザにより本来、要求されていた部分とは)異なるアプリケーションストアの部分へのアクセスを提供してもよい。
【0255】
さらに/あるいは、ステップ1430において、アプリケーションストアは管理されたブラウザにコマンドを送信してもよく、コマンドは、管理されたブラウザに管理モードに入らせるよう構成されてもよい。例えば、(例えば、ステップ1410において)管理されたブラウザが管理モードで動作中ではないとの判定後に、アプリケーションストアは、ステップ1430において、このようなコマンドを管理されたブラウザに送信してもよい。このようなコマンドの送信において、アプリケーションストアを提供するコンピューティングデバイスは、例えば、データを送信および/またはデータを管理されたブラウザを実行中のユーザコンピューティングデバイスと交換してもよい。さらに、アプリケーションストアがこのようなコマンドを送信したかもしれないが、例えば、1つ以上のポリシーおよび/またはユーザコンピューティングデバイスについての現在のデバイス状態情報が、管理されたブラウザが管理モードに入ることを防止している場合には、ユーザコンピューティングデバイス上の管理されたブラウザは、管理モードに入らないかもしれない。
【0256】
このように、ステップ1435において、アプリケーションストアは、管理されたブラウザへのコマンドの送信後に管理されたブラウザが管理モードで動作中かどうかを再評価する。例えば、ステップ1435において、アプリケーションストアは、再びユーザコンピューティングデバイスおよび/またはユーザコンピューティングデバイス上で実行中の管理されたブラウザにインタロゲートおよび/またはそれらと別様に情報交換してもよく、これは、ユーザコンピューティングデバイスからデバイス状態情報を取得および/または分析することを含んでもよい。
【0257】
ステップ1435における再評価後に、管理されたブラウザが管理モードで動作中であると判定された場合、ステップ1440において、アプリケーションストアは、管理されたブラウザがアプリケーションストアの第1の部分にアクセスするのを許可する。例えば、ステップ1440において、コンピューティングデバイスは、ステップ1415においてアプリケーションストアがこのようなアクセスを提供してもよい方法と同様に、管理されたブラウザにアプリケーションストアの第1の部分へのアクセスを提供してもよい。あるいは、ステップ1435における再評価後に、管理されたブラウザがまだ管理モードで動作中ではないと判定された場合、ステップ1445において、アプリケーションストアは、管理されたブラウザに通知を生成および/または送信してもよく、このような通知は、管理されたブラウザが管理モードで動作中ではない間、アプリケーションストアの第1の部分へのアクセスが提供されることができないことを示してもよい。例えば、ステップ1445において、アプリケーションストアは、管理されたブラウザのユーザが手動で管理されたブラウザを管理モードに切り替える、および/または、管理されたブラウザが管理モードに入るのを許可するためにデバイス状態情報および/または1つ以上のポリシーの遵守を変更する他の行動を取ることを期待して、管理されたブラウザにこのような通知を送信してもよい。このような行動は、例えば、管理されたブラウザ以外でユーザコンピューティングデバイス上に存在してもよい特定のアプリケーションを閉じるおよび/または削除すること、ユーザコンピューティングデバイスをデバイスが現在位置している位置とは異なる別の位置に移動させること、および/または、ユーザコンピューティングデバイスをデバイスが現在接続している現在のネットワーク以外の1つ以上の他のネットワークに接続することを含んでもよい。
【0258】
図15は、本発明で検討される1つ以上の例示的態様に従って、管理されたブラウザ内に管理された実行環境を提供する方法を示すフローチャートである。1つ以上の実施形態において、図14に示す方法および/またはその1つ以上のステップは、コンピューティングデバイス(例えば、ジェネリックコンピューティングデバイス201)により実行されてもよい。他の実施形態において、図14に示す方法および/またはその1つ以上のステップは、不揮発性コンピュータ読取可能メモリ等のコンピュータ読取可能媒体に記憶されたコンピュータ実行可能命令に具体化されてもよい。
【0259】
図15に見られるように、この方法は、管理されたブラウザがロードされるステップ1505で開始する。例えば、ステップ1505において、コンピューティングデバイス(例えば、ラップトップコンピュータ、タブレットコンピュータ、スマートフォンまたは他のタイプのモバイルデバイス等のモバイルコンピューティングデバイス)は、ステップ505(前記において検討された)においてこのような管理されたブラウザがロードされる方法と同様に、管理されたブラウザをロードしてもよい。管理されたブラウザは、例えば、管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成されてもよく、1つ以上のポリシーは、前記において検討されたように、管理されたブラウザの1つ以上の機能を制限するよう構成されてもよい。さらに、管理されたブラウザは、実施形態によっては、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成されてもよい。
【0260】
ステップ1510において、管理された実行環境は、管理されたブラウザ内に提供される。管理された実行環境は、1つ以上のウェブアプリケーションの実行を容易にするよう構成されてもよく、管理された実行環境は、1つ以上のウェブアプリケーションへ1つ以上のポリシーのうちの少なくとも1つのポリシーを適用するようさらに構成されてもよい。例えば、ステップ1510において、コンピューティングデバイスは、管理された実行環境を、管理されたブラウザ内で提供してもよい。管理された実行環境は、例えば、1つ以上のウェブアプリケーションが実行されてもよいシェルとして動作してもよい。
【0261】
管理された実行環境内で実行されてもよいウェブアプリケーションは、例えば、様々な異なるプログラミング言語(これは例えば、管理された実行環境内でのランタイム時にコンピューティングデバイスにより実行された場合に、インタープリットされてもよい)で書かれてもおよび/または別様にそれらを利用してもよい。さらに/あるいは、1つ以上のポリシーが、管理された実行環境内で実行されるウェブアプリケーションに適用されてもよく、1つ以上のポリシーは、コンピューティングデバイス、コンピューティングデバイス上で実行中のMRMエージェント、管理されたブラウザおよび/または管理された実行環境自身により定義されおよび/または課されてもよい。管理された実行環境内でウェブアプリケーションに適用されるポリシーは、前記の実施例において検討されたポリシーと同様であってもよく、例えば、デバイス状態情報(これは例えば、管理された実行環境を提供するコンピューティングデバイスについてのデバイス状態情報を含んでもよい)に基づいて強制されおよび/またはそれに別様に依存してもよい。
【0262】
実施形態によっては、管理された実行環境は、少なくとも1つのHTML5(HyperText Markup Language 5)アプリケーションの実行を容易にするよう構成されてもよい。例えば、例によっては、管理された実行環境内で実行されることができる1つ以上のウェブアプリケーションのうちの少なくとも1つのウェブアプリケーションは、例えばHTML5マークアップ言語でコード化されたHTML5アプリケーションであってもよい。
【0263】
実施形態によっては、1つ以上のポリシーのうちの少なくとも1つのポリシーは、ポリシー管理サーバから受信されてもよい。例えば、例によっては、管理された実行環境においてウェブアプリケーションに適用されてもよい1つ以上のポリシーは、ポリシー管理サーバから受信されてもよい。このようなポリシー管理サーバは、例えば、管理されたブラウザ内の管理された実行環境において実行されてもよい様々なウェブアプリケーションに適用されるべき新たなおよび/または更新されたポリシーを提供するために、コンピューティングデバイス上の管理された実行環境と、および/または、管理されたブラウザおよび/またはコンピューティングデバイス上で実行中のMRMエージェントと、直接通信してもよい。
【0264】
実施形態によっては、少なくとも1つのポリシー(これは例えば、管理された実行環境において1つ以上のウェブアプリケーションに適用されてもよい)は、1つ以上のウェブアプリケーションの少なくとも1つのローカルストレージリソースへのアクセスを防止するよう構成されてもよい。例えば、管理された実行環境により適用されてもよい1つ以上のポリシーに基づいておよび/またはデバイス状態情報(これは例えば、前記において検討された例でのように、いかに特定のポリシーが強制されるかに影響を及ぼすかもしれない)に基づいて、管理された実行環境および/または管理されたブラウザ内で管理された実行環境を提供しているコンピューティングデバイスが、管理された実行環境内の1つ以上のウェブアプリケーションがコンピューティングデバイス上の1つ以上のローカルリソースにデータを記憶することを防止してもよい。さらに/あるいは、管理された実行環境により適用されてもよい1つ以上のポリシーに基づいておよび/またはデバイス状態情報に基づいて、管理された実行環境および/または管理されたブラウザ内で管理された実行環境を提供しているコンピューティングデバイスが、管理された実行環境内の1つ以上のウェブアプリケーションがローカルに記憶されたデータ(これは例えば、コンピューティングデバイス上の1つ以上のローカルリソースに記憶されてもよい)にアクセスすることを防止してもよい。
【0265】
実施形態によっては、少なくとも1つのポリシー(これは例えば、管理された実行環境において1つ以上のウェブアプリケーションに適用されてもよい)は、1つ以上のウェブアプリケーションの少なくとも1つのローカルストレージへのアクセスを選択的に有効化するよう構成されてもよい。例えば、管理された実行環境により適用されてもよい1つ以上のポリシーに基づいておよび/またはデバイス状態情報(これは例えば、前記において検討された実施例でのように、いかに特定のポリシーが強制されるかに影響を及ぼすかもしれない)に基づいて、管理された実行環境および/または管理されたブラウザ内で管理された実行環境を提供しているコンピューティングデバイスが、管理された実行環境内の1つ以上の特定のウェブアプリケーションがコンピューティングデバイス上の1つ以上のローカルリソース内のデータにアクセスすることを許可してもよい。
【0266】
さらに/あるいは、管理された実行環境により適用されてもよい1つ以上のポリシーに基づいておよび/またはデバイス状態情報に基づいて、管理された実行環境および/または管理されたブラウザ内で管理された実行環境を提供しているコンピューティングデバイスが、管理された実行環境内の1つ以上の特定のウェブアプリケーションがコンピューティングデバイス上の1つ以上のローカルリソース内のデータを記憶および/または修正することを許可してもよい。例によっては、このようなポリシーはさらに/あるいは、1つ以上のウェブアプリケーションがローカルストレージリソースと相互作用しているインスタンス内の1つ以上の暗号化機能(例えば、ローカルリソースからアクセスされているおよび/またはローカルリソースに記憶されているデータを暗号化するための)を利用するために1つ以上のウェブアプリケーションを要求してもよい。
【0267】
実施形態によっては、管理された実行環境は、コンピューティングデバイス上のポリシー管理エージェントを1つ以上のウェブアプリケーションにエクスポーズするよう構成されてもよい。例えば、管理された実行環境および/または管理されたブラウザ内で管理された実行環境を提供しているコンピューティングデバイスは、例によっては、コンピューティングデバイス上で実行中のポリシー管理エージェント(これは例えば、前記の実施例において検討されたように、MRMエージェントであってもよい)を管理された実行環境内で実行されてもよい1つ以上のウェブアプリケーションにエクスポーズしてもよい。このようにポリシー管理エージェントをウェブアプリケーションにエクスポーズすることにより、管理された実行環境は、ポリシー管理機能、セキュリティ保護鍵管理機能および/または他の機能を、管理された実行環境および/または管理された実行環境内のウェブアプリケーションに拡張することができるかもしれない。
【0268】
実施形態によっては、管理された実行環境は、アプリケーションプログラミングインタフェースを介して1つ以上のウェブアプリケーションに1つ以上の機能をエクスポーズするよう構成されてもよい。例えば、管理された実行環境および/または管理されたブラウザ内で管理された実行環境を提供しているコンピューティングデバイスは、例によっては、このようなウェブアプリケーションが他のウェブアプリケーションにより提供されるよりもより高いレベルの機能を提供するのを許可してもよい1つ以上のインタフェースを介して、1つ以上の機能を1つ以上のウェブアプリケーションにエクスポーズしてもよい。例えば、エクスポーズされた機能は、管理された実行環境内のウェブアプリケーションが、暗号化機能、セキュリティ保護トンネリング機能、セキュリティ保護データストレージ機能、ポリシー管理機能および/または例えばコンピューティングデバイス上で実行中のMRMエージェント等のコンピューティングデバイス上で実行中の他のアプリケーションならびに/あるいはサービスにより提供されてもよい他の機能を利用することを許可してもよい。
【0269】
実施形態によっては、管理された実行環境は、1つ以上のウェブアプリケーションのために認証サービスを提供するよう構成されてもよい。例えば、管理された実行環境および/または管理されたブラウザ内で管理された実行環境を提供しているコンピューティングデバイスは、例によっては、管理された実行環境内の1つ以上のウェブアプリケーションのための認証サービスを提供してもよい。このような認証サービスの提供において、管理された実行環境および/または管理された実行環境を提供しているコンピューティングデバイスは、例えば、クレデンシャルの取得、鍵の維持および/または特定の状況において様々なハンドシェイクを容易にするためのクレデンシャルならびに/あるいは鍵の提供を含んでもよいウェブアプリケーションのためのマルチファクター認証処理を取り扱ってもよい。例によっては、このようなマルチファクター認証処理を取り扱うことにより、管理された実行環境および/または管理された実行環境を提供しているコンピューティングデバイスは、例えば、特定のウェブアプリケーション内の1つ以上の特定の機能の実行を可能としてもよく、および/または、ウェブアプリケーション自身の実行を可能としてもよい。
【0270】
実施形態によっては、管理された実行環境は、1つ以上のウェブアプリケーションにポリシーのデフォルトセットを適用するよう構成されてもよい。例えば、管理された実行環境および/または管理された実行環境を提供しているコンピューティングデバイスは、例によっては、管理された実行環境内の1つ以上の特定のウェブアプリケーションにポリシーのデフォルトセットすなわち「ポリシーバンドル」を適用するよう構成されてもよい。ポリシーのデフォルトセットは、例えば、ポリシー管理サーバから受信されてもよく、および/または、周期的にポリシー管理サーバにより更新されてもよい。さらに、ポリシーのデフォルトセットは、異なるおよび/またはカスタマイズされたポリシーのセットがウェブアプリケーションのために定義されていない限り、管理された実行環境内の特定のウェブアプリケーションに適用されてもよい。
【0271】
実施形態によっては、管理された実行環境は、1つ以上のウェブアプリケーションに適用されるポリシーのセットを動的に更新するよう構成されてもよい。例えば、管理された実行環境および/または管理された実行環境を提供しているコンピューティングデバイスは、例によっては、デバイスの現在の使用コンテキストに基づいて管理された実行環境の挙動をリアルタイムに変更するためにデバイス状態情報および/またはユーザ情報(これは例えば、ユーザ役割情報を含んでもよい)に基づいて、管理された実行環境内の特定のウェブアプリケーションに適用されるポリシーを動的に更新および/またはオンザフライで別様に修正してもよい。
【0272】
例えば、デバイス状態情報(これは例えば、どのような他のアプリケーションが実行中か、ユーザコンピューティングデバイス上にインストールされているか、および/または別様に存在するか、ユーザコンピューティングデバイスがどこに位置するか、ユーザコンピューティングデバイスがどのようなネットワークに接続されているか等についての情報を含んでもよい)に基づいて、管理された実行環境および/または管理された実行環境を提供しているコンピューティングデバイスは、管理された実行環境内の1つ以上のウェブアプリケーションに適用されてもよい1つ以上のポリシーを選択的に有効化および/または選択的に無効化してもよい。別の実施例として、ユーザ情報の変化(これは例えば、ユーザのアカウント切り替えの結果としておよび/またはデバイスへの異なるユーザのログインの結果として生じてもよい)に基づいて、管理された実行環境および/または管理された実行環境を提供しているコンピューティングデバイスは、管理された実行環境内の1つ以上のウェブアプリケーションに適用されてもよい1つ以上のポリシーを選択的に有効化および/または選択的に無効化してもよい。このように、管理された実行環境は、管理された実行環境内に存在するおよび/または実行されるウェブアプリケーションに課されるべき制御の異なるレベルを要求するかもしれない、変化する状況に動的に適応してもよい。
【0273】
本発明の様々な態様が、モバイルコンピューティングデバイス上の管理されたブラウザの提供に関して説明された。他の実施形態において、しかしながら、本明細書で検討された概念は、コンピューティングデバイスの任意の他のタイプ(例えば、デスクトップコンピュータ、サーバ、コンソール、セットトップボックス等)でも実装されることができる。本発明は構造的特徴および/または方法論的行動に特有の言語において記述されてきたが、添付の特許請求の範囲に定義される本発明は、必ずしも前記の特定の特徴または行動に制限されないことが理解されよう。むしろ、前記の特定の特徴および行動は、続く特許請求の範囲のいくつかの実施態様例として記述される。
【0274】
本願は、2013年9月30日出願の「PROVIDING MANAGED BROWSER」と題された米国特許出願第14/040,831号の優先権を主張し、当該出願は、その全体において参照により本願に組み込まれる。本願はまた、2013年8月15日出願の「PROVIDING SECURE BROWSER」と題された米国仮特許出願第61/866,229号の利益を主張し、当該出願は、その全体において参照により本願に組み込まれる。本願はさらに、2013年3月29日出願の「SYSTEMS AND METHODS FOR ENTERPRISE MOBILITY MANAGEMENT」と題された米国仮特許出願第61/806,577号の利益を主張し、当該出願は、その全体において参照により本願に組み込まれる。
〈予備的な請求項〉
予備的な請求項1から20の組Aを以下に示す。
【0275】
1. コンピューティングデバイスにより、管理されたブラウザをロードすることであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成され、前記1つ以上のポリシーは、前記管理されたブラウザの少なくとも1つの機能を制限するよう構成された、前記管理されたブラウザをロードすることと、
前記コンピューティングデバイスにより、デバイスクラウドを開始するために少なくとも1つの他のコンピューティングデバイスへの接続を確立することと、
前記コンピューティングデバイスにより、前記管理されたブラウザのセッションを前記デバイスクラウドにわたって拡張することであって、
少なくとも1つの他の管理されたブラウザが前記少なくとも1つの他のコンピューティングデバイス上にロードされるようにすることと、
前記少なくとも1つの他の管理されたブラウザでセッションデータを共有することとを含む、前記管理されたブラウザのセッションを拡張することと
を備える方法。
【0276】
2. 前記管理されたブラウザは、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成される、請求項1に記載の方法。
【0277】
3. 前記デバイスクラウドは、2つ以上のコンピューティングデバイスが単一機能を実行するために互いに組み合わせて使用されることを可能とする、請求項1に記載の方法。
【0278】
4. 前記1つ以上のポリシーのうちの少なくとも1つのポリシーは、前記デバイスクラウドを制限するよう構成される、請求項1に記載の方法。
【0279】
5. 前記1つ以上のポリシーのうちの少なくとも1つのポリシーは、前記少なくとも1つの他のコンピューティングデバイスに少なくとも1つの役割を割り当てるよう構成される、請求項4に記載の方法。
【0280】
6. 前記少なくとも1つの他のコンピューティングデバイスへの接続は、前記1つ以上のポリシーのうちの少なくとも1つのポリシーに基づいて確立される、請求項1に記載の方法。
【0281】
7. 前記少なくとも1つのポリシーは、前記デバイスクラウドを開始するために前記管理されたブラウザの能力を制限する、請求項6に記載の方法。
【0282】
8. 前記少なくとも1つの他のコンピューティングデバイスへの接続を確立することは、
前記少なくとも1つの他のコンピューティングデバイスに関する状態情報を評価することと、
前記評価された状態情報に基づいて、前記少なくとも1つの他のコンピューティングデバイスの前記デバイスクラウドへの参加を許可するよう判定することとを含む、請求項1に記載の方法。
【0283】
9. コンピューティングデバイスであって、
少なくとも1つのプロセッサと、
前記少なくとも1つのプロセッサにより実行されたときに、前記コンピューティングデバイスに、
管理されたブラウザをロードすることであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成され、前記1つ以上のポリシーは、前記管理されたブラウザの少なくとも1つの機能を制限するよう構成された、前記管理されたブラウザをロードすることと、
デバイスクラウドを開始するために少なくとも1つの他のコンピューティングデバイスへの接続を確立することと、
前記管理されたブラウザのセッションを前記デバイスクラウドにわたって拡張することであって、
少なくとも1つの他の管理されたブラウザが前記少なくとも1つの他のコンピューティングデバイス上にロードされるようにすることと、
前記少なくとも1つの他の管理されたブラウザでセッションデータを共有することとを含む、前記管理されたブラウザのセッションを拡張することとを行なわせる、コンピュータ読取可能命令を記憶するメモリと、
を備える、コンピューティングデバイス。
【0284】
10. 前記管理されたブラウザは、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成される、請求項9に記載のコンピューティングデバイス。
【0285】
11. 前記デバイスクラウドは、2つ以上のコンピューティングデバイスが単一機能を実行するために互いに組み合わせて使用されることを可能とする、請求項9に記載のコンピューティングデバイス。
【0286】
12. 前記1つ以上のポリシーのうちの少なくとも1つのポリシーは、前記デバイスクラウドを制限するよう構成される、請求項9に記載のコンピューティングデバイス。
【0287】
13. 前記1つ以上のポリシーのうちの少なくとも1つのポリシーは、前記少なくとも1つの他のコンピューティングデバイスに少なくとも1つの役割を割り当てるよう構成される、請求項12に記載のコンピューティングデバイス。
【0288】
14. 前記少なくとも1つの他のコンピューティングデバイスへの接続は、前記1つ以上のポリシーのうちの少なくとも1つのポリシーに基づいて確立される、請求項9に記載のコンピューティングデバイス。
【0289】
15. 前記少なくとも1つのポリシーは、前記デバイスクラウドを開始するために前記管理されたブラウザの能力を制限する、請求項14に記載のコンピューティングデバイス。
【0290】
16. 実行されたときに、コンピューティングデバイスに、
管理されたブラウザをロードすることであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成され、前記1つ以上のポリシーは、前記管理されたブラウザの少なくとも1つの機能を制限するよう構成された、前記管理されたブラウザをロードすることと、
デバイスクラウドを開始するために少なくとも1つの他のコンピューティングデバイスへの接続を確立することと、
前記管理されたブラウザのセッションを前記デバイスクラウドにわたって拡張することであって、
少なくとも1つの他の管理されたブラウザが前記少なくとも1つの他のコンピューティングデバイス上にロードされるようにすることと、
前記少なくとも1つの他の管理されたブラウザでセッションデータを共有することとを含む、前記管理されたブラウザのセッションを拡張することと
を行なわせる、記憶された命令を有する1つ以上の不揮発性コンピュータ読取可能媒体。
【0291】
17. 前記管理されたブラウザは、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成される、請求項16に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0292】
18. 前記デバイスクラウドは、2つ以上のコンピューティングデバイスが単一機能を実行するために互いに組み合わせて使用されることを可能とする、請求項16に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0293】
19. 前記1つ以上のポリシーのうちの少なくとも1つのポリシーは、前記デバイスクラウドを制限するよう構成される、請求項16に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0294】
20. 前記1つ以上のポリシーのうちの少なくとも1つのポリシーは、前記少なくとも1つの他のコンピューティングデバイスに少なくとも1つの役割を割り当てるよう構成される、請求項19に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0295】
さらなる予備的な請求項1から20の組Bを以下に示す。
【0296】
1. コンピューティングデバイスにより、管理されたブラウザをロードすることであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成され、前記1つ以上のポリシーは、前記管理されたブラウザの少なくとも1つの機能を制限するよう構成された、前記管理されたブラウザをロードすることと、
前記コンピューティングデバイスにより、前記管理されたブラウザを介して1つ以上の企業リソースのアクセスへの要求を受信することと、
前記コンピューティングデバイスにより、前記1つ以上のポリシーのうちの少なくとも1つのポリシーに基づいて、前記1つ以上の企業リソースへの前記管理されたブラウザからの少なくとも1つのアプリケーショントンネルを生成することと、
前記コンピューティングデバイスにより、前記少なくとも1つのアプリケーショントンネルを介して前記1つ以上の企業リソースから企業データを取得することとを備える方法。
【0297】
2. 前記管理されたブラウザは、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成される、請求項1に記載の方法。
【0298】
3. 前記少なくとも1つのアプリケーショントンネルを生成することは、
前記管理されたブラウザから第1の企業リソースへの第1のアプリケーショントンネルを生成することと、
前記管理されたブラウザから前記第1の企業リソースとは異なる第2の企業リソースへの第2のアプリケーショントンネルを生成することとを含む、請求項1に記載の方法。
【0299】
4. 前記第1の企業リソースは第1のセキュリティレベルを有し、前記第2の企業リソースは前記第1のセキュリティレベルとは異なる第2のセキュリティレベルを有する、請求項3に記載の方法。
【0300】
5. 前記1つ以上のポリシーのうちの少なくとも1つのポリシーは、アプリケーショントンネルを生成する前記管理されたブラウザの能力を選択的に制限するよう構成される、請求項1に記載の方法。
【0301】
6. 前記1つ以上のポリシーのうちの少なくとも1つのポリシーは、前記取得された企業データの使用を制限するよう構成される、請求項1に記載の方法。
【0302】
7. 前記1つ以上のポリシーのうちの少なくとも1つのポリシーはデバイス状態情報に依存する、請求項6に記載の方法。
【0303】
8. コンピューティングデバイスであって、
少なくとも1つのプロセッサと、
前記少なくとも1つのプロセッサにより実行されたときに、前記コンピューティングデバイスに、
管理されたブラウザをロードすることであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成され、前記1つ以上のポリシーは、前記管理されたブラウザの少なくとも1つの機能を制限するよう構成された、前記管理されたブラウザをロードすることと、
前記管理されたブラウザを介して1つ以上の企業リソースのアクセスへの要求を受信することと、
前記1つ以上のポリシーのうちの少なくとも1つのポリシーに基づいて、前記1つ以上の企業リソースへの前記管理されたブラウザからの少なくとも1つのアプリケーショントンネルを生成することと、
前記少なくとも1つのアプリケーショントンネルを介して前記1つ以上の企業リソースから企業データを取得することとを行なわせる、コンピュータ読取可能命令を記憶するメモリと、
を備える、コンピューティングデバイス。
【0304】
9. 前記管理されたブラウザは、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成される、請求項8に記載のコンピューティングデバイス。
【0305】
10. 前記少なくとも1つのアプリケーショントンネルを生成することは、
前記管理されたブラウザから第1の企業リソースへの第1のアプリケーショントンネルを生成することと、
前記管理されたブラウザから前記第1の企業リソースとは異なる第2の企業リソースへの第2のアプリケーショントンネルを生成することとを含む、請求項8に記載のコンピューティングデバイス。
【0306】
11. 前記第1の企業リソースは第1のセキュリティレベルを有し、前記第2の企業リソースは前記第1のセキュリティレベルとは異なる第2のセキュリティレベルを有する、請求項10に記載のコンピューティングデバイス。
【0307】
12. 前記1つ以上のポリシーのうちの少なくとも1つのポリシーは、アプリケーショントンネルを生成する前記管理されたブラウザの能力を選択的に制限するよう構成される、請求項8に記載のコンピューティングデバイス。
【0308】
13. 前記1つ以上のポリシーのうちの少なくとも1つのポリシーは、前記取得された企業データの使用を制限するよう構成される、請求項8に記載のコンピューティングデバイス。
【0309】
14. 前記1つ以上のポリシーのうちの少なくとも1つのポリシーはデバイス状態情報に依存する、請求項13に記載のコンピューティングデバイス。
【0310】
15. 実行されたときに、コンピューティングデバイスに、
管理されたブラウザをロードすることであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成され、前記1つ以上のポリシーは、前記管理されたブラウザの少なくとも1つの機能を制限するよう構成された、前記管理されたブラウザをロードすることと、
前記管理されたブラウザを介して1つ以上の企業リソースのアクセスへの要求を受信することと、
前記1つ以上のポリシーのうちの少なくとも1つのポリシーに基づいて、前記1つ以上の企業リソースへの前記管理されたブラウザからの少なくとも1つのアプリケーショントンネルを生成することと、
前記少なくとも1つのアプリケーショントンネルを介して前記1つ以上の企業リソースから企業データを取得することとを行なわせる、記憶された命令を有する1つ以上の不揮発性コンピュータ読取可能媒体。
【0311】
16. 前記管理されたブラウザは、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成される、請求項15に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0312】
17. 前記少なくとも1つのアプリケーショントンネルを生成することは、
前記管理されたブラウザから第1の企業リソースへの第1のアプリケーショントンネルを生成することと、
前記管理されたブラウザから前記第1の企業リソースとは異なる第2の企業リソースへの第2のアプリケーショントンネルを生成することと
を含む、請求項15に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0313】
18. 前記第1の企業リソースは第1のセキュリティレベルを有し、前記第2の企業リソースは前記第1のセキュリティレベルとは異なる第2のセキュリティレベルを有する、請求項17に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0314】
19. 前記1つ以上のポリシーのうちの少なくとも1つのポリシーは、アプリケーショントンネルを生成する前記管理されたブラウザの能力を選択的に制限するよう構成される、請求項15に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0315】
20. 前記1つ以上のポリシーのうちの少なくとも1つのポリシーは、前記取得された企業データの使用を制限するよう構成される、請求項15に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0316】
さらなる予備的な請求項1から20の組Cを以下に示す。
【0317】
1. 少なくとも1つのサーバコンピューティングデバイスにより、1つ以上のユーザコンピューティングデバイス上の管理されたブラウザに適用されるべき少なくとも1つのポリシーを受信することであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成される、前記少なくとも1つのポリシーを受信することと、
前記少なくとも1つのサーバコンピューティングデバイスにより、前記少なくとも1つの受信されたポリシーに基づいて、前記1つ以上のユーザコンピューティングデバイスのうちの少なくとも1つのユーザコンピューティングデバイスに少なくとも1つのポリシー更新を提供することとを備える、方法。
【0318】
2. 前記少なくとも1つのポリシー更新は、前記少なくとも1つのユーザコンピューティングデバイスに、前記少なくとも1つのユーザコンピューティングデバイス上の管理されたブラウザに前記少なくとも1つの受信されたポリシーを適用させるよう構成される、請求項1に記載の方法。
【0319】
3. 前記少なくとも1つの受信されたポリシーは、1つ以上のコンテンツフィルタリング規則を含む、請求項1に記載の方法。
【0320】
4. 前記少なくとも1つの受信されたポリシーは、1つ以上のキャッシング規則を含む、請求項1に記載の方法。
【0321】
5. 前記少なくとも1つの受信されたポリシーは、1つ以上のプラグイン規則を含む、請求項1に記載の方法。
【0322】
6. 前記少なくとも1つの受信されたポリシーは、1つ以上のクレデンシャル管理規則を含む、請求項1に記載の方法。
【0323】
7. 前記少なくとも1つの受信されたポリシーは、デバイス状態情報に基づいて前記少なくとも1つのユーザコンピューティングデバイスにより強制されるよう構成される、請求項1に記載の方法。
【0324】
8. 前記少なくとも1つの受信されたポリシーは、1つ以上の基準に基づいて前記管理されたブラウザを非管理モードへと切り替えさせるよう構成された1つ以上の規則を含む、請求項1に記載の方法。
【0325】
9. コンピューティングデバイスであって、
少なくとも1つのプロセッサと、
前記少なくとも1つのプロセッサにより実行されたときに、前記コンピューティングデバイスに、
1つ以上のユーザコンピューティングデバイス上の管理されたブラウザに適用されるべき少なくとも1つのポリシーを受信することであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成される、前記少なくとも1つのポリシーを受信することと、
前記少なくとも1つの受信されたポリシーに基づいて、前記1つ以上のユーザコンピューティングデバイスのうちの少なくとも1つのユーザコンピューティングデバイスに少なくとも1つのポリシー更新を提供することとを行なわせる、コンピュータ読取可能命令を記憶するメモリとを備える、コンピューティングデバイス。
【0326】
10. 前記少なくとも1つのポリシー更新は、前記少なくとも1つのユーザコンピューティングデバイスに、前記少なくとも1つのユーザコンピューティングデバイス上の管理されたブラウザに前記少なくとも1つの受信されたポリシーを適用させるよう構成される、請求項9に記載のコンピューティングデバイス。
【0327】
11. 前記少なくとも1つの受信されたポリシーは、1つ以上のコンテンツフィルタリング規則を含む、請求項9に記載のコンピューティングデバイス。
【0328】
12. 前記少なくとも1つの受信されたポリシーは、1つ以上のキャッシング規則を含む、請求項9に記載のコンピューティングデバイス。
【0329】
13. 前記少なくとも1つの受信されたポリシーは、1つ以上のプラグイン規則を含む、請求項9に記載のコンピューティングデバイス。
【0330】
14. 前記少なくとも1つの受信されたポリシーは、1つ以上のクレデンシャル管理規則を含む、請求項9に記載のコンピューティングデバイス。
【0331】
15. 前記少なくとも1つの受信されたポリシーは、デバイス状態情報に基づいて前記少なくとも1つのユーザコンピューティングデバイスにより強制されるよう構成される、請求項9に記載のコンピューティングデバイス。
【0332】
16. 前記少なくとも1つの受信されたポリシーは、1つ以上の基準に基づいて前記管理されたブラウザを非管理モードへと切り替えさせるよう構成された1つ以上の規則を含む、請求項9に記載のコンピューティングデバイス。
【0333】
17. 実行されたときに、コンピューティングデバイスに、
1つ以上のユーザコンピューティングデバイス上の管理されたブラウザに適用されるべき少なくとも1つのポリシーを受信することであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成される、前記少なくとも1つのポリシーを受信することと、
前記少なくとも1つの受信されたポリシーに基づいて、前記1つ以上のユーザコンピューティングデバイスのうちの少なくとも1つのユーザコンピューティングデバイスに少なくとも1つのポリシー更新を提供することとを行なわせる、記憶された命令を有する1つ以上の不揮発性コンピュータ読取可能媒体。
【0334】
18. 前記少なくとも1つのポリシー更新は、前記少なくとも1つのユーザコンピューティングデバイスに、前記少なくとも1つのユーザコンピューティングデバイス上の管理されたブラウザに前記少なくとも1つの受信されたポリシーを適用させるよう構成される、請求項17に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0335】
19. 前記少なくとも1つの受信されたポリシーは、デバイス状態情報に基づいて前記少なくとも1つのユーザコンピューティングデバイスにより強制されるよう構成される、請求項17に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0336】
20. 前記少なくとも1つの受信されたポリシーは、1つ以上の基準に基づいて前記管理されたブラウザを非管理モードへと切り替えさせるよう構成された1つ以上の規則を含む、請求項17に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0337】
さらなる予備的な請求項1から20の組Dを以下に示す。
【0338】
1. コンピューティングデバイスにより、管理されたブラウザをロードすることであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成され、前記1つ以上のポリシーは、前記管理されたブラウザの少なくとも1つの機能を制限するよう構成された、前記管理されたブラウザをロードすることと、
前記コンピューティングデバイスにより、前記管理されたブラウザを介して1つ以上の企業リソースのアクセスへの要求を受信することと、
前記コンピューティングデバイスにより、前記要求に基づいて前記1つ以上の企業リソースから企業データを取得することと、
前記コンピューティングデバイスにより、前記取得された企業データをセキュリティ保護ドキュメントコンテナ内に記憶することとを備える方法。
【0339】
2. 前記管理されたブラウザは、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成される、請求項1に記載の方法。
【0340】
3. 前記コンピューティングデバイスにより、前記管理されたブラウザを介して前記セキュリティ保護ドキュメントコンテナへのアクセスを提供することをさらに備える、請求項1に記載の方法。
【0341】
4. 前記コンピューティングデバイスにより、前記セキュリティ保護ドキュメントコンテナからデータを選択的にワイプすることをさらに備える、請求項1に記載の方法。
【0342】
5. 前記セキュリティ保護ドキュメントコンテナからデータを選択的にワイプすることは、前記要求に基づいて前記1つ以上の企業リソースから取得された前記企業データを削除することを含む、請求項4に記載の方法。
【0343】
6. 前記データは、前記管理されたブラウザが閉じられたときに前記セキュリティ保護ドキュメントコンテナから選択的にワイプされる、請求項4に記載の方法。
【0344】
7. 前記データは、前記1つ以上のポリシーに基づいて前記セキュリティ保護ドキュメントコンテナから選択的にワイプされる、請求項4に記載の方法。
【0345】
8. コンピューティングデバイスであって、
少なくとも1つのプロセッサと、
前記少なくとも1つのプロセッサにより実行されたときに、前記コンピューティングデバイスに、
管理されたブラウザをロードすることであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成され、前記1つ以上のポリシーは、前記管理されたブラウザの少なくとも1つの機能を制限するよう構成された、前記管理されたブラウザをロードすることと、
前記管理されたブラウザを介して1つ以上の企業リソースのアクセスへの要求を受信することと、
前記要求に基づいて前記1つ以上の企業リソースから企業データを取得することと、
前記取得された企業データをセキュリティ保護ドキュメントコンテナ内に記憶することとを行なわせる、コンピュータ読取可能命令を記憶するメモリとを備える、コンピューティングデバイス。
【0346】
9. 前記管理されたブラウザは、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成される、請求項8に記載のコンピューティングデバイス。
【0347】
10. 前記メモリは、前記少なくとも1つのプロセッサにより実行されたときに、前記コンピューティングデバイスにさらに、
前記管理されたブラウザを介して前記セキュリティ保護ドキュメントコンテナへのアクセスを提供することを行なわせるさらなるコンピュータ読取可能命令を記憶する請求項8に記載のコンピューティングデバイス。
【0348】
11. 前記メモリは、前記少なくとも1つのプロセッサにより実行されたときに、前記コンピューティングデバイスにさらに、
前記セキュリティ保護ドキュメントコンテナからデータを選択的にワイプすることを行なわせる、さらなるコンピュータ読取可能命令を記憶する請求項8に記載のコンピューティングデバイス。
【0349】
12. 前記セキュリティ保護ドキュメントコンテナからデータを選択的にワイプすることは、前記要求に基づいて前記1つ以上の企業リソースから取得された前記企業データを削除することを含む、請求項11に記載のコンピューティングデバイス。
【0350】
13. 前記データは、前記管理されたブラウザが閉じられたときに前記セキュリティ保護ドキュメントコンテナから選択的にワイプされる、請求項11に記載のコンピューティングデバイス。
【0351】
14. 前記データは、前記1つ以上のポリシーに基づいて前記セキュリティ保護ドキュメントコンテナから選択的にワイプされる、請求項11に記載のコンピューティングデバイス。
【0352】
15. 実行されたときに、コンピューティングデバイスに、
管理されたブラウザをロードすることであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成され、前記1つ以上のポリシーは、前記管理されたブラウザの少なくとも1つの機能を制限するよう構成された、前記管理されたブラウザをロードすることと、
前記管理されたブラウザを介して1つ以上の企業リソースのアクセスへの要求を受信することと、
前記要求に基づいて前記1つ以上の企業リソースから企業データを取得することと、
前記取得された企業データをセキュリティ保護ドキュメントコンテナ内に記憶することとを行なわせる、記憶された命令を有する1つ以上の不揮発性コンピュータ読取可能媒体。
【0353】
16. 前記管理されたブラウザは、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成される、請求項15に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0354】
17. 実行されたときに、前記コンピューティングデバイスにさらに、
前記管理されたブラウザを介して前記セキュリティ保護ドキュメントコンテナへのアクセスを提供することを行なわせる、記憶されたさらなる命令を有する、請求項15に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0355】
18. 実行されたときに、前記コンピューティングデバイスにさらに、
前記セキュリティ保護ドキュメントコンテナからデータを選択的にワイプすることを行なわせる、記憶されたさらなる命令を有する、請求項15に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0356】
19. 前記セキュリティ保護ドキュメントコンテナからデータを選択的にワイプすることは、前記要求に基づいて前記1つ以上の企業リソースから取得された前記企業データを削除することを含む、請求項18に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0357】
20. 前記データは、前記管理されたブラウザが閉じられたときに前記セキュリティ保護ドキュメントコンテナから選択的にワイプされる、請求項18に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0358】
さらなる予備的な請求項1から20の組Eを以下に示す。
【0359】
1. コンピューティングデバイスにより、管理されたブラウザをロードすることであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成され、前記1つ以上のポリシーは、前記管理されたブラウザの少なくとも1つの機能を制限するよう構成された、前記管理されたブラウザをロードすることと、
前記コンピューティングデバイスにより、少なくとも1つのユーザアカウントに関するSSOクレデンシャルを受信することと、
前記コンピューティングデバイスにより、前記SSOクレデンシャルに基づいて1つ以上の企業リソースから企業データを取得することと、
前記コンピューティングデバイスにより、前記取得された企業データへのアクセスを前記管理されたブラウザを介して提供することとを備え、
前記SSOクレデンシャルに基づいて前記1つ以上の企業リソースから前記企業データを取得することは、
前記1つ以上の企業リソースのうちの少なくとも1つの企業リソースから認証チャレンジを受信することと、
前記1つ以上のポリシーのうちの少なくとも1つのポリシーに基づいて、前記認証チャレンジに応じて前記少なくとも1つの企業リソースへと前記SSOクレデンシャルを提供すべきかどうかを判定することと、
前記認証チャレンジに応じた前記SSOクレデンシャルの前記少なくとも1つの企業リソースへの提供の判定に基づいて、前記SSOクレデンシャルを前記少なくとも1つの企業リソースへと提供することとを含む、方法。
【0360】
2. 前記管理されたブラウザは、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成される、請求項1に記載の方法。
【0361】
3. 前記SSOクレデンシャルは、少なくとも2つの異なる企業リソースへのアクセスに使用されるよう構成された認証クレデンシャルである、請求項1に記載の方法。
【0362】
4. 前記管理されたブラウザを介して前記取得された企業データへのアクセスを提供することは、前記SSOクレデンシャルに基づいて前記1つ以上のポリシーのうちの少なくとも1つのポリシーを強制することを含む、請求項1に記載の方法。
【0363】
5. 前記認証チャレンジに応じて前記少なくとも1つの企業リソースへと前記SSOクレデンシャルを提供しないとの判定に基づいて、前記コンピューティングデバイスにより、前記コンピューティングデバイスのユーザから少なくとも1つの認証クレデンシャルを受信するよう構成された認証プロンプトを生成することをさらに備える、請求項1に記載の方法。
【0364】
6. 前記1つ以上のポリシーのうちの少なくとも1つのポリシーは、前記取得された企業データへのアクセスを制限するよう構成される、請求項4に記載の方法。
【0365】
7. 前記1つ以上のポリシーのうちの少なくとも1つのポリシーの強制は、デバイス状態情報に依存する、請求項4に記載の方法。
【0366】
8. コンピューティングデバイスであって、
少なくとも1つのプロセッサと、
前記少なくとも1つのプロセッサにより実行されたときに、前記コンピューティングデバイスに、
管理されたブラウザをロードすることであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成され、前記1つ以上のポリシーは、前記管理されたブラウザの少なくとも1つの機能を制限するよう構成された、前記管理されたブラウザをロードすることと、
少なくとも1つのユーザアカウントに関するSSOクレデンシャルを受信することと、
前記SSOクレデンシャルに基づいて1つ以上の企業リソースから企業データを取得することと、
前記取得された企業データへのアクセスを前記管理されたブラウザを介して提供することとを行なわせる、コンピュータ読取可能命令を記憶するメモリと、
を備え、
前記SSOクレデンシャルに基づいて前記1つ以上の企業リソースから前記企業データを取得することは、
前記1つ以上の企業リソースのうちの少なくとも1つの企業リソースから認証チャレンジを受信することと、
前記1つ以上のポリシーのうちの少なくとも1つのポリシーに基づいて、前記認証チャレンジに応じて前記少なくとも1つの企業リソースへと前記SSOクレデンシャルを提供すべきかどうかを判定することと、
前記認証チャレンジに応じた前記SSOクレデンシャルの前記少なくとも1つの企業リソースへの提供の判定に基づいて、前記SSOクレデンシャルを前記少なくとも1つの企業リソースへと提供することとを含む、コンピューティングデバイス。
【0367】
9. 前記管理されたブラウザは、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成される、請求項8に記載のコンピューティングデバイス。
【0368】
10. 前記SSOクレデンシャルは、少なくとも2つの異なる企業リソースへのアクセスに使用されるよう構成された認証クレデンシャルである、請求項8に記載のコンピューティングデバイス。
【0369】
11. 前記管理されたブラウザを介して前記取得された企業データへのアクセスを提供することは、前記SSOクレデンシャルに基づいて前記1つ以上のポリシーのうちの少なくとも1つのポリシーを強制することを含む、請求項8に記載のコンピューティングデバイス。
【0370】
12. 前記メモリは、前記少なくとも1つのプロセッサにより実行されたときに、前記コンピューティングデバイスにさらに、
前記認証チャレンジに応じて前記少なくとも1つの企業リソースへと前記SSOクレデンシャルを提供しないとの判定に基づいて、前記コンピューティングデバイスにより、前記コンピューティングデバイスのユーザから少なくとも1つの認証クレデンシャルを受信するよう構成された認証プロンプトを生成することを行なわせる、さらなるコンピュータ読取可能命令を記憶する、請求項8に記載のコンピューティングデバイス。
【0371】
13. 前記1つ以上のポリシーのうちの少なくとも1つのポリシーは、前記取得された企業データへのアクセスを制限するよう構成される、請求項11に記載のコンピューティングデバイス。
【0372】
14. 前記1つ以上のポリシーのうちの少なくとも1つのポリシーの強制は、デバイス状態情報に依存する、請求項11に記載のコンピューティングデバイス。
【0373】
15. 実行されたときに、コンピューティングデバイスに、
管理されたブラウザをロードすることであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成され、前記1つ以上のポリシーは、前記管理されたブラウザの少なくとも1つの機能を制限するよう構成された、前記管理されたブラウザをロードすることと、
少なくとも1つのユーザアカウントに関するSSOクレデンシャルを受信することと、
前記SSOクレデンシャルに基づいて1つ以上の企業リソースから企業データを取得することと、
前記取得された企業データへのアクセスを前記管理されたブラウザを介して提供することとを行なわせる、記憶された命令を有する1つ以上の不揮発性コンピュータ読取可能媒体であって、
前記SSOクレデンシャルに基づいて前記1つ以上の企業リソースから前記企業データを取得することは、
前記1つ以上の企業リソースのうちの少なくとも1つの企業リソースから認証チャレンジを受信することと、
前記1つ以上のポリシーのうちの少なくとも1つのポリシーに基づいて、前記認証チャレンジに応じて前記少なくとも1つの企業リソースへと前記SSOクレデンシャルを提供すべきかどうかを判定することと、
前記認証チャレンジに応じた前記SSOクレデンシャルの前記少なくとも1つの企業リソースへの提供の判定に基づいて、前記SSOクレデンシャルを前記少なくとも1つの企業リソースへと提供することとを含む、1つ以上の不揮発性コンピュータ読取可能媒体。
【0374】
16. 前記管理されたブラウザは、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成される、請求項15に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0375】
17. 前記SSOクレデンシャルは、少なくとも2つの異なる企業リソースへのアクセスに使用されるよう構成された認証クレデンシャルである、請求項15に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0376】
18. 前記管理されたブラウザを介して前記取得された企業データへのアクセスを提供することは、前記SSOクレデンシャルに基づいて前記1つ以上のポリシーのうちの少なくとも1つのポリシーを強制することを含む、請求項15に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0377】
19. 実行されたときに、前記コンピューティングデバイスにさらに、
前記認証チャレンジに応じて前記少なくとも1つの企業リソースへと前記SSOクレデンシャルを提供しないとの判定に基づいて、前記コンピューティングデバイスにより、前記コンピューティングデバイスのユーザから少なくとも1つの認証クレデンシャルを受信するよう構成された認証プロンプトを生成することを行なわせる、記憶されたさらなる命令を有する、請求項18に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0378】
20. 前記1つ以上のポリシーのうちの少なくとも1つのポリシーは、前記取得された企業データへのアクセスを制限するよう構成される、請求項18に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0379】
さらなる予備的な請求項1から20の組Fを以下に示す。
【0380】
1. アプリケーションストアにおいて、ユーザコンピューティングデバイス上の管理されたブラウザから前記アプリケーションストアの第1の部分のアクセスへの要求を受信することと、
前記アプリケーションストアにより、前記管理されたブラウザが1つ以上のポリシーが前記管理されたブラウザに適用される管理モードで動作中かどうかを判定することであって、前記1つ以上のポリシーが前記管理されたブラウザの少なくとも1つの機能を制限するよう構成される、判定することと、
前記管理されたブラウザが前記管理モードで動作中であるとの判定に基づいて、前記アプリケーションストアにより、前記管理されたブラウザが前記アプリケーションストアの前記第1の部分にアクセスするのを許可することとを備える、方法。
【0381】
2. 前記管理されたブラウザが前記管理モードで動作中ではないとの判定に基づいて、前記アプリケーションストアにより、前記管理されたブラウザが前記アプリケーションストアの前記第1の部分にアクセスするのを防止することをさらに備える、請求項1に記載の方法。
【0382】
3. 前記アプリケーションストアにより、前記管理されたブラウザに前記第1の部分とは異なる前記アプリケーションストアの第2の部分へのアクセスを提供することをさらに備える、請求項2に記載の方法。
【0383】
4. 前記管理されたブラウザが前記管理モードで動作中ではないとの判定に基づいて、前記アプリケーションストアにより、前記管理されたブラウザに前記管理モードに入らせるよう構成されたコマンドを前記管理されたブラウザに送信することをさらに備える、請求項1に記載の方法。
【0384】
5. 前記アプリケーションストアにより、前記管理されたブラウザへの前記コマンドの送信後に前記管理されたブラウザが前記管理モードで動作中かどうかを再評価することをさらに備える、請求項4に記載の方法。
【0385】
6. 前記再評価後に、前記管理されたブラウザが前記管理モードで動作中であるとの判定に基づいて、前記アプリケーションストアにより、前記管理されたブラウザが前記アプリケーションストアの前記第1の部分にアクセスするのを許可することをさらに備える、請求項5に記載の方法。
【0386】
7. 前記再評価後に、前記管理されたブラウザが前記管理モードで動作中ではないとの判定に基づいて、前記アプリケーションストアにより、前記管理されたブラウザへの通知を送信することをさらに備える、請求項5に記載の方法。
【0387】
8. コンピューティングデバイスであって、
少なくとも1つのプロセッサと、
前記少なくとも1つのプロセッサにより実行されたときに、前記コンピューティングデバイスに、
前記コンピューティングデバイスにより提供されたアプリケーションストアにおいて、ユーザコンピューティングデバイス上の管理されたブラウザから前記アプリケーションストアの第1の部分のアクセスへの要求を受信することと、
前記アプリケーションストアにより、前記管理されたブラウザが1つ以上のポリシーが前記管理されたブラウザに適用される管理モードで動作中かどうかを判定することであって、前記1つ以上のポリシーが前記管理されたブラウザの少なくとも1つの機能を制限するよう構成される、判定することと、
前記管理されたブラウザが前記管理モードで動作中であるとの判定に基づいて、前記アプリケーションストアにより、前記管理されたブラウザが前記アプリケーションストアの前記第1の部分にアクセスするのを許可することとを行なわせる、コンピュータ読取可能命令を記憶するメモリと、
を備える、コンピューティングデバイス。
【0388】
9. 前記メモリは、前記少なくとも1つのプロセッサにより実行されたときに、前記コンピューティングデバイスにさらに、
前記管理されたブラウザが前記管理モードで動作中ではないとの判定に基づいて、前記アプリケーションストアにより、前記管理されたブラウザが前記アプリケーションストアの前記第1の部分にアクセスするのを防止することを行なわせる、さらなるコンピュータ読取可能命令を記憶する請求項8に記載のコンピューティングデバイス。
【0389】
10. 前記メモリは、前記少なくとも1つのプロセッサにより実行されたときに、前記コンピューティングデバイスにさらに、
前記アプリケーションストアにより、前記管理されたブラウザに前記第1の部分とは異なる前記アプリケーションストアの第2の部分へのアクセスを提供することを行なわせる、さらなるコンピュータ読取可能命令を記憶する、請求項9に記載のコンピューティングデバイス。
【0390】
11. 前記メモリは、前記少なくとも1つのプロセッサにより実行されたときに、前記コンピューティングデバイスにさらに、
前記管理されたブラウザが前記管理モードで動作中ではないとの判定に基づいて、前記アプリケーションストアにより、前記管理されたブラウザに前記管理モードに入らせるよう構成されたコマンドを前記管理されたブラウザに送信することを行なわせる、さらなるコンピュータ読取可能命令を記憶する、請求項8に記載のコンピューティングデバイス。
【0391】
12. 前記メモリは、前記少なくとも1つのプロセッサにより実行されたときに、前記コンピューティングデバイスにさらに、
前記アプリケーションストアにより、前記管理されたブラウザへの前記コマンドの送信後に前記管理されたブラウザが前記管理モードで動作中かどうかを再評価することを行なわせる、さらなるコンピュータ読取可能命令を記憶する、請求項11に記載のコンピューティングデバイス。
【0392】
13. 前記メモリは、前記少なくとも1つのプロセッサにより実行されたときに、前記コンピューティングデバイスにさらに、
前記再評価後に、前記管理されたブラウザが前記管理モードで動作中であるとの判定に基づいて、前記アプリケーションストアにより、前記管理されたブラウザが前記アプリケーションストアの前記第1の部分にアクセスするのを許可することを行なわせる、さらなるコンピュータ読取可能命令を記憶する、請求項12に記載のコンピューティングデバイス。
【0393】
14. 前記メモリは、前記少なくとも1つのプロセッサにより実行されたときに、前記コンピューティングデバイスにさらに、
前記再評価後に、前記管理されたブラウザが前記管理モードで動作中ではないとの判定に基づいて、前記アプリケーションストアにより、前記管理されたブラウザへの通知を送信することを行なわせる、さらなるコンピュータ読取可能命令を記憶する、請求項12に記載のコンピューティングデバイス。
【0394】
15. 実行されたときに、コンピューティングデバイスに、
前記コンピューティングデバイスにより提供されたアプリケーションストアにおいて、ユーザコンピューティングデバイス上の管理されたブラウザから前記アプリケーションストアの第1の部分のアクセスへの要求を受信することと、
前記アプリケーションストアにより、前記管理されたブラウザが1つ以上のポリシーが前記管理されたブラウザに適用される管理モードで動作中かどうかを判定することであって、前記1つ以上のポリシーが前記管理されたブラウザの少なくとも1つの機能を制限するよう構成される、判定することと、
前記管理されたブラウザが前記管理モードで動作中であるとの判定に基づいて、前記アプリケーションストアにより、前記管理されたブラウザが前記アプリケーションストアの前記第1の部分にアクセスするのを許可することとを行なわせる、記憶された命令を有する1つ以上の不揮発性コンピュータ読取可能媒体。
【0395】
16. 実行されたときに、前記コンピューティングデバイスにさらに、
前記管理されたブラウザが前記管理モードで動作中ではないとの判定に基づいて、前記アプリケーションストアにより、前記管理されたブラウザが前記アプリケーションストアの前記第1の部分にアクセスするのを防止することを行なわせる、記憶されたさらなる命令を有する請求項15に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0396】
17. 実行されたときに、前記コンピューティングデバイスにさらに、
前記アプリケーションストアにより、前記管理されたブラウザに前記第1の部分とは異なる前記アプリケーションストアの第2の部分へのアクセスを提供することを行なわせる、記憶されたさらなる命令を有する、請求項16に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0397】
18. 実行されたときに、前記コンピューティングデバイスにさらに、
前記管理されたブラウザが前記管理モードで動作中ではないとの判定に基づいて、前記アプリケーションストアにより、前記管理されたブラウザに前記管理モードに入らせるよう構成されたコマンドを前記管理されたブラウザに送信することを行なわせる、記憶されたさらなる命令を有する、請求項15に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0398】
19. 実行されたときに、前記コンピューティングデバイスにさらに、
前記アプリケーションストアにより、前記管理されたブラウザへの前記コマンドの送信後に前記管理されたブラウザが前記管理モードで動作中かどうかを再評価することを行なわせる、記憶されたさらなる命令を有する、請求項18に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0399】
20. 実行されたときに、前記コンピューティングデバイスにさらに、
前記再評価後に、前記管理されたブラウザが前記管理モードで動作中であるとの判定に基づいて、前記アプリケーションストアにより、前記管理されたブラウザが前記アプリケーションストアの前記第1の部分にアクセスするのを許可することを行なわせる、記憶されたさらなる命令を有する、請求項19に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0400】
さらなる予備的な請求項1から20の組Gを以下に示す。
【0401】
1. コンピューティングデバイスにより、管理されたブラウザをロードすることであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成され、前記1つ以上のポリシーは、前記管理されたブラウザの少なくとも1つの機能を制限するよう構成された、前記管理されたブラウザをロードすることと、
前記コンピューティングデバイスにより、前記管理されたブラウザを介して1つ以上の企業リソースのアクセスへの要求を受信することと、
前記コンピューティングデバイスにより、前記要求に基づいて1つ以上の企業リソースから企業データを取得することと、
前記コンピューティングデバイスにより、1つ以上のポリシーに基づいて前記取得された企業データを制御することとを備え、
前記取得された企業データを制御することは、前記コンピューティングデバイス上の少なくとも1つの他のアプリケーションに少なくとも1つのポリシーを適用するよう構成されたモバイルリソース管理(MRM)エージェントで管理されたブラウザを制御することを含む、方法。
【0402】
2. 前記管理されたブラウザは、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成される、請求項1に記載の方法。
【0403】
3. 前記管理されたブラウザは、ポリシー管理サーバから前記MRMエージェントのために1つ以上のポリシー更新を受信するよう構成される、請求項1に記載の方法。
【0404】
4. 前記取得された企業データを制御することは、前記管理されたブラウザが非管理モードで動作中のときに前記取得された企業データへのアクセスを選択的にブロックすることを含む、請求項1に記載の方法。
【0405】
5. 前記デバイス状態情報は、前記コンピューティングデバイス上に存在する1つ以上のアプリケーションを特定する情報、前記コンピューティングデバイスにより使用される1つ以上のネットワーク接続を特定する情報、および、前記コンピューティングデバイスの現在位置を特定する情報、のうちの少なくとも1つを含む、請求項1に記載の方法。
【0406】
6. 前記取得された企業データを制御することは、前記取得された企業データへのアクセスを制御することを含む、請求項1に記載の方法。
【0407】
7. 前記取得された企業データへのアクセスを制御することは、前記取得された企業データの使用を制御することを含む、請求項6に記載の方法。
【0408】
8. コンピューティングデバイスであって、
少なくとも1つのプロセッサと、
前記少なくとも1つのプロセッサにより実行されたときに、前記コンピューティングデバイスに、
管理されたブラウザをロードすることであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成され、前記1つ以上のポリシーは、前記管理されたブラウザの少なくとも1つの機能を制限するよう構成された、前記管理されたブラウザをロードすることと、
前記管理されたブラウザを介して1つ以上の企業リソースのアクセスへの要求を受信することと、
前記要求に基づいて1つ以上の企業リソースから企業データを取得することと、
1つ以上のポリシーに基づいて前記取得された企業データを制御することとを行なわせる、コンピュータ読取可能命令を記憶するメモリとを備え、
前記取得された企業データを制御することは、前記コンピューティングデバイス上の少なくとも1つの他のアプリケーションに少なくとも1つのポリシーを適用するよう構成されたモバイルリソース管理(MRM)エージェントで管理されたブラウザを制御することを含む、コンピューティングデバイス。
【0409】
9. 前記管理されたブラウザは、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成される、請求項8に記載のコンピューティングデバイス。
【0410】
10. 前記管理されたブラウザは、ポリシー管理サーバから前記MRMエージェントのために1つ以上のポリシー更新を受信するよう構成される、請求項8に記載のコンピューティングデバイス。
【0411】
11. 前記取得された企業データを制御することは、前記管理されたブラウザが非管理モードで動作中のときに前記取得された企業データへのアクセスを選択的にブロックすることを含む、請求項8に記載のコンピューティングデバイス。
【0412】
12. 前記デバイス状態情報は、前記コンピューティングデバイス上に存在する1つ以上のアプリケーションを特定する情報、前記コンピューティングデバイスにより使用される1つ以上のネットワーク接続を特定する情報、および、前記コンピューティングデバイスの現在位置を特定する情報、のうちの少なくとも1つを含む、請求項8に記載のコンピューティングデバイス。
【0413】
13. 前記取得された企業データを制御することは、前記取得された企業データへのアクセスを制御することを含む、請求項8に記載のコンピューティングデバイス。
【0414】
14. 前記取得された企業データへのアクセスを制御することは、前記取得された企業データの使用を制御することを含む、請求項13に記載のコンピューティングデバイス。
【0415】
15. 実行されたときに、コンピューティングデバイスに、
管理されたブラウザをロードすることであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成され、前記1つ以上のポリシーは、前記管理されたブラウザの少なくとも1つの機能を制限するよう構成された、前記管理されたブラウザをロードすることと、
前記管理されたブラウザを介して1つ以上の企業リソースのアクセスへの要求を受信することと、
前記要求に基づいて1つ以上の企業リソースから企業データを取得することと、
1つ以上のポリシーに基づいて前記取得された企業データを制御することとを行なわせる、記憶された命令を有する1つ以上の不揮発性コンピュータ読取可能媒体であって、
前記取得された企業データを制御することは、前記コンピューティングデバイス上の少なくとも1つの他のアプリケーションに少なくとも1つのポリシーを適用するよう構成されたモバイルリソース管理(MRM)エージェントで管理されたブラウザを制御することを含む、1つ以上の不揮発性コンピュータ読取可能媒体。
【0416】
16. 前記管理されたブラウザは、少なくとも1つの企業リソースから取得されたデータのセキュリティ保護ブラウジングおよびキャッシングを提供するよう構成される、請求項15に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0417】
17. 前記管理されたブラウザは、ポリシー管理サーバから前記MRMエージェントのために1つ以上のポリシー更新を受信するよう構成される、請求項15に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0418】
18. 前記取得された企業データを制御することは、前記管理されたブラウザが非管理モードで動作中のときに前記取得された企業データへのアクセスを選択的にブロックすることを含む、請求項15に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0419】
19. 前記デバイス状態情報は、前記コンピューティングデバイス上に存在する1つ以上のアプリケーションを特定する情報、前記コンピューティングデバイスにより使用される1つ以上のネットワーク接続を特定する情報、および、前記コンピューティングデバイスの現在位置を特定する情報、のうちの少なくとも1つを含む、請求項15に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0420】
20. 前記取得された企業データを制御することは、前記取得された企業データへのアクセスを制御することを含む、請求項15に記載の1つ以上の不揮発性コンピュータ読取可能媒体。
【0421】
さらなる予備的な請求項1から20の組Hを以下に示す。
【0422】
1. コンピューティングデバイスにより、管理されたブラウザをロードすることであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成され、前記1つ以上のポリシーは、前記管理されたブラウザの少なくとも1つの機能を制限するよう構成された、前記管理されたブラウザをロードすることと、
前記コンピューティングデバイスにより、前記管理されたブラウザ内に管理された実行環境を提供することとを備え、
前記管理された実行環境は、1つ以上のウェブアプリケーションの実行を容易にするよう構成され、
前記管理された実行環境は、前記1つ以上のウェブアプリケーションへ前記1つ以上のポリシーのうちの少なくとも1つのポリシーを適用するよう構成される、方法。
【0423】
2. 前記管理された実行環境は、少なくとも1つのHTML5アプリケーションの実行を容易にするよう構成される、請求項1に記載の方法。
【0424】
3. 前記1つ以上のポリシーのうちの少なくとも1つのポリシーは、ポリシー管理サーバから受信される、請求項1に記載の方法。
【0425】
4. 前記少なくとも1つのポリシーは、前記1つ以上のウェブアプリケーションの少なくとも1つのローカルストレージリソースへのアクセスを防止するよう構成される、請求項1に記載の方法。
【0426】
5. 前記少なくとも1つのポリシーは、前記1つ以上のウェブアプリケーションの少なくとも1つのローカルストレージへのアクセスを選択的に有効化するよう構成される、請求項1に記載の方法。
【0427】
6. 前記管理された実行環境は、前記コンピューティングデバイス上のポリシー管理エージェントを前記1つ以上のウェブアプリケーションにエクスポーズするよう構成される、請求項1に記載の方法。
【0428】
7. 前記管理された実行環境は、アプリケーションプログラミングインタフェースを介して前記1つ以上のウェブアプリケーションに1つ以上の機能をエクスポーズするよう構成される、請求項1に記載の方法。
【0429】
8. 前記管理された実行環境は、前記1つ以上のウェブアプリケーションのために認証サービスを提供するよう構成される、請求項1に記載の方法。
【0430】
9. 前記管理された実行環境は、前記1つ以上のウェブアプリケーションにポリシーのデフォルトセットを適用するよう構成される、請求項1に記載の方法。
【0431】
10. 前記管理された実行環境は、前記1つ以上のウェブアプリケーションに適用されるポリシーのセットを動的に更新するよう構成される、請求項1に記載の方法。
【0432】
11. コンピューティングデバイスであって、
少なくとも1つのプロセッサと、
前記少なくとも1つのプロセッサにより実行されたときに、前記コンピューティングデバイスに、
管理されたブラウザをロードすることであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成され、前記1つ以上のポリシーは、前記管理されたブラウザの少なくとも1つの機能を制限するよう構成された、前記管理されたブラウザをロードすることと、
前記管理されたブラウザ内に管理された実行環境を提供することとを行なわせる、コンピュータ読取可能命令を記憶するメモリとを備え、
前記管理された実行環境は、1つ以上のウェブアプリケーションの実行を容易にするよう構成され、
前記管理された実行環境は、前記1つ以上のウェブアプリケーションへ前記1つ以上のポリシーのうちの少なくとも1つのポリシーを適用するよう構成される、コンピューティングデバイス。
【0433】
12. 前記管理された実行環境は、少なくとも1つのHTML5アプリケーションの実行を容易にするよう構成される、請求項11に記載のコンピューティングデバイス。
【0434】
13. 前記1つ以上のポリシーのうちの少なくとも1つのポリシーは、ポリシー管理サーバから受信される、請求項11に記載のコンピューティングデバイス。
【0435】
14. 前記少なくとも1つのポリシーは、前記1つ以上のウェブアプリケーションの少なくとも1つのローカルストレージリソースへのアクセスを防止するよう構成される、請求項11に記載のコンピューティングデバイス。
【0436】
15. 前記少なくとも1つのポリシーは、前記1つ以上のウェブアプリケーションの少なくとも1つのローカルストレージへのアクセスを選択的に有効化するよう構成される、請求項11に記載のコンピューティングデバイス。
【0437】
16. 前記管理された実行環境は、前記コンピューティングデバイス上のポリシー管理エージェントを前記1つ以上のウェブアプリケーションにエクスポーズするよう構成される、請求項11に記載のコンピューティングデバイス。
【0438】
17. 前記管理された実行環境は、アプリケーションプログラミングインタフェースを介して前記1つ以上のウェブアプリケーションに1つ以上の機能をエクスポーズするよう構成される、請求項11に記載のコンピューティングデバイス。
【0439】
18. 前記管理された実行環境は、前記1つ以上のウェブアプリケーションのために認証サービスを提供するよう構成される、請求項11に記載のコンピューティングデバイス。
【0440】
19. 前記管理された実行環境は、前記1つ以上のウェブアプリケーションにポリシーのデフォルトセットを適用するよう構成される、請求項11に記載のコンピューティングデバイス。
【0441】
20. 実行されたときに、コンピューティングデバイスに、
管理されたブラウザをロードすることであって、前記管理されたブラウザは、前記管理されたブラウザに1つ以上のポリシーが適用される少なくとも1つの管理モードを提供するよう構成され、前記1つ以上のポリシーは、前記管理されたブラウザの少なくとも1つの機能を制限するよう構成された、前記管理されたブラウザをロードすることと、
前記管理されたブラウザ内に管理された実行環境を提供することと
を行なわせる、記憶された命令を有する1つ以上の不揮発性コンピュータ読取可能媒体であって、
前記管理された実行環境は、1つ以上のウェブアプリケーションの実行を容易にするよう構成され、
前記管理された実行環境は、前記1つ以上のウェブアプリケーションへ前記1つ以上のポリシーのうちの少なくとも1つのポリシーを適用するよう構成される、1つ以上の不揮発性コンピュータ読取可能媒体。
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.