特表2024-532180 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

▶ ベン・テクノロジー・コーポレイションの特許一覧

特表2024-532180コンピューティングマシン上のリソースのサブセットのためのセキュアな視覚的および計算的境界

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
2
3
4A
4B
5
6
7
8
9
10
11
12
13
14
15

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】公表特許公報(A)

(11)【公表番号】

(43)【公表日】2024-09-05

(54)【発明の名称】コンピューティングマシン上のリソースのサブセットのためのセキュアな視覚的および計算的境界

(51)【国際特許分類】

G06F 21/62 20130101AFI20240829BHJP

G06F 3/0481 20220101ALI20240829BHJP

G06F 3/0484 20220101ALI20240829BHJP

【ＦＩ】

G06F21/62

G06F3/0481

G06F3/0484

【審査請求】有

【予備審査請求】未請求

(21)【出願番号】P 2024510254

(86)(22)【出願日】2022-08-19

(85)【翻訳文提出日】2024-04-15

(86)【国際出願番号】 US2022040928

(87)【国際公開番号】W WO2023023352

(87)【国際公開日】2023-02-23

(31)【優先権主張番号】17/890,798

(32)【優先日】2022-08-18

(33)【優先権主張国・地域又は機関】US

(31)【優先権主張番号】63/260,408

(32)【優先日】2021-08-19

(33)【優先権主張国・地域又は機関】US

(81)【指定国・地域】

(71)【出願人】

【識別番号】524061954

【氏名又は名称】ベン・テクノロジー・コーポレイション

(74)【代理人】

【識別番号】110001173

【氏名又は名称】弁理士法人川口國際特許事務所

(72)【発明者】

【氏名】オシポフ，アレクサンドル

(72)【発明者】

【氏名】カザケビチ，ジェイコブ

(72)【発明者】

【氏名】マタロン，デイビッド

(72)【発明者】

【氏名】シェルムヤニン，アレクサンダー

(72)【発明者】

【氏名】セドゥノフ，アレクサンドル

【テーマコード（参考）】

5E555

【Ｆターム（参考）】

5E555AA52

5E555AA53

5E555BA02

5E555BA05

5E555BA06

5E555BA08

5E555BA14

5E555BA45

5E555BB02

5E555BB05

5E555BB06

5E555BB08

5E555BB14

5E555BC01

5E555BC11

5E555BD01

5E555CA02

5E555CA12

5E555CA18

5E555CA42

5E555CA47

5E555CB02

5E555CB08

5E555CB12

5E555CB20

5E555CB64

5E555CC01

5E555CC05

5E555CC12

5E555CC13

5E555CC14

5E555DB03

5E555DB51

5E555DB56

5E555DC09

5E555DC61

5E555DD06

5E555DD08

5E555EA05

5E555EA07

5E555EA14

5E555FA00

(57)【要約】

コンピュータが、単一のユーザアカウント内に、複数の管理されるコンピューティングリソースと、複数の追加のコンピューティングリソースとを記憶する。複数の管理されるコンピューティングリソースは、セキュリティポリシーに関連付けられる。コンピュータは、複数の管理されるコンピューティングリソースのうちのありとあらゆるものに読み出しアクセスおよび書き込みアクセスできない、指定されたアプリケーションの第１のインスタンスを実行する。コンピュータは、複数の管理されるコンピューティングリソースの少なくとも一部分にアクセスする、指定されたアプリケーションの第２のインスタンスを、第１のインスタンスと同時に実行する。コンピュータは、セキュリティポリシーからのルールを、指定されたアプリケーションの第２のインスタンスに適用する一方で、セキュリティポリシーからのルールを、指定されたアプリケーションの第１のインスタンスに適用することを見合わせる。

【特許請求の範囲】

【請求項1】

【請求項2】

追加のコンピューティングリソースが個人コンピューティングリソースを含み、管理されるコンピューティングリソースがビジネスコンピューティングリソースを含み、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースが、ファイル、クラウドファイルストレージアクセス、アプリケーション、またはウェブサイトを含む、請求項１に記載の方法。

【請求項3】

セキュリティポリシーからのセキュリティルールを、指定された追加のコンピューティングリソースに適用することを見合わせること
を更に含む、請求項１に記載の方法。

【請求項4】

指定された管理されるコンピューティングリソースと関連付けて、追跡することが進行中であることを示す視覚的インディケータを表示すること
を更に含む、請求項１に記載の方法。

【請求項5】

視覚的インディケータが、指定された管理されるコンピューティングリソースによって占有されるディスプレイユニットの領域に隣接したバッジまたは境界線を含む、請求項４に記載の方法。

【請求項6】

指定された管理されるコンピューティングリソースに関するコンピューティングマシンのアクティビティ、および指定された追加のコンピューティングマシンに関するコンピューティングマシンのアクティビティが、ネットワークトラフィックを含む、請求項１に記載の方法。

【請求項7】

指定された管理されるコンピューティングリソースに関するコンピューティングマシンのアクティビティ、および指定された追加のコンピューティングリソースに関するコンピューティングマシンのアクティビティが、インターネットブラウジングを含む、請求項１に記載の方法。

【請求項8】

指定された管理されるコンピューティングリソースに関するコンピューティングマシンのアクティビティ、および指定された追加のコンピューティングリソースに関するコンピューティングマシンのアクティビティが、カメラまたはマイクロフォン入力アクティビティを含む、請求項１に記載の方法。

【請求項9】

コンピューティングマシンから管理サービスに送信される情報を記憶することと、
ユーザ要求に応答して、コンピューティングマシンから管理サービスに送信される情報の視覚的表現の表示を提供することと
を更に含む、請求項１に記載の方法。

【請求項10】

管理サービスが、セキュリティポリシーに関連付けられた、クラウドベースの管理サービス、１つ以上のサーバ、またはアドミニストレータコンピューティングデバイスのうちの少なくとも１つを含む、請求項１に記載の方法。

【請求項11】

セキュリティルールが、指定された管理されるコンピューティングリソースから指定された追加のコンピューティングリソースへの動作のセットをブロックする１つ以上のルールを含み、動作のセットが、ドラッグアンドドロップ動作、コピーアンドペースト動作、カットアンドペースト動作、キーログ動作、ファイルダウンロード動作、ファイルアップロード動作、ファイルアタッチメント動作、印刷動作、特定のウェブサイトを開く動作、ウェブサイトのカテゴリを開く動作、アプリケーション起動動作、またはスクリーンショット動作のうちの少なくとも１つを含む、請求項１に記載の方法。

【請求項12】

命令を記憶する機械可読媒体であって、処理回路によって実行されると、処理回路に、
コンピューティングマシンにおいて、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースを記憶することであって、複数の管理されるコンピューティングリソースがセキュリティポリシーに関連付けられる、ことと、
コンピューティングマシンのネイティブコンピューティング環境を介して、コンピューティングマシンに結合されたディスプレイユニットに、指定された管理されるコンピューティングリソースの全てまたは一部分、および指定された追加のコンピューティングリソースの全てまたは一部分を同時に表示させることと、
セキュリティポリシーからのセキュリティルールを、指定された管理されるコンピューティングリソースに適用することであって、セキュリティルールを適用することが、少なくとも、指定された管理されるコンピューティングリソースに関するコンピューティングマシンのアクティビティを管理サービスにより追跡することを促進することを含む、ことと、
指定された追加のコンピューティングリソースに関する、および複数の管理されるコンピューティングリソースのうちの１つ以上に関連付けられていないコンピューティングマシン上のアクティビティに関するコンピューティングマシンのアクティビティを管理サービスにより追跡することを促進することを見合わせることと
を含む動作を行わせる、機械可読媒体。

【請求項13】

【請求項14】

動作が、セキュリティポリシーからのセキュリティルールを、指定された追加のコンピューティングリソースに適用することを見合わせることを更に含む、請求項１２に記載の機械可読媒体。

【請求項15】

【発明の詳細な説明】

【技術分野】

【0001】

優先権の主張
本出願は、２０２１年８月１９日に出願された「ＳＥＣＵＲＥＣＯＭＰＵＴＩＮＧＥＮＶＩＲＯＮＭＥＮＴＦＯＲＭＩＸＥＤＵＳＥＣＯＭＰＵＴＥＲ」と題する米国仮特許出願第６３／２６０，４０８号、および２０２２年８月１８日に出願された「ＴＲＡＣＫＩＮＧＣＯＭＰＵＴＩＮＧＡＣＴＩＶＩＴＹＷＩＴＨＡＳＵＢＳＥＴＯＦＲＥＳＯＵＲＣＥＳ」と題する米国特許出願第１７／８９０，７９８号に対する優先権を主張し、その開示全体が参照により本明細書に組み込まれる。

【0002】

実施形態は、コンピュータアーキテクチャに関する。いくつかの実施形態は、混合使用（ｍｉｘｅｄｕｓｅ）コンピュータのためのセキュアなコンピューティング環境に関する。

【背景技術】

【0003】

企業の従業員等のコンピュータのユーザは、同じコンピュータをビジネス使用および個人使用に用いる場合がある。コンピュータは、個人アプリケーションまたはファイルと共にビジネスアプリケーションまたはファイルを記憶する場合がある。上記が示すように、混合使用コンピュータのためのセキュアなコンピューティング環境を提供するための技法が望ましい場合がある。

【図面の簡単な説明】

【0004】

【図1】いくつかの実施形態による、コンピューティングマシンのブロック図である。

【図2】いくつかの実施形態による、混合使用コンピューティングマシンを用いることができる例示的なシステムを示す図である。

【図3】いくつかの実施形態による、視覚的追跡インディケータを提供することに関連付けられた例示的なプロセスのフローチャートである。

【図4A】いくつかの実施形態による、追跡されるリソースおよび追跡されないリソースを視覚的に示す例示的なスクリーンを示す図である。

【図4B】いくつかの実施形態による、追跡されるリソースおよび追跡されないリソースを視覚的に示す例示的なスクリーンを示す図である。

【図5】いくつかの実施形態による、追跡されるリソースを視覚的に示すことに関連付けられた例示的なプロセスのフローチャートである。

【図6】いくつかの実施形態による、セキュリティポリシーに基づいて動作を制約することができる例示的なシステムを示す図である。

【図7】いくつかの実施形態による、セキュリティポリシーによって許可またはブロックすることができる動作の表を示す図である。

【図8】いくつかの実施形態による、スクリーンキャプチャ動作の例示的な入力および出力を示す図である。

【図9】いくつかの実施形態による、セキュリティポリシーに基づいた動作制約に関連付けられた例示的なプロセスのフローチャートである。

【図10】いくつかの実施形態による、作業ゾーンを有するコンピューティングマシンのブロック図である。

【図11】いくつかの実施形態による、個人およびビジネスの混合使用システムのためのセキュアなコンピューティング環境に関連付けられた第１の例示的なプロセスのフローチャートである。

【図12】いくつかの実施形態による、混合使用システムのためのセキュアなコンピューティング環境に関連付けられた第２の例示的なプロセスのフローチャートである。

【図13】いくつかの実施形態による、アプリケーションの実行インスタンスの一部分にセキュリティポリシーを適用することに関連付けられた例示的なプロセスのフローチャートである。

【図14】いくつかの実施形態による、管理されるおよび管理されないゾーンにおいて同じアプリケーションを実行することに関連付けられた例示的なプロセスのフローチャートである。

【図15】いくつかの実施形態による、組織コンピューティングリソースのための組織インディケータを表示することに関連付けられた例示的なプロセスのフローチャートである。

【発明を実施するための形態】

【0005】

以下の説明および図面は、当業者が特定の実施形態を実践することを可能にするために、これらを十分に示している。他の実施形態は、構造的変形、論理的変形、電気的変形、プロセスの変形および他の変形を組み込んでもよい。いくつかの実施形態の部分および特徴が、他の実施形態のものに含められるかまたは置き換えられてもよい。特許請求の範囲に示される実施形態は、これらの特許請求項の全ての利用可能な等価物を包含する。

【0006】

本技術の態様は、コンピュータシステムの一部として実装されてもよい。コンピュータシステムは、１つの物理マシンであってもよく、あるいは、例えば、役割または機能によって、またはクラウドコンピューティング分散モデルの場合にはプロセススレッドによって、複数の物理マシン間で分散されてもよい。様々な実施形態において、技術の態様は、仮想マシンにおいて実行されるように構成することができ、そして仮想マシンは１つ以上の物理マシン上で実行される。当業者であれば、技術の特徴を、様々な適切なマシン実装によって実現することができることを理解するであろう。

【0007】

システムは、それぞれが機能または機能のセットを遂行するように構築、プログラム、構成、または他の方法で適合された様々なエンジンを含む。本明細書において用いられるとき、エンジンという用語は、特定用途向け集積回路（ＡＳＩＣ）もしくはフィールドプログラマブルゲートアレイ（ＦＰＧＡ）等のハードウェアを使用して、または、例えば、プロセッサベースのコンピューティングプラットフォームと、コンピューティングプラットフォームを特定の機能を実装する専用デバイスに変換するプログラム命令のセットとによるハードウェアおよびソフトウェアの組合せとして実装される、有形デバイス、コンポーネント、またはコンポーネントの構成を意味する。エンジンは、特定の機能についてハードウェアのみで促進され、他の機能についてハードウェアおよびソフトウェアの組合せで促進される、２つの組合せとして実装することもできる。

【0008】

一例において、ソフトウェアは、有形マシン可読ストレージ媒体上で、実行可能なまたは実行不可能な形態で存在することができる。実行不可能な形態で存在するソフトウェアは、実行時間前または実行時間中に、コンパイル、変換、または他の形で実行可能形態にコンバートすることができる。例において、ソフトウェアは、エンジンの基本的なハードウェアによる実行時、ハードウェアに、指定の動作を行わせる。したがって、エンジンは、特定の方式で動作するか、またはそのエンジンに関連して本明細書に説明される任意の動作の一部もしくは全てを行うように物理的に構築されるか、または特別に構成される（例えば、ハードワイヤード）か、または一時的に構成される（例えば、プログラムされる）。

【0009】

エンジンが一時的に構成される例を検討すると、エンジンの各々は、様々な時点においてインスタンス化することができる。例えば、エンジンがソフトウェアを使用して構成される汎用ハードウェアプロセッサコアを含む場合、この汎用ハードウェアプロセッサコアは、異なる時点において、それぞれ異なるエンジンとして構成されてもよい。したがって、ソフトウェアは、例えば、或る時点で特定のエンジンを構成し、異なる時点で別のエンジンを構成するように、ハードウェアプロセッサコアを構成することができる。

【0010】

いくつかの実施態様では、エンジンの少なくとも一部、場合によっては全ては、オペレーティングシステム、システムプログラム、およびアプリケーションプログラムを実行する１つ以上のコンピュータのプロセッサ上で、適切な場合には更にマルチタスキング、マルチスレッディング、分散（例えば、クラスタ、ピア－ピア、クラウド等の）処理、または他のそのような技術を使用してエンジンを実装しながら、実行されてもよい。したがって、各エンジンは、多岐にわたる適切な構成で実現することができ、本明細書に例示される特定の実施態様への限定が明確に述べられない限り、一般に本明細書に例示される特定の実施態様のように限定されるべきではない。

【0011】

加えて、エンジンはそれ自体２つ以上のサブエンジンで構成することができ、各サブエンジンはそれぞれ独自のエンジンとみなすことができる。その上、本明細書に説明される実施形態では、様々なエンジンの各々は、定義された機能に対応する；しかしながら、他の企図される実施形態では、各機能を２つ以上のエンジンに分散することができることを理解されたい。同様に、他の企図される実施形態では、複数の定義された機能は、これらの複数の機能を、場合によっては他の機能と並行して行う単一のエンジンによって実施されてもよく、または本明細書中の例に具体的に例示されるものとは異なって一組のエンジン間で分散されてもよい。

【0012】

本明細書において用いられるとき、「モデル」という用語は、その普通で通常の意味を包含する。モデルは、とりわけ、入力を受信し、この入力に基づいて出力を計算する１つ以上のエンジンを含むことができる。出力は分類であり得る。例えば、画像ファイルは、猫を示すもの、または猫を示さないものとして分類することができる。代替的に、画像ファイルは、画像ファイルが猫を示すか否かの尤度を示す数値スコアを割り当てられてもよく、閾値（例えば、０．９または０．９５）を超えるスコアを有する画像ファイルが猫を示すものと決定されてもよい。

【0013】

本明細書は、ものの特定の数（例えば、「６つのモバイルデバイス」）を参照することができる。別段の明示的な指示がない限り、提供される数は単なる例であり、所与の状況において意味を成すように、任意の正の整数、整数または実数と置き換えることができる。例えば、「６つのモバイルデバイス」は、代替的な実施形態において、任意の正の整数の数のモバイルデバイスを含む。別段の指示がない限り、単数形で参照されたオブジェクト（例えば、「１つのコンピュータ（ａｃｏｍｐｕｔｅｒ）」または「コンピュータ（ｔｈｅｃｏｍｐｕｔｅｒ）」）は、１つ以上のオブジェクトを含むことができる（例えば、「コンピュータ」は１つまたは複数のコンピュータを指すことができる）。

【0014】

図１は、いくつかの実施形態による、コンピューティングマシン１００の回路ブロック図を示す。いくつかの実施形態では、コンピューティングマシン１００のコンポーネントは、図１の回路ブロックに示す他のコンポーネントに格納または一体化することができる。例えば、コンピューティングマシン１００の一部分は、プロセッサ１０２内に存在してもよく、「処理回路」と呼ばれてもよい。処理回路は、処理ハードウェア、例えば１つ以上の中央処理ユニット（ＣＰＵ）、１つ以上のグラフィック処理ユニット（ＧＰＵ）等を含むことができる。代替的な実施形態では、コンピューティングマシン１００は、スタンドアロンデバイスとして動作することができるか、または他のコンピュータに接続（例えば、ネットワーク化）することができる。ネットワーク化された配備では、コンピューティングマシン１００は、サーバ－クライアントネットワーク環境においてサーバ、クライアント、または両方のキャパシティ内で動作することができる。一例では、コンピューティングマシン１００は、ピアツーピア（Ｐ２Ｐ）（または他の分散）ネットワーク環境においてピアマシンとして振る舞うことができる。本文書において、Ｐ２Ｐ、デバイスツーデバイス（Ｄ２Ｄ）およびサイドリンクというフレーズは置き換え可能に用いることができる。コンピューティングマシン１００は、専用コンピュータ、パーソナルコンピュータ（ＰＣ）、タブレットＰＣ、携帯情報端末（ＰＤＡ）、モバイル電話、スマートフォン、ウエブアプライアンス、ネットワークルーター、スイッチもしくはブリッジ、またはそのマシンによって行われるアクションを指定する命令を（シーケンシャルに、またはその他の方法で）実行することができる任意のマシンであり得る。

【0015】

本明細書に説明されるように、例は、ロジックまたは多数のコンポーネント、モジュールまたはメカニズムを含んでよく、または、ロジックまたは多数のコンポーネント、モジュールまたはメカニズムの上で動作してよい。モジュールおよびコンポーネントは、指定の動作を行うことが可能な有形エンティティ（例えば、ハードウェア）であり、特定の方式で構成または配置することができる。例において、回路は、モジュールとして特定の方式で（例えば、内部にまたは他の回路等の外部エンティティに関して）配置されてもよい。例において、１つ以上のコンピュータシステム／装置（例えば、スタンドアロン、クライアントまたはサーバコンピュータシステム）または１つ以上のハードウェアプロセッサの全体または一部は、指定の動作を行うように動作するモジュールとして、ファームウェアまたはソフトウェア（例えば、命令、アプリケーション部分、またはアプリケーション）によって構成することができる。例において、ソフトウェアは機械可読媒体上に存在することができる。例において、ソフトウェアは、モジュールの基本的なハードウェアにより実行されると、ハードウェアに、指定の動作を行わせる。

【0016】

したがって、「モジュール」（および「コンポーネント」）という用語は、物理的に構築されたエンティティであって、特定の方式で動作する、または本明細書に説明された任意の動作の一部または全てを行うように、特別に構成された（例えば、ハードワイヤード）、または一時的に（例えば、一過的に）構成された（例えば、プログラミングされた）エンティティである有形エンティティを包含するものと理解される。モジュールが一時的に構成される例を検討すると、モジュールの各々は、どの時点においてもインスタンス化される必要はない。例えば、モジュールがソフトウェアを使用して構成される汎用ハードウェアプロセッサを含む場合、この汎用ハードウェアプロセッサは、異なる時点において、それぞれ異なるモジュールとして構成されてもよい。したがって、ソフトウェアは、例えば、或る時点で特定のモジュールを構成し、異なる時点で別のモジュールを構成するように、ハードウェアプロセッサを構成することができる。

【0017】

本明細書において用いられるとき、「アプリケーション」という用語は、その普通で通常の意味を包含する。アプリケーションは、コンピューティングマシンに記憶され、そのコンピューティングマシン上で実行されるソフトウェアを含むことができる。アプリケーションは、コンピューティングマシン上で実行されるが、リモートでまたはクラウドに記憶されるソフトウェアを含むことができる。アプリケーションは、サーバまたはクラウドに記憶された、コンピューティングマシンにおいて実行するためのソフトウェアを含むウェブサイトを含むことができる。いくつかの場合、ソフトウェアに記憶されるのではなく、アプリケーションは、コンピューティングマシンまたはリモートサーバにハードワイヤード接続することができる。

【0018】

コンピューティングマシン１００は、ハードウェアプロセッサ１０２（例えば、中央処理ユニット（ＣＰＵ）、ＧＰＵ、ハードウェアプロセッサコア、またはそれらの任意の組合せ）、メインメモリ１０４、およびスタティックメモリ１０６を含むことができ、これらのコンポーネントのうちのいくつかまたは全ては、インターリンク（例えば、バス）１０８を介して互いに通信することができる。示されていないが、メインメモリ１０４は、取外し可能なストレージおよび取外し不可能なストレージ、揮発性メモリまたは不揮発性メモリのうちの任意のものまたは全てを含むことができる。コンピューティングマシン１００は、ビデオディスプレイユニット１１０（または他のディスプレイユニット）、英数字入力デバイス１１２（例えば、キーボード）、およびユーザインタフェース（ＵＩ）ナビゲーションデバイス１１４（例えば、マウス）を更に含んでもよい。一例では、ディスプレイユニット１１０、入力デバイス１１２、およびＵＩナビゲーションデバイス１１４は、タッチスクリーンディスプレイであり得る。コンピューティングマシン１００は、ストレージデバイス（例えば、ドライブユニット）１１６と、信号生成デバイス１１８（例えば、スピーカー）と、ネットワークインタフェースデバイス１２０と、全地球測位システム（ＧＰＳ）センサ、コンパス、加速度計、または他のセンサ等の１つ以上のセンサ１２１とを更に備えることができる。コンピューティングマシン１００は、１つ以上の周辺デバイス（例えば、プリンタ、カードリーダー等）と通信するかまたはそれらの周辺デバイスを制御するためにシリアル（例えば、ユニバーサルシリアルバス（ＵＳＢ））、パラレル、または他の有線もしくはワイヤレス（例えば、赤外線（ＩＲ）、近距離無線通信（ＮＦＣ）等）接続等の出力コントローラ１２８を備えることができる。

【0019】

ドライブユニット１１６（例えば、ストレージデバイス）は、機械可読媒体１２２を備えることができ、機械可読媒体１２２は、本明細書に説明される技法もしくは機能のうちの任意の１つ以上を具現化するかまたはそれらの技法もしくは機能によって利用されるデータ構成もしくは命令１２４（例えば、ソフトウェア）の１つ以上のセットが記憶される。命令１２４は、コンピューティングマシン１００によって命令１２４が実行される間、メインメモリ１０４内、スタティックメモリ１０６内、またはハードウェアプロセッサ１０２内に全体が存在してもよく、または少なくとも一部が存在してもよい。一例では、ハードウェアプロセッサ１０２、メインメモリ１０４、スタティックメモリ１０６、またはストレージデバイス１１６の１つの組合せまたは任意の組合せが機械可読媒体を構成することができる。

【0020】

機械可読媒体１２２は単一の媒体として示されているが、「機械可読媒体」という用語は、１つ以上の命令１２４を記憶するように構成された単一の媒体または複数の媒体（例えば、中央データベースもしくは分散データベース、ならびに／または関連するキャッシュおよびサーバ）を含んでもよい。

【0021】

「機械可読媒体」という用語は、コンピューティングマシン１００によって実行される命令を記憶、符号化、もしくは搬送することができ、コンピューティングマシン１００に本開示の技法のうちの任意の１つ以上を行わせるか、またはそのような命令によって用いられるかもしくはそのような命令に関連するデータ構造を記憶、符号化、もしくは搬送することができる任意の媒体を含むことができる。非限定的な機械可読媒体の例は、ソリッドステートメモリならびに光学および磁気媒体を含むことができる。機械可読媒体の特定の例は：半導体メモリデバイス（例えば、電気的にプログラム可能なリードオンリーメモリ（ＥＰＲＯＭ）；電気的に消去可能でプログラム可能なリードオンリーメモリ（ＥＥＰＲＯＭ））およびフラッシュメモリデバイス等の不揮発性メモリ；内部ハードディスクおよびリムーバブルディスク等の磁気ディスク；光学磁気ディスク；ランダムアクセスメモリ（ＲＡＭ）；ならびにＣＤ－ＲＯＭおよびＤＶＤ－ＲＯＭディスクを含むことができる。いくつかの例において、機械可読媒体は、非一時的機械可読媒体を含むことができる。いくつかの例において、機械可読媒体は、一時的な伝播信号でない機械可読媒体を含むことができる。

【0022】

命令１２４は更に、いくつかの転送プロトコル（例えば、フレームリレー、インターネットプロトコル（ＩＰ）、伝送制御プロトコル（ＴＣＰ）、ユーザデータグラムプロトコル（ＵＤＰ）、ハイパーテキスト転送プロトコル（ＨＴＴＰ）等）のうちの任意のものを利用するネットワークインタフェースデバイス１２０を介して伝送媒体を用いて通信ネットワーク１２６上で送信または受信されてもよい。例示的な通信ネットワークは、とりわけ、ローカルエリアネットワーク（ＬＡＮ）、ワイドエリアネットワーク（ＷＡＮ）、パケットデータネットワーク（例えば、インターネット）、モバイル電話ネットワーク（例えば、セルラーネットワーク）、基本電話（ＰｌａｉｎＯｌｄＴｅｌｅｐｈｏｎｅ）（ＰＯＴＳ）ネットワーク、およびワイヤレスデータネットワーク（例えば、Ｗｉ－Ｆｉ（Ｒ）として知られている米国電気電子技術者協会（ＩＥＥＥ）８０２．１１規格ファミリー、ＷｉＭａｘ（Ｒ）として知られているＩＥＥＥ８０２．１６規格ファミリー）、ＩＥＥＥ８０２．１５．４規格ファミリー、ロングタームエボリューション（ＬＴＥ）規格ファミリー、ユニバーサルモバイルテレコミュニケーションシステム（ＵＭＴＳ）規格ファミリー、ピアツーピア（Ｐ２Ｐ）ネットワークを含むことができる。一例では、ネットワークインタフェースデバイス１２０は、通信ネットワーク１２６に接続するための１つ以上の物理的ジャック（例えば、イーサネット、同軸ケーブル、もしくは電話用ジャック）または１つ以上のアンテナを含むことができる。

【0023】

企業の従業員等のコンピュータのユーザは、同じコンピュータをビジネス使用および個人使用に用いる場合がある。コンピュータは、ビジネスがそのセキュリティポリシーの対象とすることを望み得るビジネスアプリケーションまたはファイル、およびユーザがビジネスと共有することを望まない個人アプリケーションまたはファイルを記憶する場合がある。代替的に、非ビジネスコンピュータのユーザは、特定の目的（例えば、投資管理、家族の目的、デートすること等）で用いられるアプリケーションまたはファイルを、セキュリティポリシーに関して異なる処置のために分離することを望む場合がある。上記が示すように、混合使用コンピュータのためのセキュアなコンピューティング環境を提供するための技法が望ましい場合がある。

【0024】

本明細書において用いられるとき、「混合使用コンピュータ」というフレーズ（または代替的に、混合使用コンピューティングマシン、混合使用コンピューティングデバイス等）は、その普通で通常の意味を包含する。混合使用コンピュータは、コンピューティングリソース（例えば、アプリケーション、ファイル、クラウドファイルストレージアクセス、電子メール、ビデオ、写真等）を記憶することができ、それらのうちのいくつかはセキュリティポリシーに関連付けられ、それらのうちの他のものは関連付けられていない。例えば、ユーザは、個人およびビジネス両方の使用のためにコンピュータを用い得る。コンピュータは、同じユーザプロフィール（例えば、ログイン識別子に関連付けられたユーザアカウント、およびいくつかの場合、コンピュータにおけるリソースにアクセスするためのパスワード）において、ビジネスコンピューティングリソース（例えば、特許出願、審査官通知応答、クライアントピッチ、およびユーザがビジネス目的で用いるビジネス電子メールメッセージ）、および個人コンピューティングリソース（例えば、個人電子メールメッセージ、個人の手紙、写真およびビデオ）を記憶する場合がある。ビジネスは、ビジネスコンピューティングリソースに対し、ビジネスセキュリティおよび追跡ポリシーを施行する一方で、個人コンピューティングリソースにおいてはビジネスセキュリティポリシーを適用することを見合わせ、ユーザのプライバシを確保することを望む場合がある。代替的に、本発明は、必ずしもビジネス／個人コンピューティングリソースでない、セキュリティポリシーを適用する／適用しないコンピューティングリソースの任意のタイプを分離するために用いられてもよい。

【0025】

上記で論じたように、混合使用コンピュータは、個人およびビジネスコンピューティングリソース（例えば、アプリケーションまたはファイル）の両方を記憶することができる。いずれのコンピューティングリソースがセキュリティポリシーおよび／または追跡の対象であるか（または、でないか）をユーザに通知することが望ましい場合がある。

【0026】

本明細書において用いられるとき、「セキュリティポリシー」という用語は、その普通で通常の意味を包含する。セキュリティポリシーは、コンピューティングリソース（例えば、コンピューティングマシンにおける、ビジネスコンピューティングリソース、またはありとあらゆるコンピューティングリソース）のセットに関して認可されたおよび認可されていないアクションを定義し、コンピューティングマシンが認可されていないアクションをとることを阻止する。セキュリティポリシーは、（例えば、ウィルス対策ソフトウェアまたは他のソフトウェアによる）様々なアクセスパーミッション、およびコンピューティングリソース共有パーミッションを含むことができる。セキュリティポリシーは、特定のアクション（例えば、パスワードの入力、指紋または顔スキャンによるユーザ識別の検証等）が、セキュリティポリシーによってカバーされるコンピューティングリソースにアクセスすることの前に、またはセキュリティポリシーによってカバーされるコンピューティングリソースを（例えば、メッセージングサービスによる）共有することの前にとられることを必要とする場合がある。

【0027】

いくつかの場合、セキュリティポリシーは、追跡ポリシーまたは監視ポリシーを含むことができる。例えば、追跡ポリシーまたは監視ポリシーは、（例えば、リモートコンピューティングマシンにおける）管理者が、追跡ポリシーまたは監視ポリシーによってカバーされるコンピューティングリソースに関し、コンピューティングマシンのユーザのアクティビティを監視することを可能にすることができる。追跡ポリシーまたは監視ポリシーは、管理者がアクセス可能なサーバまたはデータリポジトリにおけるコンピューティングリソースに関して、コンピューティングマシンのユーザのアクティビティのレコードを記憶することができる。

【0028】

セキュリティポリシーによってカバーされるコンピューティングリソースおよびカバーされないコンピューティングリソース（例えば、ビジネスリソースおよび個人リソース）は、様々な方法で分離することができる。例えば、セキュリティポリシーによってカバーされるコンピューティングリソースは、ファイルシステムにおいて、セキュリティポリシーによってカバーされていないリソースと異なるディレクトリ内に存在する場合がある。代替的に、特定のファイルタイプ（例えば、．ｄｏｃｘファイル等のワードプロセッサに関連付けられたファイルタイプ）を有するか、または特定のソフトウェアによって作成されたコンピューティングリソースは、セキュリティポリシーによってカバーすることができる一方で、他のファイルタイプ（例えば、．ｊｐｇファイル等の写真に関連付けられたファイルタイプ）を有するかまたは他のソフトウェアによって作成されたファイルは、ファイルが存在するディレクトリと無関係に、セキュリティポリシーによってカバーされない場合がある。

【0029】

コンピューティングマシンは、複数のセキュリティポリシーを有することができる。例えば、コンピューティングマシンは、コンピューティングマシン上の全てのコンピューティングリソースについてウィルス対策セキュリティポリシーを有することができる。コンピューティングマシンは、特定のルールをビジネスコンピューティングリソースに適用するが、他のコンピューティングリソースには適用しない、ビジネスコンピューティングリソースセキュリティポリシーも有することができる。

【0030】

コンピューティングリソースは、例えば、ファイル、アプリケーション、ネットワークインタフェースオーバーレイ（例えば、ネットワークトンネル）、ウィンドウ等を含むことができる。コンピューティングリソースは、コンピューティングマシンのメモリに記憶することができる。

【0031】

図２は、混合使用コンピューティングマシンを用いることができる例示的なシステム２００を示す。示すように、システム２００は、コンピューティングマシン２０２および追跡サービス２１０を含む。示すように、コンピューティングマシン２０２はラップトップコンピュータである。しかしながら、代替的な実施形態において、コンピューティングマシン２０２は、処理回路およびメモリを含む任意のコンピューティングマシン、例えば、デスクトップコンピュータ、モバイルフォン、タブレットコンピュータ、スマートウォッチ、携帯情報端末（ＰＤＡ）等であり得る。コンピューティングマシン２０２は、コンピューティングマシン１００のコンポーネントの全てまたは一部分を含むことができる。示すように、追跡サービス２１０はクラウドサービスである。追跡サービス２１０は、クラウドベースの追跡サービス、１つ以上のサーバ、コンピューティングマシン２０２において施行されるセキュリティポリシーに関連付けられたアドミニストレータコンピューティングデバイス等のうちの１つ以上を含むことができる。

【0032】

コンピューティングマシン２０２は、複数の個人コンピューティングリソースおよび複数のビジネスコンピューティングリソースを記憶することができる。これらのリソースのうちのいくつか、例えば、個人コンピューティングリソース２０８およびビジネスコンピューティングリソース２０４は、コンピューティングマシン２０２のディスプレイユニット（例えば、スクリーンまたはモニタ）を介して表示することができる。ビジネスコンピューティングリソース２０４および個人コンピューティングリソース２０８の両方を、リモート仮想マシンまたは物理マシンにアクセスすることによってではなく、コンピューティングマシン２０２のネイティブコンピューティング環境を介して表示することができる。

【0033】

個人コンピューティングリソースおよびビジネスコンピューティングリソースは、様々な方法で分離させることができる。いくつかの実施形態では、個人コンピューティングリソースおよびビジネスコンピューティングリソースは、ファイルシステムの指定され事前定義されたロケーションに存在する。例えば、特定のディレクトリは、ビジネスコンピューティングリソースに関連付けることができ、特定の他のディレクトリは、個人コンピューティングリソースに関連付けることができる。いくつかの実施形態では、個人コンピューティングリソースは個人ファイルタイプ（例えば、．ｊｐｇまたは．ｍｐ３）に関連付けられる一方、ビジネスコンピューティングリソースは、ビジネスファイルタイプ（例えば、．ｄｏｃまたは．ｘｌｓ）に関連付けられる。いくつかの実施形態では、個人コンピューティングリソースは、特定のアプリケーション（例えば、カメラアプリケーション）によって生成される一方、ビジネスコンピューティングリソースは、特定の他のアプリケーション（例えば、ワードプロセッサ、スプレッドシートプログラムまたはスライドプレゼンテーションプログラム）によって生成される。

【0034】

本明細書において用いられるとき、「ネイティブコンピューティング環境」という用語は、その普通で通常の意味を包含する。コンピューティングリソース（例えば、アプリケーション、ファイルまたはウィンドウ）は、（例えば、いかなる外部ソフトウェアレイヤーもなしで、および仮想マシンもしくは仮想化ソフトウェアへのアクセスを要求することもなく、コンピューティングリソースを記憶する物理的コンピューティングマシンの、または代替的に直接仮想マシン上の）オペレーティングシステムにおいて直接実行される場合、ネイティブコンピューティング環境において実行される。

【0035】

いくつかの実施形態では、「管理されるゾーン」（「ビジネスゾーン」または「作業ゾーン」とも呼ばれ得る）は、コンピューティングマシンのネイティブコンピューティング環境内で定義されることができる。管理されるゾーンは、コンピューティングマシンのまたはクラウドストレージユニットのファイルシステムの一部分に存在するコンピューティングリソースを含むことができる。管理されるゾーンは、ネットワークにアクセスするためのネットワークインタフェースオーバーレイ（例えば、ネットワークトンネル）も含むことができる。管理されるゾーンは、特定のアプリケーションを含むことができる。いくつかの実施形態では、セキュリティポリシーは、管理されるゾーンの外部のコンピューティングリソースではなく、管理されるゾーン内のコンピューティングリソースに適用されることができる。

【0036】

コンピューティングマシン２０２は、個人コンピューティングリソースではなくビジネスコンピューティングリソースに適用するセキュリティポリシーを記憶することができる。セキュリティポリシーは、ビジネスコンピューティングリソースのスクリーンキャプチャ、ビジネスコンピューティングリソースの共有、ビジネスコンピューティングリソースからデータをコピーすること等を制限することができる。セキュリティポリシーは、コンピューティングマシン２０２において、追跡サービス２１０による、ビジネスコンピューティングリソースの使用の追跡を可能にすることもできる。セキュリティポリシーを施行する間、追跡サービス２１０は、コンピューティングデバイスにおいて個人コンピューティングリソースのユーザを追跡しないことがあり得る。

【0037】

図２に示すように、コンピューティングマシン２０２は、結合されたディスプレイユニット上に、ビジネスコンピューティングリソース２０４および個人コンピューティングリソース２０８を表示する。ビジネスコンピューティングリソース２０４に隣接した視覚的インディケータ２０６は、ビジネスコンピューティングリソース２０４がセキュリティポリシーおよび追跡サービス２１０による追跡の対象となることを示す。個人コンピューティングリソース２０８は、セキュリティポリシーの対象でなく、追跡サービス２１０による追跡の対象でないため、そのような視覚的インディケータがない。示すように、視覚的インディケータ２０６は境界線である。しかしながら、他の実施形態において、視覚的インディケータ２０６は、境界線、バッジ等のうちの１つ以上を含むことができる。

【0038】

いくつかの実施形態では、視覚的インディケータ２０６は境界線である。境界線は、ビジネスコンピューティングリソース２０４からｎ個以下のピクセル（ｎは正の整数）の距離以内にあるビジネスコンピューティングリソース２０４の外側の点を、これらのピクセルがコンピュティングリソーススタック内のビジネスコンピューティングリソース２０４よりもドミナント（ｄｏｍｉｎａｎｔ）な他のコンピューティングリソース（例えば、ウィンドウ）によって占有されていない限り、占有することができる。他のコンピューティングリソースは、例えば、ビジネスコンピューティングリソース２０４よりも近時に用いられた場合、よりドミナントであり得る。これは、例えば図４Ａから図４Ｂに示され、以下でより詳細に論じられる。

【0039】

上記で論じたように、ビジネスコンピューティングリソースはセキュリティポリシーおよび追跡の対象である。個人コンピューティングリソースは、セキュリティポリシーおよび追跡の対象でない。しかしながら、代替的な実施形態において、個人／ビジネスと異なるコンピューティングリソースが用いられてもよい。例えば、親が子に、親が追跡および／または管理することを望むいくつかのリソース（例えば、ウェブブラウザ、ビデオプレーヤ）、ならびに親が追跡および／または管理することを望まない他のリソース（例えば、メモリに記憶された、ワードプロセッサ、チェスプレイアプリケーション）を有するコンピューティングマシンを与える場合がある。代替的に、投資家は、彼／彼女の投資顧問が、投資管理目的で用いられるリソース（例えば、投資会社ウェブサイト、投資会社アプリケーション）を追跡および／または管理することができるが、他のリソース（例えば、他のウェブサイト、アプリケーション、またはファイル）は追跡および／または管理できないことを望む場合がある。

【0040】

図３は、視覚的追跡インディケータを提供することに関連付けられた例示的なプロセス３００のフローチャートである。いくつかの実施態様において、図３の１つ以上のプロセスブロックは、コンピューティングマシン（例えば、コンピューティングマシン１００）によって行われることができる。いくつかの実施態様において、図３の１つ以上のプロセスブロックは、別のデバイス、またはコンピューティングマシンと別個のもしくはコンピューティングマシンを含むデバイスのグループによって行われる場合がある。加えてまたは代替的に、図３の１つ以上のプロセスブロックは、プロセッサ１０２、メインメモリ１０４、スタティックメモリ１０６、ネットワークインタフェースデバイス１２０、ビデオディスプレイ１１０、英数字入力デバイス１１２、ＵＩナビゲーションデバイス１１２、ドライブユニット１１６、信号生成デバイス１１８および出力コントローラ１２８等の、コンピューティングマシン１００の１つ以上のコンポーネントによって行われてもよい。

【0041】

図３に示すように、プロセス３００は、コンピューティングマシンにおいて、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースを記憶することを含むことができ、複数の管理されるコンピューティングリソースはセキュリティポリシーに関連付けられる（ブロック３１０）。例えば、上記で説明したように、コンピューティングマシンは、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースを記憶することができ、複数の管理されるコンピューティングリソースはセキュリティポリシーに関連付けられる。

【0042】

図３に更に示すように、プロセス３００は、コンピューティングマシンのネイティブコンピューティング環境を介して、コンピューティングマシンに結合されたディスプレイユニットに、指定された管理されるコンピューティングリソースの全てまたは一部分、および指定された追加のコンピューティングリソースの全てまたは一部分を同時に表示させること（ブロック３２０）を含むことができる。例えば、上記で説明したように、コンピューティングマシンは、コンピューティングマシンのネイティブコンピューティング環境を介して、コンピューティングマシンに結合されたディスプレイユニットに、指定された管理されるコンピューティングリソースの全てまたは一部分、および指定された追加のコンピューティングリソースの全てまたは一部分を同時に表示させることができる。

【0043】

図３に更に示すように、プロセス３００は、セキュリティポリシーからのセキュリティルールを、指定された管理されるコンピューティングリソースに適用することを含むことができ、セキュリティルールを適用することは、少なくとも指定された管理されるコンピューティングリソースに関するコンピューティングマシンのアクティビティを追跡することを促進することを含む（ブロック３３０）。例えば、上記で説明したように、コンピューティングマシンは、セキュリティポリシーからのセキュリティルールを、指定された管理されるコンピューティングリソースに適用することができ、セキュリティルールを適用することは、少なくとも指定された管理されるコンピューティングリソースに関するコンピューティングマシンのアクティビティを追跡することを促進することを含む。

【0044】

図３に更に示すように、プロセス３００は、指定された追加のコンピューティングリソースに関する、および複数の管理されるコンピューティングリソースのうちの１つ以上に関連付けられていないコンピューティングマシン上のアクティビティに関するコンピューティングマシンのアクティビティを追跡することを促進することを見合わせること（ブロック３４０）を含むことができる。例えば、上記で説明したように、コンピューティングマシンは、指定された追加のコンピューティングリソースに関する、および複数の管理されるコンピューティングリソースのうちの１つ以上に関連付けられていないコンピューティングマシン上のアクティビティに関するコンピューティングマシンのアクティビティを追跡することを促進することを見合わせることができる。

【0045】

プロセス３００は、以下で説明する、および／または本明細書の他の箇所で説明される１つ以上の他のプロセスに関連する、任意の単一の実施態様または実施態様の任意の組合せ等の追加の実施態様を含むことができる。

【0046】

第１の実施態様において、追加のコンピューティングリソースは個人コンピューティングリソースを含み、管理されるコンピューティングリソースはビジネスコンピューティングリソースを含み、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースは、ファイル、クラウドファイルストレージアクセス、アプリケーション、またはウェブサイトを含む。クラウドファイルストレージアクセスは、ネットワークベースのファイルストレージシステム（例えば、ワシントン州レッドモンドのＭｉｃｒｏｓｏｆｔ社によって開発されたＯｎｅＤｒｉｖｅｆｏｒＢｕｓｉｎｅｓｓ（Ｒ））へのアクセスを含むことができる。

【0047】

第２の実施態様において、プロセス３００は、セキュリティポリシーからのセキュリティルールを、指定された追加のコンピューティングリソースに適用することを見合わせることを含む。

【0048】

第３の実施態様において、プロセス３００は、指定された管理されるコンピューティングリソースと関連付けて、追跡することが進行中であることを示す視覚的インディケータを表示することを含む。

【0049】

第４の実施態様において、視覚的インディケータは、指定された管理されるコンピューティングリソースによって占有されるディスプレイユニットの領域に隣接したバッジまたは境界線を含み、管理されるコンピューティングリソースの起動時に視覚的インディケータが確立され、管理されるコンピューティングリソースから出るとき、またはコンピューティングマシンのユーザによるログアウト時に、視覚的インディケータが除去される。例えば、ユーザは、ウェブブラウザにおいて彼／彼女の雇用主に関連付けられたウェブページにアクセスすることができる。ウェブページを介したアカウントへのログイン時に、視覚的インディケータがウェブブラウザの周りに現れる場合がある。後の時点において、ユーザがウェブページを介してアカウントからログアウトするかまたはウェブブラウザを閉じるとき、視覚的インディケータが除去され得る。

【0050】

第５の実施態様において、指定された管理されるコンピューティングリソースに関するコンピューティングマシンのアクティビティ、および指定された追加のコンピューティングリソースに関するコンピューティングマシンのアクティビティは、ネットワークトラフィックを含む。

【0051】

第６の実施態様において、指定された管理されるコンピューティングリソースに関するコンピューティングマシンのアクティビティ、および指定された追加のコンピューティングリソースに関するコンピューティングマシンのアクティビティは、インターネットブラウジングを含む。

【0052】

第７の実施態様において、指定された管理されるコンピューティングリソースに関するコンピューティングマシンのアクティビティ、および指定された追加のコンピューティングリソースに関するコンピューティングマシンのアクティビティは、カメラまたはマイクロフォン入力アクティビティを含む。

【0053】

第８の実施態様において、プロセス３００は、コンピューティングマシンから追跡サービスに送信される情報を記憶することと、ユーザ要求に応答して、コンピューティングマシンから追跡サービスに送信される情報の視覚的表現の表示を提供することとを含む。

【0054】

第９の実施態様において、追跡サービスは、セキュリティポリシーに関連付けられた、クラウドベースの追跡サービス、１つ以上のサーバ、およびアドミニストレータコンピューティングデバイスのうちの１つ以上を含む。

【0055】

第１０の実施態様において、セキュリティルールは、指定された管理されるコンピューティングリソースから指定された追加のコンピューティングリソースへの動作のセットをブロックする１つ以上のルールを含み、動作のセットが、ドラッグアンドドロップ動作、コピーアンドペースト動作、カットアンドペースト動作、キーログ動作、ファイルダウンロード動作、ファイルアップロード動作、ファイルアタッチメント動作、印刷動作、特定のウェブサイトを開く動作、ウェブサイトのカテゴリを開く動作、アプリケーション起動動作、またはスクリーンショット動作のうちの少なくとも１つを含む。換言すれば、セキュリティルールは、指定された管理されるコンピューティングリソースから指定された追加のコンピューティングリソースへの特定の動作を阻止することができる。例えば、ユーザは、指定された管理されるコンピューティングリソースから指定された追加のコンピューティングリソースにコンテンツをドラッグアンドドロップ、コピーアンドペースト、またはカットアンドペーストすることができない場合がある。ユーザは、指定された管理されるコンピューティングリソース内でキーロギングを実施し指定された追加のコンピューティングリソースからのロギングされたキーにアクセスすることができない場合がある。ユーザは、指定された管理されるコンピューティングリソースのスクリーンショットを取得し、このスクリーンショットを指定された追加のコンピューティングリソース内に置く（または指定された追加のコンピューティングリソースを介してスクリーンショットを閲覧する）ことができない場合がある。

【0056】

１つの例示的なユースケースにおいて、ユーザは、彼女のデスクトップコンピュータにおいて、作業ファイル（クライアントのための不動産購入契約のドラフトを含むワード処理文書）、および個人ファイル（ユーザの祖母への手紙を含むワード処理文書）を開いた。不動産購入契約は、緑色の境界線によって取り囲まれ、これが管理されるコンピューティングリソースである作業ファイルであることを示す楕円形のバッジを有する。祖母への手紙はそのような境界線によって取り囲まれていない。ユーザは、不動産購入契約のドラフトの１つの部分から、その不動産購入契約のドラフトの別の部分にテキストのコピーを試行し、これを行うことができる。次に、ユーザは、祖母への手紙を開き、ペーストのためのショートカットキーを押下する（例えば、ＣＴＲＬ＋Ｖ）。しかしながら、セキュリティポリシーにおけるセキュリティルールによるそのようなペースティングのブロッキングに起因して、不動産購入契約のドラフトからのテキストは、祖母への手紙にペーストされない。いくつかの実施態様によれば、セキュリティポリシーは、デスクトップコンピュータのドライバと通信し、これにより、不動産購入契約のドラフトから祖母への手紙へのテキストのペーストをブロックするためのセキュリティルールが施行され、それはなぜなら、不動産購入契約のドラフトは管理されるコンピューティングリソースであり、祖母への手紙は管理されるコンピューティングリソースでないためである。類似の技法を用いて、管理されるコンピューティングリソースから追加の（管理されない）コンピューティングリソースへの他の動作を阻止することができる。

【0057】

図３は、プロセス３００の例示的なブロックを示しているが、いくつかの実施態様において、プロセス３００は、更なるブロック、より少ないブロック、異なるブロック、または図３に示すものと異なって配置されたブロックを含んでもよい。加えてまたは代替的に、プロセス３００のブロックのうちの２つ以上が並列に実行されてもよい。

【0058】

図４Ａ－図４Ｂは、（例えば、セキュリティポリシーによって）追跡されるリソースおよび追跡されないリソースを視覚的に示す例示的なスクリーン４００Ａおよび４００Ｂを示す。スクリーン４００Ａおよび４００Ｂが示されているが、他のディスプレイデバイスまたはディスプレイユニット（例えば、プロジェクタ、モニタ等）がスクリーンの代わりに用いられてもよいことに留意されたい。

【0059】

図４Ａに示すように、スクリーン４００Ａは、ビジネスコンピューティングリソース４０２Ａおよび個人コンピューティングリソース４０４Ａを表示する。ビジネスコンピューティングリソース４０２Ａは、関連付けられたビジネスのセキュリティポリシーに基づいて追跡される一方、個人コンピューティングリソース４０４Ａは追跡されず、セキュリティポリシーによってカバーされない。図４Ａに示すように、ビジネスコンピューティングリソース４０２Ａは、（例えば、何故なら、最後に選択されたコンピューティングリソースであるから）ドミナントなコンピューティングリソースであり、個人コンピューティングリソース４０４Ａを部分的に遮蔽する。示すように、ビジネスコンピューティングリソース４０２Ａは、境界線４０６Ａによって取り囲まれ、隣接するバッジ４０８Ａを有する。

【0060】

図４Ｂに示すように、図４Ａと同様に、スクリーン４００Ｂは、ビジネスコンピューティングリソース４０２Ｂおよび個人コンピューティングリソース４０４Ｂを表示する。しかしながら、スクリーン４００Ｂでは、個人コンピューティングリソース４０４Ｂは、（例えば、何故なら、最後に選択されたコンピューティングリソースであるから）ドミナントなコンピューティングリソースであり、ビジネスコンピューティングリソース４０４Ｂを部分的に遮蔽する。示すように、ビジネスコンピューティングリソース４０２Ｂは、境界線４０６Ｂによって取り囲まれ、隣接するバッジ４０８Ｂを有する。

【0061】

コンピューティングマシンにおいて開いているコンピューティングリソース（例えばウィンドウ）は、ドミナンススタック（ｄｏｍｉｎａｎｃｅｓｔａｃｋ）において最もドミナントなものから最もドミナントでないものに配置されることができる（例えば、後入れ先出しデータ構造において、最後に選択されたコンピューティングリソースが最もドミナントであり、スタックの最上位にあり、最後から２番目に選択されたコンピューティングリソースが２番目にドミナントであり、スタックの最上部から２番目にある等である）。境界線４０６Ａ／４０６Ｂおよび／またはバッジ４０８Ａ／４０８Ｂは、ドミナンススタックにおいて、ビジネスコンピューティングリソース４０２Ａ／４０２Ｂと同じ位置を有することができる。このため、図４Ａに示すように、ビジネスコンピューティングリソース４０２Ａが個人コンピューティングリソース４０４Ａを覆う（例えば、ビジネスコンピューティングリソース４０２Ａが、より近時に選択されたため、スタックの最上部のより近くにある）とき、境界線４０６Ａまたはバッジ４０８Ａも、個人コンピューティングリソース４０４Ａを覆うことができる。図４Ｂに示すように、個人コンピューティングリソース４０４Ｂがビジネスコンピューティングリソース４０２Ｂを覆う（例えば、個人コンピューティングリソース４０４Ｂが、より近時に選択されたため、スタックの最上部のより近くにある）とき、個人コンピューティングリソース４０４Ｂは、境界線４０６Ｂまたはバッジ４０８Ｂも覆うことができる。

【0062】

ビジネスコンピューティングリソース４０２Ａ／４０２Ｂおよび個人コンピューティングリソース４０４Ａ／４０４Ｂは共に、スクリーン４００Ａ／４００Ｂに関連付けられたコンピューティングマシンのネイティブコンピューティング環境に関連付けられることができる。

【0063】

境界線４０６Ａ／４０６Ｂおよび／またはバッジ４０８Ａ／４０８Ｂは、セキュリティポリシーがビジネスコンピューティングリソース４０２Ａ／４０２Ｂに適用可能であることを示す。個人コンピューティングリソース４０４Ａ／４０４Ｂは境界線および／またはバッジがないため、スクリーン４００Ａ／４００Ｂの閲覧者は、セキュリティポリシーが個人コンピューティングリソース４０４Ａ／４０４Ｂに適用可能でないことを視覚的に決定することができる。

【0064】

スクリーン４００Ａにおいて、境界線４０６Ａは、ビジネスコンピューティングリソース４０２Ａが、個人コンピューティングリソース４０４Ｂよりも（例えば、コンピューティングリソースのスタックにおいて、例えばいくつかのＭｉｃｒｏｓｏｆｔ（Ｒ）オペレーティングシステムにおけるウィンドウにおいて）ドミナントであるため、個人コンピューティングリソース４０４Ｂを遮蔽する。しかしながら、スクリーン４００Ｂにおいて、個人コンピューティングリソース４０４Ｂが、ビジネスコンピューティングリソース４０２Ｂよりも（例えば、コンピューティングリソースのスタックにおいて、例えばいくつかのＭｉｃｒｏｓｏｆｔ（Ｒ）オペレーティングシステムにおけるウィンドウにおいて）ドミナントであるため、境界線４０６Ｂを遮蔽する。

【0065】

ビジネスコンピューティングリソース４０２Ａは、（例えば、ビジネスに関連付けられた）セキュリティポリシーの対象となる一方で、個人コンピューティングリソース４０４Ａ／４０４Ｂは、セキュリティポリシーの対象とならない。例えば、ビジネスは法律事務所とすることができ、ビジネスコンピューティングリソースは、法律事務所における弁護士によってドラフトが作成されている契約であり得る。個人コンピューティングリソースは、弁護士の家族の個人的写真であり得る。境界線４０６Ａ／４０６Ｂは、セキュリティポリシーの対象となるコンピューティングリソースを識別する。結果として、スクリーン４００Ａ／４００Ｂのユーザは、表示されたコンピューティングリソースのいずれがセキュリティポリシーの対象であり、いずれが対象でないかを迅速に識別することができる。

【0066】

バッジ４０８Ａ／４０８Ｂは、（例えば、マウスクリックもしくはタッチスクリーンのタッチによって、または代替的に、カーソルがバッジ４０８／４０８Ｂ上に位置決めされている間にマウスをクリックすることによって）選択されると、セキュリティポリシーに関する情報（例えば、スクリーン４００Ａ／４００Ｂのユーザが、ビジネスコンピューティングリソース４０２Ａ／４０２Ｂに関していずれのアクションを行うことを許されているかまたは許されていないか）を表示する。

【0067】

いくつかの実施形態では、境界線４０６Ａ／４０６Ｂは、ビジネスコンピューティングリソース４０２Ａ／４０２Ｂの縁部から閾値距離（例えば、ｎ個のピクセル、ここでｎは正の整数である）以内にあり、バッジ４０８Ａ／４０８Ｂによって占有されていない、ビジネスコンピューティングリソース４０２Ａ／４０２Ｂの外部にあるピクセルを占有する。

【0068】

いくつかの実施形態では、スクリーン４００Ａ／４００Ｂ上に表示されるビジネスコンピューティングリソース４０２Ａ／４０２Ｂおよび個人コンピューティングリソース４０４Ａ／４０４Ｂは、それぞれ、表示優先度値（例えば、表示されているコンピューティングリソースが最後に選択された時間に基づく）に関連付けられる。境界線４０６Ａ／４０６Ｂは、（例えば、指定された管理されるコンピューティングリソースの最後の選択時の後に選択された）ビジネスコンピューティングリソース４０２Ａ／４０２Ｂよりも高い優先度値を有するコンピューティングリソースによって占有されないピクセルを含む。例えば、スクリーン４００Ａにおいて、ビジネスコンピューティングリソース４０２Ａは、個人コンピューティングリソース４０４Ａよりも高い優先度値を有する。結果として、境界線４０６Ａは、個人コンピューティングリソース４０４Ａを覆う。対照的に、スクリーン４００Ｂにおいて、ビジネスコンピューティングリソース４０２Ｂは、個人コンピューティングリソース４０４Ｂよりも低い優先度値を有する。結果として、個人コンピューティングリソース４０４Ｂは、境界線４０４Ｂを覆う。

【0069】

いくつかの実施形態では、ビジネスコンピューティングリソース４０２Ａは、スクリーン４００Ａに沿ってドラッグされることができる（例えば、ユーザは、マウスを用いてビジネスコンピューティングリソース４０２Ａのタイトルバーを選択し、マウスをスクリーン４００Ａに沿って動かすことができる。代替的に、スクリーン４００Ａがタッチスクリーンである場合、ユーザは、タッチスクリーン４００Ａ上で指またはスタイラスを用いてタイトルバーを選択し、指またはスタイラスをタッチスクリーン４００Ａに沿って動かすことができる）。スクリーン４００Ａに関連付けられたコンピューティングマシンにおける処理回路は、ｎミリ秒ごとに１回の離散方式で、またはオペレーティングシステムウィンドウイベントに基づいて、境界線４０６Ａおよび／またはバッジ４０８Ａの位置を再計算することができる。ここで、ｎは所定の正の数である。結果として、処理回路（例えば、中央処理ユニットまたはグラフィック処理ユニット）は、ビジネスコンピューティングリソース４０２Ａがドラッグされるたびに境界線４０６Ａおよび／またはバッジ４０８Ａの位置を計算することにより過負荷になり得ない。

【0070】

図４Ａ－図４Ｂと併せて、ビジネスコンピューティングリソースがセキュリティポリシーの対象であり、個人コンピューティングリソースがセキュリティポリシーの対象でないいくつかの実施形態が説明される。しかしながら、任意の事前定義されたコンピューティングリソースが、セキュリティポリシーの対象のビジネスコンピューティングリソースおよびセキュリティポリシーの対象でない個人コンピューティングリソースに置き換わることができる。

【0071】

例えば、親が、１３歳未満の子供に適した映画には（上記の個人コンピューティングリソースと同様に）セキュリティポリシーが適用されず、１３歳－１７歳の子供に適した映画には（上記のビジネスコンピューティングリソースと同様に）セキュリティポリシーが適用される、スクリーン共有技法を用いて、親の映画鑑賞コンピューティングデバイスから子供に映画を見せる場合がある。本明細書に開示される技法を用いて、親は、セキュリティポリシーの干渉なしに、１３歳未満の子供に適したＧレーティングの映画を子供に見せることが可能であり得る。親が１３歳－１７歳の子供に適したＰＧ－１３レーティングの映画を子供に見せることを望むとき、セキュリティポリシーが適用され得る。セキュリティポリシーは、例えば、ＰＧ－１３の映画を見せることを阻止し、ＰＧ－１３レーティングの映画を見せるとき、他方の親に通知し、親がＰＧ－１３の映画を見せるために、追加の肯定的ステップをとる（例えば、パスワードまたはＰＧ－１３の映画を見せる理由をポップアップウィンドウにタイピングする）ことを要求することができる。

【0072】

上記で説明したように、境界線４０６Ａ／４０６Ｂおよびバッジ４０８Ａ／４０８Ｂは、境界線４０６Ａ／４０６Ｂおよびバッジ４０８Ａ／４０８Ｂに関連付けられたリソースがセキュリティポリシーによってカバーされることを示す。しかしながら、境界線４０６Ａ／４０６Ｂおよびバッジ４０８Ａ／４０８Ｂは、他のリソースを分離するために用いられてもよい。例えば、境界線４０６Ａ／４０６Ｂおよびバッジ４０８Ａ／４０８Ｂは、ビジネスコンピューティングリソースおよび個人コンピューティングリソースを分離するために用いられてもよく、ここで、ビジネスコンピューティングリソースおよび個人コンピューティングリソースの両方にセキュリティポリシーが適用されない。スクリーン４００Ａ／４００Ｂを表示するコンピューティングマシンは：ファイルシステムのディレクトリにおけるコンピューティングリソースのロケーション、クラウドストレージロケーション、コンピューティングリソースに関連付けられたアプリケーション、コンピューティングリソースのファイルタイプ、またはコンピューティングリソースのソース（例えば、電子メール、ブラウザ、ネットワークベースのストレージ等）のうちの少なくとも１つに基づいて、所与のコンピューティングリソースを、個人コンピューティングリソースまたはビジネスコンピューティングリソースであるとして識別することができる。

【0073】

図５は、追跡されるリソースを視覚的に示すことに関連付けられた例示的なプロセスのフローチャートである。いくつかの実施態様において、図５の１つ以上のプロセスブロックは、コンピューティングマシン（例えば、コンピューティングマシン１００）によって行われことができる。いくつかの実施態様において、図５の１つ以上のプロセスブロックは、別のデバイス、またはコンピューティングマシンと別個のもしくはコンピューティングマシンを含むデバイスのグループによって行われる場合がある。加えてまたは代替的に、図５の１つ以上のプロセスブロックは、プロセッサ１０２、メインメモリ１０４、スタティックメモリ１０６、ネットワークインタフェースデバイス１２０、ビデオディスプレイ１１０、英数字入力デバイス１１２、ＵＩナビゲーションデバイス１１２、ドライブユニット１１６、信号生成デバイス１１８および出力コントローラ１２８等の、コンピューティングマシン１００の１つ以上のコンポーネントによって行われてもよい。

【0074】

図５に示すように、プロセス５００は、コンピューティングマシンにおいて、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースを記憶することを含むことができ、複数の管理されるコンピューティングリソースはセキュリティポリシーに関連付けられる（ブロック５１０）。例えば、上記で説明したように、コンピューティングマシンは、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースを記憶することができ、複数の管理されるコンピューティングリソースはセキュリティポリシーに関連付けられる。

【0075】

図５に更に示すように、プロセス５００は、コンピューティングマシンのネイティブコンピューティング環境を介して、コンピューティングマシンに結合されたディスプレイユニットに、第１の表示位置において、複数の管理されるコンピューティングリソースの中からの指定された管理されるコンピューティングリソースの全てまたは一部分を表示させること（ブロック５２０）を含むことができる。例えば、上記で説明したように、コンピューティングマシンは、コンピューティングマシンのネイティブコンピューティング環境を介して、コンピューティングマシンに結合されたディスプレイユニットに、第１の表示位置において、複数の管理されるコンピューティングリソースの中からの指定された管理されるコンピューティングリソースの全てまたは一部分を表示させることができる。

【0076】

図５に更に示すように、プロセス５００は、ディスプレイユニットに、第１の表示位置に基づいて計算された表示位置において、指定された管理されるコンピューティングリソースがセキュリティポリシーに関連付けられていることの視覚的インディケータを表示させること（ブロック５３０）を含むことができる。例えば、上記で説明したように、コンピューティングマシンは、ディスプレイユニットに、第１の表示位置に基づいて計算された表示位置において、指定された管理されるコンピューティングリソースがセキュリティポリシーに関連付けられていることの視覚的インディケータを表示させることができる。

【0077】

図５に更に示すように、プロセス５００は、セキュリティポリシーからのセキュリティルールを、指定された管理されるコンピューティングリソースに適用すること（ブロック５４０）を含むことができる。例えば、上記で説明したように、コンピューティングマシンは、セキュリティポリシーからのセキュリティルールを、指定された管理されるコンピューティングリソースに適用することができる。

【0078】

プロセス５００は、以下で説明する、および／または本明細書の他の箇所で説明される１つ以上の他のプロセスに関連する、任意の単一の実施態様または実施態様の任意の組合せ等の追加の実施態様を含むことができる。

【0079】

いくつかの実施形態によれば、追加のコンピューティングリソースは、ディスプレイユニットに表示されることもできる。追加のディスプレイユニットは、視覚的インディケータがない場合がある。結果として、コンピューティングマシンのユーザは、ディスプレイユニットを閲覧している間、いずれのコンピューティングリソースがセキュリティポリシーに関連付けられているか（または関連付けられていないか）を容易に決定することが可能であり得る。

【0080】

【0081】

第２の実施態様において、追加のコンピューティングリソースは第１のタイプのコンピューティングリソースを含み、管理されるコンピューティングリソースは、エンティティ（例えば、ユーザまたは組織）が強化されたセキュリティを望む第２のタイプのコンピューティングリソースを含み、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースは、ファイル、クラウドファイルストレージアクセス、アプリケーション、またはウェブサイトを含む。

【0082】

第３の実施態様において、視覚的インディケータは、第１の表示位置の縁部に近接したバッジを含み、バッジは、セキュリティポリシーが指定された管理されるコンピューティングリソースに適用可能であることを示す。

【0083】

第４の実施態様において、プロセス５００は、バッジのユーザ選択を表す信号を受信することと、バッジのユーザ選択に応答して、ディスプレイユニットに、コンピューティングマシンに適用可能なセキュリティポリシーに関する情報を表示させることとを含む。

【0084】

第５の実施態様において、視覚的インディケータは境界線を含み、境界線はピクセルを含み、ピクセルは、第１の表示位置の外部にあり、第１の表示位置の縁部から閾値距離以内にあり、視覚的インディケータに関連付けられたバッジによって占有されていない。

【0085】

第６の実施態様において、複数のコンピューティングリソースがディスプレイユニット上に表示され、表示された各コンピューティングリソースが、表示されたコンピューティングが最後に選択された時間に基づいて表示優先度値に関連付けられ、境界線は、指定された管理されるコンピューティングリソースの最後の選択時の後に選択されたコンピューティングリソースによって占有されないピクセルを含む。

【0086】

第７の実施態様において、プロセス５００は、コンピューティングマシンの処理回路において、指定された管理されるコンピューティングリソースをディスプレイユニットに沿ってドラッグすることを表す信号を受信すること、処理回路を用いて、境界線の位置を、ｎマイクロ秒ごとに１回の離散方式で、またはオペレーティングシステムウィンドウイベントに基づいて再計算することを含み、ｎは所定の正の数である。

【0087】

第８の態様において、プロセス５００は、指定された管理されるコンピューティングリソースによってポップアップまたはディスプレイ上のアラートを生成することと、ポップアップまたはディスプレイ上のアラートの周りに境界線の表示を発生させることとを含む。

【0088】

第９の実施態様において、プロセス５００は、コンピューティングマシンにおいて、セキュリティルールに違反するアクションを行うことのユーザ要求を受信することと、セキュリティポリシーと併せて記憶され、セキュリティポリシーのアドミニストレータによって提供される設定に基づいて、ユーザーがアクションを行うことを望むことを確認することによる、ユーザによる追加の肯定的行為に応答して、ユーザがセキュリティルールに違反するアクションを行うことを許すこととを含む。

【0089】

第１０の実施態様において、プロセス５００は、コンピューティングマシンのネイティブコンピューティング環境を介して、ディスプレイユニットに、第２の表示位置において、複数の追加のコンピューティングリソースの中からの指定された追加のコンピューティングリソースの全てまたは一部分を表示させることと、指定された追加のコンピューティングリソースに関連付けて、ディスプレイユニットに、視覚的インディケータを表示させることを見合わせることと、セキュリティポリシーからのセキュリティルールを、指定された追加のコンピューティングリソースに適用することを見合わせることとを含む。

【0090】

第１１の実施態様において、プロセス５００は、コンピューティングマシンのネイティブコンピューティング環境を介して、コンピューティングマシンに結合されたディスプレイユニットに、事前定義された表示位置において、コンピューティングデバイス上で開いている複数のコンピューティングリソースの証印（ｉｎｄｉｃｉａ）を表示させることを含み、管理されるコンピューティングリソースの証印は、管理されるコンピューティングリソースがセキュリティポリシーに関連付けられていることを示す視覚シンボルと結合される。

【0091】

第１２の実施態様において、追加のコンピューティングリソースの証印は視覚シンボルと結合されない。

【0092】

第１３の実施態様において、複数のコンピューティングリソースの表示される証印は、タスクバーまたはドックを含む。

【0093】

図５は、プロセス５００の例示的なブロックを示しているが、いくつかの実施態様において、プロセス５００は、更なるブロック、より少ないブロック、異なるブロック、または図５に示すものと異なって配置されたブロックを含んでもよい。加えてまたは代替的に、プロセス５００のブロックのうちの２つ以上が並列に実行されてもよい。

【0094】

いくつかの実施形態では、同じアプリケーションに関連付けられた複数のコンピューティングリソース（例えば、ウィンドウまたはファイル）が同時に開いてもよい。例えば、単一のワードプロセッサアプリケーション（例えば、ＭｉｃｒｏｓｏｆｔＷｏｒｄ（Ｒ）またはＡｐａｃｈｅＯｐｅｎＯｆｆｉｃｅＷｒｉｔｅｒ（Ｒ））を有するコンピューティングマシンのユーザは、同時に開く２つのワードプロセッサファイル―ビジネスセキュリティポリシー（または任意の他のセキュリティポリシー）に関連付けられた特許出願文書、およびビジネスセキュリティポリシーに関連付けられていない個人の手紙文書を有してもよい（例えば、特許出願文書は、ファイルシステムのビジネスディレクトリ内に存在する場合がある一方、個人の手紙文書は、ファイルシステムの個人ディレクトリ内に存在する場合がある）。特許出願文書は、視覚的インディケータ（例えば、境界線またはバッジ）と結合され得る一方、個人の手紙文書は視覚的インディケータと結合されない場合がある。このため、ユーザは、いずれのセキュリティ設定が、彼／彼女がコンピューティングマシン上で開いたリソースに適用されるかを容易に決定することが可能であり得る。通常、コンピューティングマシンは、アプリケーションの単一のインスタンスを実行する。同じアプリケーションの別個のインスタンスを作成するために、いくつかの実施形態は、コンピューティングマシンが、個人リソースおよびビジネスリソースについて別個にアプリケーションに関連付けられた全てのオペレーティングシステムプロセスおよびオペレーティングシステムリソース（例えば、グローバルオブジェクト、リモート手順コール等）をエミュレートするように強制する。これは、例えば図１０において示され、エミュレートされたレジストリおよびエミュレートされたグローバルオブジェクトが、ネイティブコンピューティング環境のデフォルトレジストリおよび作業ゾーン内のグローバルオブジェクトの代わりに用いられている。

【0095】

いくつかの実施形態では、ビジネスコンピューティングリソースおよび個人コンピューティングリソース（またはセキュリティポリシーによってカバーされる／カバーされない他のコンピューティングリソース）は、視覚的に分離（および、いくつかの実施態様によれば、ファイルシステムにおいて分離）することができる。例えば、コンピューティングマシンに結合されたディスプレイユニットは、ビジネス視覚コンテナ（例えば、スクリーン上のボックス）を表示することができ、そこからビジネスコンピューティングリソースにアクセスすることができる。個人コンピューティングリソースは、ビジネス視覚コンテナの外側に表示されてもよく、またはスタートメニュー、ファイルエクスプローラ等を介してアクセスされてもよい。加えて、いくつかのビジネスコンピューティングリソースも、いくつかの場合、スタートメニュー、ファイルエクスプローラ等を介してアクセスされてもよい。これは、全てのユーザモードアプリケーションによって共有されることが意図されるいくつかのサブシステムをエミュレートすることによって行うことができる。カーネルおよびユーザモードレベルにおいて、文書化されていないエミュレーションサブシステムを作成すること、ならびに異なるオペレーティングシステム（例えば、ＭｉｃｒｏｓｏｆｔＷｉｎｄｏｗｓ（Ｒ））アプリケーションの数年の互換性についていくことによって、ビジネスコンピューティングリソースは、個人コンピューティングリソースから分離される一方で、ネイティブオペレーティングシステムの概念とインタラクトする（すなわち、カーソルがファイルに関連付けられたアイコンの上をホバリングしている際にマウスをダブルクリックすることによってファイルを開く）ときに馴染みのあるユーザ体験を保持する。いくつかの実施形態では、本明細書に説明される動作は、アプリケーションの性能、およびユーザ体験、ならびにアプリケーションおよびオペレーティングシステムのセキュリティに影響を与えることなく、リアルタイム方式で行われる。

【0096】

図６は、いくつかの実施形態による、セキュリティポリシーにしたがって動作を制約することができる例示的なシステム６００を示す。システム６００は、図１のコンピューティングマシン１００のコンポーネントの全てまたは一部分を含むことができる。

【0097】

示すように、システム６００は、セキュリティルール６０４を含むセキュリティポリシー６０２を記憶する。セキュリティポリシーは、管理されるリソース６１４（および他の管理されるリソース）に適用可能であるが、管理されないリソース６１６（および他の管理されないリソース）には適用可能でない。管理されるリソース６１４および管理されないリソース６１６のそれぞれがコンピューティングリソースである。管理されるリソース６１４および／または管理されないリソース６１６は、ファイルおよび／またはアプリケーションであり得る。セキュリティポリシー６１４は、セキュリティポリシー施行エンジン６１０を用いて施行されることができる。図６に示すように、システムは、オペレーティングシステム（ＯＳ）リソース６１２を含む。ＯＳリソース６１２は、システム６００に結合された入力デバイスまたは出力デバイスに関連付けられたコントローラ（例えば、ドライバ）を含むことができる。ＯＳリソース６１２は、ドライバまたは他のハードウェアコントローラ、例えば、キーボードドライバ、マウスドライバ、タッチスクリーンドライバ、ディスプレイドライバ等であり得る。ＯＳリソースはコンピューティングリソースであり得る。

【0098】

図６は、動作要求６０６および６０８の処理を示す。示すように、動作要求６０８は、管理されないリソース６１６に関連付けられているが、管理されるリソース６１４には関連付けられていない。動作要求６０８は、ＯＳリソース６１２および／または管理されないリソース６１６に直接提供される。

【0099】

動作要求６０６は、管理されるリソース６１４に（いくつかの場合、管理されないリソース６１６にも）関連付けられる。動作要求６０６が管理されるリソース６１６に関連付けられていることに基づいて、動作要求６０６は、セキュリティポリシー施行エンジン６１０によってインターセプトされ、ＯＳリソース６１２および／または管理されるリソース６１４（および、いくつかの場合、管理されないリソース６１６）への提供前に変更される。例えば、図８と併せてより詳細に説明されるように、動作要求６０６がスクリーンキャプチャ（例えば、スクリーン共有またはスクリーンショット）動作のためのものである場合、セキュリティポリシー施行エンジン６１０は、管理されるリソース６１４に関連付けられたスクリーンの一部が遮蔽される、および／またはスクリーンキャプチャされた画像内で透かし処理されるようにすることができる。

【0100】

いくつかの実施形態では、管理されるリソース６１４を含む管理されるリソースはビジネスリソースである。管理されないリソース６１６を含む管理されないリソースは、個人コンピューティングリソースである。管理されるリソースおよび／または管理されないリソースは、ファイルおよび／またはアプリケーションを含む。セキュリティポリシー６０２からのセキュリティルール６０４は、複数の管理されるリソースに適用され、複数の管理されないリソースには適用されない。

【0101】

管理されるリソースは、特定のファイルタイプ、ファイルソースまたはファイルシステム内のディレクトリにマッピングすることができる。管理されないリソースは、これらのファイルタイプ、ファイルソースまたはファイルシステム内のディレクトリにマッピングされないリソースを含むことができる。セキュリティポリシー６０２は、システム６００が管理されるリソースに関して特定のアクションをとることを阻止するセキュリティルール６０４を含むことができる（例えば、管理されるリソースは、システム６００のユーザから肯定的承認を（例えばポップアップウィンドウを介して）最初に受信することなく、スクリーンキャプチャ動作においてコピーされることが可能でない場合がある）。

【0102】

システム６００は、動作要求６０６または６０８を表す信号を受信する。信号は、システム６００の入力デバイスを介して、例えばキーボード、マウスまたはタッチスクリーンを介して受信されることができる。代替的に、信号はネットワーク上で受信されてもよい。

【0103】

システム６００は、信号が受信されるときにコンピューティングマシンにおいて開いているアクティブなコンピューティングリソースおよび他のコンピューティングリソースに基づいて、指定された動作が、複数の管理されるコンピューティングリソースの中からの管理されるコンピューティングリソース６１４に関連付けられているか否かを決定する。関連付けられていない場合、動作要求６０８は、セキュリティポリシー施行エンジン６１０にアクセスすることなく、ＯＳリソース６１２および／または管理されないリソース６１６に提供される。

【0104】

指定された動作６０６が管理されるコンピューティングリソース６１４に関連付けられていると決定したことに応答して、システム６００は、指定された動作６０６のための要求をセキュリティポリシー施行エンジン６１０に提供する。セキュリティポリシー施行エンジン６１０は、要求をインターセプトする。セキュリティポリシー施行エンジン６１０は、セキュリティポリシー６０２におけるセキュリティルール６０４に基づいて、動作要求６０６または管理されるリソース６１４の状態を、要求をＯＳリソース６１２および／または管理されるリソース６１４に提供する前に調整する。

【0105】

いくつかの場合、動作要求６０６は、管理されるリソース６１４および管理されないリソース６１６の両方に関連付けられる。システム６００は、動作要求６０６、または、管理されるリソース６１４を含む、複数の管理されるリソースのうちの１つ以上の状態を調整した後、ＯＳリソース６１２、管理されるリソース６１４および管理されないリソース６１６に要求を提供する。

【0106】

いくつかの実施形態では、動作要求６０６はコピー動作のためのものである。システム１００におけるアクティブコンピューティングリソースは、管理されるリソース６１４である。セキュリティポリシー施行エンジン６１０は、セキュリティポリシー６０２におけるセキュリティルール６０４に基づいて、コピー動作によってコピーされたデータをインターセプトさせる。インターセプトされたデータは、複数の管理されるコンピューティングリソースを介してアクセス可能であるが、複数の管理されないコンピューティングリソースを介してはアクセス可能でない。

【0107】

後続のペースト動作に応答して、システム６００は、ペースト動作要求が複数の管理されるコンピューティングリソースのうちの１つに関連付けられている場合、ペースト動作要求に応答するための、インターセプトされたデータへのアクセスを許諾する。システム６００は、ペースト動作要求が複数の管理されるコンピューティングリソースのうちのいずれにも関連付けられていない場合、ペースト動作要求に応答するための、インターセプトされたデータへのアクセスを拒否する。

【0108】

いくつかの実施形態では、動作要求６０６はキーボード入力のためのものである。アクティブコンピューティングリソースは管理されるリソース６１４である。セキュリティポリシー施行エンジン６１０は、セキュリティポリシー６０２におけるセキュリティルール６０４に基づいて、管理されるリソース６１６に提供されるキーボード入力への、非管理されるリソース６１６を含む非管理されるリソースによるアクセスをブロックする。

【0109】

いくつかの実施形態では、動作要求６０６はドラッグアンドドロップ動作のためのものである。ドラッグアンドドロップ動作の開始に関連付けられたアクティブコンピューティングリソースは、管理されるリソース６１４である。セキュリティポリシー施行エンジン６１０は、セキュリティポリシー６０２におけるセキュリティルール６０４に基づいて、ドラッグアンドドロップ動作によってコピーされたデータが、複数の管理されるコンピューティングリソースを介してアクセス可能であるが、複数の管理されないコンピューティングリソースを介してアクセス可能でないようにする。

【0110】

ドラッグアンドドロップ動作は、宛先コンピューティングリソースにおいて終了することができる。セキュリティポリシー施行エンジン６１０は、宛先コンピューティングリソースが複数の管理されるリソースのうちの１つである場合、ドラッグアンドドロップ動作要求に応答するためのアクセスを許諾する。セキュリティポリシー施行エンジン６１０は、宛先コンピューティングリソースが複数の管理されるリソースのうちの１つでない場合、ドラッグアンドドロップ動作要求に応答するためのアクセスを拒否する。

【0111】

いくつかの実施形態では、動作要求６０６は、スクリーンキャプチャ（例えば、スクリーンショットまたはスクリーン共有）動作のためのものである。セキュリティポリシー施行エンジン６１０は、セキュリティポリシー６０２におけるセキュリティルール６０４に基づいて、管理されるリソースに関連付けられたスクリーン領域のスクリーンキャプチャをブロックするかまたは透かし処理する一方で、管理されるリソースに関連付けられていないスクリーン領域のスクリーンキャプチャを可能にする。透かし処理は、コンピューティングリソースに関連付けられたスクリーン領域を、セキュリティポリシーの表現（例えば、セキュリティポリシーに関連付けられたビジネスのロゴ）を用いて覆うことを含む。

【0112】

例えば、セキュリティポリシー施行エンジン６０６は、スクリーンキャプチャがブロックされることになる管理されるリソース６１４が、グラフィック処理ユニット（ＧＰＵ）ハードウェアアクセラレーションを利用しているか否かを決定する。管理されるリソース６１４がハードウェアアクセラレーションを利用している場合、セキュリティポリシー施行エンジン６１０は、スクリーンキャプチャ動作中、ＧＰＵに、システム６００に結合されたディスプレイユニット上の管理されるリソース６１４に関連付けられた領域を遮蔽させるかまたは透かし処理させる。管理されるリソース６１４がハードウェアアクセラレーションを利用していない場合、セキュリティポリシー施行エンジン６１０は、スクリーンキャプチャ動作の出力内で管理されるリソース６１４の表現を遮蔽するかまたは透かし処理する。管理されるリソース６１４がハードウェアアクセラレーションを利用していない場合、セキュリティポリシー施行エンジン６１０は、ディスプレイユニット上の管理されるリソース６１４に関連付けられた領域の遮蔽および透かし処理を見合わせる。

【0113】

本明細書において用いられるとき、「ハードウェアアクセラレーション」という用語は、とりわけ、アプリケーションが特定のコンピューティングタスクを、コンピュータシステム内の専用ハードウェアコンポーネント上にオフロードし、汎用中央処理ユニット（ＣＰＵ）上で単独で実行されているソフトウェアにおいて可能であるよりも高い効率を可能にすることができるプロセスを指し得る。例えば、視覚化プロセスは、ビデオおよびゲームのより高速でより高品質の再生を可能にするために、ＧＰＵ上にオフロードされることができる一方で、他のタスクを行うためにＣＰＵを解放することもできる。

【0114】

いくつかの実施形態では、いくつかのコンピューティングリソース（例えば、ダウンロードまたは電子メールアタッチメントディレクトリにおけるコンピューティングリソース）を（例えば、これらのコンピューティングリソースにおけるソフトウェアがシステム６００における管理されるリソース６１４および管理されないリソース６１６等の他のコンピューティングリソースにアクセスすることを阻止するために、）分離することができる。動作要求が分離されたコンピューティングリソースへのアクセスを試みているとき、その動作要求は、ＯＳリソース６１２および／または分離されたコンピューティングリソースへの提供前に、セキュリティポリシー施行エンジン６１０によって処理されることができる。

【0115】

図７は、いくつかの実施形態による、セキュリティポリシーによって許可またはブロックすることができる動作の表７００を示す。示すように、表７００は、コピー／ペーストまたはドラッグアンドドロップ動作に適用される。図７に示すように、ソースコンピューティングリソースが管理されるコンピューティングリソースであり、宛先コンピューティングリソースが管理されるコンピューティングリソースであるとき、動作が許可される。ソースコンピューティングリソースが管理されるコンピューティングリソースであり、宛先コンピューティングリソースが管理されないコンピューティングリソースであるとき、動作がブロックされる。ソースコンピューティングリソースが管理されないコンピューティングリソースであり、宛先コンピューティングリソースが管理されるコンピューティングリソースであるとき、動作が許可される。ソースコンピューティングリソースが管理されないコンピューティングリソースであり、宛先コンピューティングリソースが管理されないコンピューティングリソースであるとき、動作が許可される。

【0116】

図８は、いくつかの実施形態による、スクリーンキャプチャ動作の例示的な入力および出力を示す。示すように、スクリーンキャプチャ動作への入力はスクリーン８００である。スクリーン８００は、管理されるコンピューティングリソース８０２、および管理されないコンピューティングリソース８０４からの視覚出力を表示する。スクリーンキャプチャ動作の結果、画像８０６が得られる。示すように、画像８０６は、管理されないリソース８０４からの視覚出力に対応するブロック８１０を含む。ブロック８０８は、管理されるコンピューティングリソース８０２からの視覚出力に対応する。示すように、ブロック８０８は遮蔽または透かし処理される。いくつかの実施形態では、ブロック８０８は、管理されるリソース８０２からの視覚出力と異なる会社ロゴまたは他の視覚情報の全てまたは一部分を含むことができる。いくつかの実施形態では、ブロック８０８は、管理されるコンピューティングリソース８０２がスクリーン上で開いていなかったかのように、スクリーンの背景を含むことができる。結果として、ユーザは、管理されるリソースからのスクリーンショットまたはスクリーン共有データの取得を阻止され得る。いくつかの場合、ユーザは、管理されるリソースの全てまたは一部分からの視覚出力の遮蔽または透かし処理をオーバーライドすることが可能になり得る。

【0117】

図９は、セキュリティポリシーに基づいた動作制約に関連付けられた例示的なプロセス９００のフローチャートである。いくつかの実施態様において、図９の１つ以上のプロセスブロックは、コンピューティングマシン（例えば、コンピューティングマシン１００）によって行われることができる。いくつかの実施態様において、図９の１つ以上のプロセスブロックは、別のデバイス、またはコンピューティングマシンと別個のもしくはコンピューティングマシンを含むデバイスのグループによって実行される場合がある。加えてまたは代替的に、図９の１つ以上のプロセスブロックは、プロセッサ１０２、メインメモリ１０４、スタティックメモリ１０６、ネットワークインタフェースデバイス１２０、ビデオディスプレイ１１０、英数字入力デバイス１１２、ＵＩナビゲーションデバイス１１２、ドライブユニット１１６、信号生成デバイス１１８および出力コントローラ１２８等の、コンピューティングマシン１００の１つ以上のコンポーネントによって実行されてもよい。

【0118】

図９に示すように、プロセス９００は、コンピューティングマシンにおいて、複数の管理されるコンピューティングリソースおよび複数の管理されないコンピューティングリソースを記憶することを含むことができ、複数の管理されるコンピューティングリソースはセキュリティポリシーに関連付けられる（ブロック９１０）。例えば、上記で説明したように、コンピューティングマシンは、コンピューティングマシンにおいて、複数の管理されるコンピューティングリソースおよび複数の管理されないコンピューティングリソースを記憶することができ、複数の管理されるコンピューティングリソースはセキュリティポリシーに関連付けられる。

【0119】

図９に更に示すように、プロセス９００は、コンピューティングマシンにおいて、指定された動作の要求を表す信号を受信すること（ブロック９２０）を含むことができる。例えば、コンピューティングマシンは、上記で説明したように、コンピューティングマシンにおいて、指定された動作の要求を表す信号を受信することができる。

【0120】

図９に更に示すように、プロセス９００は、信号が受信されたときにコンピューティングマシンにおいて開いているアクティブなコンピューティングリソースおよび他のコンピューティングリソースに基づいて、指定された動作が、複数の管理されるコンピューティングリソースの中からの管理されるコンピューティングリソースに関連付けられているか否かを決定すること（ブロック９３０）を含むことができる。例えば、上記で説明したように、コンピューティングマシンは、信号が受信されたときにコンピューティングマシンにおいて開いているアクティブなコンピューティングリソースおよび他のコンピューティングリソースに基づいて、指定された動作が、複数の管理されるコンピューティングリソースの中からの管理されるコンピューティングリソースに関連付けられているか否かを決定することができる。

【0121】

図９に更に示すように、プロセス９００は、指定された動作が管理されるコンピューティングリソースに関連付けられていると決定したことに応答して、セキュリティポリシー施行エンジンに、指定された動作に対する要求を提供することを含むことができ、セキュリティポリシー施行エンジンは要求をインターセプトする（ブロック９４０）。例えば、上記で説明したように、コンピューティングマシンは、指定された動作が管理されるコンピューティングリソースに関連付けられていると決定したことに応答して、セキュリティポリシー施行エンジンに、指定された動作に対する要求を提供することができ、セキュリティポリシー施行エンジンは要求をインターセプトする。

【0122】

図９に更に示すように、プロセス９００は、セキュリティポリシー施行エンジンを用いて、およびセキュリティポリシーにおけるセキュリティルールに基づいて、オペレーティングシステムリソースまたは管理されるコンピューティングリソースに要求を提供する前に、複数の管理されるコンピューティングリソースのうちの１つ以上の指定された動作の要求または状態を調整することを含むことができる（ブロック９５０）。例えば、上記で説明したように、コンピューティングマシンは、セキュリティポリシー施行エンジンを用いて、およびセキュリティポリシーにおけるセキュリティルールに基づいて、オペレーティングシステムリソースまたは管理されるコンピューティングリソースに要求を提供する前に、複数の管理されるコンピューティングリソースのうちの１つ以上の指定された動作の要求または状態のを調整することができる。

【0123】

図９に更に示すように、プロセス９００は、オペレーティングシステムリソースまたは管理されるコンピューティングリソースに要求を提供すること（ブロック９６０）を含むことができる。例えば、上記で説明したように、コンピューティングマシンは、オペレーティングシステムリソースまたは管理されるコンピューティングリソースに要求を提供することができる。

【0124】

プロセス９００は、以下で説明する、および／または本明細書の他の箇所で説明される１つ以上の他のプロセスに関連する、任意の単一の実施態様または実施態様の任意の組合せ等の追加の実施態様を含むことができる。

【0125】

第１の実施態様において、プロセス９００は、管理されるコンピューティングリソースは、組織コンピューティングリソースを含むこと、管理されないコンピューティングリソースは個人コンピューティングリソースを含むこと、複数の管理されるコンピューティングリソースおよび複数の管理されないコンピューティングリソースは、ファイル、クラウドファイルストレージアクセス、アプリケーション、またはウェブサイトを含むこと、および、セキュリティポリシーからのセキュリティルールは、複数の管理されるコンピューティングリソースに適用され、複数の管理されないコンピューティングに適用されないことを含む。

【0126】

第２の実施態様において、プロセス９００は、指定された動作が管理されるコンピューティングリソースに関連付けられていないと決定したことに応答して、セキュリティポリシー施行エンジンを用いて要求を調整することを見合わせることを含む。いくつかの場合、プロセス９００は、指定された動作が管理されるコンピューティングリソースに関連付けられていないと決定したことに応答して、セキュリティポリシー施行エンジンにアクセスすることなくオペレーティングシステムリソースに直接要求を提供することを含むことができる。

【0127】

第３の実施態様において、プロセス９００は、指定された動作が管理されるコンピューティングリソースおよび管理されないコンピューティングリソースに関連付けられていると決定することと、セキュリティポリシー施行エンジンによって、複数の管理されるコンピューティングリソースのうちの１つ以上の指定された動作の要求または状態を調整した後、指定された動作が管理されるコンピューティングリソースおよび管理されないコンピューティングリソースに関連付けられていると決定したことに応答して、デバイスドライバ、管理されるコンピューティングリソースおよび管理されないコンピューティングリソースに要求を提供することとを含む。

【0128】

第４の実施態様において、オペレーティングシステムリソースは、コンピューティングマシンに結合された入力デバイスまたは出力デバイスに関連付けられたコントローラを含む。

【0129】

いくつかの実施態様において、セキュリティルールは、指定された管理されるコンピューティングリソースから指定された追加のコンピューティングリソースへの動作のセットをブロックする１つ以上のルールを含む。動作のセットは：ドラッグアンドドロップ動作、コピーアンドペースト動作、カットアンドペースト動作、キーログ動作、ファイルダウンロード動作、ファイルアップロード動作、ファイルアタッチメント動作、印刷動作、特定のウェブサイトを開く動作、ウェブサイトのカテゴリを開く動作、アプリケーション起動動作、またはスクリーンショット動作のうちの少なくとも１つを含む。

【0130】

第５の実施態様において、プロセス９００は、指定された動作はコピー動作を含むこと、アクティブなコンピューティングリソースは管理されるコンピューティングリソースであること、セキュリティポリシー施行エンジンは、セキュリティポリシーにおけるセキュリティルールに基づいて、コピー動作によってコピーされるデータをインターセプトさせること、および、インターセプトされたデータは、複数の管理されるコンピューティングリソースを介してアクセス可能であり、複数の管理されないコンピューティングリソースを介してアクセス可能でないことを含む。

【0131】

第６の実施態様において、プロセス９００は、セキュリティポリシーにおけるセキュリティルールに基づいて、（例えば、ペースト動作が複数の管理されるコンピューティングリソースのうちの１つに関連付けられていると決定したことに応答して）コピー動作に後続するペースト動作要求に応答して、ペースト動作要求が複数の管理されるコンピューティングリソースのうちの１つに関連付けられている場合、ペースト動作要求に応答するための、インターセプトされたデータへのアクセスを許諾すること、および／または（例えば、ペースト動作要求が複数の管理されるコンピューティングリソースのうちのいずれにも関連付けられていないと決定したことに応答して）ペースト動作要求が複数の管理されるコンピューティングリソースのうちのいずれにも関連付けられていない場合、ペースト動作要求に応答するための、インターセプトされたデータへのアクセスを拒否することを含む。

【0132】

第７の実施態様において、プロセス９００は、指定された動作はキーボード入力を含むこと、アクティブなコンピューティングリソースは管理されるコンピューティングリソースであること、および、セキュリティ施行エンジンは、セキュリティポリシーにおけるセキュリティルールに基づいて、管理されるコンピューティングリソースに提供されるキーボード入力に対する非管理されるコンピューティングリソースによるアクセスをブロックすることを含む。

【0133】

第８の実施態様において、プロセス９００は、指定された動作はドラッグアンドドロップ動作を含むこと、ドラッグアンドドロップ動作の開始に関連付けられたアクティブなコンピューティングリソースは管理されるコンピューティングリソースであること、および、セキュリティポリシー施行エンジンは、セキュリティポリシーにおけるセキュリティルールに基づいて、ドラッグアンドドロップ動作によってコピーされるデータが複数の管理されるコンピューティングリソースを介してアクセス可能であるが、複数の管理されないコンピューティングリソースを介してはアクセス可能でないようにさせることを含む。

【0134】

第９の実施態様において、ドラッグアンドドロップ動作は、宛先コンピューティングリソースにおいて終了し、方法は、（例えば、宛先コンピューティングリソースが複数の管理されるコンピューティングリソースのうちの１つであると決定したことに応答して）宛先コンピューティングリソースが複数の管理されるコンピューティングリソースのうちの１つである場合、ドラッグアンドドロップ動作要求に応答するためのアクセスを許諾し、および／または（例えば、宛先コンピューティングリソースが複数の管理されるコンピューティングリソースのうちの１つでないと決定したことに応答して）宛先コンピューティングリソースが複数の管理されるコンピューティングリソースのうちの１つでない場合、ドラッグアンドドロップ動作要求に応答するためのアクセスを拒否することを更に含む。

【0135】

第１０の実施態様において、プロセス９００は、指定された動作はスクリーンキャプチャ動作を含むこと、セキュリティポリシー施行エンジンは、セキュリティポリシーにおけるセキュリティルールに基づいて、管理されるコンピューティングリソースに関連付けられたスクリーン領域のスクリーンキャプチャをブロックまたは透かし処理する一方で、管理されるコンピューティングリソースに関連付けられていないスクリーン領域のスクリーンキャプチャを可能にすること、および、透かし処理は、コンピューティングリソースに関連付けられたスクリーン領域を、セキュリティポリシーの表現を用いて覆うことを含むことを含む。

【0136】

第１１の実施態様において、スクリーンキャプチャ動作は、スクリーンショット動作またはスクリーン共有動作を含む。

【0137】

第１２の実施態様において、プロセス９００は、スクリーンキャプチャがブロックされることになる所与の管理されるコンピューティングリソースが、グラフィック処理ユニット（ＧＰＵ）ハードウェアアクセラレーションを利用するか否かを決定することを含む。所与の管理されるコンピューティングリソースが（所与の管理されるコンピューティングリソースがＧＰＵハードウェアアクセラレーションを利用すると決定したことに応答して）ＧＰＵハードウェアアクセラレーションを利用する場合：プロセス９００は、セキュリティポリシー施行エンジンによって、ＧＰＵに、スクリーンキャプチャ動作中に、コンピューティングマシンに結合されたディスプレイユニット上の所与の管理されるコンピューティングリソースに関連付けられた領域を遮蔽または透かし処理させることを含む。所与の管理されるコンピューティングリソースが（所与の管理されるコンピューティングリソースがＧＰＵハードウェアアクセラレーションを利用しないと決定したことに応答して）ＧＰＵハードウェアアクセラレーションを利用しない場合：プロセス９００は、スクリーンキャプチャ動作の出力内で所与の管理されるコンピューティングリソースの表現を遮蔽または透かし処理することと；コンピューティングマシンに結合されたディスプレイユニット上の所与の管理されるコンピューティングリソースに関連付けられた領域の遮蔽および透かし処理を見合わせることとを含む。

【0138】

図９は、プロセス９００の例示的なブロックを示しているが、いくつかの実施態様において、プロセス９００は、更なるブロック、より少ないブロック、異なるブロック、または図９に示すものと異なって配置されたブロックを含んでもよい。加えてまたは代替的に、プロセス９００のブロックのうちの２つ以上が並列に実行されてもよい。

【0139】

図１０は、いくつかの実施形態による、ネイティブコンピューティング環境１００２内の作業ゾーン１００４を有するコンピューティングマシン１０００のブロック図である。示すように、コンピューティングマシン１０００はネイティブコンピューティング環境１００４を含む。ネイティブコンピューティング環境１００２の一部分は作業ゾーン１００４である。示すように、作業ゾーン１００４はセキュリティポリシー１０１６に関連付けられている。セキュリティポリシーは、作業ゾーン１００４内のコンピューティングリソースに適用されるが、作業ゾーン１００４の外側のコンピューティングリソースには適用されない。作業ゾーン１００４は、作業ネットワークインタフェースエンジン１０１８も含む。作業ネットワークインタフェースエンジン１０１８は、セキュリティポリシー１０１６に基づいて、別個のトンネルおよび／または別個のインターネットプロトコル（ＩＰ）アドレスを介して、作業ゾーン１００４に関連付けられたネットワークアクセス要求を処理する。作業ネットワークインタフェースエンジン１０１８は、作業ゾーン１００４内のコンピューティングリソースがインターネットにアクセスするために用いるＶＰＮを提供することができる。作業ゾーン１００４の外側のコンピューティングリソースは、作業ネットワークインタフェースエンジン１０１８のＶＰＮを用いない場合がある。

【0140】

示すように、ネイティブコンピューティング環境１００２は、作業ゾーン１００４の外側に、示されるワードプロセッサアプリ１００６．１およびスプレッドシートアプリ１００８．１等のアプリケーションを含む。これらのアプリケーションが作業ゾーン１００４から実行されるとき、ワードプロセッサアプリ１００６．２およびスプレッドシートアプリ１００８．２等のアプリケーションの別個のインスタンスが作成される。ワードプロセッサアプリ１００６．２およびスプレッドシートアプリ１００８．２におけるコンピューティングマシン１０００のアクティビティ（例えば、ユーザのアクティビティ）は、セキュリティポリシー１０１６によって管理される。しかしながら、ワードプロセッサアプリ１００６．１およびスプレッドシートアプリ１００８．１におけるコンピューティングマシンのアクティビティは、セキュリティポリシー１０１６によって管理されない。

【0141】

示すように、ネイティブコンピューティング環境１００２は、個人ファイル／フォルダ１０１０．１および作業ファイル／フォルダ１０１０．２を含む。作業ファイル／フォルダ１０１０．２は、作業ゾーン１００４内に存在し、セキュリティポリシー１０１６によって管理される。個人ファイル／フォルダ１０１０．１は、作業ゾーン１００４の外側に存在し、セキュリティポリシー１０１６によって管理されない。いくつかの実施態様によれば、個人ファイル／フォルダ１０１０．１および作業ファイル／フォルダ１０１０．２は、ファイルシステムにおける異なるロケーションに対応することができる。例えば、個人ファイル／フォルダ１０１０．１はＣ：／ｐｅｒｓｏｎａｌ／＊にある場合があり、作業ファイル／フォルダ１０１０．２はＣ：／ｗｏｒｋ／＊にある場合があり、ここで、＊はファイルシステムのファイルアドレス文字の一部に対応する。作業ゾーン１００４は、作業ファイル／フォルダ１０１０．２が存在する、ファイルシステムのＣ：／ｗｏｒｋ／＊ロケーションを含むことができる。

【0142】

示すように、ネイティブコンピューティング環境１００２は、作業ゾーン１００４に対し外部のレジストリ１０１４．１を含む。作業ゾーン１００４内で、レジストリは、エミュレートされたレジストリ１０１４．２としてエミュレートされる。同様に、ネイティブコンピューティング環境１００２は、作業ゾーン１００４に対し外部のグローバルオブジェクト１０１２．１を含む。作業ゾーン１００４内で、グローバルオブジェクトは、エミュレートされたグローバルオブジェクト１０１２．２としてエミュレートされる。実行時に、作業ゾーン１００４内のアプリケーション１００６．２、１００８．２は、レジストリ１０１４．１およびグローバルオブジェクト１０１２．１の代わりに、エミュレートされたレジストリ１０１４．２およびエミュレートされたグローバルオブジェクト１０１２．２を用いる。結果として、作業ゾーン１００４内の実行アプリケーション１００６．２、１００８．２によってアクセスされるオブジェクトおよびレジストリ値は、セキュリティポリシー１０１６によって管理され、アプリケーション１００６、１００８の別個のインスタンスは、作業ゾーン１００４に対し内部および外部で用いられる。

【0143】

いくつかの実施形態では、コンピューティングマシン１０００は、単一のユーザアカウント内に、複数の管理されるコンピューティングリソース（例えば、ワークファイル／フォルダ１０１０．２）および複数の追加のコンピューティングリソース（例えば、個人ファイル／フォルダ１０１０．１）を記憶する。管理されるコンピューティングリソースは、セキュリティポリシー１０１６に関連付けられる一方で、管理されないコンピューティングリソースは、セキュリティポリシー１０１６に関連付けられない。コンピューティングマシン１０００は、複数の管理されるコンピューティングリソースのうちのありとあらゆるものに読み出しアクセスおよび書き込みアクセスできない、指定されたアプリケーション（例えば、ワードプロセッサアプリ１００６．１またはスプレッドシートアプリ１００８．１）の第１のインスタンスを実行する。コンピューティングマシン１０００は、複数の管理されるコンピューティングリソースの少なくとも一部分にアクセスする指定されたアプリケーション（例えば、ワードプロセッサアプリ１００６．２またはスプレッドシートアプリ１００８．２）の第２のインスタンスを、第１のインスタンスと同時に実行する。コンピューティングマシン１０００は、セキュリティポリシー１０１６からのルールを、指定されたアプリケーションの第２のインスタンスに適用する一方で、セキュリティポリシー１０１６からのルールを、指定されたアプリケーションの第１のインスタンスに適用することを見合わせる。

【0144】

いくつかの実施形態では、コンピューティングマシン１０００は、複数の管理されるコンピューティングリソース（例えば、ワークファイル／フォルダ１０１０．２）および複数の追加のコンピューティングリソース（例えば、個人ファイル／フォルダ１０１０．１）を記憶する。複数の管理されるコンピューティングリソースは、セキュリティポリシー１０１６に関連付けられる。複数の管理されるコンピューティングリソースは、管理されるゾーン（例えば、作業ゾーン１００４）内に存在する。管理されるゾーンは、コンピューティングマシン１０００のネイティブコンピューティング環境１００２に関連付けられたデータの一部分を含む。コンピューティングマシン１０００は、管理されるゾーンの外部で、指定されたアプリケーション（例えば、ワードプロセッサアプリ１００６．１またはスプレッドシートアプリ１００８．１）の第１のインスタンスを実行する。第１のインスタンスは、管理されるゾーンの外側のデータに読み出しアクセスおよび書き込みアクセスできる。第１のインスタンスは、管理されるゾーンに記憶されたデータに読み出しアクセスおよび書き込みアクセスできない。コンピューティングマシン１０００は、管理されるゾーン内の指定されたアプリケーション（例えば、ワードプロセッサアプリ１００６．２またはスプレッドシートアプリ１００８．２）の第２のインスタンスを、第１のインスタンスと同時に実行する。第２のインスタンスは、管理されるゾーンの外側のデータに読み出しアクセスでき、書き込みアクセスできない。第２のインスタンスは、管理されるゾーンに記憶されたデータに読み出しアクセスおよび書き込みアクセスできる。第２のインスタンスは、第１のインスタンスと別個に異なって実行される。例えば、第２のインスタンスは、作業ゾーン１００４のエミュレートされたレジストリ１０１４．２およびエミュレートされたグローバルオブジェクト１０１２．１を利用することができる一方、第１のインスタンスは、ネイティブコンピューティング環境１００２のレジストリ１０１４．１およびグローバルオブジェクト１０１２．１を利用することができる。

【0145】

本明細書において用いられるとき、ビジネスは、ビジネス、組織または任意の他のエンティティタイプを含むことができる。ビジネスは、組織（例えば、非営利またはチャリティ）、政府エンティティ（例えば、車両関連を扱う部局または町税収税官（ｔｏｗｎｔａｘｃｏｌｌｅｃｔｏｒ））、または個人エンティティ（例えば、個人ベビーシッティングエンティティまたは個人ファイナンシャルプランニングエンティティ）を含むことができる。ビジネスリソースは、ビジネス、組織、政府エンティティまたは個人エンティティ（例えば、彼／彼女のベビーシッティングエンティティまたはファイナンシャルプランニング関連コンピューティングリソースを分離するかまたは他のタイプのコンピューティングリソースを分離することを望む人物）によって個人リソースから分離されることが望ましい任意のリソースであり得る。

【0146】

図１１は、個人およびビジネスの混合使用システムのためのセキュアなコンピューティング環境に関連付けられた例示的なプロセス１１００のフローチャートである。いくつかの実施態様において、図１１の１つ以上のプロセスブロックは、コンピューティングマシン（例えば、コンピューティングマシン１００）によって行われることができる。いくつかの実施態様において、図１１の１つ以上のプロセスブロックは、別のデバイス、またはコンピューティングマシンと別個のもしくはコンピューティングマシンを含むデバイスのグループによって行われる場合がある。加えてまたは代替的に、図１１の１つ以上のプロセスブロックは、プロセッサ１０２、メインメモリ１０４、スタティックメモリ１０６、ネットワークインタフェースデバイス１２０、ビデオディスプレイ１１０、英数字入力デバイス１１２、ＵＩナビゲーションデバイス１１２、ドライブユニット１１６、信号生成デバイス１１８および出力コントローラ１２８等の、コンピューティングマシン１００等のコンピューティングマシン１００の１つ以上のコンポーネントによって行われてもよい。

【0147】

図１１に示すように、プロセス１１００は、コンピューティングマシンにおける単一のユーザアカウント内に、複数の管理されない（例えば個人）コンピューティングリソースおよび複数の管理される（例えば、組織またはビジネス）コンピューティングリソースを記憶することを含むことができ、複数の管理されるコンピューティングリソースは、セキュリティポリシーに関連付けられる（ブロック１１１０）。例えば、上記で説明したように、コンピューティングマシンは、コンピューティングマシンにおける単一のユーザアカウント内に、複数の管理されないコンピューティングリソースおよび複数の管理されるコンピューティングリソースを記憶することができ、複数のビジネスコンピューティングリソースは、セキュリティポリシー（例えば、組織セキュリティポリシーまたはビジネスセキュリティポリシー）に関連付けられる。

【0148】

図１１に更に示すように、プロセス１１００は、コンピューティングマシンのユーザから、複数の管理されるコンピューティングリソースの中からの指定された管理されるコンピューティングリソースにアクセスするための要求を受信すること（ブロック１１２０）を含むことができる。例えば、上記で説明したように、コンピューティングマシンは、コンピューティングマシンのユーザから、複数の管理されるコンピューティングリソースの中からの指定された管理されるコンピューティングリソースにアクセスするための要求を受信することができる。

【0149】

図１１に更に示すように、プロセス１１００は、指定された管理されるコンピューティングリソースへのアクセスを、コンピューティングマシン上でローカルに、コンピューティングマシンのネイティブコンピューティング環境を通じて直接提供すること（ブロック１１３０）を含むことができる。例えば、上記で説明したように、コンピューティングマシンは、指定された管理されるコンピューティングリソースへのアクセスを、コンピューティングマシン上でローカルに、コンピューティングマシンのネイティブコンピューティング環境を通じて直接提供することができる。

【0150】

図１１に更に示すように、プロセス１１００は、ディスプレイユニットに、指定されたビジネスコンピューティングリソースを表示するディスプレイユニットの領域に関連する表示位置において、指定された管理されるコンピューティングリソースがセキュリティポリシーに関連付けられていることのインディケータを表示させること（ブロック１１４０）を含むことができる。例えば、上記で説明したように、コンピューティングマシンは、ディスプレイユニットに、指定された管理されるコンピューティングリソースを表示するディスプレイユニットの領域に関連する表示位置において、指定されたビジネスコンピューティングリソースがセキュリティポリシーに関連付けられていることのインディケータを表示させることができる。

【0151】

図１１に更に示すように、プロセス１１００は、セキュリティポリシーからのセキュリティルールを、指定された管理されるコンピューティングリソースに適用すること（ブロック１１５０）を含むことができる。例えば、上記で説明したように、コンピューティングマシンは、セキュリティポリシーからのセキュリティルールを、指定された管理されるコンピューティングリソースに適用することができる。

【0152】

プロセス１１００は、以下で説明する、および／または本明細書の他の箇所で説明される１つ以上の他のプロセスに関連する、任意の単一の実施態様または実施態様の任意の組合せ等の追加の実施態様を含むことができる。

【0153】

第１の実施態様において、プロセス１１００は、コンピューティングマシンのユーザから、複数の管理されないコンピューティングリソースの中からの指定された管理されないコンピューティングリソースにアクセスするための要求を受信することと、指定された管理されないコンピューティングリソースへのアクセスを、コンピューティングマシン上でローカルに、コンピューティングマシンのネイティブコンピューティング環境を通じて直接提供することと、ディスプレイユニットに、指定された管理されないコンピューティングリソースがビジネスセキュリティポリシーに関連付けられていることのインディケータを表示させることを見合わせることと、セキュリティポリシーからのセキュリティルールを、指定された管理されないコンピューティングリソースに適用することを見合わせることとを含む。

【0154】

第２の実施態様において、複数のコンピューティングリソースはセキュリティポリシーに関連付けられていない。

【0155】

第３の実施態様において、コンピューティングマシンの外部のアドミニストレータコンピューティングデバイスは、コンピューティングマシンに存在する複数の管理されるコンピューティングリソースにアクセスでき、コンピューティングマシンに存在する複数の管理されないコンピューティングリソースにアクセスできない。

【0156】

図１１は、プロセス１１００の例示的なブロックを示しているが、いくつかの実施態様において、プロセス１１００は、更なるブロック、より少ないブロック、異なるブロック、または図１１に示すものと異なって配置されたブロックを含んでもよい。加えてまたは代替的に、プロセス１１００のブロックのうちの２つ以上が並列に実行されてもよい。

【0157】

図１２は、混合使用システムのためのセキュアなコンピューティング環境に関連付けられた例示的なプロセス１２００のフローチャートである。いくつかの実施態様において、図１２の１つ以上のプロセスブロックは、コンピューティングマシン（例えば、コンピューティングマシン１００）によって行うことができる。いくつかの実施態様において、図１２の１つ以上のプロセスブロックは、別のデバイス、またはコンピューティングマシンと別個のもしくはコンピューティングマシンを含むデバイスのグループによって行われる場合がある。加えてまたは代替的に、図１２の１つ以上のプロセスブロックは、プロセッサ１０２、メインメモリ１０４、スタティックメモリ１０６、ネットワークインタフェースデバイス１２０、ビデオディスプレイ１１０、英数字入力デバイス１１２、ＵＩナビゲーションデバイス１１２、ドライブユニット１１６、信号生成デバイス１１８および出力コントローラ１２８等の、コンピューティングマシン１００の１つ以上のコンポーネントによって行われてもよい。

【0158】

図１２に更に示すように、プロセス１２００は、コンピューティングマシンにおけるユーザアカウントを介して、コンピューティングマシン上に存在するコンピューティングリソースにアクセスするための要求を受信すること（ブロック１２１０）を含むことができる。例えば、上記で説明したように、コンピューティングマシンは、コンピューティングマシンにおけるユーザアカウントを介して、コンピューティングマシン上に存在するコンピューティングリソースにアクセスするための要求を受信することができる。

【0159】

図１２に更に示すように、プロセス１２００は、コンピューティングリソースへのアクセスを、コンピューティングマシン上でローカルに、コンピューティングマシンのネイティブコンピューティング環境を通じて直接提供すること（ブロック１２２０）を含むことができる。例えば、上記で説明したように、コンピューティングマシンは、コンピューティングリソースへのアクセスを、コンピューティングマシン上でローカルに、コンピューティングマシンのネイティブコンピューティング環境を通じて直接提供することができる。

【0160】

図１２に更に示すように、プロセス１２００は、コンピューティングリソースがセキュリティポリシーに関連付けられていると決定することを含むことができ、コンピューティングマシンにおけるユーザアカウントは、コンピューティングマシン上に存在するコンピューティングリソースを含む複数のコンピューティングリソースに関連付けられ、複数のコンピューティングリソースの第１の部分はセキュリティポリシーに関連付けられ、複数のコンピューティングリソースの第２の部分はセキュリティポリシーに関連付けられていない（ブロック１２３０）。例えば、上記で説明したように、コンピューティングマシンは、コンピューティングリソースがセキュリティポリシーに関連付けられていると決定することができ、コンピューティングマシンにおけるユーザアカウントは、コンピューティングマシン上に存在するコンピューティングリソースを含む複数のコンピューティングリソースに関連付けられ、複数のコンピューティングリソースの第１の部分はキュリティポリシーに関連付けられ、複数のコンピューティングリソースの第２の部分はセキュリティポリシーに関連付けられていない。

【0161】

図１２に更に示すように、プロセス１２００は、コンピューティングリソースがセキュリティポリシーに関連付けられていると決定したことに応答して、ディスプレイユニットに、コンピューティングリソースを表示するディスプレイユニットの領域に関連付けて、コンピューティングリソースがセキュリティポリシーに関連付けられていることの視覚的インディケーションを表示させること（ブロック１２４０）を含むことができる。例えば、上記で説明したように、コンピューティングマシンは、コンピューティングリソースがセキュリティポリシーに関連付けられていると決定したことに応答して、ディスプレイユニットに、コンピューティングリソースを表示するディスプレイユニットの領域に関連付けて、コンピューティングリソースがセキュリティポリシーに関連付けられていることの視覚的インディケーションを表示させることができる。

【0162】

図１２に更に示すように、プロセス１２００は、セキュリティポリシーからのセキュリティルールを、コンピューティングリソースに適用すること（ブロック１２５０）を含むことができる。例えば、上記で説明したように、コンピューティングマシンは、セキュリティポリシーからのセキュリティルールを、コンピューティングリソースに適用することができる。

【0163】

プロセス１２００は、以下で説明する、および／または本明細書の他の箇所で説明される１つ以上の他のプロセスに関連する、任意の単一の実施態様または実施態様の任意の組合せ等の追加の実施態様を含むことができる。

【0164】

第１の実施態様において、コンピューティングリソースは、ウェブサイト、アプリケーションまたはファイルであり、コンピューティングマシンは、ラップトップコンピュータ、デスクトップコンピュータ、モバイルフォンまたはタブレットコンピュータのうちの１つである。

【0165】

第２の実施態様において、セキュリティポリシーは組織セキュリティポリシーであり、コンピューティングマシンは、組織セキュリティポリシーに関連付けられた組織のコンピューティングリソースのセットと、組織セキュリティポリシーに関連付けられていない個人のコンピューティングリソースのセットとを記憶する。

【0166】

第３の実施態様において、セキュリティポリシーからのセキュリティルールは、コンピューティングリソースの共有をブロックすること、コンピューティングリソースの共有理由をロギングすること、コンピューティングリソースの共有の前にユーザ確認を受信すること、コンピューティングリソースが選択されている間にキーストロークをロギングすること、コンピューティングマシンが少なくとも閾値期間にわたってアイドルであることに応答してコンピューティングリソースをロックすることのうちの１つ以上を含む。

【0167】

第４の実施態様において、共有は、印刷すること、スクリーン共有すること、電子メールもしくはメッセージングサービスを介して送信すること、ドラッグアンドドロップすること、カットアンドペーストすること、ダウンロードすること、アップロードすること、アタッチすること、印刷すること、特定のウェブサイトにアクセスすること、ウェブサイトのカテゴリにアクセスすること、アプリケーションを起動すること、またはスクリーンショットを取得することのうちの１つ以上を含む。

【0168】

第５の実施態様において、プロセス１２００は、ユーザ要求に応答して、コンピューティングリソースに関するセキュリティポリシーからの１つ以上のセキュリティルールを非アクティブ化することと、ユーザ要求の理由をロギングすることとを含む。

【0169】

第６の実施態様において、プロセス１２００は、グラフィカルユーザインタフェース（ＧＵＩ）を介して、視覚的インディケーションの選択のインディケーションを受信することと、視覚的インディケーションの選択に応答して、コンピューティングリソースに関するコンピューティングマシンのユーザのパーミッションに関する情報、またはセキュリティポリシーに関する情報を表示のために提供することとを含む。

【0170】

第７の実施態様において、プロセス１２００は、ディスプレイユニットに、セキュリティポリシーに関連付けられたコンピューティングリソース、およびセキュリティポリシーに関連付けられていない追加のコンピューティングリソースを同時に表示させることを含み、コンピューティングリソースおよび追加のコンピューティングリソースの両方が、コンピューティングマシンのネイティブコンピューティング環境を通じて実行される。

【0171】

第８の実施態様において、視覚的インディケータは、コンピューティングリソースを表示するディスプレイユニットの領域の境界上にまたは境界に隣接して表示される。

【0172】

図１２は、プロセス１２００の例示的なブロックを示しているが、いくつかの実施態様において、プロセス１２００は、更なるブロック、より少ないブロック、異なるブロック、または図１２に示すものと異なって配置されたブロックを含んでもよい。加えてまたは代替的に、プロセス１２００のブロックのうちの２つ以上が並列に行われてもよい。

【0173】

図１３は、アプリケーションの実行インスタンスの一部分にセキュリティポリシーを適用することに関連付けられた例示的なプロセス１３００のフローチャートである。いくつかの実施態様において、図１３の１つ以上のプロセスブロックは、コンピューティングマシン（例えば、コンピューティングマシン１００）によって行われることができる。いくつかの実施態様において、図１３の１つ以上のプロセスブロックは、別のデバイス、またはコンピューティングマシンと別個のもしくはコンピューティングマシンを含むデバイスのグループによって行われる場合がある。加えてまたは代替的に、図１３の１つ以上のプロセスブロックは、プロセッサ１０２、メインメモリ１０４、スタティックメモリ１０６、ネットワークインタフェースデバイス１２０、ビデオディスプレイ１１０、英数字入力デバイス１１２、ＵＩナビゲーションデバイス１１２、ドライブユニット１１６、信号生成デバイス１１８および出力コントローラ１２８等の、コンピューティングマシン１００の１つ以上のコンポーネントによって行われてもよい。

【0174】

図１３に示すように、プロセス１３００は、コンピューティングマシンにおける単一のユーザアカウント内に、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースを記憶することを含むことができ、複数の管理されるコンピューティングリソースはセキュリティポリシーに関連付けられる（ブロック１３１０）。例えば、上記で説明したように、コンピューティングマシンは、コンピューティングマシンにおける単一のユーザアカウント内で、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースを記憶することができ、複数の管理されるコンピューティングリソースはセキュリティポリシーに関連付けられる。

【0175】

図１３に更に示すように、プロセス１３００は、複数の管理されるコンピューティングリソースのうちのありとあらゆるものに読み出しアクセスおよび書き込みアクセスできない、指定されたアプリケーションの第１のインスタンスを実行すること（ブロック１３２０）を含むことができる。例えば、上記で説明したように、コンピューティングマシンは、複数の管理されるコンピューティングリソースのうちのありとあらゆるものに読み出しアクセスおよび書き込みアクセスできない、指定されたアプリケーションの第１のインスタンスを実行することができる。

【0176】

図１３に更に示すように、プロセス１３００は、複数の管理されるコンピューティングリソースの少なくとも一部分にアクセスする、指定されたアプリケーションの第２のインスタンスを、第１のインスタンスと同時に実行すること（ブロック１３３０）を含むことができる。例えば、上記で説明したように、コンピューティングマシンは、複数の管理されるコンピューティングリソースの少なくとも一部分にアクセスする、指定されたアプリケーションの第２のインスタンスを、第１のインスタンスと同時に実行することができる。

【0177】

図１３に更に示すように、プロセス１３００は、セキュリティポリシーからのルールを、指定されたアプリケーションの第２のインスタンスに適用する一方で、セキュリティポリシーからのルールを、指定されたアプリケーションの第１のインスタンスに適用することを見合わせること（ブロック１３４０）を含むことができる。例えば、上記で説明したように、コンピューティングマシンは、セキュリティポリシーからのルールを、指定されたアプリケーションの第２のインスタンスに適用する一方で、セキュリティポリシーからのルールを、指定されたアプリケーションの第１のインスタンスに適用することを見合わせることができる。

【0178】

プロセス１３００は、以下で説明する、および／または本明細書の他の箇所で説明される１つ以上の他のプロセスに関連する、任意の単一の実施態様または実施態様の任意の組合せ等の追加の実施態様を含むことができる。

【0179】

第１の実施態様において、プロセス１３００は、ディレクトリまたはファイルシステムにおけるコンピューティングリソースのロケーション、クラウドストレージロケーション、セキュリティポリシーにおけるルール、プロセス名またはパス、ユニフォームリソースロケータ（ＵＲＬ）アドレス、およびコンピューティングリソースが複数の管理されるコンピューティングリソースに関連付けられたアプリケーションランチャーから起動されるか否か、のうちの１つ以上に基づいて、コンピューティングリソースを管理されるコンピューティングリソースであると識別することを含む。

【0180】

第２の実施態様において、追加のコンピューティングリソースは個人コンピューティングリソースを含み、管理されるコンピューティングリソースは組織コンピューティングリソースを含み、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースは、ファイル、クラウドファイルストレージアクセス、アプリケーション、またはウェブサイトを含む。

【0181】

第３の実施態様において、指定されたアプリケーションの第１のインスタンスは、複数の追加のコンピューティングリソースの少なくとも一部分にアクセスする。

【0182】

第４の実施態様において、指定されたアプリケーションの第２のインスタンスは、複数の追加のコンピューティングリソースの少なくとも一部分に、読み出しアクセスでき、書き込みアクセスできず、第２のインスタンスが複数の追加のコンピューティングリソースの少なくとも一部分にアクセスするとき、セキュリティポリシーの適用は、コンピューティングマシンに関連付けられた設定に基づく。

【0183】

第５の実施態様において、プロセス１３００は、指定されたアプリケーションの第３のインスタンスを用いて、セキュアでないコンピューティングリソースにアクセスすること、複数の管理されるコンピューティングリソースのうちのありとあらゆるもの、および複数の追加のコンピューティングリソースのうちのありとあらゆるものへの、指定されたアプリケーションの第３のインスタンスによるアクセスをブロックすることを含む。

【0184】

第６の実施態様において、プロセス１３００は、ダウンロードメモリ領域、電子メールアプリケーションのアタッチメントに関連付けられたメモリ領域、またはウェブブラウザに関連付けられたメモリ領域に存在する、セキュアでないコンピューティングリソースに基づいて、セキュアでないコンピューティングリソースを識別することを含む。

【0185】

第７の実施態様において、ダウンロードメモリ領域はダウンロードフォルダを含み、ウェブブラウザに関連付けられたメモリ領域はダウンロードフォルダを含み、電子メールアプリケーションのアタッチメントに関連付けられたメモリ領域はアタッチメントフォルダを含む。

【0186】

図１３は、プロセス１３００の例示的なブロックを示しているが、いくつかの実施態様において、プロセス１３００は、更なるブロック、より少ないブロック、異なるブロック、または図１３に示すものと異なって配置されたブロックを含んでもよい。加えてまたは代替的に、プロセス１３００のブロックのうちの２つ以上が並列に行われてもよい。

【0187】

図１４は、管理されるおよび管理されないゾーンにおいて同じアプリケーションを実行することに関連付けられた例示的なプロセス１４００のフローチャートである。いくつかの実施態様において、図１４の１つ以上のプロセスブロックは、コンピューティングマシン（例えば、コンピューティングマシン１００）によって行われることができる。いくつかの実施態様において、図１４の１つ以上のプロセスブロックは、別のデバイス、またはコンピューティングマシンと別個のもしくはコンピューティングマシンを含むデバイスのグループによって行われる場合がある。加えてまたは代替的に、図１４の１つ以上のプロセスブロックは、プロセッサ１０２、メインメモリ１０４、スタティックメモリ１０６、ネットワークインタフェースデバイス１２０、ビデオディスプレイ１１０、英数字入力デバイス１１２、ＵＩナビゲーションデバイス１１２、ドライブユニット１１６、信号生成デバイス１１８、および出力コントローラ１２８等の、コンピューティングマシン１００の１つ以上のコンポーネントによって行われてもよい。

【0188】

図１４に示すように、プロセス１４００は、コンピューティングマシンにおいて、（例えば、単一のユーザアカウント内に）複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースを記憶することを含むことができ、複数の管理されるコンピューティングリソースはセキュリティポリシーに関連付けられ、複数の管理されるコンピューティングリソースは管理されるゾーン内に存在し、管理されるゾーンは、コンピューティングマシンのネイティブコンピューティング環境に関連付けられたデータの一部分を含む（ブロック１４１０）。例えば、上記で説明したように、コンピューティングマシンは、コンピューティングマシンにおいて、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースを記憶することができ、複数の管理されるコンピューティングリソースがセキュリティポリシーに関連付けられ、複数の管理されるコンピューティングリソースが管理されるゾーン内に存在し、管理されるゾーンが、コンピューティングマシンのネイティブコンピューティング環境に関連付けられたデータの一部分を含む。

【0189】

図１４に示すように、プロセス１４００は、管理されるゾーンの外部の指定されたアプリケーションの第１のインスタンスを実行することを含むことができ、第１のインスタンスは、管理されるゾーンの外側のデータに読み出しアクセスおよび書き込みアクセスでき、第１のインスタンスは、管理されるゾーン内に記憶されたデータに読み出しアクセスおよび書き込みアクセスできない（ブロック１４２０）。例えば、上記で説明したように、コンピューティングマシンは、管理されるゾーンの外部の指定されたアプリケーションの第１のインスタンスを実行することができ、第１のインスタンスは、管理されるゾーンの外側のデータに読み出しアクセスおよび書き込みアクセスでき、第１のインスタンスは、管理されるゾーン内に記憶されたデータに読み出しアクセスおよび書き込みアクセスできない。

【0190】

図１４に更に示すように、プロセス１４００は、管理されるゾーン内の指定されたアプリケーションの第２のインスタンスを、第１のインスタンスと同時に実行することを含むことができ、第２のインスタンスは、管理されるゾーンの外側のデータに、読み出しアクセスでき、書き込みアクセスできず、第２のインスタンスは、管理されるゾーン内に記憶されたデータに、読み出しアクセスおよび書き込みアクセスでき、第２のインスタンスは第１のインスタンスと別個に異なって実行される（ブロック１４３０）。例えば、上記で説明したように、コンピューティングマシンは、管理されるゾーン内の指定されたアプリケーションの第２のインスタンスを、第１のインスタンスと同時に実行することができ、第２のインスタンスは、管理されるゾーンの外側のデータに、読み出しアクセスでき、書き込みアクセスできす、第２のインスタンスは、管理されるゾーン内に記憶されたデータに、読み出しアクセスおよび書き込みアクセスでき、第２のインスタンスは第１のインスタンスと別個に異なって実行される。

【0191】

プロセス１４００は、以下で説明する、および／または本明細書の他の箇所で説明される１つ以上の他のプロセスに関連する、任意の単一の実施態様または実施態様の任意の組合せ等の追加の実施態様を含むことができる。

【0192】

第１の実施態様において、追加のコンピューティングリソースが個人コンピューティングリソースを含み、管理されるコンピューティングリソースが組織コンピューティングリソースを含み、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースが、ファイル、クラウドファイルストレージアクセス、アプリケーション、またはウェブサイトを含む。

【0193】

第２の実施態様において、プロセス１４００は、指定されたアプリケーションの第２のインスタンスは、管理されるネットワークインタフェースを介してネットワークにアクセスすること、ネットワークまたはサブネットを指定するセキュリティポリシーは、管理されるネットワークインタフェースを介してアクセス可能であること、管理されるネットワークインタフェースは、および、管理されるゾーンに関連付けられたドメインネームシステム（ＤＮＳ）トラフィックを分離することを含む。

【0194】

第３の実施態様において、プロセス１４００は、指定されたアプリケーションの第１のインスタンスは、管理されるネットワークインタフェースではなく、コンピューティングマシンのネイティブネットワークインタフェースを介してネットワークにアクセスすること、および、管理されるネットワークインタフェースは、管理されるゾーンの外側に存在する複数の追加のリソースが、管理されるゾーンに関連付けられたネットワークリソースにアクセスすることを制約することを含む。

【0195】

第４の実施態様において、プロセス１４００は、指定されたアプリケーションの第１のインスタンスは、コンピューティングマシンのコンポーネントオブジェクトモデル（ＣＯＭ）にアクセスすること、および、指定されたアプリケーションの第２のインスタンスは、コンピューティングマシンのＣＯＭと異なる管理されるゾーンのエミュレートされたＣＯＭにアクセスすることを含む。ＣＯＭは、分散型コンポーネントオブジェクトモデル（ＤｉｓｔｒｉｂｕｔｅｄＣｏｍｐｏｎｅｎｔＯｂｊｅｃｔＭｏｄｅｌ）（ＤＣＯＭ）であり得る。

【0196】

第５の実施態様において、プロセス１４００は、指定されたアプリケーションの第１のインスタンスは、プロセス間通信のために、コンピューティングマシンのリモートプロシージャコール（ＲＰＣ）サブシステムにアクセスすること、および、指定されたアプリケーションの第２のインスタンスは、プロセス間通信のために、コンピューティングマシンのＲＰＣサブシステムと異なる管理されるゾーンのエミュレートされたＲＰＣサブシステムにアクセスすることを含む。

【0197】

いくつかの実施態様において、指定されたアプリケーションの第１のインスタンスは、コンピューティングマシンのユニバーサルアプリケーション（例えば、ワシントン州レッドモンドのＭｉｃｒｏｓｏｆｔ社によって開発されたユニバーサルＷｉｎｄｏｗｓプラットフォーム（ＵＷＰ））に利用可能な共通アプリプラットフォームアプリケーションプログラミングインタフェース（ＡＰＩ）にアクセスする。指定されたアプリケーションの第２のインスタンスは、コンピューティングマシンのユニバーサルアプリケーションに利用可能な共通アプリプラットフォームＡＰＩと異なる、管理されるゾーンの共通アプリプラットフォームＡＰＩにアクセスする。共通アプリプラットフォームＡＰＩは：シェルインフラストラクチャホスト（ｓｉｈｏｓｔ）、状態リポジトリサービス（ＳｔａｔｅＲｅｐｏｓｉｔｏｒｙＳｅｒｖｉｃｅ）、バックグラウンドタスクインフラストラクチャ、ユーザマネージャサービス、Ａｚｕｒｅアクティブディレクトリ（ＡＡＤ）ブローカおよびＡＡＤクレデンシャルマネージャのうちの少なくとも１つを含むことができる。バックグラウンドタスクインフラストラクチャは、ホストアクティビティマネージャを含む。ユーザマネージャサービスは、アプリケーションアクティベーションマネージャおよびビューマネージャを含む。

【0198】

第６の実施態様において、プロセス１４００は、コンピューティングマシンは、管理されるゾーンに対し外部に、グローバルオブジェクトのセットを記憶すること、コンピューティングマシンは、管理されるゾーン内に、グローバルオブジェクトのセットをエミュレートするグローバルオブジェクトのエミュレートされたセットを記憶すること、指定されたアプリケーションの第１のインスタンスは、グローバルオブジェクトのセットにアクセスすること、および、指定されたアプリケーションの第２のインスタンスは、グローバルオブジェクトのエミュレートされたセットにアクセスすることを含む。

【0199】

第７の実施態様において、プロセス１４００は、コンピューティングマシンは、管理されるゾーンに対し外部に、ハードウェアデバイス構成、インストールされたアプリケーション設定、およびオペレーティングシステム設定から構成される設定を表す、コンピューティングマシンレジストリを記憶すること、コンピューティングマシンは、管理されるゾーン内に、管理されるゾーン内で実行されるアプリケーションのコンピューティングマシンレジストリをエミュレートする、エミュレートされたレジストリを記憶すること、指定されたアプリケーションの第１のインスタンスはコンピューティングマシンレジストリにアクセスすること、および、指定されたアプリケーションの第２のインスタンスはエミュレートされたレジストリにアクセスすることを含む。

【0200】

第８の実施態様において、プロセス１４００は、指定されたアプリケーションはファイルマネージャアプリケーションであること、第１のインスタンスは、複数の追加のコンピューティングリソースからファイルへのアクセスのためのものであること、ならびに、第２のインスタンスは、複数の管理されるコンピューティングリソースからファイルへのアクセスおよび複数の追加のコンピューティングリソースへのリードオンリーアクセスのためのものであることを含む。第２のインスタンスは、複数の管理されるコンピューティングリソースからファイルへのアクセスのためのものであり、複数の追加のコンピューティングリソースへのリードオンリーアクセスは、セキュリティポリシーに基づくことができる。

【0201】

第９の実施態様において、プロセス１４００は、コンピューティングマシンのファイルエクスプローラを介して、選択されたファイルを開くための要求にアクセスすることであって、ファイルエクスプローラは、管理されるゾーンに対し外部で実行され、ファイルは関連アプリケーションを有し、ファイルエクスプローラは、管理されるゾーンの外部のファイル、および管理されるゾーンの内部のファイルの両方にアクセスを提供する、ことと、選択されたファイルが、複数の管理されるコンピューティングリソースの中からのものであるか否かを決定することと、選択されたファイルが、複数の管理されるコンピューティングリソースの中からのものであると決定すると、管理されるゾーン内で実行されている関連アプリケーションのインスタンスを用いて、選択されたファイルを開くことと、選択されたファイルが、複数の管理されるコンピューティングリソースの中からのものでないと決定すると、管理されるゾーン内で実行されていない関連アプリケーションのインスタンスを用いて、選択されたファイルを開くこととを含む。

【0202】

第１０の実施態様において、コンピューティングマシンのオペレーティングシステムは、管理されるゾーンの外側から複数の管理されるコンピューティングリソースにアクセスできない。

【0203】

第１１の実施態様において、セキュリティプログラムは、管理されるゾーンおよび管理されないゾーンの両方にアクセスすることが可能であり、セキュリティプログラムは、ウィルス対策プログラム、マルウェア対策プログラム、またはセキュリティ監査ツールのうちの１つ以上を含む。いくつかの場合、コンピューティングマシンは、知られているセキュリティプログラムを記憶する（例えば、データベース、別のデータリポジトリまたはコンピューティングマシンのメモリ内の）データ構造に基づいて、およびプログラムに関連付けられたデジタル署名に基づいて、プログラムをセキュリティプログラムとして識別する。デジタル署名がデータ構造における知られているセキュリティプログラムのうちの１つに関連付けられていることに応答して、セキュリティプログラムに関連付けられたアプリケーションは、コンピューティングマシンのドライバに、プログラムが管理されるゾーンおよび管理されないゾーンの両方にアクセス可能であることを示すメッセージを送信する。コンピューティングマシンにおいてセキュリティポリシーが最初に実施された後に、新たなセキュリティプログラムが現れる場合があるため、データ構造は、知られているセキュリティプログラムに基づいて動的に更新されることができる。

【0204】

第１２の実施態様において、プロセス１４００は、制約されたゾーン内で実行されている指定されたアプリケーションの制約されたインスタンスを用いて、セキュアでないコンピューティングリソースにアクセスすること、複数の管理されるコンピューティングリソースのうちのありとあらゆるもの、および複数の追加のコンピューティングリソースのうちのありとあらゆるものへの、指定されたアプリケーションの制約されたインスタンスによるアクセスをブロックすることを含む。制約されたゾーンは、インターネットからダウンロードされるかまたは電子メールメッセージとして受信され、セキュアであることが知られていないコンピューティングリソース（例えば、ファイル、クラウドファイルストレージアクセス、アプリケーション、またはウェブサイト）のために用いることができる。制約されたゾーンは、制約されたゾーン内のコンピューティングリソースによる、コンピューティングマシンの特定のソフトウェアまたはハードウェアへのアクセスを制約することができる。コンピューティングリソースが安全であると検証すると、ユーザは、コンピューティングリソースを制約されたゾーンから管理されないゾーンに動かすことが可能であり得る。

【0205】

第１３の実施態様において、セキュリティプログラムは、管理されるゾーン、管理されないゾーン、および制約されたゾーンにアクセスすることが可能であり、セキュリティプログラムが、ウィルス対策プログラム、マルウェア対策プログラム、またはセキュリティ監査ツールのうちの１つ以上を含む。

【0206】

第１４の実施態様において、プロセス１４００は、ダウンロードメモリ領域、電子メールアプリケーションのアタッチメントに関連付けられたメモリ領域、またはウェブブラウザに関連付けられたメモリ領域に存在する、セキュアでないコンピューティングリソースに基づいて、セキュアでないコンピューティングリソースを識別することを含む。

【0207】

第１５の実施態様において、ダウンロードメモリ領域はダウンロードフォルダを含み、ウェブブラウザに関連付けられたメモリ領域はダウンロードフォルダを含み、電子メールアプリケーションのアタッチメントに関連付けられたメモリ領域はアタッチメントフォルダを含む。

【0208】

第１６の実施態様において、コンピューティングマシンは、第２のインスタンスを介して、指定されたアプリケーションと異なる追加のアプリケーション、またはウェブサイトを開く。コンピューティングマシンは、管理されるゾーン内の追加のアプリケーション、またはウェブサイトを実行する。追加のアプリケーション、またはウェブサイトは、管理されるゾーンの外側のデータに、読み出しアクセスでき、書き込みアクセスできない。追加のアプリケーション、またはウェブサイトは、管理されるゾーンに記憶されたデータに読み出しアクセスおよび書き込みアクセスできる。

【0209】

第１７の実施態様において、コンピューティングマシンは、第１のインスタンスを介して、指定されたアプリケーションと異なる追加のアプリケーション、またはウェブサイトを開く。コンピューティングマシンは、管理されるゾーンの外部の追加のアプリケーション、またはウェブサイトを実行する。追加のアプリケーション、またはウェブサイトは、管理されるゾーン内のデータに、読み出しアクセスおよび書き込みアクセスできない。

【0210】

１つの例示的なユースケースにおいて、ユーザは、管理されるゾーン内のスプレッドシートアプリケーションを起動し、ビジネス予算を閲覧する。また、ユーザは、管理されるゾーンの外部の同じスプレッドシートアプリケーションを起動し、個人の家系表（ａｎｃｅｓｔｒｙｔａｂｌｅ）を閲覧する。１つは管理されるゾーン内にあり、１つは管理されるゾーンの外側にある、スプレッドシートアプリケーションの２つの別個の異なるインスタンスが開かれる。ビジネス予算は、供給者のための製品の購入のためのハイパーリンクを含む。ユーザが供給者から製品を購入するためのハイパーリンクのうちの１つを選択するとき、コンピューティングマシンは、管理されるゾーンのためのデフォルトウェブブラウザ内で管理されるゾーン内のハイパーリンクを開く。個人の家系表は、ユーザの親戚のソーシャルメディアウェブサイトのためのハイパーリンクを含む。ユーザがソーシャルメディアウェブサイトのためのハイパーリンクを選択するとき、ソーシャルメディアページが管理されないゾーンのためのデフォルトウェブブラウザ内で開かれる。管理されるゾーンおよび管理されないゾーンは、異なるデフォルトウェブブラウザを有する場合がある。

【0211】

代替的に、管理されるゾーンおよび管理されないゾーンは、同じデフォルトウェブブラウザを有する場合がある。管理されるゾーンおよび管理されないゾーンは、同じデフォルトウェブブラウザを有し得る場合、ウェブブラウザの２つの異なるウィンドウを開くことができる。（供給者から製品を購入するためのウェブサイトを有する）１つのウィンドウは、管理されるゾーン内で動作することができ、（ソーシャルメディアページを有する）１つのウィンドウは、管理されないゾーン内で動作することができる。供給者から製品を購入するためのウェブサイトを有するウィンドウは、製品を購入するために用いることができる、（管理されるゾーン内、ウォレットアプリケーション内、またはウェブブラウザ内に記憶された）ビジネスクレジットカードの記憶されたバージョンを有することができる。しかしながら、ソーシャルメディアウェブサイトを有するウィンドウには、ビジネスクレジットカードの記憶されたバージョンがないようにすることができ、それによって、ユーザは、管理されないゾーン内で発注された個人購入注文のためにビジネスクレジットカードを誤って用いることがない。

【0212】

図１４は、プロセス１４００の例示的なブロックを示しているが、いくつかの実施態様において、プロセス１４００は、更なるブロック、より少ないブロック、異なるブロック、または図１４に示すものと異なって配置されたブロックを含んでもよい。加えてまたは代替的に、プロセス１４００のブロックのうちの２つ以上が並列に実行されてもよい。

【0213】

図１５は、いくつかの実施形態による、組織コンピューティングリソースのための組織インディケータを表示することに関連付けられた例示的なプロセス１５００のフローチャートである。いくつかの実施態様において、図１５の１つ以上のプロセスブロックは、コンピューティングマシン（例えば、コンピューティングマシン１００）によって行われることができる。いくつかの実施態様において、図１５の１つ以上のプロセスブロックは、別のデバイス、またはコンピューティングマシンと別個のもしくはコンピューティングマシンを含むデバイスのグループによって行われる場合がある。加えてまたは代替的に、図１５の１つ以上のプロセスブロックは、プロセッサ１０２、メインメモリ１０４、スタティックメモリ１０６、ネットワークインタフェースデバイス１２０、ビデオディスプレイ１１０、英数字入力デバイス１１２、ＵＩナビゲーションデバイス１１２、ドライブユニット１１６、信号生成デバイス１１８および出力コントローラ１２８等の、コンピューティングマシン１００の１つ以上のコンポーネントによって行われてもよい。

【0214】

ブロック１５１０において、コンピューティングマシンは、コンピューティングマシンのメモリ（例えば、ローカルメモリ）内に、管理されるコンピューティングリソース（例えば、組織またはビジネスコンピューティングリソース）を含むコンピューティングリソースを記憶する。コンピューティングマシンは、管理されるコンピューティングリソース（例えば、ビジネスファイルまたはビジネスソフトウェア）および管理されないコンピューティングリソース（例えば、個人ファイルまたは個人ソフトウェア等の非組織または非ビジネスコンピューティングリソース）の両方を記憶することができる。いくつかの例において、コンピューティングマシンのメモリは、管理されるコンピューティングリソースおよび管理されないコンピューティングリソースを記憶する。いくつかの場合、管理されるコンピューティングリソースおよび管理されないコンピューティングリソースは相互に排他的である。

【0215】

ブロック１５２０において、コンピューティングマシンは、メモリに記憶されたコンピューティングリソースからのコンピューティングリソースを表示するための要求を受信する。例えば、ユーザは、コンピューティングマシンのグラフィカルユーザインタフェースを介して、閲覧（および場合によっては編集）のためにファイルを開くことを要求することができる。

【0216】

ブロック１５３０において、コンピューティングマシンは、ディスプレイデバイスの表示領域内にコンピューティングリソースの表示を発生させる。表示領域は、ディスプレイデバイスの全てまたは一部を含むことができる。表示領域は、ディスプレイデバイス上の表示空間の全てまたは一部分を含むことができる。表示領域は、ワシントン州レッドモンドのＭｉｃｒｏｓｏｆｔ社によって開発された、いくつかのＷｉｎｄｏｗｓ（Ｒ）オペレーティングシステムにおけるウィンドウ、または別のオペレーティングシステムにおける類似の表示領域を含むことができる。

【0217】

ブロック１５４０において、コンピューティングマシンは、識別基準（例えば、組織識別基準またはビジネス識別基準）に基づいてコンピューティングリソースが管理されるコンピューティングリソースであるか否かを決定する。識別基準は：コンピューティングマシンまたはクラウドストレージユニットのファイルシステムにおけるディレクトリ内に存在するコンピューティングリソース、コンピューティングリソースのファイルタイプ、コンピューティングリソースに関連付けられたアプリケーション、コンピューティングリソースに関連付けられたウェブサイト、または指定されたエンティティ（例えば、組織またはビジネスに関連付けられたエンティティ）によってコンピューティングマシンに提供またはインストールされたコンピューティングリソースのうちの少なくとも１つを含むことができる。識別基準は、メモリの事前定義されたゾーン（例えば、メモリの組織ゾーンまたはビジネスゾーン）内のコンピューティングリソースの存在を含むことができる。事前定義されたゾーンは、事前定義されたゾーン内のコンピューティングリソースに適用可能であり、事前定義されたゾーンの外部のコンピューティングリソースに適用可能でない、少なくとも１つのセキュリティポリシーを有する。いくつかの場合、事前定義されたゾーンは、事前定義されたゾーン内のコンピューティングリソースにアクセス可能であり、所定ゾーンの外部のコンピューティングリソースにアクセス可能でない、少なくとも１つのネットワークインタフェースを有する。いくつかの実施態様において、識別基準は、コンピューティングマシンにおける管理されるランチャー（例えば、組織ランチャーまたはビジネスランチャー）を介してアクセスされる、または追加の管理されるコンピューティングリソースからのデータを含む、コンピューティングリソースを含む。追加の管理されるコンピューティングリソースは、ファイル、電子メール、サービスとしてのソフトウェア（ＳａａＳ）アプリケーションもしくはウェブサイト、またはネットワーク宛先もしくはサブネットのうちの少なくとも１つを含むことができる。本明細書において用いられるとき、「サブネット」という用語は、その普通で通常の意味を包含する。サブネットは、別のネットワークのコンポーネントであるサブネットワークを含むことができる。

【0218】

コンピューティングリソースが管理されるコンピューティングリソースである場合、プロセス１５００はブロック１５５０に続く。コンピューティングリソースが管理されるリソースでない場合、プロセス１５００はブロック１５６０に続く。

【0219】

ブロック１５５０において、コンピューティングリソースが管理されるコンピューティングリソースであると決定すると、コンピューティングマシンは、表示領域の縁部に隣接したインディケータ（例えば、組織インディケータまたはビジネスインディケータ）の表示を発生させる。インディケータは、コンピューティングリソースが管理されるコンピューティングリソースであることを示す。インディケータは、表示領域からｎピクセル以下の距離を有する表示領域の外部のピクセルを占有する境界線（例えば、境界線４０６Ａ、４０６Ｂ）を含むことができ、ここで、ｎは正の整数であり、境界線は事前定義された色または設計を有する。インディケータは、表示領域の縁部の一部分を覆う円形または楕円形形状を有するバッジ（例えば、バッジ４０８Ａ、４０８Ｂ）を含むことができる。ブロック１５５０の後、プロセス１５００は終了する。

【0220】

ブロック１５６０において、コンピューティングリソースが管理されるコンピューティングリソースでないと決定すると、コンピューティングマシンは管理されるインディケータの表示を発生させることを見合わせる。ブロック１５６０の後、プロセス１５００は終了する。

【0221】

いくつかの実施形態が、付番された例（例１、２、３等）として説明される。これらは単なる例として提供され、本明細書に開示される技術を限定するものではない。

【0222】

例１は：コンピューティングマシンにおいて、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースを記憶することであって、複数の管理されるコンピューティングリソースがセキュリティポリシーに関連付けられる、ことと；コンピューティングマシンのネイティブコンピューティング環境を介して、コンピューティングマシンに結合されたディスプレイユニットに、指定された管理されるコンピューティングリソースの全てまたは一部分、および指定された追加のコンピューティングリソースの全てまたは一部分を同時に表示させることと；セキュリティポリシーからのセキュリティルールを、指定された管理されるコンピューティングリソースに適用することであって、セキュリティルールを適用することが、少なくとも、指定された管理されるコンピューティングリソースに関するコンピューティングマシンのアクティビティを追跡サービスにより追跡することを促進することを含む、ことと；指定された追加のコンピューティングリソースに関する、および複数の管理されるコンピューティングリソースのうちの１つ以上に関連付けられていないコンピューティングマシン上のアクティビティに関するコンピューティングマシンのアクティビティを追跡サービスにより追跡することを促進することを見合わせることとを含む、方法である。

【0223】

例２において、例１の主題は、追加のコンピューティングリソースが個人コンピューティングリソースを含み、管理されるコンピューティングリソースがビジネスコンピューティングリソースを含み、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースが、ファイル、クラウドファイルストレージアクセス、アプリケーション、またはウェブサイトを含むことを含む。

【0224】

例３において、例１から２の主題は、セキュリティポリシーからのセキュリティルールを、指定された追加のコンピューティングリソースに適用することを見合わせることを含む。

【0225】

例４において、例１から３の主題は、指定された管理されるコンピューティングリソースと関連付けて、追跡することが進行中であることを示す視覚的インディケータを表示することを含む。

【0226】

例５において、例４の主題は、視覚的インディケータが、指定された管理されるコンピューティングリソースによって占有されるディスプレイユニットの領域に隣接したバッジまたは境界線を含み、管理されるコンピューティングリソースの起動時に視覚的インディケータが確立され、管理されるコンピューティングリソースから出るとき、またはコンピューティングマシンのユーザによるログアウト時に、視覚的インディケータが除去されることを含む。

【0227】

例６において、例１から５の主題は、指定された管理されるコンピューティングリソースに関するコンピューティングマシンのアクティビティ、および指定された追加のコンピューティングマシンに関するコンピューティングマシンのアクティビティが、ネットワークトラフィックを含むことを含む。

【0228】

例７において、例１から６の主題は、指定された管理されるコンピューティングリソースに関するコンピューティングマシンのアクティビティ、および指定された追加のコンピューティングマシンに関するコンピューティングマシンのアクティビティが、インターネットブラウジングを含むことを含む。

【0229】

例８において、例１から７の主題は、指定された管理されるコンピューティングリソースに関するコンピューティングマシンのアクティビティ、および指定された追加のコンピューティングマシンに関するコンピューティングマシンのアクティビティが、カメラまたはマイクロフォン入力アクティビティを含むことを含む。

【0230】

例９において、例１から８の主題は、コンピューティングマシンから追跡サービスに送信される情報を記憶することと；ユーザ要求に応答して、コンピューティングマシンから追跡サービスに送信される情報の視覚的表現の表示を提供することとを含む。

【0231】

例１０において、例１から９の主題は、追跡サービスが：セキュリティポリシーに関連付けられた、クラウドベースの追跡サービス、１つ以上のサーバ、およびアドミニストレータコンピューティングデバイスのうちの１つ以上を含むことを含む。

【0232】

例１１は：コンピューティングマシンにおいて、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースを記憶することであって、複数の管理されるコンピューティングリソースがセキュリティポリシーに関連付けられる、ことと；コンピューティングマシンのネイティブコンピューティング環境を介して、コンピューティングマシンに結合されたディスプレイユニットに、第１の表示位置において、複数の管理されるコンピューティングリソースの中からの指定された管理されるコンピューティングリソースの全てまたは一部分を表示させることと；ディスプレイユニットに、第１の表示位置に基づいて計算された表示位置において、指定された管理されるコンピューティングリソースがセキュリティポリシーに関連付けられていることの視覚的インディケータを表示させることと；セキュリティポリシーからのセキュリティルールを、指定された管理されるコンピューティングリソースに適用することとを含む、方法である。

【0233】

例１２において、例１１の主題は、追加のコンピューティングリソースが個人コンピューティングリソースを含み、管理されるコンピューティングリソースがビジネスコンピューティングリソースを含み、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースが、ファイル、クラウドファイルストレージアクセス、アプリケーション、またはウェブサイトを含むことを含む。

【0234】

例１３において、例１１から１２の主題は、追加のコンピューティングリソースが第１のタイプのコンピューティングリソースを含み、管理されるコンピューティングリソースが、エンティティが強化されたセキュリティを望む第２のタイプのコンピューティングリソースを含み、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースが、ファイル、クラウドファイルストレージアクセス、アプリケーション、またはウェブサイトを含むことを含む。

【0235】

例１４において、例１１から１３の主題は、視覚的インディケータが、第１の表示位置の縁部に近接したバッジを含み、バッジが、セキュリティポリシーが指定された管理されるコンピューティングリソースに適用可能であることを示すことを含む。

【0236】

例１５において、例１４の主題は、バッジのユーザ選択を表す信号を受信することと；バッジのユーザ選択に応答して、ディスプレイユニットに、コンピューティングマシンに適用可能なセキュリティポリシーに関する情報を表示させることとを含む。

【0237】

例１６において、例１１から１５の主題は、視覚的インディケータが境界線を含み、境界線がピクセルを含み、ピクセルは：第１の表示位置の外部にあり、第１の表示位置の縁部から閾値距離以内にあり、視覚的インディケータに関連付けられたバッジによって占有されていないことを含む。

【0238】

例１７において、例１６の主題は、複数のコンピューティングリソースがディスプレイユニット上に表示され、表示された各コンピューティングリソースが、表示されたコンピューティングリソースが最後に選択された時間に基づいて表示優先度値に関連付けられ、境界線が、指定された管理されるコンピューティングリソースの最後の選択時の後に選択されたコンピューティングリソースによって占有されないピクセルを含むことを含む。

【0239】

例１８において、例１６から１７の主題は、コンピューティングマシンの処理回路において、指定された管理されるコンピューティングリソースをディスプレイユニットに沿ってドラッグすることを表す信号を受信すること；処理回路を用いて、境界線の位置を、ｎマイクロ秒ごとに１回の離散方式で、またはオペレーティングシステムウィンドウイベントに基づいて再計算することを含み、ｎは所定の正の数である。

【0240】

例１９において、例１６から１８の主題は、指定された管理されるコンピューティングリソースによってポップアップまたはディスプレイ上のアラートを生成することと；ポップアップまたはディスプレイ上のアラートの周りに境界線の表示を発生させることとを含む。

【0241】

例２０において、例１１から１９の主題は、コンピューティングマシンにおいて、セキュリティルールに違反するアクションを実行することのユーザ要求を受信することと；セキュリティポリシーと併せて記憶され、セキュリティポリシーのアドミニストレータによって提供される設定に基づいて、ユーザがアクションを行うことを望むことを確認することによる、ユーザによる追加の肯定的行為に応答して、ユーザがセキュリティルールに違反するアクションを行うことを許すこととを含む。

【0242】

例２１において、例１１から２０の主題は、コンピューティングマシンのネイティブコンピューティング環境を介して、ディスプレイユニットに、第２の表示位置において、複数の追加のコンピューティングリソースの中からの指定された追加のコンピューティングリソースの全てまたは一部分を表示させることと；指定された追加のコンピューティングリソースに関連付けて、ディスプレイユニットに、視覚的インディケータを表示させることを見合わせることと；セキュリティポリシーからのセキュリティルールを、指定された追加のコンピューティングリソースに適用することを見合わせることとを含む。

【0243】

例２２において、例１１から２１の主題は、コンピューティングマシンのネイティブコンピューティング環境を介して、コンピューティングマシンに結合されたディスプレイニットに、事前定義された表示位置において、コンピューティングデバイス上で開いている複数のコンピューティングリソースの証印を表示させることを含み、管理されるコンピューティングリソースの証印は、管理されるコンピューティングリソースがセキュリティポリシーに関連付けられていることを示す視覚シンボルと結合される。

【0244】

例２３において、例２２の主題は、追加のコンピューティングリソースの証印が視覚シンボルと結合されていないことを含む。

【0245】

例２４において、例２２から２３の主題は、複数のコンピューティングリソースの表示される証印が、タスクバーまたはドックを含むことを含む。

【0246】

例２５は：コンピューティングマシンにおける単一のユーザアカウント内に、複数の管理されないコンピューティングリソースおよび複数の管理されるコンピューティングリソースを記憶することであって、複数の管理されるコンピューティングリソースがセキュリティポリシーに関連付けられる、ことと；コンピューティングマシンのユーザから、複数の管理されるコンピューティングリソースの中からの指定された管理されるコンピューティングリソースにアクセスするための要求を受信することと；指定された管理されるコンピューティングリソースへのアクセスを、コンピューティングマシン上でローカルに、コンピューティングマシンのネイティブコンピューティング環境を通じて直接提供することと；ディスプレイユニットに、指定された管理されるコンピューティングリソースを表示するディスプレイユニットの領域に関連する表示位置において、指定された管理されるコンピューティングリソースがセキュリティポリシーに関連付けられていることのインディケータを表示させることと；セキュリティポリシーからのセキュリティルールを、指定された管理されるコンピューティングリソースに適用することとを含む、方法である。

【0247】

例２６において、例２５の主題は、コンピューティングマシンのユーザから、複数の管理されないコンピューティングリソースの中からの指定された管理されないコンピューティングリソースにアクセスするための要求を受信することと；指定された管理されないコンピューティングリソースへのアクセスを、コンピューティングマシン上でローカルに、コンピューティングマシンのネイティブコンピューティング環境を通じて直接提供することと；ディスプレイユニットに、指定された管理されないコンピューティングリソースがセキュリティポリシーに関連付けられていることのインディケータを表示させることを見合わせることと；セキュリティポリシーからのセキュリティルールを、指定された個人コンピューティングリソースに適用することを見合わせることとを含む。

【0248】

例２７において、例２５から２６の主題は、複数の管理されないコンピューティングリソースがセキュリティポリシーに関連付けられていないことを含む。

【0249】

例２８において、例２５から２７の主題は、コンピューティングマシンの外部のアドミニストレータコンピューティングデバイスが、コンピューティングマシンに存在する複数の管理されるコンピューティングリソースにアクセスでき、コンピューティングマシンに存在する複数の管理されないコンピューティングリソースにアクセスできないことを含む。

【0250】

例２９において、例２５から２８の主題は、セキュリティポリシーが、複数の管理されるコンピューティングリソースに関してコンピューティングマシンのユーザのアクティビティを制約するセキュリティルールを含むことを含む。

【0251】

例３０において、例２５から２９の主題は、セキュリティポリシーが、複数の管理されるコンピューティングリソースに関してリモートコンピューティングデバイスがコンピューティングマシンのユーザのアクティビティを監視することを可能にする監視ルールを含むことを含む。

【0252】

例３１において、例２５から３０の主題は、複数の管理されないコンピューティングリソースおよび複数の管理されるコンピューティングリソースが、コンピューティングマシンのまたはクラウドストレージユニットのファイルシステムの別個の異なるディレクトリに存在することを含む。

【0253】

例３２は：コンピューティングマシンにおけるユーザアカウントを介して、コンピューティングマシン上に存在するコンピューティングリソースにアクセスするための要求を受信することと；コンピューティングリソースへのアクセスを、コンピューティングマシン上でローカルに、コンピューティングマシンのネイティブコンピューティング環境を通じて直接提供することと；コンピューティングリソースがセキュリティポリシーに関連付けられていると決定することであって、コンピューティングマシンにおけるユーザアカウントが、コンピューティングマシン上に存在するコンピューティングリソースを含む複数のコンピューティングリソースに関連付けられ、複数のコンピューティングリソースの第１の部分がセキュリティポリシーに関連付けられ、複数のコンピューティングリソースの第２の部分が、セキュリティポリシーに関連付けられていない、ことと；コンピューティングリソースがセキュリティポリシーに関連付けられていると決定したことに応答して、ディスプレイユニットに、コンピューティングリソースを表示するディスプレイユニットの領域に関連付けて、コンピューティングリソースがセキュリティポリシーに関連付けられていることの視覚的インディケーションを表示させることと；セキュリティポリシーからのセキュリティルールを、コンピューティングリソースに適用することとを含む、方法である。

【0254】

例３３において、例３２の主題は、コンピューティングリソースが、ウェブサイト、アプリケーションまたはファイルであり、コンピューティングマシンが：ラップトップコンピュータ、デスクトップコンピュータ、モバイルフォンまたはタブレットコンピュータのうちの１つであることを含む。

【0255】

例３４において、例３２から３３の主題は、セキュリティポリシーが組織セキュリティポリシーであり、コンピューティングマシンが、組織セキュリティポリシーに関連付けられた組織のコンピューティングリソースのセットと、組織セキュリティポリシーに関連付けられていない個人のコンピューティングリソースのセットとを記憶することを含む。

【0256】

例３５において、例３２から３４の主題は、セキュリティポリシーからのセキュリティルールが、コンピューティングリソースの共有をブロックすること、コンピューティングリソースの共有理由をロギングすること、コンピューティングリソースの共有の前にユーザ確認を受信すること、コンピューティングリソースが選択されている間にキーストロークをロギングすること、コンピューティングマシンが少なくとも閾値期間にわたってアイドルであることに応答してコンピューティングリソースをロックすることのうちの１つ以上を含む。

【0257】

例３６において、例３５の主題は、共有が、印刷すること、スクリーン共有すること、電子メールもしくはメッセージングサービスを介して送信すること、ドラッグアンドドロップすること、カットアンドペーストすること、ダウンロードすること、アップロードすること、アタッチすること、印刷すること、特定のウェブサイトにアクセスすること、ウェブサイトのカテゴリにアクセスすること、アプリケーションを起動すること、またはスクリーンショットを取得することのうちの１つ以上を含む。

【0258】

例３７において、例３２から３６の主題は、ユーザ要求に応答して、コンピューティングリソースに関するセキュリティポリシーからの１つ以上のセキュリティルールを非アクティブ化することと；ユーザ要求の理由をロギングすることとを含む。

【0259】

例３８において、例３２から３７の主題は、グラフィカルユーザインタフェース（ＧＵＩ）を介して、視覚的インディケーションの選択のインディケーションを受信することと；視覚的インディケーションの選択に応答して、コンピューティングリソースに関するコンピューティングマシンのユーザのパーミッションに関する情報、またはセキュリティポリシーに関する情報を表示のために提供することとを含む。

【0260】

例３９において、例３２から３８の主題は、ディスプレイユニットに、セキュリティポリシーに関連付けられたコンピューティングリソース、およびセキュリティポリシーに関連付けられていない追加のコンピューティングリソースを同時に表示させることを含み、コンピューティングリソースおよび追加のコンピューティングリソースの両方が、コンピューティングマシンのネイティブコンピューティング環境を通じて実行される。

【0261】

例４０において、例３２から３９の主題は、視覚的インディケータが、コンピューティングリソースを表示するディスプレイユニットの領域の境界上にまたは境界に隣接して表示されることを含む。

【0262】

例４１は：コンピューティングマシンにおける単一のユーザアカウント内に、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースを記憶することであって、複数の管理されるコンピューティングリソースがセキュリティポリシーに関連付けられる、ことと；複数の管理されるコンピューティングリソースのうちのありとあらゆるものに読み出しアクセスおよび書き込みアクセスできない、指定されたアプリケーションの第１のインスタンスを実行することと；複数の管理されるコンピューティングリソースの少なくとも一部分にアクセスする、指定されたアプリケーションの第２のインスタンスを、第１のインスタンスと同時に実行することと；セキュリティポリシーからのルールを、指定されたアプリケーションの第２のインスタンスに適用する一方で、セキュリティポリシーからのルールを、指定されたアプリケーションの第１のインスタンスに適用することを見合わせることとを含む、方法である。

【0263】

例４２において、例４１の主題は、ディレクトリまたはファイルシステムにおけるコンピューティングリソースのロケーション、クラウドストレージロケーション、セキュリティポリシーにおけるルール、プロセス名またはパス、ユニフォームリソースロケータ（ＵＲＬ）アドレス、およびコンピューティングリソースが複数の管理されるコンピューティングリソースに関連付けられたアプリケーションランチャーから起動されるか否か、のうちの１つ以上に基づいて、コンピューティングリソースを管理されるコンピューティングリソースであると識別することを含む。

【0264】

例４３において、例４１から４２の主題は、追加のコンピューティングリソースが個人コンピューティングリソースを含み、管理されるコンピューティングリソースが組織コンピューティングリソースを含み、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースが、ファイル、クラウドファイルストレージアクセス、アプリケーション、またはウェブサイトを含むことを含む。

【0265】

例４４において、例４１から４３の主題は、指定されたアプリケーションの第１のインスタンスが、複数の追加のコンピューティングリソースの少なくとも一部分にアクセスすることを含む。

【0266】

例４５において、例４１から４４の主題は、指定されたアプリケーションの第２のインスタンスが、複数の追加のコンピューティングリソースの少なくとも一部分に、読み出しアクセスでき、書き込みアクセスできないことを含み、第２のインスタンスが複数の追加のコンピューティングリソースの少なくとも一部分にアクセスするとき、セキュリティポリシーの適用が、コンピューティングマシンに関連付けられた設定に基づくことを含む。

【0267】

例４６において、例４１から４５の主題は、指定されたアプリケーションの第３のインスタンスを用いて、セキュアでないコンピューティングリソースにアクセスすること；複数の管理されるコンピューティングリソースのうちのありとあらゆるもの、および複数の追加のコンピューティングリソースのうちのありとあらゆるものへの、指定されたアプリケーションの第３のインスタンスによるアクセスをブロックすることを含む。

【0268】

例４７において、例４６の主題は、ダウンロードメモリ領域、電子メールアプリケーションのアタッチメントに関連付けられたメモリ領域、またはウェブブラウザに関連付けられたメモリ領域に存在する、セキュアでないコンピューティングリソースに基づいて、セキュアでないコンピューティングリソースを識別することを含む。

【0269】

例４８において、例４７の主題は、ダウンロードメモリ領域がダウンロードフォルダを含み、ウェブブラウザに関連付けられたメモリ領域がダウンロードフォルダを含み、電子メールアプリケーションのアタッチメントに関連付けられたメモリ領域がアタッチメントフォルダを含むことを含む。

【0270】

例４９は：コンピューティングマシンにおいて、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースを記憶することであって、複数の管理されるコンピューティングリソースがセキュリティポリシーに関連付けられ、複数の管理されるコンピューティングリソースが管理されるゾーン内に存在し、管理されるゾーンが、コンピューティングマシンのネイティブコンピューティング環境に関連付けられたデータの一部分を含む、ことと；管理されるゾーンの外部の指定されたアプリケーションの第１のインスタンスを実行することであって、第１のインスタンスが、管理されるゾーンの外側のデータに、読み出しアクセスおよび書き込みアクセスでき、第１のインスタンスが、管理されるゾーン内に記憶されたデータに読み出しアクセスおよび書き込みアクセスできない、ことと；管理されるゾーン内の指定されたアプリケーションの第２のインスタンスを、第１のインスタンスと同時に実行することであって、第２のインスタンスが、管理されるゾーンの外側のデータに、読み出しアクセスでき、書き込みアクセスがなく、第２のインスタンスが、管理されるゾーン内に記憶されたデータに、読み出しアクセスおよび書き込みアクセスでき、第２のインスタンスが第１のインスタンスと別個に異なって実行される、こととを含む、方法である。

【0271】

例５０において、例４９の主題は、追加のコンピューティングリソースが個人コンピューティングリソースを含み、管理されるコンピューティングリソースが組織コンピューティングリソースを含み、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースが、ファイル、クラウドファイルストレージアクセス、アプリケーション、またはウェブサイトを含むことを含む。

【0272】

例５１において、例４９から５０の主題は、指定されたアプリケーションの第２のインスタンスが、管理されるネットワークインタフェースを介してネットワークにアクセスし、管理されるネットワークインタフェースが、管理されるゾーンに関連付けられたドメインネームシステム（ＤＮＳ）トラフィックを分離させることを含む。

【0273】

例５２において、例５１の主題は、指定されたアプリケーションの第１のインスタンスが、管理されるネットワークインタフェースではなく、コンピューティングマシンのネイティブネットワークインタフェースを介してネットワークにアクセスし、管理されるゾーンの外側に存在する複数の追加のリソースが管理されるゾーンに関連付けられたネットワークリソースにアクセスすることを、管理されるネットワークインタフェースが制約することを含む。

【0274】

例５３において、例４９から５２の主題は、指定されたアプリケーションの第１のインスタンスが、コンピューティングマシンのコンポーネントオブジェクトモデル（ＣＯＭ）にアクセスし、指定されたアプリケーションの第２のインスタンスが、コンピューティングマシンのＣＯＭと異なる管理されるゾーンのエミュレートされたＣＯＭにアクセスすることを含む。

【0275】

例５４において、例４９から５３の主題は、指定されたアプリケーションの第１のインスタンスが、プロセス間通信のために、コンピューティングマシンのリモートプロシージャコール（ＲＰＣ）サブシステムにアクセスし、指定されたアプリケーションの第２のインスタンスが、プロセス間通信のために、コンピューティングマシンのＲＰＣサブシステムと異なる管理されるゾーンのエミュレートされたＲＰＣサブシステムにアクセスすることを含む。

【0276】

例５５において、例４９から５４の主題は、コンピューティングマシンが、管理されるゾーンに対し外部に、グローバルオブジェクトのセットを記憶し、コンピューティングマシンが、管理されるゾーン内に、グローバルオブジェクトのセットをエミュレートするグローバルオブジェクトのエミュレートされたセットを記憶し、指定されたアプリケーションの第１のインスタンスが、グローバルオブジェクトのセットにアクセスし、指定されたアプリケーションの第２のインスタンスが、グローバルオブジェクトのエミュレートされたセットにアクセスすることを含む。

【0277】

例５６において、例４９から５５の主題は、コンピューティングマシンが、管理されるゾーンに対し外部に、ハードウェアデバイス構成、インストールされたアプリケーション設定、およびオペレーティングシステム設定から構成される設定を表すコンピューティングマシンレジストリを記憶し、コンピューティングマシンが、管理されるゾーン内に、管理されるゾーン内で実行されるアプリケーションのコンピューティングマシンレジストリをエミュレートする、エミュレートされたレジストリを記憶し、指定されたアプリケーションの第１のインスタンスがコンピューティングマシンレジストリにアクセスし、指定されたアプリケーションの第２のインスタンスがエミュレートされたレジストリにアクセスすることを含む。

【0278】

例５７において、例４９から５６の主題は、指定されたアプリケーションがファイルマネージャアプリケーションであり、第１のインスタンスが、複数の追加のコンピューティングリソースからファイルへのアクセスのためのものであり、第２のインスタンスが、複数の管理されるコンピューティングリソースからファイルへのアクセス、および複数の追加のコンピューティングリソースへのリードオンリーアクセスのためのものであることを含む。

【0279】

例５８において、例４９から５７の主題は、コンピューティングマシンのファイルエクスプローラを介して、選択されたファイルを開くための要求にアクセスすることであって、ファイルエクスプローラは、管理されるゾーンに対し外部で実行され、ファイルが関連アプリケーションを有し、ファイルエクスプローラが、管理されるゾーンの外部のファイル、および管理されるゾーンの内部のファイルの両方にアクセスを提供する、ことと；選択されたファイルが、複数の管理されるコンピューティングリソースの中からのものであるか否かを決定することと；選択されたファイルが、複数の管理されるコンピューティングリソースの中からのものであると決定すると、管理されるゾーン内で実行されている関連アプリケーションのインスタンスを用いて、選択されたファイルを開くことと；選択されたファイルが、複数の管理されるコンピューティングリソースの中からのものでないと決定すると、管理されるゾーン内で実行されていない関連アプリケーションのインスタンスを用いて、選択されたファイルを開くこととを含む。

【0280】

例５９において、例４９から５８の主題は、コンピューティングマシンのオペレーティングシステムが、管理されるゾーンの外側から複数の管理されるコンピューティングリソースにアクセスできないことを含む。

【0281】

例６０において、例４９から５９の主題は、セキュリティプログラムが、管理されるゾーンおよび管理されないゾーンの両方にアクセスすることが可能であり、セキュリティプログラムが、ウィルス対策プログラム、マルウェア対策プログラム、またはセキュリティ監査ツールのうちの１つ以上を含むことを含む。

【0282】

例６１において、例４９から６０の主題は、制約されたゾーン内で実行されている指定されたアプリケーションの制約されたインスタンスを用いて、セキュアでないコンピューティングリソースにアクセスすること；複数の管理されるコンピューティングリソースのうちのありとあらゆるもの、および複数の追加のコンピューティングリソースのうちのありとあらゆるものへの、指定されたアプリケーションの制約されたインスタンスによるアクセスをブロックすることを含む。

【0283】

例６２において、例６１の主題は、セキュリティプログラムが、管理されるゾーン、管理されないゾーン、および制約されたゾーンにアクセスすることが可能であり、セキュリティプログラムが、ウィルス対策プログラム、マルウェア対策プログラム、またはセキュリティ監査ツールのうちの１つ以上を含むことを含む。

【0284】

例６３において、例６１から６２の主題は、ダウンロードメモリ領域、電子メールアプリケーションのアタッチメントに関連付けられたメモリ領域、またはウェブブラウザに関連付けられたメモリ領域に存在する、セキュアでないコンピューティングリソースに基づいて、セキュアでないコンピューティングリソースを識別することを含む。

【0285】

例６４において、例６３の主題は、ダウンロードメモリ領域がダウンロードフォルダを含み、ウェブブラウザに関連付けられたメモリ領域がダウンロードフォルダを含み、電子メールアプリケーションのアタッチメントに関連付けられたメモリ領域がアタッチメントフォルダを含むことを含む。

【0286】

例６５は：コンピューティングマシンのメモリ内に、管理されるコンピューティングリソースを含むコンピューティングリソースを記憶することと；メモリに記憶されたコンピューティングリソースからのコンピューティングリソースを表示するための要求を受信することと；ディスプレイデバイスの表示領域内に、コンピューティングリソースを表示させることと：識別基準に基づいて、コンピューティングリソースが、管理されるコンピューティングリソースからの管理されるコンピューティングリソースであるか否かを決定することと；コンピューティングリソースが管理されるコンピューティングリソースであると決定すると：表示領域の縁部に隣接してインディケータの表示を発生させ、インディケータは、コンピューティングリソースが管理されるコンピューティングリソースであることを示し；またはコンピューティングリソースが管理されるコンピューティングリソースでないと決定すると：インディケータの表示を発生させることを見合わせることとを含む、方法である。

【0287】

例６６において、例６５の主題は、識別基準が：コンピューティングマシンまたはクラウドストレージユニットのファイルシステムにおけるディレクトリ内に存在するコンピューティングリソース、コンピューティングリソースのファイルタイプ、コンピューティングリソースに関連付けられたアプリケーション、コンピューティングリソースに関連付けられたウェブサイト、または指定されたエンティティによってコンピューティングマシンに提供またはインストールされたコンピューティングリソースのうちの少なくとも１つを含むことを含む。

【0288】

例６７において、例６５から６６の主題は、識別基準が、メモリの事前定義されたゾーン内のコンピューティングリソースの存在を含み、事前定義されたゾーンが、事前定義された組織ゾーン内のコンピューティングリソースに適用可能であり、事前定義された組織ゾーンの外部のコンピューティングリソースに適用可能でない少なくとも１つのセキュリティポリシーを有することを含む。

【0289】

例６８において、例６５から６７の主題は、識別基準が、メモリの事前定義されたゾーン内のコンピューティングリソースの存在を含み、事前定義されたゾーンが、事前定義されたゾーン内のコンピューティングリソースにアクセス可能であり、事前定義されたゾーンの外部のコンピューティングリソースにアクセス可能でない少なくとも１つのネットワークインタフェースを有することを含む。

【0290】

例６９において、例６５から６８の主題は、識別基準が、コンピューティングマシンにおいて管理されるランチャーを介してアクセスされる、または追加の管理されるコンピューティングリソースからのデータを含む、コンピューティングリソースを含むことを含む。

【0291】

例７０において、例６９の主題は、追加の管理されるコンピューティングリソースが：ファイル、電子メール、サービスとしてのソフトウェア（ＳａａＳ）アプリケーションもしくはウェブサイト、またはネットワーク宛先もしくはサブネットのうちの少なくとも１つを含むことを含む。

【0292】

例７１において、例６５から７０の主題は、インディケータが、表示領域からｎピクセル以下の距離を有する表示領域の外部のピクセルを占有する境界線を含み、ｎが正の整数であり、境界線が事前定義された色または設計を有することを含む。

【0293】

例７２において、例６５から７１の主題は、インディケータが、表示領域の縁部の一部分を覆う円形または楕円形形状を有するバッジを含むことを含む。

【0294】

例７３において、例６５から７２の主題は、コンピューティングマシンのメモリが、管理されるコンピューティングリソースおよび管理されないコンピューティングリソースを記憶し、管理されるコンピューティングリソースおよび管理されないコンピューティングリソースが相互に排他的であることを含む。

【0295】

例７４において、例６５から７３の主題は、表示領域がディスプレイデバイスの表示空間の一部分を含むことを含む。

【0296】

例７５は、処理回路によって実行されるとき、処理回路に、例１から７４のうちのいずれかを実施する動作を行わせる命令を含む、少なくとも１つの機械可読媒体である。

【0297】

例７６は、例１から７４のうちのいずれかを実施するための手段を備える装置である。

【0298】

例７７は、例１から７４のうちのいずれかを実施するためのシステムである。

【0299】

例７８は、例１から７４のうちのいずれかを実施するための方法である。

【0300】

実施形態は、特定の例示的な実施形態を参照して説明されているが、本開示のより広い趣旨および範囲から逸脱することなく、これらの実施形態に対して様々な修正および変更を行うことができることが明らかになろう。したがって、本明細書および図面は、限定的な意味ではなく、例示的なものとみなされるべきである。本明細書の一部を形成する添付の図面は、限定ではなく例として、主題を実施することができる特定の実施形態を示す。示される実施形態は、当業者が本明細書に開示された教示を実施することを可能にするために十分詳細に説明されている。本開示の範囲から逸脱することなく、構造的および論理的な置換および変更を行うことができるように、他の実施形態が利用され、そこから派生させることができる。したがって、この発明を実施するための形態は限定的な意味で解釈されるべきではなく、様々な実施形態の範囲は、そのような特許請求の範囲が権利を与えられる同等物の全範囲と共に、添付の特許請求の範囲によってのみ定義される。

【0301】

本明細書において特定の実施形態を図示および説明してきたが、同じ目的を達成するように計算される任意の構成が、示される特定の実施形態のために置き換えられ得ることが理解されるべきである。この開示は、様々な実施形態のありとあらゆる適応形態または変形形態をカバーすることが意図される。上記の実施形態、および本明細書に特に説明されていない他の実施形態の組合せは、上記の説明を読んだ当業者には明らかとなろう。

【0302】

本明細書において、「１つの（ａ、ａｎ）」という用語は、特許文書で一般的であるように、「少なくとも１つ」または「１つ以上」の他の例または使用法とは無関係に、１つ以上を含むように使用される。本文書において、「または」という用語は、他に指定されていない限り、非排他的または、たとえば「ＡまたはＢ」が、「ＡであるがＢではない」、「ＢであるがＡではない」、および「ＡおよびＢ」を含むことを指すために使用される。本文書において、「含んでいる（ｉｎｃｌｕｄｉｎｇ）」および「ここで（ｉｎｗｈｉｃｈ）」という用語は、それぞれの用語「備えている（ｃｏｍｐｒｉｓｉｎｇ）」および「ここで（ｗｈｅｒｅｉｎ）」の平易な英語の同等物として使用される。また、以下の特許請求の範囲では、「含んでいる（ｉｎｃｌｕｄｉｎｇ）」および「備えている（ｃｏｍｐｒｉｓｉｎｇ）」という用語はオープンエンドであり、すなわち、請求項内のそのような用語の後に列挙されている要素に加えて、要素を含むシステム、ユーザ機器（ＵＥ）、物品、組成、形成またはプロセスは、その特許請求の範囲内に依然としてあるとみなされる。更に、以下の特許請求の範囲において、「第１」、「第２」、および「第３」等の用語は、単にラベルとして使用され、それらのオブジェクトに数値要件を課すことを意図しない。

【0303】

本開示の要約は、読者が技術的開示の性質を迅速に確認することを可能にする要約を要求する、３７Ｃ．Ｆ．Ｒ．§１．７２（ｂ）に準拠して提供される。本開示の要約書は特許請求の範囲または意味を解釈または制限するために用いられないという理解の下で提出される。加えて、上記の発明を実施するための形態では、本開示を簡素化する目的で様々な特徴が単一の実施形態にグループ化されることがわかる。この開示方法は、主張された実施形態が各請求項に明確に記載されるものよりも多い特徴を必要とするという意図を反映すると解釈されるものではない。むしろ、以下の請求項に反映されるように、本発明の主題は単一の開示された実施形態の全ての特徴よりも少ない。このため、以下の特許請求の範囲は発明を実施するための形態に組み込まれており、各請求項自体は別個の実施形態として独立している。

【図1】

【図2】

【図3】

【図4A】

【図4B】

【図5】

【図6】

【図7】

【図8】

【図9】

【図10】

【図11】

【図12】

【図13】

【図14】

【図15】

【手続補正書】

【提出日】2024-04-15

【手続補正1】

【補正対象書類名】特許請求の範囲

【補正対象項目名】全文

【補正方法】変更

【補正の内容】

【特許請求の範囲】

【請求項1】

コンピューティングマシンにおいて、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースを記憶することであって、複数の管理されるコンピューティングリソースがセキュリティポリシーに関連付けられる、ことと、
コンピューティングマシンのネイティブコンピューティング環境を介して、コンピューティングマシンに結合されたディスプレイユニットに、指定された管理されるコンピューティングリソースの視覚的表現の全てまたは一部分、および指定された追加のコンピューティングリソースの視覚的表現の全てまたは一部分を同時に表示させることであって、指定された管理されるコンピューティングリソースの視覚的表現は、指定された管理されるコンピューティングリソースに関連付けられたソフトウェアの実行中に生成されたデータを含み、指定された追加のコンピューティングリソースの視覚的表現は、指定された追加のコンピューティングリソースに関連付けられたソフトウェアの実行中に生成されたデータを含む、ことと、
セキュリティポリシーからのセキュリティルールを、指定された管理されるコンピューティングリソースに適用することであって、セキュリティルールを適用することが、少なくとも、指定された管理されるコンピューティングリソースに関するコンピューティングマシンのアクティビティを管理サービスにより追跡することを促進することを含む、ことと、
指定された追加のコンピューティングリソースに関する、および複数の管理されるコンピューティングリソースのうちの１つ以上に関連付けられていないコンピューティングマシン上のアクティビティに関するコンピューティングマシンのアクティビティを管理サービスにより追跡することを促進することを見合わせることと、
指定された管理されるコンピューティングリソースの視覚的表現と関連付けて、追跡することが進行中であることを示す視覚的インディケータを表示することであって、視覚的インディケータが、指定された管理されるコンピューティングリソースの視覚的表現のための境界線を含み、境界線が、指定された管理されるコンピューティングリソースの視覚的表現からｎ個以下のピクセルの距離以内にある、指定された管理されるコンピューティングリソースの視覚的表現の外側の点を、これらのピクセルが、コンピュティングリソーススタック内の指定された管理されるコンピューティングリソースよりもドミナントな、他のコンピューティングリソースの視覚的表現によって占有されていない限り、占有し、ここでｎが正の整数である、ことと
を含む、方法。

【請求項2】

【請求項3】

【請求項4】

セキュリティルールを適用することが、指定された管理されるコンピューティングリソースから指定された追加のコンピューティングリソースへデータをコピーすることを、コンピューティングマシンのハードウェアドライバと通信することによりブロックすることを含む、請求項１に記載の方法。

【請求項5】

視覚的インディケータが、指定された管理されるコンピューティングリソースの視覚的表現によって占有されるディスプレイユニットの領域に隣接したバッジを含む、請求項１に記載の方法。

【請求項6】

【請求項7】

【請求項8】

【請求項9】

【請求項10】

【請求項11】

【請求項12】

セキュリティルールを適用することが、指定された管理されるコンピューティングリソースから指定された追加のコンピューティングリソースへデータをコピーすることを、コンピューティングマシンのコントローラと通信することによりブロックすることを含む、請求項１に記載の方法。

【請求項13】

ディスプレイユニットに、ユーザ入力に応答して、指定された追加のコンピューティングリソースの視覚的表現の表示を終了させることと、
ディスプレイユニットに、指定された管理されるコンピューティングリソースの視覚的表現、および追跡することが進行中であることを示す視覚的インディケータの表示を継続させること
を更に含む、請求項１に記載の方法。

【請求項14】

命令を記憶する非一時的機械可読媒体であって、処理回路によって実行されると、処理回路に、
コンピューティングマシンにおいて、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースを記憶することであって、複数の管理されるコンピューティングリソースがセキュリティポリシーに関連付けられる、ことと、
コンピューティングマシンのネイティブコンピューティング環境を介して、コンピューティングマシンに結合されたディスプレイユニットに、指定された管理されるコンピューティングリソースの視覚的表現の全てまたは一部分、および指定された追加のコンピューティングリソースの視覚的表現の全てまたは一部分を同時に表示させることであって、指定された管理されるコンピューティングリソースの視覚的表現は、指定された管理されるコンピューティングリソースに関連付けられたソフトウェアの実行中に生成されたデータを含み、指定された追加のコンピューティングリソースの視覚的表現は、指定された追加のコンピューティングリソースに関連付けられたソフトウェアの実行中に生成されたデータを含む、ことと、
セキュリティポリシーからのセキュリティルールを、指定された管理されるコンピューティングリソースに適用することであって、セキュリティルールを適用することが、少なくとも、指定された管理されるコンピューティングリソースに関するコンピューティングマシンのアクティビティを管理サービスにより追跡することを促進することを含む、ことと、
指定された追加のコンピューティングリソースに関する、および複数の管理されるコンピューティングリソースのうちの１つ以上に関連付けられていないコンピューティングマシン上のアクティビティに関するコンピューティングマシンのアクティビティを管理サービスにより追跡することを促進することを見合わせることと、
指定された管理されるコンピューティングリソースの視覚的表現と関連付けて、追跡することが進行中であることを示す視覚的インディケータを表示することであって、視覚的インディケータが、指定された管理されるコンピューティングリソースの視覚的表現のための境界線を含み、境界線が、指定された管理されるコンピューティングリソースの視覚的表現からｎ個以下のピクセルの距離以内にある、指定された管理されるコンピューティングリソースの視覚的表現の外側の点を、これらのピクセルが、コンピュティングリソーススタック内の指定された管理されるコンピューティングリソースよりもドミナントな、他のコンピューティングリソースの視覚的表現によって占有されていない限り、占有し、ここでｎが正の整数である、ことと
を含む動作を行わせる、機械可読媒体。

【請求項15】

【請求項16】

動作が、セキュリティポリシーからのセキュリティルールを、指定された追加のコンピューティングリソースに適用することを見合わせることを更に含む、請求項１４に記載の機械可読媒体。

【請求項17】

視覚的インディケータが、指定された管理されるコンピューティングリソースの視覚的表現によって占有されるディスプレイユニットの領域に隣接したバッジを含む、請求項１４に記載の機械可読媒体。

【請求項18】

指定された管理されるコンピューティングリソースに関するコンピューティングマシンのアクティビティ、および指定された追加のコンピューティングマシンに関するコンピューティングマシンのアクティビティが、ネットワークトラフィックを含む、請求項１４に記載の機械可読媒体。

【請求項19】

指定された管理されるコンピューティングリソースに関するコンピューティングマシンのアクティビティ、および指定された追加のコンピューティングリソースに関するコンピューティングマシンのアクティビティが、インターネットブラウジングを含む、請求項１４に記載の機械可読媒体。

【請求項20】

指定された管理されるコンピューティングリソースに関するコンピューティングマシンのアクティビティ、および指定された追加のコンピューティングリソースに関するコンピューティングマシンのアクティビティが、カメラまたはマイクロフォン入力アクティビティを含む、請求項１４に記載の機械可読媒体。

【請求項21】

システムであって、
処理回路と、
命令を記憶するメモリとを備え、命令は、処理回路によって実行されると、処理回路に、
コンピューティングマシンにおいて、複数の管理されるコンピューティングリソースおよび複数の追加のコンピューティングリソースを記憶することであって、複数の管理されるコンピューティングリソースがセキュリティポリシーに関連付けられる、ことと、
コンピューティングマシンのネイティブ環境を介して、コンピューティングマシンに結合されたディスプレイユニットに、指定された管理されるコンピューティングリソースの視覚的表現の全てまたは一部分、および指定された追加のコンピューティングリソースの視覚的表現の全てまたは一部分を同時に表示させることであって、指定された管理されるコンピューティングリソースの視覚的表現は、指定された管理されるコンピューティングリソースに関連付けられたソフトウェアの実行中に生成されたデータを含み、指定された追加のコンピューティングリソースの視覚的表現は、指定された追加のコンピューティングリソースに関連付けられたソフトウェアの実行中に生成されたデータを含む、ことと、
セキュリティポリシーからのセキュリティルールを、指定された管理されるコンピューティングリソースに適用することであって、セキュリティルールを適用することが、少なくとも、指定された管理されるコンピューティングリソースに関するコンピューティングマシンのアクティビティを管理サービスにより追跡することを促進することを含む、ことと、
指定された追加のコンピューティングリソースに関する、および複数の管理されるコンピューティングリソースのうちの１つ以上に関連付けられていないコンピューティングマシン上のアクティビティに関するコンピューティングマシンのアクティビティを管理サービスにより追跡することを促進することを見合わせることと、
指定された管理されるコンピューティングリソースの視覚的表現と関連付けて、追跡することが進行中であることを示す視覚的インディケータを表示することであって、視覚的インディケータが、指定された管理されるコンピューティングリソースの視覚的表現のための境界線を含み、境界線が、指定された管理されるコンピューティングリソースの視覚的表現からｎ個以下のピクセルの距離以内にある、指定された管理されるコンピューティングリソースの視覚的表現の外側の点を、これらのピクセルが、コンピュティングリソーススタック内の指定された管理されるコンピューティングリソースよりもドミナントな、他のコンピューティングリソースの視覚的表現によって占有されていない限り、占有し、ここでｎが正の整数である、ことと
を含む動作を行わせる、システム。

【国際調査報告】

知財求人

知財求人お知らせサービス

知財のニュースを調べる
- 知財ニュース
- 知財周辺ニュース
企業の特許を調べる
知財のセミナーを調べる
知財,特許事務所への求職・転職
特許事務所をさがす
弁理士試験を受ける
- 年の弁理士試験情報
- 弁理士試験の合格率など統計
知財の法律をしらべる
期限日をしらべる
- 今日に対して意見書・補正書の期限
- 今日に対して審査請求期限日
知財の判決をしらべる
コンテンツ・リンク
運営会社
プレスの皆様へ
- お問い合わせ
ユーザーの皆様
- お問い合わせ・フィードバック
広告掲載を希望の皆様へ
- 広告掲載について
- 求人広告の掲載について

IP Force 特許公報掲載プロジェクト 2022.1.31 β版