行動裝置管理代理器的製作方法

2023-07-05 11:27:46 1

本申請要求於2014年3月31日提交的題目為「BYOD MANAGEMENT BROKER」的美國臨時專利申請號為61/973,083的優先權，出於所有目的通過引用將所述美國臨時專利申請結合到本文中。

背景技術：

員工越來越多地可以使用個人設備（例如,行動電話、平板、膝上型計算機等）用於工作目的，有時被稱為「帶你自己的設備」（BYOD）。當設備被用在BYOD環境中時，公司可能需要在允許設備被用於工作之前管理員工的設備以保護內容和應用（app）。當設備由公司管理時，雖然設備擁有者是員工，但員工可能失去設備和隱私的至少一些控制（例如，應用和使用可以被報告給公司的管理伺服器）。在某些情況下，當員工的設備與家庭成員共享時和/或當員工為多個公司工作時引入複雜度。例如，員工和/或設備可能不得不在多個公司的管理伺服器中的每個之間來回地改變。在一些場景中，增加的複雜度可能使用戶較少地傾向於在BYOD環境中使用他們的設備。

附圖說明

在以下詳細描述和附圖中公開了本發明的各種實施例。

圖1是圖示了其中行動裝置上的管理委託（proxy）代理（agent）（代理器（broker））管理由多個伺服器在設備的管理中的參與的行動裝置管理系統的實施例的框圖。

圖2是圖示了其中在行動裝置之外的MDM代理器管理由多個伺服器在設備的管理中的參與的行動裝置管理系統的實施例的框圖。

圖3是圖示了將MDM代理器配置成管理由多個伺服器在設備的管理中的參與的過程的實施例的流程圖。

圖4是圖示了在行動裝置管理（MDM）系統的實施例中的被用來存儲配置和策略信息的數據結構的示例的框圖。

圖5是圖示了在權限（authority）的範圍內實施（enforce）MDM順從動作的過程的實施例的流程圖。

圖6是圖示了允許在其權限範圍內從行動裝置移除數據的管理權限的過程的實施例的流程圖。

圖7是圖示了對請求進行響應以撤銷先前準予的MDM權限的過程的實施例的流程圖。

具體實施方式

本發明可以以許多方式來實現，包括作為過程；裝置；系統；物質的組成；被體現在計算機可讀存儲介質上的電腦程式產品；和/或處理器，諸如被配置成執行被存儲在耦合到處理器的存儲器上的和/或由耦合到處理器的存儲器提供的指令的處理器。在本說明書中，這些實現或本發明可以採取的任何其他形式可以被稱為技術。一般地，可以在本發明的範圍內更改所公開的過程的步驟的順序。除非被另外聲明，被描述為被配置成執行任務的諸如處理器或存儲器之類的部件可以被實現為被臨時地配置成在給定時間執行任務的通用部件或被製造成執行任務的特定部件。如本文中使用的那樣，術語「處理器」指被配置成處理諸如電腦程式指令之類的數據的一個或多個設備、電路和/或處理核。

下面提供了對本發明的一個或多個實施例的詳細描述連同圖示本發明的原理的附圖。結合這樣的實施例描述了本發明，但本發明不限於任何實施例。本發明的範圍僅由權利要求限制並且本發明包含許多替代、修改和等同物。在以下描述中闡述了許多特定細節以便提供對本發明的透徹理解。出於示例的目的提供了這些細節並且可以在沒有這些特定細節中的一些或全部的情況下根據權利要求實踐本發明。出於清楚的目的，尚未詳細地描述在與本發明相關的技術領域中已知的技術材料，使得本發明沒有被不必要地模糊。

公開了允許多個設備管理伺服器參與管理諸如電話或平板之類的行動裝置的技術。在一些實施例中，本文中所公開的技術可以被用來在設備級別處建立管理委託代理，除了（on top of）設備行動裝置管理（MDM）代理之外。設備上的管理委託代理可以被配置成允許並管理諸如第三方MDM伺服器和/或使能MDM的應用伺服器之類的多個MDM管理實體在設備上的應用和內容的管理中的參與。在一些實施例中，受信任的基於雲的管理委託伺服器或「代理器」可以被用來代表諸如第三方MDM伺服器和/或使能MDM的應用伺服器之類的一個或多個管理伺服器來管理設備MDM代理。

圖1是圖示了其中行動裝置上的管理委託代理（代理器）管理由多個伺服器在設備的管理中的參與的行動裝置管理系統的實施例的框圖。在示出的示例中，MDM代理器120，在本文中有時被稱為管理委託代理或管理代理器，包括在行動裝置140上運行的軟體代碼，諸如移動應用。在該示例中，開著的設備（on device）MDM代理器120經由設備上的原生或其他MDM代理110提供MDM控制。在各種實施例中，設備MDM代理110被配置成信任MDM代理器120並接受來自MDM代理器120的指導。在各種實施例中，MDM代理器120包括被配置成顯示未在圖1中示出的交互式用戶界面的軟體代碼，用以使得設備140的用戶能夠將MDM代理器120配置成允許諸如該示例中的第三方MDM伺服器100和102和/或應用伺服器150之類一個或多個遠程MDM實體參與設備140的管理。

雖然在本文中描述的各種實施例中術語「行動裝置管理」或「MDM」可以被用來指管理委託，諸如在圖1中示出的示例中的MDM代理器120，但本文中公開的技術可以被應用在例如管理伺服器的任何管理代理或節點的背景中。

根據各種實施例，設備管理伺服器100（例如，MDM伺服器）可以與例如企業、消費者和/或其他實體相關聯。例如，多個公司中的每個可以具有不同類型的MDM伺服器100。BYOD設備140（例如，行動電話、平板、iPhone、iPad等）可以包括設備管理代理110（例如，MDM代理）。例如，取決於與設備140相關聯的作業系統（OS），代理110可以被嵌入到OS（例如，iOS、Windows phone），可以是具有設備管理許可的應用（例如，Android），和/或可以以其他方式與設備140相關聯。在一些實施例中，設備140可以包括管理委託代理（代理器）120。例如，設備140可以與多個MDM伺服器100相關聯，並且管理委託代理（代理器）120可以例如從每個MDM伺服器100接收管理命令並且（例如在認證和授權之後）將管理命令傳遞到設備管理代理110。可以（例如，在用於隱私和/或其他控制的所要求的過濾之後）經由管理委託代理（代理器）120將信息從設備管理代理110傳遞到設備管理伺服器100。管理委託協議130可以允許設備管理伺服器100與管理委託代理（代理器）120通信。應用伺服器150可以向BYOD設備140發送設備管理命令和/或其他信息。

在各種實施例中，設備擁有者（例如，員工）可以將BYOD設備140上的管理委託代理（代理器）120配置成由多個設備管理伺服器100、應用伺服器150和/或其他節點來管理。管理委託代理（代理器）120可以維護用於一列受信任的設備管理伺服器100的配置、授權設備管理功能/信息，和/或執行其他操作。在各種實施例中，在註冊（registration）期間，設備擁有者可以選擇用於設備管理伺服器100、應用伺服器150和/或其他節點的允許的許可。許可可以包括例如允許鎖定、不允許擦除、允許密碼策略、允許密碼順從、不允許應用詳細目錄（inventory）和/或其他許可。在各種實施例中，當設備管理伺服器100要求設備信息時，管理委託代理（代理器）120可以過濾信息並將其發送到設備管理伺服器100。在一些情況下，取決於信息公開策略，管理委託代理（代理器）120可以報告經過濾的信息，因此設備管理伺服器100可以例如決定針對丟失的信息做什麼。在各種實施例中，應用伺服器150可以與管理委託代理（代理器）120交互來管理BYOD設備140。

圖2是圖示了其中在行動裝置之外的MDM代理器管理由多個伺服器在設備的管理中的參與的行動裝置管理系統的實施例的框圖。在示出的示例中，在諸如行動裝置140之類的一個或多個所管理的行動裝置之外的管理節點處提供的MDM委託（代理器）200或其他管理伺服器管理由多個伺服器在MDM委託（代理器）200被配置成管理的設備的管理中的參與。

在各種實施例中，諸如圖2中的MDM伺服器100和102之類的設備管理伺服器可以與企業、消費者和/或其他實體相關聯。例如，一個或多個公司中的每個可以具有不同類型的MDM伺服器，例如，MDM伺服器100可以是來自第一個第三方MDM提供者的第一類型的MDM伺服器，並且MDM伺服器102可以是來自不同的第三方MDM提供者的第二類型的MDM伺服器。在示出的示例中，設備管理代理110（例如，MDM代理）被安裝在BYOD設備140上。在各種實施例中，管理代理110的類型可以例如取決於設備OS。代理110可以例如被嵌入到OS（例如，iOS、Windows phone）、具有設備管理許可的應用（例如，Android），和/或另一類型的管理代理110。

在各種實施例中，諸如應用伺服器150之類的應用伺服器可以經由MDM委託200向BYOD設備140發送設備管理命令。MDM委託200可以被配置成例如由設備140的用戶向應用伺服器150委派/準予關於設備140的特定範圍的管理權限和/或特權。

在一些實施例中，MDM委託200可以從諸如MDM伺服器100和/或MDM伺服器102之類的設備管理伺服器接收管理命令。例如，雲MDM委託200可以（例如在認證和授權之後）將命令傳遞到設備管理代理110。雲MDM委託200也可以在將設備信息從設備管理代理110發送到設備管理伺服器100之前執行隱私過濾和/或信息加密。

在各種實施例中，雲業務接合器（splicer）210可以包括委託伺服器，其將設備蜂窩和/或Wi-Fi業務連接到網際網路。

根據一些實施例，業務委託215、217可以例如與設備管理伺服器100（例如，企業、消費者和/或其他伺服器）相關聯。例如，多個公司中的每個可以具有不同的委託伺服器（例如，不同類型的委託伺服器）。在圖2中示出的示例中，與MDM伺服器100相關聯的業務委託伺服器215可以將業務連接到企業A的內聯網，而與MDM伺服器102相關聯的業務委託217可以將業務連接到企業B的內聯網。在一些情況下，MDM伺服器可以包括和/或充當用於企業或其他內聯網的業務委託。

在各種實施例中，雲MDM委託200可以管理（220）雲業務接合器210。管理委託協議230、232可以允許設備管理伺服器100、102與雲MDM委託200通信。設備管理協議235可以促進設備管理代理110和雲MDM委託200之間的通信。

在各種實施例中，設備擁有者（例如，員工）可以將BYOD設備140上的設備管理代理110配置成由雲MDM委託200管理。雲MDM委託200可以例如維護用於一列受信任的設備管理伺服器100、應用伺服器150和/或其他節點的配置。雲MDM委託200可以授權設備管理功能/信息和/或執行其他操作。在各種實施例中，在註冊期間，設備擁有者可以選擇針對設備管理伺服器（諸如MDM伺服器100、102）和/或應用伺服器（諸如應用伺服器150）和/或其他節點的允許的許可。在設備管理伺服器100、102要求設備信息的情況下，雲MDM委託200可以過濾信息並將其發送到設備管理伺服器100、102。在各種實施例中，取決於信息公開策略，雲MDM委託200可以報告經過濾的信息，因此設備管理伺服器100可以決定針對丟失的信息做什麼。

根據一些實施例中，設備擁有者可以將BYOD設備140配置成使用雲業務接合器210用於網絡訪問（例如，蜂窩、Wi-Fi和/或其他網際網路訪問）。在各種實施例中，雲業務接合器210可以由雲MDM委託200配置。例如，取決於通信的性質/內容、起源的應用等，雲MDM委託200可以利用策略將雲業務接合器210配置成將業務接合到一個或多個企業或其他私有域的相應的業務委託215、217；網際網路；和/或其他目的地。在各種實施例中，雲業務接合器可以被配置成計量與訪問公司內聯網相關聯的數據業務使用，並且公司可以針對企業數據使用補償（reimburse）員工，例如用以促進員工與公司呆在一起。

根據各種實施例，企業設備管理伺服器100、應用伺服器150和/或其他節點可以使用例如雲MDM委託200提供的應用編程界面（API）向BYOD設備140發送推送消息傳送。在各種實施例中，推送消息可以被用來喚醒BYOD設備140（例如，用以得到最新設備狀態）。例如，可以使用設備OS推送消息框架（例如，iOS推送通知、Android的谷歌雲消息傳送、Windows的Windows推送消息傳送等）將推送消息遞送到設備。在另一示例中，可以使用消費者推送消息傳送（例如，短消息傳送服務（SMS）文本消息、定製消息傳送遞送機制等）來遞送推送消息。

在各種實施例中，本文中描述的行動裝置管理的全部或部分，特別是保持一個企業的應用相關的內容和活動與另一企業的應用相關的內容和活動分離和/或就個人而言保持個人的應用內容和活動被保留給用戶所要求的管理可以至少部分地通過使用行動作業系統的應用級別管理功能（諸如iOS7管理的應用或Android作業系統的「Android for Work」特徵）和/或通過用以單獨地管理應用的在設備上提供的第三方管理基礎設施（諸如MobileIron的® AppConnect™技術）來提供。例如，MobileIron的® AppConnect™技術可以被用來將企業A的應用與可由那些應用訪問的一個安全總線和與企業B的應用相關聯的第二個分離的安全總線相關聯。在（企業A或B）應用的每個相應的集合內的應用將具有對經由僅與應用的該集合相關聯的AppConnect™總線共享的內容和信息的安全訪問。在一些實施例中，諸如在圖1中示出的示例中的MDM代理器120或在圖2中的MDM代理器200之類的MDM代理器可以具有關於行動裝置和其MDM架構的特權的級別以管理和促進安全應用通信總線的供應。

雖然上面結合圖1和圖2描述的示例涉及提供代表兩個或更多企業和/或應用伺服器的代理管理，但在一些實施例中本文中公開的技術可以由設備擁有者/用戶用來配置行動裝置上的信息、內容和/或應用的個人域的類似的管理。例如，基於雲的個人MDM或其他管理服務可以被提供，並且可以以諸如在圖1和2中示出的示例的中的MDM伺服器100、102之類的MDM伺服器參與行動裝置上的其相應的內容和應用的管理的相同方式來參與設備上的個人內容的管理。例如，在一些實施例中，用戶可以使用這樣的服務來管理設備上的個人內容，提供對MDM和/或其他管理特徵的訪問，諸如從設備選擇性擦除（移除）個人數據的能力、提供如在設備上存儲的或在運送中的內容的加密的能力等。在一些實施例中，可以提供多個個人/用戶域，例如用以使得擁有者能夠獨立於諸如配偶、合作者、孩子等的另一用戶的內容來管理他/她的內容。

圖3是圖示了將MDM代理器配置成管理由多個伺服器在設備的管理中的參與的過程的實施例的流程圖。在各種實施例中，可以通過和/或關於被安裝在行動裝置上的MDM委託代理/代理器（諸如圖1的MDM委託代理/代理器120）或外部MDM委託/代理器（諸如圖2的MDM代理器200）來執行圖3的過程。在示出的示例中，接收用以配置MDM代理器的請求（302）。例如，設備擁有者和/或管理用戶可能已經訪問基於web的用戶界面或其他管理用戶界面。接收行動裝置和一個或多個管理權限（例如，MDM伺服器100、MDM伺服器102、應用伺服器150等）的標識（304）。針對每個權限，接收關於設備的權限的相應的範圍的指示（例如，一組管理權利和/或特權）（306）。例如，管理用戶界面可以使得設備擁有者能夠針對由用戶標識的管理權限中的每個指示權限範圍。MDM代理器（例如，MDM代理器120或MDM代理器200）被配置成針對關於設備的被準予權限的每個權限來促進和實施由用戶定義的權限的相應範圍（308）。例如，MDM代理器可以被配置成按要求執行過濾以確保管理權限沒有接收擁有者尚未準予該權限對其的訪問的信息。

圖4是圖示了在行動裝置管理（MDM）系統的實施例中的被用來存儲配置和策略信息的數據結構的示例的框圖。在一些實施例中，可以提供用戶界面來使得諸如設備擁有者之類的用戶能夠定義策略和設置，諸如在圖4中示出的示例中的那些。

在各種實施例中，通過配置例如MDM委託/代理器200的雲MDM委託（或設備級別MDM委託代理，諸如MDM委託代理120）和諸如業務接合器210之類的雲業務接合器，設備擁有者可以將管理委派給一個或多個企業MDM伺服器和/或應用伺服器。例如，用戶可以委派由用戶選擇的特定管理特徵，並且可以指定哪些數據可以由哪個企業MDM伺服器和/或應用伺服器管理。

根據一些實施例，企業設備管理伺服器和/或應用伺服器可以與雲MDM委託（或設備級別MDM委託代理）交互來管理設備和/或得到設備信息。在各種實施例中，企業MDM伺服器和/或應用伺服器可以行使對所管理的設備上的應用和/或數據的控制和/或經由MDM委託來獲得來自設備和/或關於設備的信息，到由設備的擁有者例如經由基於web的用戶界面或其他用戶界面定義的程度。

在圖4中示出的示例中，例如，針對設備「1234」，擁有者已經授權分別與「企業1」和「企業2」相關聯的MDM伺服器關於與那些企業的Microsoft Exchange®伺服器的設備交互來定義策略和/或調整設備上的設置。例如，這樣的權限可以使得企業中的每個能夠經由MDM委託200在設備1234上建立經受企業的控制和擁有的企業特定的電子郵件簡檔（profile）。每個企業然後可以例如通過經由被發送到MDM委託200的命令/請求移除簡檔和相關聯的內容數據來控制其自己的企業內容。在一些實施例中，MDM委託200將檢查數據結構，諸如基於企業MDM伺服器已經準予其採取關於與該企業MDM伺服器相關聯的電子郵件簡檔的順從動作的權限的表400中的相應條目確定的圖4的表400，並且將使將導致移除簡檔和相關聯的內容的命令中繼或以其他方式轉發到設備1234，在各種實施例中不影響與其他實體和/或擁有者就個人而言相關聯的簡檔和/或內容。

進一步參考圖4中示出的示例，相同的兩個企業已經被準予關於被安裝在設備1234上的應用的權限，但在該示例中用戶（例如，設備擁有者）已經向企業準予稍微不同的特權。具體地，在該示例中，用戶已經向「企業1」準予安裝應用以及移除或獲得僅由該企業安裝的那些應用的詳細目錄的權利。相比之下，在該示例中「企業2」已經被準予安裝、移除或獲得設備上的所有應用的詳細目錄的權限。在該示例中，第二企業可以具有員工提供設備1234上的應用的該較高級別的權限的策略或要求，而第一企業可以僅要求其被給予對由該企業安裝的應用的控制。在其他示例中，可以存在不同的要求，並且設備的用戶/擁有者可以以各種級別的粒度和特異性分配和/或限制權限。

在一些實施例中，開著的設備或基於雲的MDM代理器，諸如圖1的MDM代理器120或圖2的MDM代理器200，可以促進由MDM伺服器和/或應用伺服器對已經被準予給它們的權限的行使，所述權限如在圖4中示出的示例中那樣，經受由用戶/擁有者指定的限制和資格。

在圖4中示出的示例中，受限的管理權限已經被準予給「應用伺服器1」，例如在圖1中示出的示例中的應用伺服器150。在各種實施例中，受限的MDM功能可以被內置於應用伺服器側上的應用中，以使得對設備的應用相關的控制能夠被行使。例如，MDM模塊或插件可以被提供，或者軟體開發套件（SDK）或其他代碼被提供並包括在應用伺服器處運行的應用代碼中，和/或應用開發者可以寫代碼來調用MDM代理器的應用編程界面（API）以使得MDM功能能夠被結合和/或提供。

在圖4中示出的示例中，「應用伺服器1」已經被準予關於「設備下鎖」的權限，但經受將應用限制到能夠設置「相機捕捉鎖定」以防止屏幕捕捉的「過濾器」。例如，應用（例如，Snapchat™）可以希望提供通信的隱私和/或通信的短暫性質將不通過設備屏幕捕捉而被損害的保證，並且可以要求用戶準予權限（諸如在圖4中示出的權限）作為使用應用的條件。在各種實施例中，應用伺服器可以使用權限的這樣的準予，例如用以在應用伺服器促進的連接或會話的開始時經由MDM代理器向設備發送命令。

在各種實施例中，雲業務接合器可以將設備數據業務接合到網際網路、企業後端和/或中繼委託伺服器，這取決於接合器已經被如何配置。在一些實施例中，接合器可以被配置成保護業務（例如，過濾、加密等）。在圖4中示出的示例中，第一企業（「企業1」）已經被準予將設備1234與其相關聯的業務接合器配置成接合與企業1相關聯的業務的權限，在該示例中權限範圍被定義為與「ent1.com」域相關聯的業務。第二企業（「企業2」）已經被準予關於在被指示的範圍中的業務關聯的IP位址來配置業務接合器的權限，其可以對應於企業的內部網絡，例如，內聯網。

在各種實施例中，在圖4中示出的權限的準予可以使得相應的MDM伺服器能夠經由與MDM代理器的交互將業務接合器配置成將與每個相應的企業相關聯的業務接合到與該企業相關聯的委託或其他節點。例如，參考圖2，MDM伺服器100、102可以經由協議230、232與MDM代理器200交互以使得接合器210被配置成經由通信220將每個企業的業務路由到由該企業指定的目的地，例如在MDM伺服器100的情況下到委託215或在MDM伺服器102的情況下到委託217。在一些實施例中，MDM/應用伺服器或另一節點可以充當業務委託。

圖5是圖示了在權限範圍內實施MDM順從動作的過程的實施例的流程圖。在各種實施例中，圖5的過程可以由諸如圖1的MDM委託代理/代理器120或圖2的MDM委託/代理器200之類的MDM代理器來實現。在示出的示例中，從例如圖1和圖2的MDM伺服器100或102或圖1和圖2的應用伺服器150的MDM權限接收用以關於所管理的行動裝置執行管理動作的命令（或請求）（502）。確定如與命令/請求相關的關於設備的權限範圍（504）。例如，可以在諸如圖4的表4之類的數據結構中執行查找來確定已經向發送命令/請求的MDM權限準予的權限的相關範圍。命令/請求被中繼到設備，如果和/或到由權限的可適用範圍指示的程度（506）。例如，參考圖4，可以通過從設備獲得應用詳細目錄並且過濾掉未由該企業安裝的任何應用來處理從與「企業1」相關聯的MDM伺服器接收的應用詳細目錄的請求。類似地，從「應用伺服器1」接收的「設備下鎖」命令可以在被發送到設備之前（或在開著的設備MDM代理器的情況下，在將命令發送到原生或其他MDM代理之前）可以被修改成「相機捕捉鎖定」命令。

在一些實施例中，企業應用和數據可以保持存儲在設備上，而設備或至少企業應用和其上的內容由企業管理。例如當用戶不再是受信任的企業用戶時，企業設備管理系統可以被通知，接收哪些企業應用存在於設備上的確認，以及可以在由企業和/或其MDM伺服器保持的權限範圍內（例如，從企業應用）移除數據。

圖6是圖示了允許在其權限範圍內從行動裝置移除數據的管理權限的過程的實施例的流程圖。在各種實施例中，可以由諸如圖1的MDM委託代理/代理器120或圖2的MDM委託/代理器200之類的MDM代理器來實現圖6的過程。在示出的示例中，接收用以「擦除」（即移除）設備上的特定內容和/或用以擦除設備自身（例如，重置成工廠狀態或不具有用戶數據的其他狀態）的命令（602）。確定從其接收命令的MDM權限（例如，MDM伺服器、應用伺服器）的權限範圍（604）。例如，在一些實施例中，可以通過在諸如圖4的表4之類的數據結構中執行查找來確定用以移除數據的權限範圍。如果命令是完全擦除命令並且發送者已經被準予發起這樣的擦除的權限（606），則完全（設備）擦除命令被轉發到設備（608），例如通過將其從MDM代理器（120、200）發送到設備MDM代理（110）。如果命令用於內容的選擇性擦除並且發送者已經被準予發起數據的移除的至少某範圍的授權（610）（或者，在一些實施例中，如果發送者發送完全的/設備擦除命令但已經僅被準予選擇性擦除授權），則該命令被作為用以擦除命令的發起者已經被準予從設備移除其的權限的內容的命令中繼（如果需要則以修改的形式）（612）。例如，參考圖4，來自「企業1」的用以移除所有所管理的應用的命令可以在MDM代理器處被轉化成用以移除由「企業1」安裝的和/或以其他方式經受由「企業1」的管理的一列特定應用的命令。如果確定請求的發起者尚未被授權來從設備移除甚至部分數據（610），則請求被拒絕，因為超出了發起者關於設備的權限（614）。

圖7是圖示了對請求進行響應以撤銷先前準予的MDM權限的過程的實施例的流程圖。在各種實施例中，可以例如響應於由設備用戶/擁有者撤銷先前準予的管理權限的準予的嘗試，由諸如圖1的MDM委託代理/代理器120或圖2的MDM委託/代理器200之類的MDM代理器執行圖7的過程。在示出的示例中，接收用以撤銷權限的準予的指示（702）。例如，設備用戶/擁有者可以使用基於web的用戶界面或其他管理用戶界面來嘗試修改先前準予的權限，諸如在圖4中示出的那些。在示出的示例中，做出關於是否存在MDM代理器被配置成在由用戶撤銷管理權限之前和/或在由用戶撤銷管理權限的情況下自動地執行的任何動作的確定（704）。例如，在一些實施例中，MDM代理器可以被配置成例如通過已經向其準予權限的MDM權限和/或通過設備的用戶/擁有者來自動地且在沒有進一步的人類交互的情況下移除與MDM權限相關聯的內容（706）。如果被這樣配置（706），則可以例如在移除權限的先前定義的範圍內移除與管理權限被撤銷的MDM權限（例如，MDM伺服器、應用伺服器）相關聯的內容的（708）。如果未配置和/或授權MDM代理器移除任何內容（706），或者一旦這樣的移除已經被完成（706、708），則業務接合器（如果被配置成將業務接合到企業）被更新成不再將業務接合到該企業，並且MDM代理器被更新成反映先前準予的權限的撤銷（710），例如在諸如圖4的表400之類的數據結構中的任何條目可以被標記為「撤銷」或刪除。管理權限已經被撤銷的通知被發送到其權限已經被撤銷的MDM權限（例如，企業MDM伺服器、應用伺服器）（712）。

在各種實施例中，本文中公開的技術可以被用來使得企業、應用開發者/提供者和其他管理權限能夠在由設備的擁有者/用戶定義和準予的權限範圍內被準予關於企業/被存儲在未擁有的或完全經受企業/其他實體的控制的行動裝置上的和/或與所述行動裝置相關聯的其他內容的管理權限。在各種實施例中，可以由內容擁有者關於個人數據和使用在不損害設備的擁有者/用戶的隱私的情況下以及在不損害由其他（諸如其他企業）擁有的數據的安全的情況下行使一定程度的管理權限。

在各種實施例中，本文中公開的技術可以被用來使得企業A能夠在不能看到超越其已經被準予看到的事物的任何事物的情況下管理其自己的內容。類似地，企業B可以管理其自身的內容但不能看到除了其已經被準予看到事物的之外的任何事物。在各種實施例中，行動裝置的終端用戶可以向諸如前述示例中的企業A和企業B之類的其他實體準予管理權利，同時保存終端用戶看到設備上的所有事物和管理設備的其餘部分（即，如本文中公開的沒有經受由用戶向其他做出的準予的任何事物）的能力。在各種實施例中，本文中公開的技術可以減輕隱私憂慮，所述隱私憂慮以其他方式可能已經使這樣的終端用戶較少傾向於使用他/她的個人行動裝置用於企業的工作目的，其要求企業甚至在企業數據駐留在個人行動裝置上時維持對企業數據的控制。

儘管出於理解的清楚的目的已經相當詳細地描述了前述實施例，但本發明未限制於所提供的細節。存在實現本發明的許多替代方式。所公開的實施例是說明性的且不是限制性的。