将安全策略管理权限委托给管理账户制造技术

一种系统可以将管理由管理人员开发的安全策略的各方面的权限委托给与管理层级内的管理账户相对应的标准用户(例如，非管理人员)。示例性安全策略可以包括允许或拒绝个体应用访问各种企业资源的应用管理设置。所述系统可以将一个或多个用户界面暴露给企业网络的标准用户，以使得这些标准用户能够修改针对其管理账户而部署的安全策略和/或至少临时地从企业的安全策略中豁免特定应用。例如，当标准用户试图利用未被允许这样的访问的特定应用来访问企业数据时，所述系统可以使得该标准用户能够改变应针对其设备的安全策略或者简单地从所述安全策略中豁免所述特定应用。

Delegate security policy management authority to management account

【技术实现步骤摘要】
【国外来华专利技术】将安全策略管理权限委托给管理账户
技术介绍
企业网络管理员面临着服务来自企业网络资源的标准用户的大量请求的挑战。网络管理员的一个重要目标是针对个体客户需求和/或偏好来调整企业安全策略，同时仍然保持足够严格的策略以防止对企业数据的未经授权的公开。实现该目标可能需要针对个体工作团队或者甚至个体员工的需求来定制安全策略，同时仍然考虑具有个人和企业应用两者需要访问数千个个人和企业数据资源的高度复杂的计算环境。加剧这一挑战的是选择员工使用个人设备来执行其企业任务中的一些或全部任务的增加的比率。这种现象模糊了通常应当被拒绝访问企业数据资源的个人应用与通常应当被授权访问企业数据资源的企业应用之间的区别。在企业安全策略阻止标准用户执行某一动作时，标准用户可以提交改变票证请求以供网络管理员审查，然后最终实施或拒绝。然而，网络管理员可能难以即时处理大量这样的请求。此外，必须处理冗余请求可能降低网络管理员有效地管理他的其他工作职责的能力。关于这些考虑以及其他考虑，提出了在本文中所公开的内容。
技术实现思路
在本文中所描述的技术提供了将用于开发和管理针对企业网络的安全策略的有限权限委托给该企业网络的管理账户。一般而言，在本文中所公开的技术使得系统能够覆写和/或定制企业的安全策略内的应用管理设置，并且最终允许管理账户的标准用户以使得应用能够访问企业资源，尽管该应用未被企业的安全策略明确地允许这样做。如在本文中所使用的，“安全策略”通常指代与控制在各种类型的计算资源之间的企业数据流相关联的定义的许可和/或约束。示例性安全策略可以包括应用管理设置，所述应用管理设置提供和控制个体功能资源(例如，计算设备和/或应用)或功能资源组对个体数据资源(例如，企业网络存储位置和/或企业数据)或者甚至其他功能资源的访问。作为特定示例，安全策略可以包括移动应用管理(MAM)设置，其包括被允许访问企业资源的应用列表和/或被禁止访问企业资源的应用列表。这样的示例性安全策略还可以包括这样的MAM设置：其定义特定应用是否被允许与其他个体应用或应用组通信(例如，向其公开数据和/或从其接收数据)。在一些实现方式中，安全策略还可以包括默认规则，以拒绝对未明确列出为被允许与企业资源通信或者禁止与企业资源通信的应用的访问。用于开发和/或管理企业安全策略的常规技术限制应用管理设置被修改，除非通过与具有进行这样的修改的特定授权的有限数量的企业员工、即管理人员相对应的管理账户。根据这样的常规技术，为了使管理账户的标准用户实施对其应用管理设置的改变，用户必须向管理人员提交改变请求票证以请求通过管理账户进行改变。将来自管理账户的许多用户的改变请求票证引导到具有管理账户特权的相对较小组的管理人员会产生妨碍企业生产力的工作流程瓶颈。例如，管理人员可能陷入大量的改变请求票证，使得改变请求票证的积压可能导致在被提交的改变请求票证与正在实施的用户应用管理设置的对应改变之间的提前期(leadtime)。为了例示这一点，考虑现代企业可能仅需要少数管理人员来监督与企业标准劳动力相对应的数千个管理账户。进一步考虑员工偏好可能变化，使得相对于一个员工而言最优的特定安全策略可能过度限制另一员工使用她希望被允许用于访问企业数据资源的一些应用。因此，试图在一体适用标准下维持最佳安全策略可能给网络管理员带来挑战，因为最佳安全策略可能在不同员工之间变化很大，甚至可能相对于相同员工而随着时间变化。将应用于管理账户的开发和/或管理安全策略的权限委托该管理账户的标准用户提供了优于将该权限限于一小组管理人员的益处。标准用户通常根据企业的最佳利益而做出与工作相关的决策。因此，只要标准用户认识到安全策略的目的以及与使安全策略设置过于松散相关联的风险，标准用户在某些情况下做出的改变安全策略的决策通常将与管理人员在相同环境下将做出的决策一致。例如，在许多情况下，由标准用户提交的改变请求票证将在管理人员拿到后立即相对于管理账户来实施。在改变请求票证最终由管理人员实施的情况下，能够意识到，简单地允许与管理账户相对应的标准用户单方面地实施相同的改变将更加有利，例如无需等待管理人员拿出其改变请求票证。因此，如果改变请求票证最终被拒绝并且未由管理人员实施的情况相对较少，则至少部分地将开发和/或管理安全策略的权限委托给标准用户(例如，与管理账户相对应的用户，而不是管理账户)，这可能是谨慎的。出于例示的目的，考虑这样的场景：与受管理企业账户相对应的标准用户希望使用通常仅用于个人目的并且因此未包含在安全策略内被允许访问企业数据的应用列表中的应用来执行一些与工作相关的任务。进一步假设尽管标准用户使用的应用未被明确允许访问企业数据资源，但是企业的管理人员也并不专门反对该应用访问企业数据资源。例如，标准用户可能正在生成与工作相关的演示，并且可能希望使用由标准用户个人拥有的媒体编辑应用(例如，照片和/或视频编辑应用)，而不是使用作为企业拥有的应用的应用。在此，因为未明确地允许媒体编辑应用访问企业数据资源，所以策略施行服务可以应用阻止未列出的应用访问企业数据资源的默认规则，例如，除非明确地将应用列出为被允许访问企业资源，否则将拒绝这样的访问。根据先前所描述的用于在标准用户的设备上实施对安全策略的改变的常规技术，标准用户将被要求向企业管理人员提交改变请求票证，然后等待一段时间她才能够继续使用其个人拥有的媒体编辑应用用于与工作相关的任务。与妨碍标准用户生产力的这些常规技术相反，在本文中所描述的技术使得标准用户能够单方面地覆写和/或定制要部署在她的设备上的企业应用管理设置。将安全策略开发和/或管理权限委托给标准用户可以降低与员工停工期相关联的成本，在员工停工期期间，特定应用被限制访问企业数据资源，而同时降低了管理人员管理大量改变请求票证的负担。根据本公开的各方面，提供了一种系统，以使得与企业管理账户相对应的标准用户能够至少部分地覆写企业安全策略和/或其一个或多个应用管理设置。在一些实现方式中，所述系统可以获得包括应用管理设置的安全策略数据，其指示被允许从所述管理账户访问企业数据资源的一个或多个应用。例如，所述应用管理设置可以定义当特定应用在标准用户登录到管理账户的设备上操作时为所述特定应用施行的许可。作为特定示例，设备可以具有在其上操作的策略施行服务，所述策略施行服务被配置为确定标准用户是否登录到管理账户，并且基于此来部署与管理账户相对应的特定应用管理设置，只要标准用户仍然保持为登录。在一些实现方式中，企业可以部署对多个标准用户账户共同的应用管理设置。例如，企业可以部署对企业工程团队共同的应用管理设置，以及对企业会计团队共同的其他应用管理设置。在一些实现方式中，在本文中所公开的技术还使得系统能够通过从管理账户操作(例如，在标准用户登录到管理账户的同时在设备上操作)的特定应用来接收对访问特定资源的请求。在试图从本地存储和/或能通过企业网络访问的企业数据库访问企业数据时，特定应用可以生成示例性的这样的请求。在另一示例中，示例性请求可以对应于试图与企业应用通信的特定应用。在已经接收到请求之后，系统可以分析所述请求以识别特定资源并且确定其是否被标记为企业资源。例如，在将特定资源识别为数据文件或网络位置时，系统可以确定与其相关联的一个或多个所有权属性以确定其本文档来自技高网...

【技术保护点】
1.一种用于从管理账户覆写应用管理设置的系统，所述系统包括：至少一个处理器；以及与所述至少一个处理器通信的至少一个存储器，所述至少一个存储器在其上存储有计算机可读指令，所述计算机可读指令当由所述至少一个处理器执行时使所述至少一个处理器：获得包括所述应用管理设置的安全策略，以指示被允许从所述管理账户访问一个或多个企业资源的被允许应用的集合；接收通过正在操作的特定应用从所述管理账户访问特定数据资源的请求；基于所述请求来确定所述特定数据资源被标记为企业数据资源并且所述特定应用未包含在所述被允许应用的集合中；暴露应用豁免管理器，所述应用豁免管理器被配置为使得标准用户能够从所述管理账户生成豁免指令，以从所述安全策略中至少部分地豁免所述特定应用；以及基于所述豁免指令来允许所述特定应用从所述管理账户访问所述特定数据资源。

【技术特征摘要】
【国外来华专利技术】2017.03.03 US 15/449,8471.一种用于从管理账户覆写应用管理设置的系统，所述系统包括：至少一个处理器；以及与所述至少一个处理器通信的至少一个存储器，所述至少一个存储器在其上存储有计算机可读指令，所述计算机可读指令当由所述至少一个处理器执行时使所述至少一个处理器：获得包括所述应用管理设置的安全策略，以指示被允许从所述管理账户访问一个或多个企业资源的被允许应用的集合；接收通过正在操作的特定应用从所述管理账户访问特定数据资源的请求；基于所述请求来确定所述特定数据资源被标记为企业数据资源并且所述特定应用未包含在所述被允许应用的集合中；暴露应用豁免管理器，所述应用豁免管理器被配置为使得标准用户能够从所述管理账户生成豁免指令，以从所述安全策略中至少部分地豁免所述特定应用；以及基于所述豁免指令来允许所述特定应用从所述管理账户访问所述特定数据资源。2.根据权利要求1所述的系统，其中，所述计算机可读指令还使所述至少一个处理器分析所述特定应用以识别启发状态，所述启发状态指示所述特定应用被配置为与策略施行服务通信以至少部分地施行所述安全策略，其中，允许所述特定应用从所述管理账户访问所述特定数据资源还基于所述启发状态。3.根据权利要求2所述的系统，其中，所述计算机可读指令还使所述至少一个处理器分析所述特定应用以：识别与所述特定应用的所述启发状态相关联的数字签名；以及确定所述数字签名的来源对应于受信任发布者的预定集合中的至少一个受信任发布者，其中，允许所述特定应用从所述管理账户访问所述特定数据资源还基于所述数字签名的所述来源。4.根据权利要求1所述的系统，其中，所述应用豁免管理器还被配置为使得所述标准用户能够对所述豁免指令分配时间适用性，其中，所述时间适用性指示是永久地还是临时地应用所述豁免指令。5.根据权利要求1所述的系统，其中，所述计算机可读指令还使所述至少一个处理器使得与所述豁免指令相对应的条目被添加到由策略管理服务能访问的策略学习日志。6.根据权利要求1所述的系统，其中，所述计算机可读指令还使所述至少一个处理器基于所述豁免指令或者被分配给所述豁免指令的时间适用性中的至少一项来提示策略裁定以生成与所述特定应用相对应的特定应用管理设置。7.根据权利要求1所述的系统，其中，所述计算机可读指令还使所述至少一个处理器：基于所述豁免指令来生成包含式计算环境，所述包含式计算环境被配置为根据所述安全策略来管理对所述一个或多个企业资源的公开；以及在所述...

【专利技术属性】
技术研发人员：P·D·亚当，V·A·巴尔胡达里安，N·S·阿查里雅，R·琼，S·拉希里，Q·吴，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：美国,US