数据,例如:照片、视频、日志等。
[0047]本发明实施例提供的移动终端的企业管理系统,基于控制客户端的数据防泄密机制,在不影响企业员工对个人应用使用感受的基础上,在移动终端上建立了一个安全、独立的工作区内存空间,工作区内存空间(简称工作区)是指分配给控制客户端的内存空间,所有的企业应用和数据存储在受保护的工作区内。相应的,移动终端的内存空间中工作区内存空间之外的内存空间称为个人区内存空间(简称个人区),所有的个人应用和数据存储在个人区内,个人应用无法访问企业数据,从而避免企业数据被个人应用非法访问、存取。本发明实施例提供的移动终端的企业管理系统,不仅将企业数据和个人数据完全隔离,更好地保护企业应用和数据,也为企业员工提供了无差别的个人应用体验,达到了 “一机两用”的效果。图1为本发明实施例提供的一种控制终端设备运行的方法流程图,应用于企业服务器,所述方法包括:
[0048]101、获取终端设备的平台签名。
[0049]其中,平台签名是安卓或是1s智能终端的生产厂商在提供系统时以最高权限的签名,一般为系统内部使用,消费者无法查看。本发明的技术方案,可以通过刷入recovery分区,通过分区的一些程序获取高权限,具体可以为在ramdisk中设置一个模块,用于扫描系统分区,扫描后查看其签名,再对其他程序重新签名。具体的,获取终端设备的平台签名具体包括:下载指定应用程序到终端设备,将所述指定应用程序签成平台签名;由签成平台签名后的所述指定应用程序,得到终端设备的系统权限。
[0050]102、根据所述平台签名对应的系统权限,监听所述终端设备中各种服务的运行状
??τ O
[0051]其中,终端设备中的各种服务具体可以为:WiFi开关状态、蓝牙开关状态、摄像头开关状态、移动数据开关状态、本发明实施例不做具体限定。在本发明实施例中,通过平台签名对应的系统权限,监听终端设备中各中服务器的运行状态,可使企业服务器及时获知终端设备的运行状态,以方便企业服务器根据终端设备的运行状态,对终端设备做出及时的控制调整。
[0052]103、将所述运行状态不符合预置条件的服务对应的控制策略,发送给所述终端设备以控制所述终端设备运行。
[0053]其中,与服务对应的控制策略是通过企业服务器进行配置的,具体可以企业工作的实际需求进行设定,对于本发明实施例,企业服务器中存储有终端设备各种服务运行状态对应的控制策略。当监控到终端设备中的某一个服务器不符规定时,通过与该服务对应的控制策略控制终端设备的运行。需要说明的是,预置条件同样也是根据企业工作的实际需求进行状态,例如,设置的终端设备中WiFi服务的运行状态为关闭状态,则当检测出客户的终端设备中WiFi服务为开启状态时,说明WiFi的运行状态不符合预置条件,则需要将WiFi服务对应的控制策略,发送给终端设备,根据该控制策略关闭终端设备中的WiFi服务。
[0054]在本发明实施例中,具体可以通过以下控制策略对终端设备中的各种服务器进行控制:WiFi开关控制,如禁止使用W1-Fi ;蓝牙开关控制,如禁止使用蓝牙;摄像头开关控制,如禁止使用摄像头;设置黑白名单,推送配置文件,数据网络切换控制,如禁止使用2G/3G/4G,恢复出厂设置、静默安装、静默卸载,禁止截屏,禁止将工作区数据复制、剪切、粘贴出工作区,禁止用户安装应用,禁止用户删除已安装的应用,禁止应用程序内购买,禁止iCloud云备份,禁止iCloud文稿与数据,禁止iCloud钥匙串,擦除工作区数据,恢复出厂设置,下发工作区密码,锁定设备,解锁设备,锁定工作区,解锁工作区,启动鸣响,关闭鸣响,标记为企业设备,标记为个人设备,更新客户端APP,推送通知,推送链接,定位设备,记录设备位置信息,展示所有设备的地理位置,上传应用至企业应用库,下发到指定分组,更新应用库中应用版本,并提示用户升级,上架前应用加固处理,指定分组强制安装上传的应用,非wifi环境下安装,统计已执行策略和未执行策略的设备数量,按分组下发Wifi配置,按分组下发Exchange配置,配置邮件同步计划,安全策略-要求使用SSL,安全策略-信任所有证书,安全策略-禁止移动工作邮件到其他邮箱,安全策略-禁止通过其他邮箱账户转发/回复工作邮件,检测设备是否root/Jailbreak,可配置是否检测此项并作为违规行为,检测设备是否超过指定时间离线,可配置是否检测此项并作为违规行为,检测设备是否未安装安全软件,可配置是否检测此项并作为违规行为,检测设备是否已卸载天机客户端,可配置是否检测此项并作为违规行为,检测设备当月的网络用量是否超过设定值,可配置是否检测此项并作为违规行为,列出符合管理员设置的违规行为的设备和设备详情,禁用GameCenter,禁用AirDrop,禁用siri,禁用iTunesmusic,禁用Safari,禁用FaceTime,禁用iMessages,禁用iBooksStore0
[0055]需要说明的是,企业服务器下发的移动终端的控制策略,可以采用ProtocolBuffers (简称protobuf)格式的协议,该控制策略中携带有企业管理客户端和服务器侧事先预定好的一个枚举值,这个枚举值表示当前的命令是需要在移动终端的工作区内创建工作任务的快捷方式。企业管理客户端收到后,根据本地保存的枚举值的含义,获知服务器下发命令的含义。例如,服务器端下发的在移动终端工作区内创建工作任务的快捷方式的命令定义为推送链接(Push Link)命令,企业客户端接收到该命令后,由企业客户端侧的MDM-Command-generator命令解析模块解析并执行该命令。具体实施时,MDM-Command-generator命令解析模块按照顺序检测各项MDM的策略类(class)是否开启,如果开启,就执行预制的检测函数,如果预制的检测函数返回错误,则执行相应的class中的应对函数,完成禁止进入工作区,数据擦除,弹出链接等,以及截屏等操作。
[0056]本发明实施例提供的一种控制终端设备运行的方法,首先获取终端设备的平台签名,然后根据所述平台签名对应的系统权限,监听所述终端设备中各种服务的运行状态,最后将所述运行状态不符合预置条件的服务对应的控制策略,发送给所述终端设备以控制所述终端设备运行。与目前通过直接获取终端设备中的系统权限控制终端设备的运行相比,本发明实施例是通过获取的平台签名得到终端设备的系统权限,然后对终端设备进行控制,由于获取终端设备的平台签名比直接获取终端设备的系统权限的效率高,因此通过本发明控制终端设备运行的效率高。
[0057]本发明实施例提供了另一种控制终端设备运行的方法,如图1所示,所述方法包括:
[0058]201、获取终端设备的平台签名。
[0059]其中,平台签名是安卓或是1s智能终端的生产厂商在提供系统时以最高权限的签名,一般为系统内部使用,消费者无法查看。本发明的技术方案,可以通过刷入recovery分区,通过分区的一些程序获取高权限,具体可以为在ramdisk中设置一个模块,用于扫描系统分区,扫描后查看其签名,再对其他程序重新签名。具体的,获取终端设备的平台签名具体包括:下载指定应用程序到终端设备,将所述指定应用程序签成平台签名;由签成平台签名后的所述指定应用程序。
[0060]对于本发明实施例,步骤201之后,所述方法还包括:根据所述平台签名对所述终端设备进行分组,每组终端设备对应一个组标识信息。在本法发明实施例中,通过分组可方便员工的结构化管理,新注册的设备可规划到相应的分组,方便查找和管控。本发明还提供了静态标签和动态标签的分类方式,管理员可根据不同的分组、静态标签或动态标签下发相应的控制策略,满足了对不同员工不同管理方式的需求。例如,离职员工可以一键处理,清除企业数据并且不能再用离职员工的账号登录系统。
[0061]202、根据所述平台签名对应的系统权限,监听所述终端设备中各种服务的运行状
??τ