本文描述的示例包括向用戶設備部署數據丟失防護(DLP)策略的系統和方法。示例方法可以包括：接收配置，該配置指定適用于應用的至少一個DLP策略，以及指定DLP策略應該應用到的用戶或用戶設備的分配組的指示。有關DLP策略和分配組的信息可被提供給身份服務，然后與管理該應用的第二服務器同步。該方法可以進一步包括：向用戶設備供應應用程序，以及指示用戶設備從第二服務器檢索DLP策略并在執行供應的應用程序時實施該DLP策略。

A.施羅特里；S.戴特

相關申請的交叉引用

本申請要求于2018年6月4日提交的、標題為“向用戶設備部署數據丟失防護策略(DEPLOYING?DATA-LOSS-PREVENTION?POLICIES?TO?USER?DEVICES)”的美國非臨時專利申請No.15/997,322的優先權和權益，其全部內容通過引用并入本文。

背景技術

企業可以生成大量敏感數據，在許多情況下，需要以某種方式對其進行限制。這可以包括不應離開企業的機密業務信息，以及企業中只能特定個體能夠訪問的數據。例如，可以將包含機密法律信息的文檔提供給法律部門的員工，而不提供給會計部門的員工。

許多當前可用的應用程序包括數據丟失防護(“DLP”)功能。DLP策略可以被實施為以通過識別某些類型的敏感信息并防止其以未經授權的方式共享來防止不想要的數據丟失的方式來限制應用程序。這些策略可以特定于一個應用程序或一組應用程序。他們可以建立觸發規則的條件，以及滿足這些條件時要采取的結果行動。例如，基于文本的文檔的作者可以對該文檔實施DLP策略，指定如果將該文檔傳輸給另一個用戶，則該用戶應該不能從該文檔復制和粘貼內容或打印該文檔。

通常，通過訪問應用程序供應商提供的用戶界面來建立應用程序的DLP策略。對于企業管理員而言，此過程可能很麻煩，導致他們訪問各種網絡位置以設置或更改用于各種應用程序的DLP策略。與“用戶組”或企業員工的子集打交道時，該過程也效率低下，它們之間應具有不同的DLP策略。第三方應用程序供應商通常不了解企業的用戶組，并且不提供允許企業管理員方便地定義用于特定組的DLP策略的功能。

結果，需要用于基于分配的用戶組向用戶設備自動部署DLP策略的系統和方法。

發明內容

本文描述的示例包括向用戶設備部署DLP策略的系統和方法。示例方法包括：在管理服務器處接收配置，該配置指定適用于至少一個應用程序的至少一個DLP策略。例如，可以由企業管理員使用與管理服務器通信的控制臺來提供配置。該示例方法還可以包括：接收分配組的指示，該分配組指定DLP策略應該被應用于的多個用戶或用戶設備。相關的用戶設備可以被注冊到管理服務器并由所述管理服務器進行管理。

管理服務器可以將指令發送到第三方服務器，該指令使第三方服務器實施管理員指定的一個或更多個DLP策略。貫穿本公開，術語“第三方服務器”以嚴格示例性的方式使用，并且不旨在將本公開的任何部分限制為某種實際的“第三方”。換句話說，第三方服務器可以由創建DLP策略的同一公司或實體擁有、操作和管理。因此，術語“第三方”明確是非限制性的。在某些示例中，第三方服務器與管理服務器相關聯、是管理服務器的一部分或與管理服務器相同。

該指令可以特定于先前指定的分配組。例如，該指令可以根據需要指示第三方服務器為第一組用戶(或用戶設備)實施一個DLP策略，為第二組用戶(或用戶設備)實施第二DLP策略。

第三方應用程序可以基于有關分配組的信息為該組實施DLP策略。可以通過提供用戶標識和認證服務的身份服務使該信息可用。管理服務器和第三方服務器都可以訪問身份服務。因此，第三方服務器可以訪問身份服務并檢索有關分配組的信息，例如分配組的標識以及組中的用戶或用戶設備。