Utilizzo di profili di lavoro

Un profilo di lavoro è un profilo gestito che dispone di dati dell'app separati dal profilo utente principale ma condivide alcune impostazioni a livello di sistema, come Wi-Fi e Bluetooth. L'obiettivo principale di un profilo di lavoro è creare un contenitore separato e sicuro in cui conservare i dati gestiti. L'amministratore di un profilo di lavoro ha il controllo completo sull'ambito, sull'ingresso, sull'uscita e sulla durata dei dati. Di seguito alcune caratteristiche dei profili lavorativi:

  • Creazione. Qualsiasi app nell'utente principale può creare un profilo di lavoro. L'utente riceve una notifica sui comportamenti del profilo di lavoro e sull'applicazione delle policy prima della creazione.

  • Gestione. Le app note come proprietari di profili possono richiamare a livello di codice le API nella classe DevicePolicyManager per limitarne l'utilizzo. I proprietari del profilo vengono definiti durante la configurazione iniziale del profilo. Le policy esclusive dei profili di lavoro riguardano restrizioni delle app, aggiornabilità e comportamenti di intenti.

  • Trattamento visivo. App, notifiche e widget del profilo di lavoro vengono contrassegnati con badge e in genere resi disponibili in linea con gli elementi dell'interfaccia utente (UI) dell'utente principale.

Dettagli di implementazione

I profili di lavoro vengono implementati come utenti secondari, in modo che le app in esecuzione nel profilo di lavoro abbiano un UID pari a uid = 100000 \* userid + appid . Questi profili hanno dati app separati ( /data/user/userid ), simili agli utenti primari.

AccountManagerService mantiene un elenco separato di account per ciascun utente. Le differenze di account tra un utente del profilo di lavoro e un utente secondario normale includono quanto segue:

  • Il profilo di lavoro è associato all'utente principale e viene avviato con l'utente primario al momento dell'avvio.

  • Le notifiche per i profili di lavoro sono abilitate da ActivityManagerService , consentendo al profilo di lavoro di condividere lo stack di attività con l'utente principale.

  • Ulteriori servizi di sistema condiviso includono IME, servizi A11Y, Wi-Fi e NFC.

  • Le API di avvio consentono agli app di avvio di visualizzare le app con badge e i widget consentiti dal profilo di lavoro accanto alle app nel profilo principale senza cambiare utente.

Segregazione dei dati

I profili di lavoro utilizzano le seguenti regole di separazione dei dati.

App

Quando la stessa app esiste nell'utente principale e nel profilo di lavoro, l'ambito delle app viene limitato ai propri dati separati. In genere, le app agiscono in modo indipendente e non possono comunicare direttamente con le istanze oltre il limite del profilo utente a meno che non dispongano dell'autorizzazione INTERACT_ACROSS_PROFILES o App-ops .

Conti

Gli account nel profilo di lavoro sono univoci rispetto all'utente principale e non è possibile accedere alle credenziali oltre il limite del profilo utente. Solo le app nel rispettivo contesto possono accedere ai rispettivi account.

Intenti

L'amministratore controlla se gli intenti vengono risolti all'interno o all'esterno del profilo di lavoro. Per impostazione predefinita, l'ambito delle app del profilo di lavoro rientra nell'eccezione del profilo di lavoro dell'API Device Policy.

Identificatori del dispositivo

Sui dispositivi personali con un profilo di lavoro, Android 12 o versioni successive rimuove l'accesso agli identificatori hardware del dispositivo (IMEI, MEID, numero di serie) e fornisce un ID univoco specifico per la registrazione che identifica la registrazione del profilo di lavoro per un'organizzazione specifica. È garantito che l'ID di registrazione rimanga stabile durante il ripristino delle impostazioni di fabbrica, consentendo un monitoraggio affidabile dell'inventario dei dispositivi con profili di lavoro.

I dispositivi di proprietà personale con un profilo di lavoro devono utilizzare l'ID specifico della registrazione; Anche i dispositivi di proprietà dell'azienda, inclusi sia i dispositivi con profilo di lavoro che quelli completamente gestiti, possono scegliere di utilizzare l'ID. Per utilizzare l'ID specifico della registrazione, gli EMM devono impostare l' ID dell'organizzazione per ogni dispositivo che gestiscono, dopodiché possono leggere l'ID specifico della registrazione su quel dispositivo e gestirlo come un numero di serie. Per ulteriori dettagli, fare riferimento a Miglioramenti alla sicurezza e alla privacy per il profilo di lavoro .

Impostazioni

L'applicazione delle impostazioni ha come ambito il profilo di lavoro, con eccezioni per le impostazioni della schermata di blocco e di crittografia che hanno come ambito il dispositivo e sono condivise tra l'utente principale e il profilo di lavoro. A parte queste eccezioni, il proprietario di un profilo non dispone di privilegi di amministratore del dispositivo al di fuori del profilo di lavoro.

Gestione dei dispositivi sui dispositivi con un profilo di lavoro

Android 5.0 e versioni successive supportano la gestione dei dispositivi per i profili di lavoro sui dispositivi personali Bring Your Own Device (BYOD) utilizzando la classe DevicePolicyManager . Inoltre, Android 11 ha introdotto il concetto di profili di lavoro sui dispositivi di proprietà dell'azienda. La funzionalità di gestione dei dispositivi all'interno del profilo di lavoro rimane la stessa sia per i dispositivi BYOD che per quelli di proprietà dell'azienda, tuttavia i profili di lavoro sui dispositivi di proprietà dell'azienda potrebbero fornire funzionalità/criteri aggiuntivi, come installSystemUpdate , setScreenCaptureDisabled e setPersonalAppsSuspended , che possono estendere l'applicazione dei criteri di amministrazione oltre il profilo di lavoro per determinate policy a livello di dispositivo.

  • Profilo di lavoro su un dispositivo personale (BYOD): il dispositivo è un dispositivo personale e contiene un profilo di lavoro gestito da un amministratore IT associato al datore di lavoro.

  • Profilo di lavoro su un dispositivo di proprietà dell'azienda: il dispositivo è fornito/di proprietà del datore di lavoro e contiene un profilo di lavoro gestito da un amministratore IT associato al datore di lavoro. Le app possono chiamare isOrganizationOwnedDeviceWithManagedProfile() per determinare se è stato effettuato il provisioning del dispositivo come dispositivo di proprietà dell'organizzazione con un profilo gestito.

Per ulteriori informazioni sulla creazione del profilo di lavoro e sull'utilizzo dell'API Device Policy, fare riferimento a Creare un profilo di lavoro .

Proprietari del profilo

Un'app Device Policy Client (DPC) funge da proprietario del profilo quando viene creato un profilo di lavoro. L'app client DPC viene in genere fornita da un partner di gestione della mobilità aziendale (EMM), come Google Apps Device Policy, ed è in grado di applicare criteri se impostata come proprietario del profilo. Il profilo di lavoro dispone di istanze di app contrassegnate visivamente distinte dalle istanze personali di app; il badge identifica un'app come app di lavoro. L'EMM ha il controllo solo sul profilo di lavoro (app e dati di lavoro) e non sullo spazio personale. I criteri del dispositivo vengono applicati solo al profilo di lavoro con alcune eccezioni, come l'applicazione della schermata di blocco applicabile a tutto il dispositivo.

Esperienza utente del profilo di lavoro

Android 9 o versioni successive creano un'integrazione più stretta tra i profili di lavoro e la piattaforma Android, consentendo agli utenti di mantenere più facilmente separate le informazioni di lavoro e quelle personali sui propri dispositivi. Le modifiche al profilo di lavoro vengono visualizzate nel programma di avvio e forniscono un'esperienza utente coerente su tutti i dispositivi gestiti.

Gli utenti possono alternare il profilo di lavoro dalle impostazioni o dal menu delle impostazioni rapide. In Android 9 o versioni successive, le implementazioni dei dispositivi potrebbero includere un interruttore nel piè di pagina della scheda Lavoro per consentire agli utenti di abilitare o disabilitare il profilo di lavoro. La commutazione del profilo di lavoro viene eseguita in modo asincrono e applicata a tutti i profili utente validi; questo processo è controllato dalla classe WorkModeSwitch .

Dispositivi con barra delle applicazioni

In Android 9 o versioni successive, le modifiche all'esperienza utente del profilo di lavoro per Launcher3 aiutano gli utenti a mantenere profili personali e di lavoro separati. Il cassetto delle app fornisce una visualizzazione a schede per distinguere le app del profilo personale dalle app del profilo di lavoro. Quando gli utenti visualizzano per la prima volta la scheda del profilo di lavoro, viene loro presentata una visualizzazione didattica per aiutarli a spostarsi nel profilo di lavoro.

Gli utenti possono passare da una visualizzazione del profilo all'altra utilizzando le schede del profilo o un'interfaccia utente simile nella parte superiore del cassetto delle app:


Figura 1. Visualizzazione della scheda Personale

Figura 2. Visualizzazione della scheda Lavoro, attivazione/disattivazione del profilo di lavoro

La visualizzazione a schede viene implementata come parte della classe AllAppsContainerView Launcher3. Per un'implementazione di riferimento dell'indicatore del profilo a schede, fare riferimento alla classe PersonalWorkSlidingTabStrip .

Messaggio di formazione dell'utente nei dispositivi con una scheda Lavoro

Android 9 o versioni successive supporta una visualizzazione didattica che informa gli utenti sullo scopo della scheda Lavoro e su come semplificare l'accesso alle app di lavoro. Utilizzando Launcher3, è possibile mostrare una visualizzazione didattica nella schermata della scheda lavoro quando gli utenti aprono per la prima volta la scheda lavoro, come mostrato di seguito:

Vista educativa

Figura 3. Vista didattica

Dispositivi senza barra delle applicazioni

Per i lanciatori senza barra delle applicazioni, si consiglia di continuare a inserire collegamenti alle app del profilo di lavoro nella cartella di lavoro.

Le implementazioni di avvio personalizzate possono utilizzare getProfiles() e getActivityList() per recuperare un elenco di app con un'icona di avvio per l'utente del profilo di lavoro.

Nei dispositivi che implementano una cartella di lavoro, gli utenti possono accedere alle app del profilo di lavoro aprendo la cartella di lavoro:


Figura 4. Cartella di lavoro chiusa

Figura 5. Cartella di lavoro aperta

Messaggio di formazione dell'utente nei dispositivi con una cartella di lavoro

Per i lanciatori senza barra delle applicazioni, in cui una cartella di lavoro contiene app di lavoro, il messaggio di formazione del profilo di lavoro potrebbe essere visualizzato sotto forma di descrizione comando ignorabile quando l'utente apre la cartella di lavoro per la prima volta:

Descrizione comando ignorabile

Figura 3. Descrizione comando eliminabile

Convalida dell'esperienza utente del profilo di lavoro

Il modo più semplice per testare l'esperienza utente del profilo di lavoro è configurare un profilo di lavoro utilizzando l'app Test DPC. I passaggi seguenti descrivono come configurare un profilo di lavoro su un dispositivo personale (scenario BYOD):

  1. Inizia con un dispositivo con il ripristino delle impostazioni di fabbrica e completa la configurazione del profilo personale utilizzando un account Google personale o in alternativa utilizza un dispositivo con un profilo personale come punto di partenza.

  2. Installa l'app Test DPC dal Google Play Store.

  3. Apri il programma di avvio o il cassetto delle app e seleziona Configura test DPC .

  4. Segui le istruzioni visualizzate sullo schermo per impostare un profilo di lavoro:


    Figura 4. Impostazione del profilo di lavoro


    Figura 5. Aggiungi account


    Figura 6. Installazione completata

  5. Apri il launcher o il cassetto delle app e verifica che la scheda lavoro sia presente e contenga un piè di pagina del profilo di lavoro. Le implementazioni alternative del produttore del dispositivo possono contenere una cartella di lavoro anziché una scheda di lavoro.

  6. Verifica di poter attivare/disattivare il profilo di lavoro dalle Impostazioni rapide (o dalle impostazioni) confermando che le app del profilo di lavoro (app con il badge della valigetta) sono abilitate e disabilitate come previsto. In alcune implementazioni del dispositivo, le app di lavoro potrebbero essere disattivate quando il profilo di lavoro è disabilitato mentre altre, come le implementazioni con una scheda di lavoro, potrebbero visualizzare un overlay con un messaggio che informa che il profilo di lavoro è disattivato. Le seguenti figure mostrano esempi di profili di lavoro abilitati e disabilitati su un dispositivo che implementa una scheda Lavoro:


    Figura 7. Attiva, profilo di lavoro abilitato

    Figura 8. Disattivazione, profilo di lavoro disabilitato

Badge dell'app del profilo di lavoro

In Android 9 o versioni successive, per motivi di accessibilità, il colore del badge di lavoro è blu (#1A73E8) anziché arancione.