Google se compromete a impulsar la igualdad racial para las comunidades afrodescendientes. Obtén información al respecto.
Se usó la API de Cloud Translation para traducir esta página.
Switch to English

Emplear perfiles administrados

Un perfil administrado o perfil de trabajo es un usuario de Android con propiedades especiales adicionales en torno a la administración y la estética visual.

El objetivo principal de un perfil administrado es crear un espacio segregado y seguro para que residan los datos administrados (como los datos corporativos). El administrador del perfil tiene control total sobre el alcance, la entrada y la salida de los datos, así como su vida útil. Estas políticas ofrecen grandes poderes y, por lo tanto, recaen sobre el perfil administrado en lugar del administrador del dispositivo.

  • Creación . Los perfiles administrados pueden ser creados por cualquier aplicación en el usuario principal. Se notifica al usuario sobre los comportamientos del perfil administrado y la aplicación de políticas antes de la creación.
  • Gestión . La administración se realiza mediante aplicaciones que invocan API mediante programación en la clase DevicePolicyManager para restringir el uso. Estas aplicaciones se denominan propietarios de perfiles y se definen en la configuración inicial del perfil. Las políticas exclusivas del perfil administrado implican restricciones de la aplicación, capacidad de actualización y comportamientos de intención.
  • Tratamiento visual . Las aplicaciones, notificaciones y widgets del perfil administrado siempre tienen una insignia y, por lo general, están disponibles en línea con los elementos de la interfaz de usuario (UI) del usuario principal.

Segregación de datos

Los perfiles administrados utilizan las siguientes reglas de segregación de datos.

Aplicaciones

Las aplicaciones se definen con sus propios datos separados cuando la misma aplicación existe en el usuario principal y el perfil administrado. Generalmente, las aplicaciones actúan independientemente unas de otras y no pueden comunicarse directamente entre sí a través del límite de perfil-usuario.

Cuentas

Las cuentas en el perfil administrado son claramente únicas del usuario principal. No hay forma de acceder a las credenciales a través del límite de perfil-usuario. Solo las aplicaciones en su contexto respectivo pueden acceder a sus respectivas cuentas.

Intenciones

El administrador controla si las intenciones se resuelven dentro o fuera del perfil administrado o no. Las aplicaciones del perfil administrado tienen un alcance predeterminado para permanecer dentro de la excepción del perfil administrado de la API de política de dispositivos.

Configuraciones

La aplicación de la configuración generalmente se limita al perfil administrado, con excepciones para la pantalla de bloqueo y la configuración de cifrado que aún están dentro del alcance del dispositivo y se comparten entre el usuario principal y el perfil administrado. De lo contrario, el propietario de un perfil no tiene privilegios de administrador de dispositivo fuera del perfil administrado.

Los perfiles administrados se implementan como un nuevo tipo de usuario secundario, de manera que:

uid = 100000 * userid + appid

Tienen datos de aplicaciones independientes como los usuarios habituales:

/data/user/<userid>

El UserId se calcula para todas las solicitudes del sistema mediante Binder.getCallingUid() , y todos los estados y respuestas del sistema están separados por userId. En su lugar, puede considerar usar Binder.getCallingUserHandle lugar de getCallingUid para evitar confusiones entre uid y userId.

AccountManagerService mantiene una lista separada de cuentas para cada usuario. Las principales diferencias entre un perfil administrado y un usuario secundario habitual son las siguientes:

  • El perfil administrado está asociado con su usuario principal y se inicia junto con el usuario principal en el momento del arranque.
  • ActivityManagerService habilita las notificaciones para los perfiles administrados, lo que permite que el perfil administrado comparta la pila de actividades con el usuario principal.
  • Otros servicios del sistema compartido incluyen IME, servicios A11Y, Wi-Fi y NFC.
  • Las nuevas API del lanzador permiten que los lanzadores muestren aplicaciones identificadas y widgets incluidos en la lista blanca del perfil administrado junto con las aplicaciones del perfil principal sin cambiar de usuario.

Gestión de dispositivos

La administración de dispositivos Android incluye los siguientes tipos de administración de dispositivos para empresas:

  • Propietario del perfil . Diseñado para entornos de traer su propio dispositivo (BYOD)
  • Propietario del dispositivo . Diseñado para entornos corporativos

La mayoría de las nuevas API de administración de dispositivos agregadas para Android 5.0 están disponibles solo para los propietarios de perfiles o dispositivos. La administración de dispositivos tradicional permanece, pero es aplicable al caso más simple solo para el consumidor (por ejemplo, encontrar mi dispositivo).

Propietarios de perfiles

Una aplicación Device Policy Client (DPC) normalmente funciona como propietario del perfil. La aplicación DPC generalmente la proporciona un socio de administración de movilidad empresarial (EMM), como la Política de dispositivos de Google Apps.

La aplicación del propietario del perfil crea un perfil administrado en el dispositivo enviando la intención ACTION_PROVISION_MANAGED_PROFILE . Este perfil se distingue por la aparición de instancias de aplicaciones con insignias, así como instancias personales. Esa insignia, o icono de administración de dispositivos Android, identifica qué aplicaciones son aplicaciones de trabajo.

El EMM tiene control solo sobre el perfil administrado (no el espacio personal) con algunas excepciones, como hacer cumplir la pantalla de bloqueo.

Propietarios de dispositivos

El propietario del dispositivo solo se puede configurar en un dispositivo no aprovisionado:

  • Solo se puede aprovisionar en la configuración inicial del dispositivo
  • La divulgación obligatoria siempre se muestra en la configuración rápida

Los propietarios de dispositivos pueden realizar algunas tareas que los propietarios de perfiles no pueden realizar, como:

  • Limpiar los datos del dispositivo
  • Desactivar Wi-Fi / Bluetooth
  • setGlobalSetting
  • setLockTaskPackages (la capacidad de setLockTaskPackages la lista blanca paquetes que pueden setLockTaskPackages a sí mismos en primer plano)
  • Establezca DISALLOW_MOUNT_PHYSICAL_MEDIA ( FALSE de forma predeterminada). Cuando es TRUE , los medios físicos, tanto portátiles como adoptables, no se pueden montar.

API de DevicePolicyManager

Android 5.0 y superior ofrece un DevicePolicyManager muy mejorado con docenas de nuevas API para admitir casos de uso de administración de dispositivos corporativos y traer su propio dispositivo (BYOD). Los ejemplos incluyen restricciones de aplicaciones, instalación silenciosa de certificados y control de acceso de intención de uso compartido de perfiles cruzados. Utilice la aplicación de muestra Device Policy Client (DPC) BasicManagedProfile.apk como punto de partida. Para obtener más información, consulte Creación de un controlador de políticas de trabajo .

Experiencia de usuario de perfil administrado

Android 9 crea una integración más estrecha entre los perfiles administrados y la plataforma, lo que facilita a los usuarios mantener su información personal y de trabajo separada en sus dispositivos. Estos cambios en la experiencia del usuario del perfil administrado aparecen en el Lanzador. La implementación de los cambios de perfil administrados de UX crea una experiencia de usuario consistente en todos los dispositivos administrados.

Cambios de UX para dispositivos con bandeja de aplicaciones

Los cambios de UX del perfil administrado para Launcher 3 en Android 9 ayudan a los usuarios a mantener perfiles administrados y personales separados. El cajón de aplicaciones proporciona una vista con pestañas para distinguir entre aplicaciones de perfil personal. Cuando los usuarios ven por primera vez la pestaña del perfil administrado, se les presenta una vista educativa para ayudarlos a navegar por el perfil administrado. Los usuarios también pueden activar y desactivar el perfil administrado usando un interruptor en la pestaña de trabajo del Lanzador.

Vistas de perfil con pestañas

En Android 9, el perfil administrado permite a los usuarios cambiar entre listas de aplicaciones personales y administradas en el cajón de aplicaciones. Cuando el perfil administrado está habilitado, las vistas de la aplicación se separan en dos RecyclerViews distintas, administradas por un ViewPager . Los usuarios pueden cambiar entre las vistas de los diferentes perfiles utilizando las pestañas de perfil en la parte superior del cajón de la aplicación. La clase PersonalWorkSlidingTabStrip proporciona una implementación de referencia del indicador de perfil con pestañas. La vista con pestañas se implementa como parte de la clase AllAppsContainerView Launcher3.

Personal tab viewManaged profile toggle
Figura 1. Vista de pestaña personal Figura 2. Vista de la pestaña de trabajo con la palanca de perfil administrado en la parte inferior de la pantalla

Vista educativa

Launcher3 también tiene la opción de presentar una vista educativa en la parte inferior de la pantalla cuando los usuarios abren la pestaña de trabajo por primera vez, como se ve en la Figura 3 . Utilice la vista educativa para informar a los usuarios del propósito de la pestaña de trabajo y cómo facilitar el acceso a las aplicaciones de trabajo.

La vista educativa está definida en Android 9 y superior por la clase BottomUserEducationView con el diseño controlado por work_tab_tottom_user_education_view.xml . Dentro de BottomUserEducationView , el booleano KEY_SHOWED_BOTTOM_USER_EDUCATION se establece en false de forma predeterminada. Cuando el usuario descarta la vista educativa, el booleano se establece en true .

Educational view

Figura 3. Vista educativa en la pestaña de trabajo

Alternar para habilitar / deshabilitar perfiles administrados

Dentro de la pestaña de trabajo, los administradores de dispositivos administrados pueden presentar un interruptor en la vista de pie de página para que los usuarios habiliten o deshabiliten el perfil administrado como se ve en la Figura 2 anterior. La fuente para alternar se puede encontrar en WorkFooterContainer , comenzando en Android 9. La habilitación y deshabilitación del perfil administrado se realiza de forma asíncrona y se aplica a todos los perfiles de usuario válidos. Este proceso está controlado por la clase WorkModeSwitch en Android 9.

Cambios de UX para dispositivos sin bandeja de aplicaciones

Para los lanzadores sin una bandeja de aplicaciones, se recomienda continuar colocando accesos directos a las aplicaciones de perfil administradas en la carpeta de trabajo.

Si la carpeta de trabajo no se completa correctamente y las aplicaciones recién instaladas no se agregan a la carpeta, aplique el siguiente cambio en el método onAllAppsLoaded en la clase ManagedProfileHeuristic :

for (LauncherActivityInfo app : apps) {
        // Queue all items which should go in the work folder.
        if (app.getFirstInstallTime() < Long.MAX_VALUE) {
                InstallShortcutReceiver.queueActivityInfo(app, context);
        }
}

Validando cambios de UX

Pruebe la implementación de UX del perfil administrado con la aplicación TestDPC.

  1. Instale la aplicación TestDPC desde Google Play Store.
  2. Abra el iniciador o el cajón de aplicaciones y seleccione el icono Configurar TestDPC .
  3. Siga las instrucciones en pantalla para configurar un perfil administrado.
  4. Abra el lanzador o el cajón de aplicaciones y verifique que haya una pestaña de trabajo allí.
  5. Verifique que haya un pie de página de perfil administrado en la pestaña de trabajo.
  6. Compruebe que puede activar y desactivar el interruptor de perfil administrado. El perfil administrado debe habilitarse y deshabilitarse en consecuencia.
TestDPC profile setupTestDPC add accountsTestDPC setup complete
Figura 4. Configuración de un perfil administrado en Configurar TestDPC Figura 5. Agregar cuentas en Configurar TestDPC Figura 6. Configuración completa
App drawer work tab toggle onApp drawer work tab toggle off
Figura 7. Cajón de aplicaciones con pestaña de trabajo. El conmutador de pie de página del perfil administrado está activado y el perfil administrado está habilitado. Figura 8. Cajón de aplicaciones con pestaña de trabajo. El interruptor de pie de página del perfil administrado está desactivado y el perfil administrado está deshabilitado.

Insignia de aplicación de perfil administrado

Por motivos de accesibilidad, el color de la insignia de trabajo cambia de naranja a azul (# 1A73E8) en Android 9.